浅析硬件防火墙在市级公安机关网站中的典型应用

蔡文治

东南大学 江苏南京 210000

提要：本文从防火墙在公安机关对外网站应用的必要情况着手，介绍了防火墙的一般功能和几种应用方式及其特点。然后通过对网站的需求分析，阐明其需求的特殊性。最后结合实践阐述了防火墙在宁波公安机关对外网站的应用和使用心得，并指出防火墙作为一种网络安全工具，只有搞好内部管理，才能使其发挥最大效能。

一、防火墙在公安机关网站应用的必要性

目前越来越多的企业事情单位在互联网上建立了自己的网站，成为拓展本单位发展空间的新渠道和对外宣传的有力工具。现阶段国内各地各地公安机关网站发展程度不一，国家级和省级（含副省级）公安机关网站经过几年发展，基本上已具有一定的影响和规模，是公安机关对外宣传和形象重要窗口,并已投入一定的人、财、物力用于网站的建设维护和日常信息更新；地市级及县级机关也有相当一部分建起了互联网站，但我国仍有一些尝在酝酿建站或刚起步，一般来说，建站伊始，由于资金、人力等因素，规模不会很大，设备也不会一步到位，经过一到二年的运行，随着网站影响不断扩大，各种应用越来越多，并达到一定的规模，这时一个典型问题即网络安全就会很突出，整个系统服务平台的稳定性，可靠性，安全性成为不可忽视的因素，为增强抵御外来攻击能力，公安机关网站配置防火墙成为比较普遍的解决办法，如何正确使用防火墙，使它既加固了网络系统的安全，同时不至于成为网络应用中的一个瓶颈，就成为一个摆在众多广播从业人员面前急需解决的问题。

二、防火墙的一般功能和几种应用方式

众所周知，防火墙是一种专用网络安全设备，其目的是提供对网络的安全保护，它可以用来阻止网络中黑客或一些非法访问，目前，市场上的防火墙可以分为软件防火墙、硬件防火墙两种。软件防火墙的弱点是它的性能相对比较低，一般要基于操作系统才能发挥作用，目前由于操作系统本身存在的许多不安全因素，如微软系列操作系统均存在着”BUG”,进而安全性也无法得到很好的保证，对于用户来说，防火墙首先要保证自身的安全。显然对有一定影响的公安机关网站来说，软件防火墙并不适合，因此硬件防火墙成为我们的首选。目前国外比较知名的防火墙产品有CheckPoint的FireWall-I， Cisco的PIX防火墙，NAI的Gaunlet防火墙， Cyberguard的Cyberguard Firewall和Netscreen的Netscreen-100等等。国内的防火墙产品包括北大青鸟的网关防火墙，天融信的网络卫士防火墙和东大阿尔派的网眼防火墙等等。各类防火墙功能大同小异，一般具有：

1）作为网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

2)可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更加经济、合理。

3）可以对网络存取和访问进行监控审计

防火墙能记录网络存取和访问的日志，同时也能提供网络使用情况的统计数据。这些数据对网络今后的升级提供依据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

4) 切实防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

综观各类防火墙，其典型的应用有三种：

1、透明工作模式（网桥模式）：可以透明接入与透明连接，不影响原有网络设计和配置；防火墙在透明方式下类似于网桥，使用户不需要对保护网络主机属性进行重新设置，极大地方便了用户的使用。

2、路由工作模式：防火墙相当于静态路由器，提供路由功能。

3、混合工作模式：防火墙在透明模式和路由模式同时工作，极大提高网络应用的灵活性。

三种应用目前都比较广泛，在安装防火墙时，如果您的网络配置已经完毕，并且网络应用不允许中止的情况下，一般可选择透明方式，只需将防火墙接入即可，不需要改变内部网络的配置，而且防火墙没有固定IP地址，对其自身的安全有利。

对于大多数单位用户特别是中小企业来说，可以采用路由方式，此时的防火墙即可以保证网络的安全，也可以行使路由功能。意味着可以节省路由器的投入。

混合方式用得也很多，用户可以将同一子网设成透明方式，而不同子网设成路由方式，即保证了网络的安全，同时对减少了防火墙的负荷，提高网络的工作效率，但设置相对比较繁琐，对内部网络原有的结构会有比较大的影响，一经出现故障，查找具体部位需要花费一定的时间。

