防火墙策略定义在网络安全中的应用(推荐)由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网络安全防火墙技术”。
防火墙策略定义在网络安全中的应用
舒晓1(1.中国石油大学(华东)地球科学与技术学院,山东青岛 266580)
摘 要
本文主要研究了通过配置linux系统主机ipchains防火墙来保护校园网络的方法。这种方法可以将多台教学计算机组成的局域网隐藏于私有网络之中,并通过防火墙提供的网络地址转换功能与互联网连接。同时通过指定的链规则,防止各种危险报文的进入进出,最大化保护网络安全。
关键词
防火墙 包过滤 校园网络 网络安全
随着越来越多的校园网络接入互联网,对其安全进行保护尤其是防止其受到来自黑客的入侵越来越重要。这些攻击具有多种形式,包括信息泄露、木马植入和病毒入侵,其中最危险的一种是入侵并接管主机,并通过被入侵的主机进攻其它目标,通常这种做法可以掩盖黑客的行踪。因此,有效地保护网络安全,防止计算机遭受就变得十分需要。但当这一要求是面对校园网络和校园网络的主体使用者学生时,这一任务就变得极具困难性。众所周知,校内网络教室中计算机所安装的操作系统往往具有很多安全漏洞,这是因为为了教授学生的基本计算机及网络知识,且为了不受限制地访问互联网中大量的资源,往往提供了一个保护性很弱的操作系统环境,这样的机器在教育系统是极为常见的,对于一个缺少足够网络安全知识的尚处于学习阶段的但使用网络教室中电脑连接互联网的学生,其很难应付当前日益严峻的来自互联网的安全挑战,而置于不同安全域之间的访问控制工具——防火墙则被用以解决这一问题。由于防火墙本质上是对互联网安全策略的实现,其自身就是一个策略的执行系统。因此应用防火墙进行网络安全保护最重要的就是配置防火墙并制定有效的安全策略。这一点不仅对于网络管理人员适用,对于使用计算机的学生而言也是适用的。据此,本文首先讨论了当前校园网络遇到的安全问题,随后给出了基本的适用于校园网络的防火墙保护策略。网络安全问题
当前,互联网遭受攻击已经达到了一个相当高的比例,但攻击频率常常难以预测的。但最近一份研究指出这一攻击速率大概是1.5次每秒[1]。这一统计数字进一步证明了主动安全防御计划推进的必要性,即迫切需要构建稳健而可靠的系统对外界的侵扰进行屏蔽或检查。但尽管网络遭受的攻击量难以估计,这些攻击的复杂性是可以预测的。大部分攻击来自现成的可以很容易从互联网上下载得到的探测器。而许多黑客事实上只是未成年学生,出于对黑客的兴趣,它们通过简单的操作使用黑客软件攻击那些网络中十分脆弱的系统。许多攻击是十分明显的,其很容易被追踪到攻击源头。这意味着当前的黑客很少害怕被控告并被法律制裁。但尽管许多攻击都是来自业余计算机水平的爱好者,专业级别的黑客对网络安全仍然构成了巨大的危机,其往往是处于某些商业性的目地而有意地有计划地实施攻击行为。因此,构建防火墙特别是针对常见的网络安全问题制定安全策略来切实保护网络安全至关重要。
对易遭受攻击目标的调研指出教育和政府系统是最常被攻击的对象。针对这一问题,美国联邦政府已考虑将其活动独立于当前互联网中,而完全重新构建在虚拟专用网络中。但对于国内外的校园网络来说,由于其需要使学生学会应用互联网并从互联网中取得新知识,其不能将自身完全脱离互联网。但另一方面,当前校园网络对安全问题的重视性相比许多大型商业公司十分不够,这一方面是由于网络安全本身的复杂性,许多中小学没有足够的技术能力解决这一问题,另一方面是由于购买专业的防火墙产品所需要的经费不足。因此有必要探索更为合适的防火墙解决策略。防火墙实现及策略定义
2.1 防火墙配置环境
校园网络环境与商业网络环境的一个显著区别是其有许多处于原始状态的未经设置的计算机用于教学目的。学生使用的计算机往往存在许多安全漏洞,但学生在上网时往往采用最直接和简单的方式连结到互联网。这种缺少保护的方式和计算机环境正是黑客最喜欢攻击的目标。由于学生往往没有能力去快速配置其教学用计算机来获得一个安全的使用环境。因此,减少遭受攻击的最简单的方式就是设置私有网络,通过防火墙访问互联网。这种地址转换方式隐藏了内部网络的结构,同时在校园网络公开地址不足时使用这种方式可以提供IP复用方式。同时,除了校园本身要设置中央防火墙外,内网也应架设独立的防火墙,这将作为其第一个进入的安全过滤点。这种防火墙配置方式相比于仅仅使用中央校园防火墙来说有更高的灵活性和更强保护能力。此外,因为这种内网的防火墙级别较低,针对出现的紧急问题相比于中央防火墙而言可以进行及时快速的防御和修复。为了实现这一目标,我们将通过通过装有Linux系统的主机上的ipchains这一包过滤软件来进行校园网络安全保护。这一软件由于是内置于linux系统中的,因此完全无需额外的购买费用,只需要单独使用一台电脑安装linux系统和双网卡。
2.2 防火墙的构建
