试析电台防火墙规范化配置设计

张 彬

（吉林人民广播电台，吉林长春 130051）

试析电台防火墙规范化配置设计

张 彬

（吉林人民广播电台，吉林长春 130051）

本文通过对防火墙原理和作用的分析，提出规范化部署防火墙安全管理、访问控制、安全防御策略、攻击防护配置和日志告警等功能，构建电台安全稳定的网络安全体系。

防火墙安全管理；访问控制；安全防御策略

随着计算机网络在电台办公自动化的作用越来越大，为了维护电台综合办公网的网络安全，防火墙成为其中最主要、最核心、最有效的手段之一。它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理，防火墙安全配置效率的高低会直接影响整体网络体系的安全稳定。为此在对电台综合办公网网络环境充分了解的基础上，通过对防火墙原理和作用的分析，提出规范化部署设计网络防火墙配置，有效提高电台网络安全体系。

1 防火墙的原理和应用

防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。其具有以下特点：(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙；(2)只有符合安全策略的数据流才能通过防火墙；(3)防火墙自身应具有非常强的抗攻击免疫力。

防火墙使用以下3种方法中的一种或多种来控制流入和流出网络的通信：(1)数据包过滤。根据一组过滤器分析数据包（小的数据块）。通过过滤器的数据包将发送到请求数据包的系统，没有通过的数据包将被丢弃；(2)代理服务。防火墙检索来自互联网的信息，然后将信息发送到请求信息的系统，反之亦然；(3)状态检测。它并不检查每个数据包的内容，而是将数据包的特定关键部分与受信任信息数据库进行比较。从防火墙内部传递到外部的信息将受到监视，以获得特定的定义特征，然后将传入的信息与这些特征进行比较。如果通过比较得出合理的匹配，则允许信息通过；否则将丢弃信息。

2 规范化部署设计网络防火墙配置

2.1 防火墙安全管理

防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类；应删除或锁定与设备运行、维护等无关的账号；不同等级管理员分配不同账号，避免账号混用；对具备字符交互界面及图形界面的设备，应配置定时账户自动登出。

2.2 防火墙部署及访问控制

划分安全区域和非安全区域，设置授信地址，允许位于安全域的主机访问防火墙，为防火墙端口配置IP地址，对防火墙进行操作。

防火墙的工作方式：NAT模式、路由模式、透明模式，根据应用的环境特征（网络规划及配置、地址翻译、动态路由协议、VlANTRUNK数据包通过）等条件来选择符合当前需要的防火墙模式。

依据防火墙工作模式，根据实际需要，构建基于状态检测技术的IP地址、端口、用户和时间的管理控制；自定义访问对象的控制；定义用户控制策略可以实现用户之间、用户与IP网段或主机间的访问行为，如协议类型、访问时间等；URL和文件级细粒度应用层管理控制，例如：应用层安全控制策略主要针对常用的网络应用协议HTTP和ftp，控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限，源对象可以是网段、主机。HTTP和ftp的协议端口用户可根据实际情况在策略中定义，协议命令为HTTP和ftp的主要常用命令。通过应用层策略实现URL和文件级的访问控制。

2.3 安全策略配置要求

2.3.1 基本安全策略

一切没有允许的服务都是禁止，策略只允许通过必要的数据，控制双向数据流，同时建议在防火墙最后增加一条拒绝所有数据经过的策略。

2.3.2 规则尽量简单清晰

规则力求简单，在满足业务需求的情况下，规则尽量简单，避免出现策略相互重叠、包容甚至冲突的情况，同时可以通过增加注释、使用策略组等方式增加清晰度。

2.3.3策略次序安排

按照业务的重要性，策略由前往后。对于访问规则的排列，应当遵从范围由小到大的排列规则，应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。

2.4 攻击防护配置要求

打开DOS和DDOS攻击防护功能，对攻击告警；限制PING包的大小，以及一段时间内同一主机发送的次数；启用对带选项的IP包及畸形IP包的检测；打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。

2.5 日志配置要求

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登陆是否成功、登录时间，以及用户使用的IP地址；防火墙管理员操作必须被记录日志，如登录信息、修改信息、账号解锁等；设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

2.6 告警配置要求

设备应具备向管理员告警的功能，报告对防火墙本身的攻击或者防火墙的系统严重错误；告警信息应被保留，直到被确认为止；报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警对每一个告警项是否告警可由实际情况进行配置；打开扫描攻击探测告警，扫描攻击告警的参数根据网络环境来定义。

3 结语

根据上述规定的综合办公网机房内防火墙配置应当遵循安全性设置标准，机房网络管理人员依据此规范对防火墙设备进行配置后，电台综合办公网的网络安全体系有了极大提高，确保了电台记者、编辑对网络办公自动化的安全需求，有效地提高了网络办公效率。

[参 考 文 献]

[1]王达.网管员必读网络安全[M].2版.北京:电子工业出版社,2007.

[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.

[3]邓亚平.计算机网络安全[M].北京:人民邮电出版社,2004.

[4]袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.

The Analysis of Firewall Normalizing Design on Radio Station Office Network

ZHANG Bin
(Jilin People RadioStation,Changchun Jilin 130051,China)

Through the analysis offirewall principle and characteristics,we normalize the deployment offirewall securitymanagement,access control,securityand defense strategy,attack protection configuration and logwarning function,and build a reliable network securitysystemon radiostation office network.

firewall securitymanagement；access control；securityand defense strategy

TN93

A

1008-178X(2013)01-0038-02

2012-12-29

张 彬（1965-），男，河北东光人，吉林人民广播电台工程师，从事电台自动化控制研究。