三、公安机关网站对防火墙需求的应用分析

分析国内各公安机关网站所提供的应用服务，除了常用的政务公开、信息透视、政策法规、网上办事、公众交流、专题检察及便民服务等功能，但是这些服务中核心是网上办事和便民服务包括居民身份证、出入证管理和交通管理及常用电话查询等等服务，有一些规模大的网站已经开始涉足视频点播和语音聊天，直接面对和公安机关有关人员交流，并有短信中心等增值服务，同时提供了邮件服务功能等。此外，由于大多数公安机关网站内部访问互联网与公安机关网站一般使用同一条数据线路，要求防火墙应该具有比较好的内外网隔离功能，确保内网安全。根据上述分析，我们首先要求防火墙没有带宽的瓶颈，目前的防火墙均为百兆吞吐率，满足现有的各项服务，没有任何问题，并且还留有一些冗余；其次要尽可能满足音频和视频服务的实时性的要求，即互联网用户从开始点击音频和视频链接到实现收听所费的无谓延迟要尽可能短，另外要有比较高的可靠性，防火墙通常情况下接在网络的出口，如果防火墙不能稳定工作，将会影响到网络的畅通，最终将影响用户业务的开展； 再是政府机关财力有限，性价比也不可忽视；同时针对公安机关的从事网络管理专业人才相对缺乏专业人员的特殊性，要求易于维护，最好是可以即插即用，免维护，网络结构不要过于复杂，并且要有备份机制。

四、宁波公安局便民服务在线网硬件防火墙的实施过程。

我机关在建成宁波公安网在线网站（便民服务），除提供各类信息外，还提供电子邮件，网上交流等服务，每天有至少有上万人收听实时查询和发邮件给我们的网站，网站的日点击量保持在10万人次左右，目前已具有一定的规模；经过近几年的发展，系统内目前拥有单独的WEB发布，新闻采集、dns、社区、邮件、代理服务器，由于建站初始时各种的原因，系统一直未真正有效配置防火墙，为确保系统更加稳固，考虑到系统目前已在运行中，为实现系统平稳升级，要求不能对现有网络拓朴结构有大的改动，同时要兼顾性价比和易用性等因素，通过对对市场的充分调研，我们采用了一台北大青鸟公司JB-FW1网关防火墙，通过对目前网站提供各项服务的分析，我们决定采用防火墙的路由方式来实施，网络升级前的拓朴图（无硬件防火墙环境）是这样的，

网络升级后的拓朴图（有硬件防火墙环境）是这样的。

从前后的网络结构看，加入防火墙后，系统结构没有大的变动，服务器上的设置均保持不变，原来的路由器作为备份，万一防火墙故障，可以热插拔恢复到原有系统。网站的所有服务可以在10秒钟恢复正常，符合冗余备份的要求。

确定网络结构后，我们开始了网络安全策略的制定，根据网站对外提供的所有服务，对各类服务器的IP地址、需开放的服务端口、具体应用等进行量化并造表罗列出来，具体如下：

安全策略制定后，我们进行了实施，按策略要求进行规则输入，具体如下：。

1、所有服务器对互联网络的访问：单向开放所有端口，即采用OneWayAll规则；

2、互联网对代理服务器的访问：不开通任何端口；

3、互联网对音频点播服务器的访问：开通554、9090端口；

4、互联网对WEB服务器的访问：开通21、80端口；

5、互联网对邮件服务器的访问：开通25、80、110端口；

6、互联网对新闻采集、统计服务器的访问：开通80、88、3000、10000端口；

7、互联网对DNS服务器的访问：开通53端口；

8、互联网对社区服务器的访问：开通80端口；

网络内所有PC机除上述规则所定义，其它的任何地址和服务全部被禁止。联机运行后，为验证防火强是否发挥作用，使用网络扫描工具软件对所有服务器进行端口扫描，发现扫描结果与预计结果相同，只有开放的端口可见，表明防火墙已经工作。防火墙工作半年来，一直正常可靠运行，通过对升级后网络的观察，普遍反映良好，在防火墙的配置过程中，我们发现其使用的规则越少，性能越好，另外在初次使用青鸟防火墙时，因为没有掌握要点，前期曾出现在正常配置的情况下，发现使用二天左右出现不间断的网络中断，内网和外网均不得访问的故障，起初曾怀疑硬件故障，但在更换防火墙后，故障依旧，后与北大青鸟公司的研发人员一起，仔细分析了故障原因，最后更改了一个tcp协议的默认标识，防火墙才恢复正常。

五、结束语

防火墙作为保障网络安全的一种工具，目前仍在不断地改进和完善。笔者认为，不管防火墙技术如何完善，都不是绝对安全的。有行家曾经把网络安全比喻成防御城墙，不管城墙多么高大坚固，如果无人守备，都是极易被攻破的。所以制定合理的安全管理策略，仔细设置安全规划，实施严格的管理和监控制度，才是保证防火墙不被攻击的基本条件。