首先,校内的某个计算机教室组成的局域网要连接到互联网中,那么可以构建一个双宿主机型Linux包过滤防火墙。Linux主机配备用于与互联网相连的网卡card0(具有公共网络地址202.101.1.2)和card1用于与局域网(c类私有地址192.168.1.0)相连。Linux系统自带有ipchains封包过滤软件,可以通过链(规则列表)实现对报文的管理。链主要包括输入链、输出链、转发链和用户定义链[2-3]。对于从互联网进入局域校园网的报文来说,其首先进入输入链经过输入链包含的规则检查,被允许通过或拒绝通过,随后还要经过转发链和输出链的检查。同时还可以设定用户定义链来插入到这些链之间加强检查的力度。
2.3 防火墙配置策略
由于我们采用的是linux系统内置的ipchains包过滤软件,对于这种类型的防火墙主要有两种策略。第一种是首先拒绝所有报文通过,再规定可以通过的报文。第二种是先允许所有报文通过,再拒绝某些类型的报文通过。由于校园局域网主要是用于教学目的,其常用的软件和所需的功能对于教师而言十分熟悉,因此我们选择第一种策略。如此,链中包含的规则可以比较少,因此我们只要设定可以通过链的几种报文。下面我们将对防火墙策略进行设置。
首先刷新输入链、输出链和转发链即刷新所有的防火墙规则。随后可以设置默认的防火墙规则,这里我们允许所有报文的输入、输出和转发。接着设置本地环路规则,我们允许本地进程之间的报文可以任意通过。然后通过对输入、输出链指定规则防止IP欺骗报文,其设置如下:
/sbin/ipchains-A input-j DENYi card0-s 192.168.1.1/24 /sbin/ip chains-A output-j DENY-i card0-d 192.168.1.1/24 /sbin/ipchinas-A input-j DENYi card0-d 202.101.1.25/32 随后我们禁止广播包: /sbin/ipchains-A input-j DENYi card1-d 0.0.0.0 /sbin/ipchains-A output-j DENYi card0-s 192.168.1.1/24 /sbin/ipchains-A forward-j ACCEPT-i card0-d 192.168.1.1/24 /sbin/ipchains-A forward-j MASQ-i card1-s 192.168.1.1/24 这一功能可以隐藏局域网的IP地址,即对于来自192.168.1.1/24网络中的所有报文流向card0的进行IP地址伪装。并实现局域网公用一个公有地址连接互联网的功能。通过上述步骤,便实现了基本的封包过滤防火墙设置。结论
1.校园局域网络通过基于linux系统的ipchains防火墙连接互联网,通过使用IP MASQ网络地址转换服务功能不仅隐藏了内网的地址,同时还节省了学校宝贵的IP地址资源。
2.构建双宿主机型linux防火墙仅需一台独立的电脑,而无需额外购买昂贵的硬件防火墙,即可拥有具有强大功能和灵活性的封包过滤防火墙。这对于没有很高预算的中小学校园来说十分合适。
3.合理的防火墙策略配置能够建立起灵活而有效的网络安全保护系统,无论从互联网进入校园局域网的报文会被检查,从校园网进入互联网的报文也会被检查。通过禁止IP欺骗、广播包和IP MASQ功能,有效地保护了网络的安全,实现了以防火墙为基础对内外网之间所有进出的流量进行检查的功能。
参考文献
[1]赵海全, 曾祥萍.基于linux系统的校园网安全设计方案[J].电脑与信息技术, 2: 41-44.[2]沈伟峰, 陈维钧.基于linux的防火墙的构建[J].微型电脑应用, 2001, 17(1): 11-14.[3]何海宾.基于linux包过滤的防火墙技术及应用[J].电子科技大学学报, 2004, 33(1): 75-78.
防火墙在网络安全中作用随着信息技术的不断发展和防火墙技术的不断完善,目前先进的防火墙已经能从应用层监测数据,对数据的安全性进行判别。我们称这种防火墙为检测性防火墙,这......
山西警官高等专科学校2011届毕业设计防火墙技术在计算机网络安全中的应用摘要 随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息......
防火墙技术在电子商务中的应用目 录目录 ............................................................................(1) 内容摘要........................................
网络安全防火墙论文网络安全关系到信息的保密与泄露,以下是小编整理的网络安全防火墙论文,欢迎参考阅读!防火墙安全的计算机网络安全论文1计算机网络安全中常用的防火墙技术随......
防火墙原理与应用—网络安全技术论文摘要计算机网络安全已经成为当今信息时代的关键技术。当前网络安全问题存在着计算机病毒,计算机黑客攻击等问题。网络安全问题有其先天的......
