導(dǎo)語：防火墻網(wǎng)絡(luò)安全設(shè)計與實現(xiàn)探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0引言

網(wǎng)絡(luò)在我們?nèi)粘Ｉa(chǎn)生活中應(yīng)用越來越普及，黑客技術(shù)也在不斷發(fā)展，網(wǎng)絡(luò)在改變我們的生活的同時，我們面臨的威脅也越來越大，如何避免網(wǎng)絡(luò)不受到非法的攻擊，保證網(wǎng)絡(luò)安全是目前必須要解決的一個重大問題。LINUX防火墻作為保護(hù)網(wǎng)絡(luò)安全的一個重要部分，它的性價比高，安全性強，因此應(yīng)用較為廣泛。

1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全指的就是在使用網(wǎng)絡(luò)的過程中，安全系統(tǒng)為防止用戶的數(shù)據(jù)信息因惡意或者偶然因素導(dǎo)致破壞而對硬件、軟件系統(tǒng)中的數(shù)據(jù)進(jìn)行保護(hù)。網(wǎng)絡(luò)安全主要有以下幾個特征：（1）保密性：保證未經(jīng)授權(quán)前提下信息不被泄露；（2）完整性：在數(shù)據(jù)信息未經(jīng)授權(quán)的前提下，保障信息在存儲或者傳輸中不被修改和破壞；（3）可用性：保障合法用戶在網(wǎng)絡(luò)環(huán)境下能夠獲取自己所需要的相關(guān)數(shù)據(jù)信息。比方說，破壞網(wǎng)絡(luò)、拒絕服務(wù)等等行為在網(wǎng)絡(luò)環(huán)境下就不屬于可用性的范疇；（4）可控性：用戶在網(wǎng)絡(luò)環(huán)境下對信息進(jìn)行傳遞的過程中，對信息的內(nèi)容以及傳播能夠加以控制；（5）可審查行性：網(wǎng)絡(luò)用戶的信息丟失或被竊取等等安全問題出現(xiàn)的時候能夠提供相應(yīng)的手段和依據(jù)。

2防火墻概述

防火墻，通俗的來說就是包含有軟硬件的在內(nèi)外部網(wǎng)之間的一種保護(hù)屏障。防火墻主要包括服務(wù)訪問規(guī)則、應(yīng)用網(wǎng)關(guān)、包過濾以及驗證工具四大部分組成。能夠?qū)崿F(xiàn)對內(nèi)部網(wǎng)的信息進(jìn)行有效的安全防護(hù)，其中，計算機中通過的所有的網(wǎng)絡(luò)通信以及數(shù)據(jù)信息都要經(jīng)過防火墻。防火墻主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻以及數(shù)據(jù)庫防火墻三種類型。（1）網(wǎng)絡(luò)層防火墻：網(wǎng)絡(luò)層防火墻能夠?qū)P實行有效的封包過濾，并運行在底層的TCP/IP協(xié)議堆棧上，管理員能夠?qū)Ψ獍南嚓P(guān)規(guī)則進(jìn)行定義和相關(guān)的修改工作；（2）應(yīng)用層防火墻：應(yīng)用層防火墻跟網(wǎng)絡(luò)層防火墻不同，它是運行在TCP/IP協(xié)議堆棧的應(yīng)用層上。它能夠?qū)σ恍?yīng)用程序的所有封包進(jìn)行攔截和封鎖，從理論上來說，這種類型的防火墻基本上可以實現(xiàn)對外部數(shù)據(jù)的完全阻絕，不讓外部數(shù)據(jù)進(jìn)入到受保護(hù)的計算機中；（3）數(shù)據(jù)庫防火墻：該防火墻是建立在數(shù)據(jù)庫協(xié)議分析和控制技術(shù)的數(shù)據(jù)庫系統(tǒng)之上的一種安全防護(hù)系統(tǒng)。數(shù)據(jù)庫防火墻能夠主動防御，有效的控制數(shù)據(jù)庫的訪問行為，對訪問數(shù)據(jù)庫中的危險行為進(jìn)行有效的阻斷，對訪問數(shù)據(jù)庫中的一些可疑的行為進(jìn)行有效的審計，從而保護(hù)計算機的數(shù)據(jù)庫系統(tǒng)。

3LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全設(shè)計

3.1LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全設(shè)計原則

對LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計，主要包括硬件設(shè)計和軟件設(shè)計兩方面。硬件部分可以根據(jù)其性能和要求，盡量選擇性價比高的設(shè)備，軟件設(shè)計作為該防火墻系統(tǒng)的重點，要求軟件系統(tǒng)保證模塊化，采用模塊化設(shè)計，一方面能夠有效保證防火墻系統(tǒng)的可靠性和易維護(hù)性，另一方面還能夠保證防火墻系統(tǒng)易擴充和靈活，尤其在防火墻系統(tǒng)的升級的情況下。在防火墻系統(tǒng)的設(shè)計中，必須要保證系統(tǒng)的可靠性、穩(wěn)定性以及針對性，使得防火墻能夠?qū)Σ煌脩粼O(shè)置不同的權(quán)限，有效的防止和降低系統(tǒng)外部的非法攻擊與破壞，從而達(dá)到網(wǎng)絡(luò)安全性的提升。

3.2防火墻系統(tǒng)的設(shè)計功能和目標(biāo)

在防火墻系統(tǒng)的設(shè)計中，防火墻要能夠?qū)?jīng)由它的網(wǎng)絡(luò)信息和數(shù)據(jù)進(jìn)行掃描工作，將一些攻擊過濾掉；通過對部分特定端口的通信流出予以禁止和對特殊站點的一些訪問予以關(guān)閉，從而保證系統(tǒng)的安全?；贚INUX環(huán)境下防火墻系統(tǒng)的功能主要有：（1）實現(xiàn)對數(shù)據(jù)庫的安全防護(hù)：防火墻系統(tǒng)能夠根據(jù)SQL協(xié)議分析，只對一些合法的SQL操作放行，從源頭上斬斷非法操作，保證數(shù)據(jù)庫的外圍安全，此外，防火墻系統(tǒng)還能夠?qū)σ恍㏒QL危險操作的審計和預(yù)防，這樣一來，一內(nèi)一外實現(xiàn)了對數(shù)據(jù)庫的安全防護(hù)；（2）實現(xiàn)對信息外泄的防止：在防火墻系統(tǒng)的設(shè)計過程中，必須要將內(nèi)部網(wǎng)絡(luò)合理劃分、保證重點網(wǎng)段的有效隔離納入到設(shè)計理念中來，在很大程度上解決了一些局部重點的網(wǎng)絡(luò)安全問題等等給全局網(wǎng)羅的安全帶來的影響，從而有效的防止系統(tǒng)信息的外泄；（3）實現(xiàn)對網(wǎng)絡(luò)的監(jiān)控和監(jiān)聽：防火墻系統(tǒng)能夠?qū)υL問進(jìn)行相應(yīng)的記錄，保證了網(wǎng)絡(luò)使用情況信息的精準(zhǔn)，同時，防火墻系統(tǒng)還能夠?qū)σ恍┛梢傻脑L問進(jìn)行報警，并提供網(wǎng)絡(luò)受到不法攻擊和不法檢測的依據(jù)，此外，能夠及時將這些信息資料反饋到系統(tǒng)管理員那里，從而保障了系統(tǒng)的安全；（4）實現(xiàn)對網(wǎng)絡(luò)安全策略的管理：在防火墻系統(tǒng)中，系統(tǒng)管理員能夠制定合理的網(wǎng)絡(luò)安全方案，針對不同用戶，制定出不同權(quán)限的權(quán)限表以及不同用戶的基本信息表，并將這些信息應(yīng)用到防火墻系統(tǒng)中，這樣一來，在用戶使用網(wǎng)絡(luò)的過程中，防火墻能夠根據(jù)管理員提供的信息表對不同用戶不同的權(quán)限允許其進(jìn)行不同的操作，實現(xiàn)了對網(wǎng)絡(luò)安全問題的集中管理。

