关于计算机网络防火墙的安全设计与应用分析

2016-07-22 04:05包丽丽
科技与创新 2016年13期
关键词:防火墙计算机网络网络安全

包丽丽

文章编号:2095-6835(2016)13-0073-01

摘 要:传统防火墙的设计类似于关卡,结构简单,维护方便,它作为一种隔离技术,允许符合身份的人进入。但是,对于一些安全级别比较高的数据信息而言,采用传统的防火墙,外来入侵者很容易获取到相关信息。鉴于此,在设计Linux系统防火墙时,要针对不同级别的用户设计不同级别的防火墙。简要分析了计算机网络防火墙的安全设计及其应用,以期为日后的相关工作提供参考。

关键词:计算机网络;防火墙;隔离技术;网络安全

中图分类号:TP393.08 文献标识码:A DOI:10.15913/j.cnki.kjycx.2016.13.073

防火墙是一种虚拟的网络隔离技术。目前,防火墙技术已经发展到第五代,越来越完善。为了分析计算机网络防火墙的安全设计,基于Linux系统,以小企业为服务对象,特设计了相对简约的Linux防火墙。本文重点分析了基于Linux防火墙的设计与实现。

1 基于Linux防火墙系统设计

基于Linux防火墙的设计提高了系统的安全性、可靠性,使设计系统具有基本功能、辅助功能和增强功能。根据某单位软硬件的实际使用环境,要开发满足要求的防火墙系统。防火墙功能的实现需要以主机安全保护和良好人际界面为基础,方便操作和管理。考虑到现有硬件的显示,需简化试验环境,基于主机设计,在Linux环境下采用C语言实现,界面设计和数据库的联接通过Kylix开发工具实现。防火墙包括用户端、以太网和系统服务器3个端口,内网能够实现访问功能,但是,外网访问会受到限制。

防火墙的功能是通过三端口实现的,它采用2个独立网卡,一个主要针对服务器的安全,另外一个实现数据交换。防火墙代理系统的实现方式能够保证用户信息的安全传递。它采用的操作系统为嵌入式的,方便修改和裁剪,而且安全性能比较高。

2 基本构成

传统防火墙主要有包过滤防火墙、应用代理防火墙和监测模块。Linux系统同样采用的是模块化设计,以方便其日后扩展。包过滤检测数据包主要包括数据部分和端头,它不理会包内的信息内容。其中,包头信息包括地址、目的地址、封装协议、输出端接口。包过滤防火墙将根据匹配规则对每一个包作出允许或不允许的决定。地址转换模块功能能够实现静态网络地址转换、端口重定向转换等。防火墙系统分为Web管理、转换、内核模块等部分。在硬件设计中,考虑到系统成分,需要减少硬件凸级。在设计系统中,将Linux核心和文件系统写入Flash中,避免硬件信息的调入,提高执行效率。身份认证模块主要服务于内部网络客户端,用户通过认证可以实现数据通信,否则客户端需要重新发送请求。在网络地址转换模块设计中,要建立映射关系,查询转换阶段,待完成操作后解除映射关系。

3 网络安全实现

防火墙设计模块分为数据路、包过滤、身份认证等。链路层建立在物理层传输能力的基础上,位于内外网之间,包括IP协议、ARP协议和RARP协议。其中,IP协议能够实现数据传输,ARP协议和RARP协议主要用于地址信息的接收。在防火墙系统实现的过程中,需要配置硬件,设置Intranet内部网址,同时,配置相应的软件地址。

身份认证模块并不具有灵活性。该设计系统比较适合小型单位,因此,在设计中,需要设计用户自制,并录入用户资源信息,对内部成员实现用户认证,解决身份认证和记录问题。在用户认证模块的设计中,如果用户进图模块判断用户信息符合要求,则进入数据库,生成配置文件,进入系统主控程序。

当主机发起访问时,需要在数据包报头中指明IP地址。当数据包被处理时,可将源地址替换为防火墙出口段IP地址,同时,防火墙可能会出现临时端口,以回应数据到来时外部制剂能够看到的端口号。

在防火墙配置中,NAT和ACL是重点,ACL实现访问控制,NAT则实现计算机访问地址转换。建立内部网络和外部网络,将PC2、Core连接起来,利用软件进行配置。由2626A创建2个Vlan分配端口,并配置中断端口,采用三层转发的方式。同时,给7102A写指向2626A静态路由,NAT设置外部接口IP和内部接口IP。建立映射时,要建立 IP 10.1.1.2 端口映设,在接口上启动NAT,#ip NAT outside //设定 NAT,做nat转换,从pc2ping PCi截图。另外,要为三层交换机增加配置,#vlan 10 untagged D1-D4 // vlan10 分配 D1-D4,vlan11 分配 E1-E4,#vlan 11 ip access-group 10 out.

按照分层设计的思想,可将Linux网络协议分为系统判断、协议无关、协议实现、驱动和无关设备驱动层。在模块驱动中,可先判断insmod,登记成功则成功插入,否则返回。检测网络设备名字,确定进入init-function函数,确定网卡设备是否存在,存在则进行初始化工作。在以上模块驱动中,需要监测和初始化网络设备,启动时,系统要检测可能存在的设备——要在dec-base列表上检测网络设备结构,采用net-dev-init函数对节点进行init函数指针,以说明设备的存在。如果设备不存在,则需删除,保存信息,完成初始化工作。系统完成内核启动后,产生init进程,带动sys-setup初始化设备,从而启动检测程序实现设备检测。

4 结束语

总之,本文主要分析了基于Linux防火墙的网络安全设计。经过测试,防火墙具有测试、工作的双重性能,而且包过滤技术能够综合性分析数据包和应用层规则。在未来的整合过程中,能够扩大其应用范畴。另外,采用分布式设计结构大大提高了防火墙的安全防护强度,管理员能够在第一时间处理相关事务。

参考文献

[1]朱诗生,陈晓强,肖海涛,等.ERP系统IAM的网络安全设计[J].电子设计工程,2014(22):166-169.

[2]赵海峰.浅谈计算机网络防火墙的安全技术[J].电脑开发与应用,2013(10):24-26.

[3]陈建强.基于计算机网络防火墙的安全设计分析[J].电子技术与软件工程,2013(16):241.

〔编辑:白洁〕

猜你喜欢
防火墙计算机网络网络安全
基于应用型人才培养的《计算机网络》课程教学改革研究
全国多地联动2020年国家网络安全宣传周启动
浅析计算机网络安全的影响因素与防范措施
人工智能在计算机网络技术中的应用
计算机网络可靠性优化设计方法
新量子通信线路保障网络安全
保护个人信息安全,还看新法
中国网络安全产业联盟正式成立
防火墙选购必读
新手设置Windows Vista自带防火墙