導(dǎo)語(yǔ)：網(wǎng)絡(luò)混合型防火墻系統(tǒng)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要:信息社會(huì)的到來(lái)給全球發(fā)展帶來(lái)了契機(jī)，信息技術(shù)的運(yùn)用引起了人們生產(chǎn)方式，生活方式和思想觀念的轉(zhuǎn)變，極大地促進(jìn)了人類(lèi)社會(huì)發(fā)展和人類(lèi)文明的進(jìn)步，把人們帶進(jìn)了嶄新的時(shí)代。認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅以及現(xiàn)實(shí)客觀存在的各種安全問(wèn)題，采取強(qiáng)有力的安全策略，保障網(wǎng)絡(luò)信息的安全，是每一個(gè)國(guó)家和社會(huì)以及每一個(gè)團(tuán)體和個(gè)人必須正視的事情。

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)；信息安全；混合型防火墻

一、引言

公司對(duì)外要和上級(jí)主管部門(mén)、政府有關(guān)部門(mén)(工商、稅務(wù)、統(tǒng)計(jì)等)、業(yè)務(wù)相關(guān)單位進(jìn)行互聯(lián)互通，內(nèi)部各管理部門(mén)、科研、生產(chǎn)單位要實(shí)現(xiàn)資源共享，必然要有大量的信息要通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，一旦網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題，必將造成巨大損失。常規(guī)防火墻存在如下重要問(wèn)題:工作方式被動(dòng)且單一，對(duì)于未列出的網(wǎng)絡(luò)攻擊不能及時(shí)制止和控制;工作效率低，降低網(wǎng)絡(luò)性能;各種防火墻之間信息不能互相利用;防火墻系統(tǒng)不能利用網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)信息自動(dòng)調(diào)整規(guī)則;訪問(wèn)控制和審計(jì)功能較弱，運(yùn)行效率不高;對(duì)內(nèi)部的威脅不具備防范能力等等。傳統(tǒng)防火墻一旦被攻破后，整個(gè)內(nèi)部網(wǎng)絡(luò)完全暴露，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)構(gòu)成很大的威脅，且傳統(tǒng)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)的威脅不具備防范功能。針對(duì)常規(guī)防火墻存在的這些問(wèn)題，根據(jù)自己的各種經(jīng)驗(yàn)，結(jié)合現(xiàn)有技術(shù)，設(shè)計(jì)了一種混合型防火墻系統(tǒng)，它能夠針對(duì)性地解決某些問(wèn)題，且成本不高。

二、混合型防火墻體系結(jié)構(gòu)組成

混合型防火墻采用一種組合結(jié)構(gòu)，它主要由內(nèi)部防火墻、外部防火墻、堡壘主機(jī)和基站主機(jī)服務(wù)器四部分組成，組成如圖1所示。

內(nèi)、外防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)成一個(gè)安全子網(wǎng)，稱(chēng)為屏蔽子網(wǎng)，基站主機(jī)、堡壘主機(jī)、郵件服務(wù)器、打印服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等公用服務(wù)器布置在屏蔽子網(wǎng)中。外部防火墻介于Internet與屏蔽子網(wǎng)之間，內(nèi)部防火墻介于內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間。

三、混合型防火墻主要組成功能說(shuō)明

內(nèi)外兩個(gè)防火墻可進(jìn)行不同級(jí)別的過(guò)濾，屏蔽子網(wǎng)只允許經(jīng)認(rèn)證的Internet主機(jī)和內(nèi)部子網(wǎng)接入到基站主機(jī)中，試圖繞過(guò)它的流量都將被阻塞掉。屏蔽子網(wǎng)中的應(yīng)用過(guò)濾程序可以通過(guò)安全通道和子網(wǎng)中基站主機(jī)服務(wù)器進(jìn)行雙向保密通信，基站主機(jī)服務(wù)器可以通過(guò)保密通信修改內(nèi)外部路由器的路由表及過(guò)濾規(guī)則。整個(gè)防火墻系統(tǒng)的控制協(xié)調(diào)工作主要由應(yīng)用過(guò)濾管理程序和智能認(rèn)證程序來(lái)執(zhí)行。

外部防火墻。外部防火墻用于防范外部攻擊(如:源地址欺騙)，并管理Internet到屏蔽子網(wǎng)的訪問(wèn)。在一般情況下，它只允許外部合法系統(tǒng)訪問(wèn)堡壘主機(jī)指定端口。

內(nèi)部防火墻。內(nèi)部防火墻用于屏蔽子網(wǎng)與內(nèi)部網(wǎng)之間的IP包過(guò)濾和地址轉(zhuǎn)換，保護(hù)內(nèi)部網(wǎng)不受屏蔽子網(wǎng)和Internet的危害，防止在內(nèi)部網(wǎng)上傳播的數(shù)據(jù)包流入屏蔽子網(wǎng)。內(nèi)部防火墻允許內(nèi)部主機(jī)的請(qǐng)求可以到達(dá)堡壘主機(jī)，不允許未經(jīng)認(rèn)證的外部主機(jī)訪問(wèn)內(nèi)部網(wǎng)。

堡壘主機(jī)。由于堡壘主機(jī)是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接點(diǎn)，容易受到攻擊，為了保證較高的安全系數(shù)，首先要選擇一個(gè)好的操作系統(tǒng)，本設(shè)計(jì)選取的是安全性較高的LINUX系統(tǒng)，對(duì)于LINUX系統(tǒng)中應(yīng)用程序和部分工具程序代碼凈化清除，保留基本的網(wǎng)絡(luò)服務(wù)程序，如:FTP、HTTP、SMTP等，把其中的過(guò)濾功能分離出來(lái)，構(gòu)成一個(gè)應(yīng)用過(guò)濾管理器模塊，這個(gè)模塊放在堡壘主機(jī)上運(yùn)行，對(duì)分離后的所有網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行統(tǒng)一管理。

基站主機(jī)?；局鳈C(jī)服務(wù)器是本防火墻的安全控制中心，也是安全信息和智能認(rèn)證中心。在基站主機(jī)服務(wù)器上保存有多個(gè)與安全決策有關(guān)的數(shù)據(jù)庫(kù)，如:網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)、過(guò)濾策略數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全知識(shí)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)資源等數(shù)據(jù)庫(kù)。這些數(shù)據(jù)庫(kù)除了可以由具有相應(yīng)權(quán)限的網(wǎng)絡(luò)管理員查看和管理外，相關(guān)數(shù)據(jù)庫(kù)還可以進(jìn)行智能更新。網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)保存有用戶(hù)權(quán)限數(shù)據(jù)和應(yīng)用過(guò)濾器收集與數(shù)據(jù)包有關(guān)的信息，更有利于安全策略的配置。網(wǎng)絡(luò)安全知識(shí)數(shù)據(jù)庫(kù)保存了網(wǎng)絡(luò)專(zhuān)家的判斷、網(wǎng)絡(luò)攻擊的處理知識(shí)，如郵件攻擊、各種病毒攻擊等，同時(shí)對(duì)新的攻擊進(jìn)行智能響應(yīng)，生成日志文件，對(duì)并照前后的過(guò)濾策略，產(chǎn)生新的過(guò)濾指令。其它公用服務(wù)器。其它公用服務(wù)器主要是:郵件服務(wù)器、打印服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等提供公共服務(wù)的服務(wù)器，它們完成各自相應(yīng)的功能。