3.3防火墻的實現(xiàn)方式與測試環(huán)境

根據(jù)上文中防火墻的相關(guān)功能，可以在防火墻設(shè)計中，采用合適數(shù)量的端口，在系統(tǒng)中，一些網(wǎng)卡實現(xiàn)對服務(wù)器的安全防護(hù)，剩余的網(wǎng)卡則是主要對數(shù)據(jù)信息實現(xiàn)交換，在這里，需要注意的就是數(shù)據(jù)交換并不包括IP的轉(zhuǎn)化；此外，通過設(shè)置防火墻系統(tǒng)，能夠?qū)崿F(xiàn)用戶信息傳遞過程中不需要進(jìn)行訪問。在對防火墻系統(tǒng)進(jìn)行測試的時候，直接采用源代碼公開的LINUX操作系統(tǒng)進(jìn)行測試即可。

4LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全實現(xiàn)

4.1身份認(rèn)證模塊的實現(xiàn)

對用戶身份認(rèn)證識別，要具有靈活性。一般來說，防火墻的設(shè)計中，要對內(nèi)部用戶進(jìn)行資源訪問進(jìn)行有效的控制，身份認(rèn)證實現(xiàn)的流程圖如圖1所示：圖1對用戶身份的認(rèn)證

4.2網(wǎng)絡(luò)地址轉(zhuǎn)換的實現(xiàn)

在對防火墻進(jìn)行配置的時候，通過對NAT配置，保證內(nèi)網(wǎng)計算機在訪問外網(wǎng)時的地址轉(zhuǎn)換，確保內(nèi)外網(wǎng)二者之間能夠?qū)崿F(xiàn)對對方的訪問；此外，ACL訪問的設(shè)置，能夠有效地確保內(nèi)網(wǎng)計算機的訪問權(quán)限的設(shè)置，對內(nèi)網(wǎng)訪問外網(wǎng)或者內(nèi)網(wǎng)計算機之間的相互訪問予以阻止。

4.3路由器記錄模塊的設(shè)計實現(xiàn)

在路由器記錄模塊功能的實現(xiàn)中，路由選擇選項能夠?qū)崿F(xiàn)對路由器選擇路由的控制和監(jiān)視。路由器將處理過的數(shù)據(jù)信息后將其IP地址加入到源主機生成的IP地址空表中來，同時，路由選擇選項就那個數(shù)據(jù)報的相關(guān)記錄加以設(shè)置，進(jìn)而采用相關(guān)的結(jié)構(gòu)實現(xiàn)數(shù)據(jù)的轉(zhuǎn)換，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)在協(xié)議層之間移動過程描述。

4.4LINUX的TCP/IP實現(xiàn)

在LINUX的TCP/IP實現(xiàn)中，模塊的驅(qū)動需要對被裝載的網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)的檢測和初始化，對內(nèi)核啟動的驅(qū)動方法，則需要檢測和初始化所有內(nèi)核支持的網(wǎng)絡(luò)設(shè)備，在初始化過程中，LINUX調(diào)用了init函數(shù)對網(wǎng)卡進(jìn)行了驅(qū)動，實現(xiàn)對設(shè)備是否存在的檢測、對網(wǎng)絡(luò)設(shè)備終端號的檢測等等工作。

5結(jié)束語

本文主要通過對網(wǎng)絡(luò)安全和防火墻進(jìn)行詳細(xì)的概述，并就LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全設(shè)計從LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全設(shè)計原則、防火墻系統(tǒng)的設(shè)計功能和目標(biāo)以及防火墻的實現(xiàn)方式與測試環(huán)境三方面來進(jìn)行詳細(xì)的分析，并從身份認(rèn)證模塊的實現(xiàn)、網(wǎng)絡(luò)地址轉(zhuǎn)換的實現(xiàn)、路由器記錄模塊的設(shè)計實現(xiàn)以及LINUX的TCP/IP實現(xiàn)對LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全實現(xiàn)進(jìn)行探討。

作者:劉成 單位:湖北生物科技職業(yè)學(xué)院

引用：

[1]劉清毅.淺談防火墻在網(wǎng)絡(luò)安全中應(yīng)用[J].電子測試，2015.

[2]李華清.防火墻網(wǎng)絡(luò)安全技術(shù)分析[J].電子制作，2014.

[3]秦拯，厲怡君，歐露等.一種基于SFDD的狀態(tài)防火墻規(guī)則集比對方法[J].湖南大學(xué)學(xué)報（自然科學(xué)版），2014.

[4]王俊康.基于防火墻網(wǎng)絡(luò)安全技術(shù)分析[J].信息通信，2015.

[5]羅彩君.基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略研究[J].電子設(shè)計工程，2013.