防火墙在网络安全中的应用探讨

防火墙在网络安全中的应用探讨

何一民

（国网江西省电力有限公司乐平市分公司333300）

摘要：为了解决电力企业在信息化建设中面临的网络信息安全问题，通过分析现今防火墙技术的分类及各种类型防火墙的优缺点，为电力企业在构建防火墙时对防火墙的选择与设置问题提出建议，并在此基础上以屏蔽子网防火墙为例介绍电力企业防火墙的主要构建方法。

关键词：防火墙；电力企业；网络；安全；Internet

电力工业企业作为国民经济的支柱产业、国民经济和人民生活服务型行业，计算机及网络技术应用范围也越来越广，计算机网络技术的应用不可避免地带来了网络攻击、内部网络使用混乱、信息偷窃、工业间谍和其他企业非正当目的活动等各种形式直接威胁电力企业正常生产的网络安全问题。可以说网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，要增强电力企业网络的安全性，首先应该利用防火墙把电力企业网络从开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全内部网络，为电力企业信息网络的运行提供安全保证。本文在综合分析现有各类防火墙的基础上，对于电力企业的信息安全问题和防火墙的选择、应用问题提出了一些看法。

1防火墙的类型

1.1包过滤路由器

最常见的防火墙是放在Internet和内部网络之间的包过滤路由器。包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则允许或拒绝数据包。一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的。

这种类型防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。包过滤防火墙的优点是价格低和易于使用，不需要用户名和密码来登录，而且速度快、易于维护；但这种防火墙的不足是如果配置不当路由器可能受到攻击，以及可以将攻击包含在允许服务和系统内的数据包内等，由于允许在内部和外部系统之间直接交换数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上，所以包过滤防火墙通常作为第一道防线。

1.2屏蔽主机防火墙

屏蔽主机防火墙系统采用了包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，发往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问Internet，或者是要求使用堡垒主机上的代理服务来访问Internet，由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。

屏蔽主机防火墙系统的优点是可以提供公开信息服务的服务器，如Web，FTP等，可以放置在包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置成可以让外部用户直接去访问公共的信息服务器。用双宿堡垒主机可以构造更加安全的防火墙系统。双宿堡垒主机有2个网络接口，但是主机在2个端口之间直接转发信息的功能被关掉了。这种物理结构强行将所有发往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的安全性。由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因为，对于入侵者来说，如果允许注册，破坏堡垒主机相对比较容易。牢固可靠、避免被渗透和不允许用户注册对堡垒主机来说是至关重要的。

1.3DMZ或屏蔽子网防火墙

DMZ或屏蔽子网防火墙系统的实例采用了2个包过滤路由器和1个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了DMZ网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组以及其它公用服务器放在DMZ网络中。DMZ网络很小，处于Internet和内部网络之间。一般情况下对DMZ配置成可以使用Internet和内部网络系统，以及能够访问DMZ网络上部分系统，而通过DMZ网络直接进行信息传输是严格禁止的。

屏蔽子网防火墙系统有以下优点：

（1）入侵者必须突破3个不同的设备才能侵袭内部网络：外部路由器、堡垒主机和内部路由器。

（2）由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放（通过路由表和DNS信息交换）。

（3）由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。

（4）包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。

（5）内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。

（6）由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。

2电力企业防火墙的选择

电力企业面对日益严重的信息安全隐患的同时都在积极寻求解决的方案，面对功能各异的防火墙产品作出一个适合企业自身需要的选择是比较困难的，作者认为在电力企业选择防火墙时应特别注意以下几个方面。

2.1防火墙应具备的性能

（1）防火墙除包含先进的鉴别措施，还应采用如包过滤技术、加密技术、可信的信息技术等尽量多的技术。同时需要配备身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等。

（2）防火墙过滤语言应该是友好灵活的，同时应具备诸如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等过滤属性。

（3）防火墙应该严格执行自己的安全性策略，并能灵活地容纳新的服务和机构，改变所需的安全策略。防火墙应包含集中化的SMTP访问能力，以简化本地与远程系统的SMTP连接，实现本地E-mail集中处理。

（4）若防火墙需Unix类的操作系统，该系统的版本安全本身就是一个需要考虑的重要问题，应该作为防火墙的一部分，当用其他安全工具时，要保证防火墙主机的完整性，而且该系统应能整体安装。防火墙及操作系统应该可更新，并能用简易的方法解决系统故障等。

2.2防火墙的安全政策

选购防火墙前，还应认真制定安全政策，也就是要制定一个周密计划。安全政策是规定什么人或什么事允许连接到哪些人或哪些事。即事先要考虑把防火墙放在网络系统的哪个位置上，才能满足自己的需求，才能确定欲购的防火墙所能接受的风险水平。

2.3防火墙的特性比较

企业在选择防火墙时不仅要考虑防火墙的安全性、实用性，而且还要考虑经济性，防火墙产品的安全性、实用性和经济性是相互制约和平衡的。

3结论

电力企业所面临的网络安全问题是多种多样的，所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。作者认为：电力企业内部信息网络系统是动态发展变化的，正确的安全策略与选择合适的防火墙产品只是一个良好的开端，它只能解决40%～60%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，所有这些都使电力企业将要面对网络信息系统安全的挑战。

参考文献：

[1]黄健.对计算机网络安全与防护的几点思考[J].魅力中国，2008，2

[2]王应强.浅谈计算机网络安全[J].中共郑州市委党校学报，2009，4