摘要

随着计算机与网络技术的迅速发展，的应用也越来越广泛，然而网络安全问题也不断的增多。网络安全问题从大了讲对国家的信息安全、国防安全、经济安全等各个涉及国计民生的领域都有重要影响，从小的讲对个人计算机的信息保护、隐私安全等也存在至关重要的作用。网络安全问题一直是各国安全界向来比较重视的研究领域，在网络安全的研究当中，国内的技术专家进行了深入的研究，防火墙技术也是研究的重点领域。在国外，防火墙技术一直处于比较领先的地位，国内的研究也有了重要的进步，但是很多方面还是依靠国外的技术，因此，研究和发展防火墙技术对研究网络安全有着举足轻重的作用。

本文根据计算机网络安全的基本理论及知识，提出了计算机安全防护设计思想及实现方案。

从企业和用户需求的收集到分析，制定了防火墙的设计和网络安全问题解析。

关键词：防火墙，防火墙技术，网络安全，客户认证

**章绪论

1．1研究背景

计算机网络起源于20世纪60年代，最早是由美国国防部高级研究计划署（ARPA，，后称DARPA，）进行的。20世纪60年代末ARPA投资推进计算机网络的研究和开发，1969年建成了著名的的前身—。随着网络硬件技术的不断分化和新技术的不断涌现，在以以太网为代表的局域网技术的发展下，为了解决不同硬件构成网络的互联问题，由斯坦福大学的两名研究人员于1973年提出TCP()协议。1983年，TCP/IP(/)被Unix4.2BSD系统采用[8][10]。随着Unix的成功，TCP/IP逐步成为Unix机器的标准网络协议。的前身最初使用NCP(ol)协议，由于TCP/IP协议具有跨平台特性，的实验人员在经过对TCP/IP的改进以后，将上的所有结点向TCP/IP协议转换，并形成了以为主干的雏形。虽然国际标准化组织于1984年提出了一种标准参考模型—开放式互联参考模型OSI（）作为网络互联的标准模型，但由于TCP/IP协议的广泛使用，TCP/IP协议已经成为国际互联网的实际标准。

是一个面向大众的，无边界的，自身网络协议开放的信息共享系统，网络协议是实现信息共享的关键必须环节。当前常用的网络协议包括TCP/IP协议、IPX/SPX协议、协议等。通过这些协议对设备连接之间的协调，保证了网络信息共享的实现。然而，各个网络协议都有安全缺陷问题的存在。TCP/IP协议是目前使用最广泛的网络互联协议，作为的基础，它的安全性关系着整个的安全。由于TCP/IP协议的设计初衷是应用于可信的科学研究环境，在协议的总体设计构思和具体设计时，未考虑到其自身的安全性问题，很容易受到“黑客”攻击，其安全性完全是没有保障的。TCP/IP协议的安全缺陷主要表现在以下几个方面：

缺乏有效的认证机制。网络通信设备间的信息交换机制是事先定义的固定机制，通过协议数据单元完成。TCP/IP协议中未包含认证信息，它只能对IP地址进行鉴别，缺乏对网络上用户有效身份进行认证的措施。只要所传的信息格式符合协议规定的格式，无论这些信息是否真正的来自发送方，内容是否真实，都能被保证无差错的传输，这样就容易遭受信息伪造攻击和欺骗，如：ARP(tocol)欺骗、DNS()欺骗、路由选择信息协议RIP（）欺骗、IP欺骗等欺骗；（2）信息传输过程中采用明文进行数据传输，无法保证信息的机密性和完整性。由于网络的广播特性和路由功能，互联网上的信息极易被窃取，使用如等嗅探工具就能截获网络中所传送的信息。如果不可信节点存在于传输路由中，网络资源和信息的安全将受到严重的威胁；（3）屏蔽了底层网络硬件细节，使异种网之间也能相互通信，使得的网络环境更为复杂。目前TCP/IP为了克服其安全性的先天缺陷，不断地进行改版、升级，加入了加密、认证等功能，但其自身的安全性问题仍然未能得到彻底地解决。

