局域網(wǎng)防火墻的部署方案分析發(fā)布者：本站     時(shí)間：2020-05-02 16:05:50

1 防火墻的介紹

防火墻作為網(wǎng)絡(luò )安全管理的首選工具，已經(jīng)在網(wǎng)絡(luò )安全領(lǐng)域得到了廣泛的應用。防火墻技術(shù)也成為該領(lǐng)域的的關(guān)注焦點(diǎn)。防火墻的主要作用就是對不信任的外部網(wǎng)絡(luò )的訪(fǎng)問(wèn)進(jìn)行訪(fǎng)問(wèn)控制，更好的保護內部網(wǎng)絡(luò )的安全穩定運行。也可以視為對于內部不同網(wǎng)絡(luò )之間的訪(fǎng)問(wèn)控制工具。

防火墻的部署方案：

防火墻的工作模式有：透明模式、路由模式以及混合模式。

（1）路由模式是指網(wǎng)絡(luò )衛士防火墻類(lèi)似于一臺路由器轉發(fā)數據包，將接收到的數據包的源 MAC 地址替換為相應接口的 MAC 地址，然后轉發(fā)。和路由器一樣，網(wǎng)絡(luò )衛士防火墻的每個(gè)接口均要根據區域規劃配置 IP 地址。

（2）透明模式是指，網(wǎng)絡(luò )衛士防火墻的所有接口均作為交換接口工作。即對于同一 VLAN 的數據包在轉發(fā)時(shí)不作任何改動(dòng)，包括IP 和 MAC 地址，直接把包轉發(fā)出去。同時(shí)，網(wǎng)絡(luò )衛士防火墻可以在設置了 IP 的 VLAN 之間進(jìn)行路由轉發(fā)。

（3）混合模式是前兩種模式的混合。也就是說(shuō)某些區域（接口）工作在透明模式下，而其他的區域（接口）工作在路由模式下。該模式適用于較復雜的網(wǎng)絡(luò )環(huán)境[2].

2 網(wǎng)絡(luò )規劃

由于防火墻要部署在已運行的局域網(wǎng)中，此時(shí)防火墻的部署往往要求盡可能地少改動(dòng)或禁止改動(dòng)各節點(diǎn)的網(wǎng)絡(luò )屬性，如網(wǎng)絡(luò )拓撲結構、網(wǎng)絡(luò )設備地址等，同時(shí)要求防火墻的接入對現網(wǎng)絡(luò )的通信影響為最低。為此防火墻的部署采用了透明模式。

根據外網(wǎng)用戶(hù)的需求及外網(wǎng)內各類(lèi)服務(wù)器的需求實(shí)現訪(fǎng)問(wèn)控制管理。具體部署如圖 1.

3 實(shí)現訪(fǎng)問(wèn)控制功能

根據業(yè)務(wù)需求及安全策略的考慮主要對以下進(jìn)行配置。根據現局域網(wǎng)網(wǎng)絡(luò )部署及安全管理要求，接口模式采用交換接口模式。外網(wǎng)局域網(wǎng)中主要進(jìn)行資源管理的有外網(wǎng)路由器、外網(wǎng) web 服務(wù)器及防火墻。為了便于管理外網(wǎng) IP 地址從新更換了網(wǎng)段地址。

3.1 訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制規則主要針對于局域網(wǎng)中客戶(hù)端允許或禁止訪(fǎng)問(wèn)控制規則的報文通過(guò)或僅記錄為符合規則的連接信息等。

本地主要配置的訪(fǎng)問(wèn)控制規則有：

（1）限制訪(fǎng)問(wèn)路由器的用戶(hù)。通過(guò) MAC 地址、IP 地址來(lái)限制訪(fǎng)問(wèn)和管理路由器的用戶(hù)。同時(shí)禁止外部網(wǎng)絡(luò )用戶(hù)訪(fǎng)問(wèn)路由器。

（2）不限制內部用戶(hù)訪(fǎng)問(wèn) web 服務(wù)器，但禁止外部任何地址對web 服務(wù)器的訪(fǎng)問(wèn)。

（3）限制訪(fǎng)問(wèn)防火墻的用戶(hù)。通過(guò) MAC 地址、IP 地址來(lái)限制訪(fǎng)問(wèn)和管理防火墻的用戶(hù)。同時(shí)禁止外部網(wǎng)絡(luò )用戶(hù)訪(fǎng)問(wèn)防火墻。

（4）針對于普通訪(fǎng)問(wèn)外網(wǎng)用戶(hù)，不做限制。禁止外網(wǎng)的任何地址訪(fǎng)問(wèn)到內網(wǎng)客戶(hù)端。

3.2 入侵防御入侵防御部分也主要針對路由器、web 服務(wù)器、防火墻等進(jìn)行了配置。

3.3 內容過(guò)濾根據常用的網(wǎng)絡(luò )服務(wù)及協(xié)議，對于 ftp 服務(wù)、smtp 服務(wù)、tftp 服務(wù)、http 服務(wù)、pop3、sqlnet、telnet 等應用協(xié)議及端口進(jìn)行綁定、配置。

3.4 阻斷策略通過(guò)阻斷策略可實(shí)現簡(jiǎn)單的二、三層的訪(fǎng)問(wèn)控制。如果沒(méi)有匹配到任何策略，則會(huì )依據默認規則對該報文進(jìn)行處理。

3.5 日志與報警根據單位實(shí)際業(yè)務(wù)運行情況，對于日志及報警信息進(jìn)行存儲。

以備于查詢(xún)。