应用防火墙系统的设计及应用

摘要:防火墙作为体系的基础设备,其作用是切断受控网络的通信主干线,对通过受控干线的任何通信进行安全处理。目前防火墙主要有包过滤、应用代理和状态检测等几种类型。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台。

关键词:防火墙;类型;安全性

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01

Firewall Design and Application

Lu An,Yang Tianyi

(Chongqing University,Chongqing400715)

Abstract:The firewall as a system of infrastructure,its role is to cut off the communications network controlled by the main trunk route through the controlled safe handling of any communications.There are currently firewall packet filtering,application proxy,and state detection of several types.Firewall security depends on whether the firewall is based on the safety of the operating system and using dedicated hardware platform.

Keywords:Firewall;Type;Security

随着网络技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。

一、防火墙技术的涵义

网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。

二、防火墙在网络中的应用

(一)防火墙系统总体设计

NP系统下实现软件防火墙的设计与应用,实质上就是基于主机的网络安全解决方案。因此,我们完全可以选择合适的软硬件平台和相应的防火墙设计原理,自己开发出一套能够满足要求的防火墙系统。

(二)网络企业的防火墙设置

可以通过一个安全策略的样本来了解防火墙的理想设置:

设置防火墙的正确位置应该在内部网络与外部网络之间,它能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。

三、防火墙在网络企业中的运用

了解了什么是防火墙和它的各种特性以及防火墙的部署使用规则之后,结合实际的防火墙产品来说明防火墙是如何在一个网络中起到作用的。

在网络企业中有一款防火墙RG-WALL 50,RG-WALL作为一个路由器运行,因此各接口属于不同的网络。在路由器或L4交换设备中,在安装RG-WALL的位置两侧的设备原先是相互直接连接的,只需一个网络地址即可,但是在中间安装RG-WALL之后,需要新的网络地址体系。模拟真实情况下的企业网络运作情况如图1所示。

图1企业网络中拓扑图

四、基于NP系统防火墙总体设计

(一)NP的防火墙系统主要功能

1.全程动态包过滤 本防火墙要在NP下实现全程动态包过滤功能,通过分析数据包的地址、协议、端口对任何网络连接当前状态进行访问控制,从而提高系统的性能和安全性。

2.提供日志审计 本防火墙配备了日志记录系统和查询工具,用于记录系统管理、系统访问及针对安全策略的网络访问情况。

3.防火墙数据库的备份本防火墙制作防火墙过滤数据库,并且管理员可以能动地对该数据库进行设置。

(二)网络处理器NP简介

网络处理器(NP)是一种可以编程的设备,抑或可以说是一种芯片。它是一种为了进行网络分组处理而特定开发的新型产品,专业的应用于通信领域中的某一特殊任务当中,其本身具有专门的指令集和配套的软件开发系统,因此不仅具有较强的编程能力,而且拥有超强的处理性能,从而可以很好的满足当今互联网络高速发展的需求以及互联网业务多元化、多样化发展的趋势。

(三)防火墙系统设计方案

基于NP的网络系统防火墙由主控单元、网络处理单元和电源三部分组成,其中,主控单元采用通用处理器设计的管理与协处理板;网络处理单元采用基于NP的专用网络处理板,其通过PCI总线与主控单元通信;电源则专为主控单元和网络处理单元提供电源支持。

1.主控单元

主控单元硬件部分采用通用中央处理单元设计的主控板,以便于管理配置网络处理板和运行其它非实时性的安全模块。主控单元的软件包括控制管理和高级安全两部分。控制管理软件接收从Web界面和命令行对防火墙传递的配置信息,并转换为网络处理器识别的信息,发送到网络处理单元的控制管理模块,同时接收从网络处理单元的控制管理模块返回的信息。高级安全软件主要是那些对实时性要求不高或在NP中实现极大影响性能功能。

2.网络处理单元

网络处理单元采用NP设计专用的网络处理板,其通过外设组件互连总线与主控单元通信。因为防火墙的安全过滤与操作系统无关,并且与防火墙的配置管理及控制相分离,故网络处理器的安全功能模块可以随时升级。

(四)基于系统安全防火墙关键技术

可靠性设计、可扩展设计和精确流控技术是企业应用防火墙系统设计当中非常关键的三个技术。可靠性设计技术可以解决因高频串扰带来的千兆线速丢包问题以及避免操作系统带来的不稳定性和安全隐患问题。扩展设计可以采用模块化设计和模块分层,并逐层封装,配置与控制层提供功能的扩展接口。精确流控技术可以实现WRED算法和丢包算法,以保证当网络发生拥塞时,避免由于误丢包而带来的流量震荡。

五、结论

在当今互联网络高速发展的今天,企业网络所受到的应用层威胁正在日益加剧。应用层不仅成为黑客入侵企业网络的入口,而且成为员工出现泄密等安全事件的优良载体,防御企业网络应用安全正在成为信息主管与首席安全官共同关注的话题。而研制更安全和更快速的应用防火墙系统,将成为今后互联网络发展应用的一个重要课题。

参考文献:

[1]林晓东,杨义先.网络防火墙技术.电信科学,1997,13

[2]黄允聪,严望佳.防火墙的选型、配置、安装和维护.清华大学出版社,1999

[3]肖晓.教育系统网络安全新贵EDU[J].中国教育网络,2005,7

[4]曾志峰,杨义先.网络安全的发展与研究[J].计算机工程与应用,2000,10

[5]李素侠,帅训波.网络安全策略探讨[J].内蒙古科技与经济,2004,7

推荐访问:防火墙 设计 系统