1.2研究意义

企业是中美合资建设的大型高科技化工企业，总投资额超过50亿元，规划后续投资超过210亿元。企业内部网络上现有节点数量超过400个，随着企业规模的不断扩大，计算机网络节点日益增多，企业目前有关生产经营管理方面的活动必须要依靠企业自身的网络才能正常的进行，而企业的相关活动在目前的网络环境中已不能得到很好的满足，为了升级和改善企业现有的网络环境，使网络的安全性和可靠性得到较大的提高，保证企业各项生产经营管理业务的安全、稳定、**的运行，利用网络安全体系构建相关策略和技术，为企业设计和实施网络安全的建设工程。

本文通过分析计算机网络存在的安全缺陷、我国大中型企业的网络现状及网络特点、当前企业网络安全体系建设方案及相关技术，针对企业的网络特点提出了企业网络安全体系结构，并以此为基础研究和制定企业网络安全建设的（提出了建立整体的、多层次的、***的网络安全解决方案。基于渗透测试的风险评估）方案，使该企业的网络系统在网络恶意攻击和入侵等条件下具有继续运行的能力，保障该企业在信息战、人为和自然灾难降临时能够提供可持续的生产经营管理业务能力，以满足企业对稳定性、可靠性和安全性的需求。同时，本文通过对企业进行了网络体系结构和网络风险的研究，并通过将提出的解决方案应用于该企业，验证了方案的可行性，并取得了预期的效果，从而为解决企业网络安全提供了可实施的解决方案，以提供企业的网络安全管理及风险预警等。

第二章设计任务

防火墙概论，在本节中,以如下六点内容,来概论防火墙:

防火墙含义:在研读了相关一些文献后,笔者对“防火墙”一词定义如下:防火墙是一个用来控制经过其上的网络应用服务和数据信息的系统。它结合了硬件和软件来防御未经受权的出入访问,目的是保护我们的网络和系统不受侵犯。它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备,更可以是它们的组合。在查阅的文献中,一个比较值得提及的关于防火墙的定义是:防火墙是一种将局域网和广域网分开的方法,它能限制被保护的内网与外网之间的信息存取和交换操作。

防火墙可以作为不同网络或网络安全域之间交换信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身就有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地控制了内部网和外部网之间的活动,保证了内部网络的安全。

网络系统引入防火墙的原因:因为传统的子网系统本身是不安全的,它会将自身暴露给NFS或者NIS等先天不安全的服务,同时也易受来自网络上的探察和攻击。目前的基本协议就是TCP/IP协议,而它在制定之初并没有把安全考虑在内,所以说基本没有安全可言。防火墙的引入很大程度地加强了子网系统的安全。防火墙的构建位置防火墙通常设在等级较高的网关或网点与ntmt的连接处,意在将本地网与隔离开,用以确保该子网(网点)与所有通信均能符合本部门的安全规则。

防火墙工作日志:在防火墙的工作日志中,会记录和统计网络的使用情况,即何人何时去往何处及做了什么,哪怕他的访问未被允许。当然,它的控制规则是具有可设计性的。

2.1搜集用户需求

随着网络的发展和普及，上网的人群越来越多，同时网络如倾的方式种类也是越来越多，层出不穷。因此，个人用户对本健全的需求也是非常突出和必要的，而个人用户啊对本机安全的需求是非常突出和必要的，而个人防火墙作为网络安全最基本最经济最有效的手段，其地位也是非常重要的。防火墙的实现方式有硬件和软件两种，作为个人用户而言，硬件防火墙固然很好，但是其昂贵的价格限制了其在个人防火墙领域的应用，因此，目前而言，个人防火墙的主要实现方式还是采用软件实现方式。无论个人防火墙功能多么完善，性能效率多么高校，这些都不能带给用户直接的感受。用户能直接感受到的就是个人防火墙的使用过程，如防火墙的安装部署，防火墙的界面部分，或者说个人防火墙表示层能和用户直接交互的部分。因此个人防火墙部署和操作的方便也是需求重点之一。

