防火墙策略定义在网络安全中的应用

摘 要：本文主要研究了通过配置linux系统主机ipchains防火墙来保护校园网络的方法。这种方法可以将多台教学计算机组成的局域网隐藏于私有网络之中，并通过防火墙提供的网络地址转换功能与互联网连接，同时通过指定的链规则，防止各种危险报文的进入进出，最大化保护网络安全。

关键词：防火墙；包过滤；校园网络；网络安全

中图分类号：TP393.08

针对主干网的DDoS攻击、针对特定端口的大范围网络扫描与利用开放式递归DNS 查询进行流量放大攻击等事件依然是主干网需要时刻警惕的安全问题。由于高校集中高密度的学生人群和学校本身的特殊性质，校园网络安全的问题需要引起社会的关注。

1 网络安全问题

360网站安全部门总监赵武在2013中国互联网大会表示360公司在2012年做统计的时候发现互联网80%的网站存在高危漏洞。到2013年360公司在高考期间做了一个中国高校网站的检测报告，其实也证明超过95%的高校网站曾经被篡改过。国内的网站安全器，政府和高校的得分情况是最低。针对这一问题，美国联邦政府已考虑将其活动独立于当前互联网中，而完全重新构建在虚拟专用网络中。但对于国内外的校园网络来说，由于其需要使学生学会应用互联网并从互联网中取得新知识，其不能将自身完全脱离互联网。但另一方面，当前校园网络对安全问题的重视性相比许多大型商业公司十分不够，这一方面是由于网络安全本身的复杂性，许多学校没有足够的技术能力解决这一问题，另一方面是由于购买专业的防火墙产品所需要的经费不足。因此更有必要探索更为合适的防火墙解决策略，而构建防火墙特别是针对常见的网络安全问题制定安全策略来切实保护网络安全至关重要。

2 防火墙实现及策略定义

2.1 防火墙配置环境。校园网络环境与商业网络环境的一个显著区别是其有许多处于原始状态的未经设置的计算机用于教学目的，学生使用的计算机往往存在许多安全漏洞，但学生在上网时一般采用最直接和简单的方式连接到互联网。学生往往没有能力去快速配置其教学用计算机来获得一个安全的使用环境，这种缺少保护的方式和计算机环境正是黑客最喜欢攻击的目标。因此，减少遭受攻击的最简单的方式就是设置私有网络，通过防火墙访问互联网。这种地址转换方式隐藏了内部网络的结构，同时在校园网络公开地址不足时使用这种方式可以提供IP复用方式。同时，除了校园本身要设置中央防火墙外，内网也应架设独立的防火墙，这将作为其第一个进入的安全过滤点。这种防火墙配置方式相比于仅仅使用中央校园防火墙来说有更高的灵活性和更强保护能力。此外，因为这种内网的防火墙级别较低，针对出现的紧急问题相比于中央防火墙而言可以进行及时快速的防御和修复。为了实现这一目标，我们将通过装有Linux系统的主机上的ipchains这一包过滤软件来进行校园网络安全保护。这一软件由于是内置于linux系统中的，因此完全无需额外的购买费用，只需要单独使用一台电脑安装linux系统和双网卡。

2.2 防火墙的构建。首先，校内的某个计算机教室组成的局域网要连接到互联网中，那么可以构建一个双宿主机型Linux包过滤防火墙。Linux主机配备用于与互联网相连的网卡card0（具有公共网络地址202.101.1.2）和card1用于与局域网（c类私有地址192.168.1.0）相连。Linux系统自带有ipchains封包过滤软件，可以通过链（规则列表）实现对报文的管理。链主要包括输入链、输出链、转发链和用户定义链。对于从互联网进入局域校园网的报文来说，其首先进入输入链经过输入链包含的规则检查，被允许通过或拒绝通过，随后还要经过转发链和输出链的检查。同时还可以设定用户定义链来插入到这些链之间加强检查的力度。

2.3 防火墙配置策略。由于我们采用的是linux系统内置的ipchains包过滤软件，对于这种类型的防火墙主要有两种策略。第一种是首先拒绝所有报文通过，再规定可以通过的报文。第二种是先允许所有报文通过，再拒绝某些类型的报文通过。由于校园局域网主要是用于教学目的，其常用的软件和所需的功能对于教师而言十分熟悉，因此我们选择第一种策略。如此，链中包含的规则可以比较少，因此我们只要设定可以通过链的几种报文。下面我们将对防火墙策略进行设置。

首先刷新输入链、输出链和转发链即刷新所有的防火墙规则。随后可以设置默认的防火墙规则，这里我们允许所有报文的输入、输出和转发。接着设置本地环路规则，我们允许本地进程之间的报文可以任意通过。然后通过对输入、输出链指定规则防止IP欺骗报文，其设置如下：

/sbin/ipchains -A input -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A input -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ip chains -A output -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A output -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ipchinas -A input -j DENY

- i card0 -s 202.101.1.25/32

/sbin/ipchinas -A output -j DENY

- i card0 -d 202.101.1.25/32

随后我们禁止广播包：

/sbin/ipchains -A input -j DENY

- i card1 -s 255.255.255.255

/sbin/ipchains -A input -j DENY

- i card1 -d 0.0.0.0

/sbin/ipchains -A output -j DENY

- i card1 -s 240.0.0.0/3

最后转发内部所有的报文，并启动网络地址转换功能，即开启IP MASQ功能，这一规则定义是针对转发链进行的：

/sbin/ipchains -A forward -j ACCEPT

- i card0 -s 192.168.1.1/24

/sbin/ipchains -A forward -j ACCEPT

-i card0 -d 192.168.1.1/24

/sbin/ipchains -A forward -j MASQ

- i card1 -s 192.168.1.1/24

这一功能可以隐藏局域网的IP地址，即对于来自192.168.1.1/24网络中的所有报文流向card0的进行IP地址伪装。并实现局域网公用一个公有地址连接互联网的功能。通过上述步骤，便实现了基本的封包过滤防火墙设置。

3 结束语

（1）校园局域网络通过基于linux系统的ipchains防火墙连接互联网，通过使用IP MASQ网络地址转换服务功能不仅隐藏了内网的地址，同时还节省了学校宝贵的IP地址资源。（2）构建双宿主机型linux防火墙仅需一立的电脑，而无需额外购买昂贵的硬件防火墙，即可拥有具有强大功能和灵活性的封包过滤防火墙。这对于没有很高预算的学校来说十分合适。（3）合理的防火墙策略配置能够建立起灵活而有效的网络安全保护系统，无论从互联网进入校园局域网的报文会被检查，从校园网进入互联网的报文也会被检查。通过禁止IP欺骗、广播包和IP MASQ功能，有效地保护了网络的安全，实现了以防火墙为基础对内外网之间所有进出的流量进行检查的功能。

参考文献：

[1]马振晗，贾军保.密码学与网络安全[M].北京：清华大学出版社，2009.

[2]尧新远.计算机信息管理技术在网络安全中的应用[J].软件，2012（07）.

[3]张统豪.计算机信息管理技术在网络安全中的应用[J].计算机光盘软件与应用，2012（23）.

[4]张文斗.浅谈计算机网络安全及防范技术[J].福建电脑.2011.04.

作者单位：重庆财经职业学院实践教学中心，重庆 402160