计算机网络混合型防火墙系统的设计与实现

摘要:信息社会的到来给全球发展带来了契机，信息技术的运用引起了人们生产方式，生活方式和思想观念的转变，极大地促进了人类社会发展和人类文明的进步，把人们带进了崭新的时代。认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题，采取强有力的安全策略，保障网络信息的安全，是每一个国家和社会以及每一个团体和个人必须正视的事情。

关键词:计算机网络；信息安全；混合型防火墙

一、引言

公司对外要和上级主管部门、政府有关部门(工商、税务、统计等)、业务相关单位进行互联互通，内部各管理部门、科研、生产单位要实现资源共享，必然要有大量的信息要通过网络进行传输，一旦网络出现安全问题，必将造成巨大损失。

常规防火墙存在如下重要问题:工作方式被动且单一，对于未列出的网络攻击不能及时制止和控制;工作效率低，降低网络性能;各种防火墙之间信息不能互相利用;防火墙系统不能利用网络状态和网络信息自动调整规则;访问控制和审计功能较弱，运行效率不高;对内部的威胁不具备防范能力等等。

传统防火墙一旦被攻破后，整个内部网络完全暴露，对整个内部网络系统构成很大的威胁，且传统防火墙对内部网络用户的威胁不具备防范功能。针对常规防火墙存在的这些问题，根据自己的各种经验，结合现有技术，设计了一种混合型防火墙系统，它能够针对性地解决某些问题，且成本不高。

二、混合型防火墙体系结构组成

混合型防火墙采用一种组合结构，它主要由内部防火墙、外部防火墙、堡垒主机和基站主机服务器四部分组成，组成如图1所示。

内、外防火墙在内部网和外部网之间构成一个安全子网，称为屏蔽子网，基站主机、堡垒主机、邮件服务器、打印服务器、web服务器、数据库服务器等公用服务器布置在屏蔽子网中。外部防火墙介于internet与屏蔽子网之间，内部防火墙介于内部网与屏蔽子网之间。

三、混合型防火墙主要组成功能说明

内外两个防火墙可进行不同级别的过滤，屏蔽子网只允许经认证的internet主机和内部子网接入到基站主机中，试图绕过它的流量都将被阻塞掉。屏蔽子网中的应用过滤程序可以通过安全通道和子网中基站主机服务器进行双向保密通信，基站主机服务器可以通过保密通信修改内外部路由器的路由表及过滤规则。整个防火墙系统的控制协调工作主要由应用过滤管理程序和智能认证程序来执行。

外部防火墙。外部防火墙用于防范外部攻击(如:源地址欺骗)，并管理internet到屏蔽子网的访问。在一般情况下，它只允许外部合法系统访问堡垒主机指定端口。

内部防火墙。内部防火墙用于屏蔽子网与内部网之间的ip包过滤和地址转换，保护内部网不受屏蔽子网和internet的危害，防止在内部网上传播的数据包流入屏蔽子网。内部防火墙允许内部主机的请求可以到达堡垒主机，不允许未经认证的外部主机访问内部网。

堡垒主机。由于堡垒主机是内部网络和外部网络的接点，容易受到攻击，为了保证较高的安全系数，首先要选择一个好的操作系统，本设计选取的是安全性较高的linux系统，对于linux系统中应用程序和部分工具程序代码净化清除，保留基本的网络服务程序，如:ftp、http、smtp等，把其中的过滤功能分离出来，构成一个应用过滤管理器模块，这个模块放在堡垒主机上运行，对分离后的所有网络应用服务进行统一管理。

基站主机。基站主机服务器是本防火墙的安全控制中心，也是安全信息和智能认证中心。在基站主机服务器上保存有多个与安全决策有关的数据库，如:网络安全数据库、过滤策略数据库、网络安全知识数据库和网络资源等数据库。这些数据库除了可以由具有相应权限的网络管理员查看和管理外，相关数据库还可以进行智能更新。网络安全数据库保存有用户权限数据和应用过滤器收集与数据包有关的信息，更有利于安全策略的配置。网络安全知识数据库保存了网络专家的判断、网络攻击的处理知识，如邮件攻击、各种病毒攻击等，同时对新的攻击进行智能响应，生成日志文件，对并照前后的过滤策略，产生新的过滤指令。