1 虚拟专用网络的体系结构

叶辉煌针对虚拟专用网络作详细的整理，依照网络体系结构主要可分为三类:

(1) Host-to-Host用于两部单一的信息设备要做安全性的通讯，这两部信息设备可以位于公众网络或是私有网络，这两部信息设备以外的设备都无法识别两者间传递的资料(如图2-1）。

图2-1 Host-to-Host VPN示意图

(2) Host-to-用于一个单一信息设备要存取一个私有网络的资源，在以往员工一旦外出出差，就无法存取公司资源或是极有限度的存取公司资源，通过虚拟专用网络就可以让员工如同身处公司内部可以存取任何资源(如图2-2).

图2-2 Host-to- VPN示意图

(3) -to-通常用于两个私人网络相互连接，像是总公司与分公司之间的连接，通过虚拟专用网络，总公司与分公司之间犹如有一条专线连接，可以进行各种服务的连接，也可以用于总公司与协力厂商之间的相互连接(如图2-3).

图2-3 -to- VPN

模块设计以高度简洁的体系结构呈现，在安全性和网络支持各项表现是卓著的加密流程:首先应用程序将原本传输资料转而传输到虚拟专用网产生的虚拟网卡(tun0)，使它接收资料后传输至程序，并进行资料的加密，加密后的资料通过设备真实网卡传输至网络上，此时的资料即呈加密状态，即使被拦截也无法判读，资料接收端通过真实网卡接收己加密资料，进而传输至程序解密还原资料(如图2一4)。

图2-4 VPN加密流程

2.2 需求分析

2．2.1网路拓扑结构分析

OSI/RM参考模型中各层通信的安全隐患：物理层的网络安全就包括了通信线路的安全，物理设备的安全、机房的安全和数据的安全等几个方面。在物理层上存在安全风险主要体现在传输线路上的电磁泄漏、网络线路和网络设备的物理破坏，以及数据的备份与恢复。黑客通过相应的技术手段，在传输线路上依靠电磁泄漏进行侦听，可以实现非法截取通信数据；也可以通过非法手段进网络设备进行破坏，致使网络全部或局部的瘫痪。保护措施：对传输线路进行屏蔽，防止电磁泄漏;配备设备冗余、线路冗余，和电源冗余;完善各种管理制度相配合，特别是机房和用户账户管理。

数据链路层的主要特征就是形成MAC地址，并对物理层上的比特流进行编码、成帧，然后就是链路层上的可靠数据传输。这样一来，黑客基于数据链路层的攻击行为也就清楚了，一是进行MAC地址欺骗，如ARP病毒，再就是对数据编码、成帧机制进行干扰，致使形成错误的数据帧，也可以导致数据在数据链路上的传输错误，甚至数据丢失。数据链路层还有一个安全风险就是大量的广播包，致使网络链路带宽资源匮乏，而最最终使网络瘫痪。防护措施:对传输中的链路进行加密，防止非法修改数据源，干扰数据的编码和成帧;绑定MAC地址与IP地址、端口，或者自动监测MAC地址修改;缩小广播域，如划分VLAN;加强交换机设备的CAM的保护，网络层存在的安全风险主要体现在来自外部网络的入侵和攻击，数据包修改，以及IP地址、路由地址和网地址的欺骗。

