基于防火墙的应用规则与设计探讨

熊　欢

四川工业科技学院建筑工程学院，四川　德阳　618500



基于防火墙的应用规则与设计探讨

熊欢*

四川工业科技学院建筑工程学院，四川德阳618500

网络的安全性已经成为当今社会热衷的话题之一。随着网络的快速发展，给社会生活带来了前所未有的便利，但随之而来的网络中安全问题也日趋严重。而防火墙是网络安全的“第一道门”，如何把守好这道门安全，成为人们纷纷探讨的问题。笔者根据防火墙的特点、类别、防火墙的设计和防火墙的应用规则等方面对其进行详细的探讨，以使人们对防火墙应用规则和设计有进一步的认识和熟悉，以达到正确使用和设计防火墙。

防火墙；防火墙设计；防火墙应用规则

由于因特网在全世界的迅速发展及其广泛应用，因特网中随之出现的信息泄露、数据篡改和拒绝服务等网络安全事件频繁的发生，使网络安全问题变得越来越受到公众的重视。为解决这些问题，出现了很多网络安全技术和方法，防火墙就是其中最成功的一种。

一、防火墙概述

(一)防火墙的概念

防火墙是一个软件与硬件结合的系统，其位于内部网络(可信任区)和外部网络(非信任区)之间，能有效的控制内部网络与外部网络之间大的访问及其数据的传输，其主要目的是保护内部网络用户免受非法用户的访问或者入侵；

(二)防火墙的特点

1.不管是来自外部网络还是内部网络的数据都必须用通过防火墙的过滤。

2.对于要通过防火墙的数据都需符合防火墙设置的安全访问策略。

3.防火墙一般位于内部网络的边缘，会收到来自外部网络的攻击，因此，防火墙本身应该具备抗攻击的能力。

(三)防火墙按照技术分类

1.包过滤型防火墙：由于包过滤是路由器都具备的能力，我们可以将防火墙看成具有包过滤的路由器，用其端口去区分包和限制包，以完成对传输的数据包进行一一排查，判断其是否与其设置的包过滤规则相匹配，如果判定相匹配就允许数据包通过，否则就拒绝访问，以达到拒绝可疑或者非法用户的访问。

2.应用网关防火墙：工作在应用层，主要是针对应用层的数据包进行筛查，能对不同协议进行分析，如果与访问规则匹配就允许包通过并且转发，否则就拒绝。针对应用层的入侵安全性高，防攻击效果好。

二、防火墙体应用规则

(一)设置Internet用户对内部网络的访问

防火墙部署在内部局域网与Internet之间，其主要目的是为了保护内部网络不被外部网络用户的非法入侵和攻击。

1.对于内部网络是防火墙重点保护的区域，是防火墙的可信任区域，针对内部网络用户而言，发出的所有通信在默认情况下是不需要过滤和审计的，为了网络安全性，我们对内网网路要设置相关的访问规则以及安装杀毒软件，我们的防火墙不能防来自内部网络的攻击，但防火墙需禁止来自外网的一切攻击；

2.对于外部网络，这个区域被称为防火墙的非可信任网络区域，外部用户的通信或者连接必须按照防火墙的安全规则进行过滤和审计，对于不符合访问规则的用户，禁止连接通信，以保护我们的内部网络；

3.防火墙有DMZ区域，它是从内网中划分出的一部分区域，该区域在网络受保护的级别较低，设置访问规则时，允许网络用户访问DMZ安全区域对外开放的某些特定服务和应用；

(二)设置局域网内部不同部门网络之间的访问

防火墙应用于内部网络之间，是对一些比较敏感的部门或者主机的隔离，比如：财务部门，其数据对于企业或者个人来说很重要，这些数据是不能随便被非授权的用户访问。

1.采用vlan划分，将位于不同物理网段上的用户在逻辑上划分在一个局域网。

a、基于端口的vlan划分、基于MAC地址的vlan划分、基于子网的vlan划分、基于协议的vlan划分

2.防火墙设置隔离

a、基于静态配置的访问控制规则ACL.

b、监听与记录协议，能根据应用协议的特定需求动态创建访问控制列表的ASPF.

三、防火墙系统的设计

防火墙的作用是保护内网主机免于被来自外网的非法的入侵和破坏，其功能能否完美的实现，因此在设计防火墙系统时，需注意以下事项。

(一)需考虑采用单一的防火墙体系结构：双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。针对存在不同的问题和内部网络系统向用户提供何种服务以及承担什么等级的风险，采取合并内部和外部路由器、合并堡垒主机和外部路由器、合并堡垒主机和内部路由器、使用两个以上的多堡垒主机、使用多台内部路由器、使用多台外部路由器、使用多个周边网络等多种合并技术。一般情况下很少采用单一的技术和结构。

(二)采用何种技术或者组合，与防火墙的投资资金、技术人员的技术水平高低和时间的长短有关；

(三)考虑位于局域网以外的托管主机、远程办公主机的保护、来自内网的攻击。

(四)设计防火墙时，对于网络的信任用户、非信任用户、部分信任用户区分，以便控制用户对网络资源的访问。

(五)针对防火墙的功能、不同的厂家，不同的价格，选择一款适合自己需要的性价比最有的防火墙。

(六)选择防火墙还要考虑到防火墙的安全性、可伸缩性、标准的支持。

(七)对防火墙设置访问规则，设置安全过滤规则时，一定要注意此规则是对于外部网络还是内部网络，不要将过滤规则设置冲突或者重叠，以避免网络出现访问漏洞，影响用户的正常访问。

四、总结

作者围绕“防火墙的概述”而展开,从防火墙的类别到防火墙设计原则,从防火墙应用规则到防火墙系统设计事项进行了详细的讨论。使读者不但能清晰防火墙的概述,更能清楚的知道防火墙应用规则和设计的注意事项，防火墙的良好的设计应用，对于网络的安全性提供了保障。

[1]谢希仁编著.计算机网络教程.北京:人民邮电出版社,2006.

[2]黄传河编著. 网络规划设计师教程.北京:清华大学出版社,2009.

[3]雷震甲编著.网络工程师教程.北京:清华大学出版社,2011.

[4]华为3Com技术有限公司编著.华为3Com网络学院教材(1，2学期)下册,2006.

熊欢(1985-)，女，四川德阳人，四川工业科技学院建筑工程学院，助教，从事网络的组建与维护和服务器技术研究。

TP393.08

A

1006-0049-(2016)15-0195-01