其它公用服务器。其它公用服务器主要是:邮件服务器、打印服务器、web服务器、数据库服务器等提供公共服务的服务器，它们完成各自相应的功能。

四、混合型防火墙功能实现

堡垒主机服务器中运行的应用过滤管理器模块对到达堡垒主机的数据包，从最底层协议到高层协议逐层分析，提取与安全相关的各种信息，如:通信信息、信息应用的状态等，把获取的信息通过安全通道保密发送给基站主机服务器进行分析，并负责接收基站主机服务器的保密回传的应用服务过滤信息，然后由应用过滤管理器模块负责相关应用服务的过滤功能进行配置，完成过滤工作。

对于内部网络中非法用户的操作，如最常见的ip地址的盗用，一般在内部路由器中实施网络适配器的物理地址和ip地址绑定实现，但随着子网和ip地址的增加，其扩展性较差。我们考虑到每一个网络用户都有一个唯一的硬件地址，这个唯一的硬件地址在网络中以网帧传输，在给用户ip地址的时候，在基站主机服务器中自动建立一个表，该表中记录ip地址和映射的物理地址，当用户在使用网络服务的时候，从该节点发送一个经过打包的数据到网络中，该数据包包括此节点的ip地址与映射的物理地址，数据包在发送的时候读取基站主机服务器中的表，如果ip地址与映射的物理地址相符的时候，就可以完成网络通信，通过屏蔽子网与外部网络实施联接，否则，请求更新基站主机服务器中的表，进行再次核实，这样可以避免网络内部盗用护地址和非法使用ip地址的用户进入屏蔽子网。对于其他的网络攻击，一样可以通过基站主机服务器中的智能认证系统认证后，方可进入屏蔽子网，通过堡垒主机指定的端口完成网络通信。

基站主机服务器上的智能认证中心实际是一个专家服务系统，该系统主要由堡垒主机中过滤管理器保密传送的信息使其运行。无论是外部请求还是内部请求，在通过内外部防火墙后，都要在屏蔽子网中经堡垒主机指定端口方可完成访问。然后看前方针对数据包的过滤规则，如果规则阻止传输，该数据包丢弃;如果规则允许传输，该数据包通过防火墙;如果规则中没有任何满足该数据包的规则，堡垒主机上的过滤管理器就对该数据包进行分析，从中提取信息保密发送给基站主机服务器，智能认证系统把刚刚接收到信息与相关数据库中数据比较、分析、推断，得出过滤策略，通过保密通信更新内外部防火墙的路由表及过滤规则。

无论内外部网络访问没有通过基站主机服务器的认证和堡垒主机分配的端口，均不能通过前方防火墙，这时就会中断网络通信。假设攻破堡垒主机，接收不到基站主机服务器的保密回传应用服务过滤信息，不能满足前方防火墙中的过滤规则，就不能通过防火墙，这样对内外部网络形成不了威胁。无论内外部网络访问没有通过基站主机服务器的认证和堡垒主机分配的端口，均不能通过前方防火墙，这时就会中断网络通信。假设攻破堡垒主机，接收不到基站主机服务器的保密回传应用服务过滤信息，不能满足前方防火墙中的过滤规则，就不能通过防火墙，这样对内外部网络形成不了威胁。

结语

由以上分析可以看出，该混合型防火墙吸收了包过滤技术、网络地址转换技术、internet网关技术等防火墙技术，可以自动根据具体情况完成内外主机直接通信，可智能更新信息的过滤规则，自动配置过滤策略，具有防病毒功能，自动生成事件日记。经模拟网络攻击，该防火墙都能较好地抵御来自内外部的威胁，保证网络的安全和使用效率，达到了保证网络安全运行的目的和设计的初衷。

参考文献：

[1]信息技术研究中心.网络信息安全新技术与标准规范实用手册[m].第1版.北京:电子信息出版社.2004

[2]周学广、刘艺.信息安全学[m].第1版.北京:机械工业出版社.2003

[3]陈月波.网络信息安全[m].第1版.武汉:武汉工业大学出版社.2005

[4]宁蒙.网络信息安全与防范技术[m].第1版.南京:东南大学出版社.2005