2.2.2对应的保护措施

保护措施：部署防火墙系统ACL，过滤非法数据通信请求;部署防火墙或路由器的NAT技术，不把内网IP地址暴露在外;配置VPN，以确保网络间的通信和数据安全;配置严谨的身份验证系统，如、IPSec协议和公钥证书，防止非法用户的访问.传输层的最终目的就是提供可靠，无差错的数据传输。整个数据传输服务一般要经历传输连接建立阶段、数据传送阶段、传输连接释放阶段3个阶段。其中每个阶段都可能被黑客利用，进行非法攻击。如传输连接建立阶段，黑客们通过获取目的端的IP地址和端口，以及必要的验证信息就可以；数据传送阶段，黑客可能会非法截取，或者篡改传输中的数据，还可能在传输过程中，发送大量无效数据，或者命令请求，造成带宽资源匮乏，引起传输服务瘫痪；在传输连接释放阶段，黑客则可以发送错误的服务命令，导致传输连接非正常释放，从而引起数据传输错误，数据丢失。这就是典型的黑客攻击，其中最常见的就是拒绝服务攻击（DoS）。保护措施:强化操作系统TCP、UDP协议安全配置，抵制黑客攻击;采用TLS/SSL、SSH、SOCKS对传输数据进行加密，并提供数据完整性检查和身份验证;部署防火墙系统，抵制基于传输层的黑客攻击;部署四层交换机、防火墙或路由器的流量控制功能和差错检测功能. [4]

会话层和表示层作用就是要处理应用数据以什么样的表示形式来进行传送，才能达到任意应用系统之间的信息沟通。

保护措施:在会话层和表示层中可以提供的安全保护措施就是会话进程和传输数据的加密.应用层的安全性也是最复杂的，各种不同应用程序有着不同的安全考虑和相应的防护措施。可以工作在应用层的网络设备主要是七层交换机和应用代理型的防火墙和路由器。

保护措施:在防火墙或路由器上部署基于应用的通信过滤;为各具体应用软件配置相应的安全保护选项;及时发现操作系统和应用软件的安全漏洞，更新安全补丁;安装专业的计算机病毒、木马和恶意软件防护系统，及时更新。

2.3全面深入地设计企业拓扑结构

企业的信息化建设现处于初期的起步阶段，对企业内部网络的结构设计比较简单和粗略，对网络安全的考虑有所欠缺，存在着大量的安全隐患，基于不同层次的安全需求以及整体安全的需求，为该企业的设计了一个网络安全体系建设的整体方案[7]。如图2-1所示

图2-1

网络拓扑结构的设计主要有以下几个方面的特点：

2.3.1内部网络分级隔离分级施策

把原有的服务器区分隔为对外公开的服务器区（DMZ 区）和企业专用的服务器区。将对外开放的服务器如：web 服务器、mail 服务器等移入 DMZ 区。重要的仅供企业内部使用的服务器作为一个服务子网，使用适合的保护措施保护起来。其他部分分别按用途划分为办公子网、管理子网、生产子网，做到分级隔离，划分清晰。在各子网之间根据不同的保护级别实施保护策略，做到分级施策。[1]

2.3.2安全产品联动实现交叉防守立体防御

在网络产品的选择和部署时，考虑各产品的功能和特点，相互结合，充分发挥各自优势。实现安全联动，交叉防守，立体防御。

2.3.3设备线路设计冗余避免单点失败

在原有网络中，内部网络所有的流量都要通过主交换机汇入外网，主交换机几乎承载了整个内部网络的数据交换工作，极易出现故障，造成整个网络的瘫痪。新的设计中考虑到这方面的要求，在主交换机处设置了备用交换机，避免单点失败造成网络的中断。

2.3.4管理安全集中方便

设置安全管理区，管理员很容易在管理区内对网络中的主机和设备进行集中统一的管理。通过安全产品的监控、报警、审计等功能，了解网络的实时状态，实现对网络的安全管理。[5]

2.4全面规划企业综合布线系统

2.5规划企业网络防火墙技术的功能实现

全面、综合原则，网络安全体系的设计应基于安全，采取制定的安全措施进行实施。在安全建设的整个过程中，应当全面整体的看待安全问题，权衡各方利弊。同一性原则，主要是指网络安全问题与整个网络的工作周期是在同一时刻存在的，安全体系结构的设计必须和网络安全需要保持统一。网络系统的安全体系构建，从设计到运行，都有必要对安全做考虑。网络开始建设之时进行安全方面的考虑比在其他时候考虑更容易实现，成本也更低。需求、风险、代价平衡的原则，对任何网络来说，都不能保证**的安全，它也是不必要的。对网络中存在的威胁和风险采取定性与定量相结合的方式进行分析，根据分析制定规范，设计安全策略。可使用原则，安全策略应当尽量简单易实现。太过复杂对实现的技术要求就越高，其实这就是一个不安全。另外，采用的策略对网络安全系统不会有影响。多重保护原则，安全不是永恒的。只有建立多重安全机制，才能保证网络的安全。网络的安全问题会随着时间的改变而出现新的变化。以前的方案已经不能解决现在的问题，有必要在原有网络的基础上进行升级。这就要求以前的方案是可扩充的。管理与技术相结合原则，网络的安全问题是一个动态的过程，安全技术只能解决当时的问题，不能防止新的安全问题出现，只有把管理与技术结合起来，才能保证持久的安全。首先安全系统应该保证自己的安全，才能保护整个网络的安全。安全体系本身的安全是安全设计时首先考虑的。这就是说网络安全方案的设计要针对自身网络进行，在满足整个网络现状和需求下进行。采取的措施灵活多变，容易适应。结合企业自身的网络结构和已经使用部分的安全产品，设计一个完整的安全解决方案。让用户用最小的投资获取**的回报，避免重复性投资。[1]

2.6 全面规划企业网络接入

链接：帧中继是综合业务狮子王标准化过程中产生的一种重要技术，是在用户网络接口之间提供用户信息流的双向传递，并保持顺序不变的一种承接业务，用户信息以帧为单位进行传输，并对用户信息进行统计复用，它主要由4个特征：高传输速率，低网络延迟、高速通性、高校宽带利用，帧中继专门针对采用面向包的技术进行数据传输的网络，它经过特别设计以解决可变长度的突发数据和不可预见信息的**传输问题。

2.7 全面规划企业网络安全措施

信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置（如Web服务器、路由器和内部网络等）进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。[10]

方案综述：本系统的设计方案是基于CS/模式的客户端与服务器端交互的方案,服务器在整个网络通信过程中占据主导的位置,它接收客户端的命令,执行后将处理结果返回给客户端。由于本系统采用面向连接的方式与服务器进行交互,在数据传输之前需要在两端建立起稳定的连接,这样会基本上保证数据报发送的顺序的合理性与数据到达的可靠性,但这是以牺牲时间,降低效率为代价的,由于本系统在实时性上没有较高的要求,所以将数据到达的可靠性作为系统方案的设计出发点。

公司整个网络安全系统从物理上划分4个部分，即计算机网络中心、财务部、业务部及网络开发中心。从而在结构上形成以计算机网络中心为中心，对其他部分进行统一的网络规划和管理。每个安全区域有一套相对独立的网络安全系统，这些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围。通过对XX公司现状的分析与研究以及对当前安全技术的研究分析，我们制定如下企业信息安全策略。

防火墙实施方案：根据网络整体安全及保证财务部的安全考虑，采用两台防火墙，一防火墙对财务部与企业内网进行隔离，另一防火墙对与企业内网之间进行隔离，其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。

防火墙设置原则：建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问；防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管理员权限严格控制。

通过VPN,应用系统服务器被隐藏在防火墙后面,减少了受到直接扫描和攻击的机会,提高了系统安全性。同时,远程用户在访问这些系统的路径上的通信流量必须加密,避免信息被上的其他人截获,保证通信的私密性;远程客户端也必须满足一定的安全标准才能接入企业内部网络;远程客户的网络访问权限必须受到严格的控制和审计。

第三章 防火墙系统总体设计

3.1系统的总体方案设计

防火墙的功能可分为三部分:基本功能、增强功能和辅助功能。Linux 系统下实现软件防火墙的设计与应用，实质上就是基于主机的网络安全解决方案。因此，本文根据某单位实际的软硬件环境，结合相应的防火墙设计原理，开发能够满足本单位的用户基本要求的防火墙系统。[13]

归纳起来这里要实现的防火墙需要满足两大要求：**，必须能够对主机提供安全保护，即对主机与局域网以外的主机进行数据传输时实施安全保护；第二，必须能够提供良好的人机接口界面，具有容易操作、容易管理的优点。 考虑到现有硬件设备的限制，在保证满足实验要求的环境下尽可能地简化了实验环境。因为该防火墙系统是基于主机设计的，故只需要一个联网的主机即可进行实验。该系统是在 Linux 环境下用 C 语言实现包过滤型软件防火墙的设计与应用，采用 Kylix 开发工具进行界面设计和数据库连接。根据某单位的网络环境和网络体系结构，本系统采用透明模式和 NAT 方式，它是目前比较流行的网络防火墙系统的实现方式之一。 这种方式的防火墙物理结构如图 3-1 所示。

图 3-1 三端口 NAT 式防火墙

从上图中可以看出，LINUX 防火墙系统有三个以太网接口，分别连接用户端（内网）、系统服务器和 （外网），内网通过防火墙访问 ，同时内网部分也可以通过防火墙访问系统服务器，但是外网访问内网或系统服务器就会受到防火墙的限制，也就是说如果是非法的用户被拒绝访问，从而防止非法用户的入侵。

3.1.1设计说明

本设计为小型企业防火墙设计方案，越多企业需面对信息安全的议题，企业内部网络体系结构中(如图3-2)，被广泛使用的网络设备为集线器(Hub)与交换机( Hub)，两者具有简易架设与方便管理等优点，却因ARP的运作特性与IP封包格式，让此种体系结构下的企业内部网络显得更加危险。

在企业防火墙设计中，集线器的工作模式是以广播方式传递封包，此种网络拓扑体系结构下，任何一台计算机将网卡设置为混杂模式，即可接收局域网上所有传输的信息(如图3-2），然而采用该网络监听方法，并没有进行任何主动式侦测行为，因此窃听者不易被发现。

图3-2集线器体系结构下封包窃听示意图

计算机通过交换机互相连接，工作时可减少广播封包的产生，增加网络通信的速度，这是由于交换机本身中存有一个端口与接口访问控制位置对应表(如图3-3)，故当两台计算机要传递资料时，交换机知道数据是哪两个端口相互传递，不需通过广播封包询问每一台计算机，也因此避免数据容易遭窃的几率。

图3-3企业防火墙中交换机工作原理示意图

在企业防火墙设计中，使用了工具出现后，交换机所建构的局域网就不安全了，攻击者可以通过软件对被攻击者进行ARP欺骗，通过这种中间人攻击法，让被害人误认攻击者的IP位置为网关的IP位置(如图3-4)，使得被攻击者与服务器进行连接时自然会通过网关IP，因此攻击者再通过封包监听软件，立即可以窃取传输者的封包信息，此外攻击者可以安装NAT软件让被攻击者可持续网络传输，使得被攻击者也不易发现己被窃听。从而达到企业防火墙的最终效果。

图3-4 ARP欺骗示意图

3.2 防火墙系统的结构组成

一般的防火墙结构就采用一道关卡，这样的设置具有结构简单、维护方便、成本低廉的特点，如图 3-5 所示。但这样的结构在一定程度上实际是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，**限度地阻止网络中的黑客来访问你的网络。但是对于有些安全级别较高，数据信息相对重要，信息的保密性要求较高的部门来说，一旦外来入侵者侵入**道防线也就意味着其不再受到任何监管，用户的所有信息就会被非法访问或是泄露，这样的结果当然不是我们希望的。