防火墙网络安全设计与实现探讨

0引言

网络在我们日常生产生活中应用越来越普及，黑客技术也在不断发展，网络在改变我们的生活的同时，我们面临的威胁也越来越大，如何避免网络不受到非法的攻击，保证网络安全是目前必须要解决的一个重大问题。LINUX防火墙作为保护网络安全的一个重要部分，它的性价比高，安全性强，因此应用较为广泛。

1网络安全概述

网络安全指的就是在使用网络的过程中，安全系统为防止用户的数据信息因恶意或者偶然因素导致破坏而对硬件、软件系统中的数据进行保护。网络安全主要有以下几个特征：（1）保密性：保证未经授权前提下信息不被泄露；（2）完整性：在数据信息未经授权的前提下，保障信息在存储或者传输中不被修改和破坏；（3）可用性：保障合法用户在网络环境下能够获取自己所需要的相关数据信息。比方说，破坏网络、拒绝服务等等行为在网络环境下就不属于可用性的范畴；（4）可控性：用户在网络环境下对信息进行传递的过程中，对信息的内容以及传播能够加以控制；（5）可审查行性：网络用户的信息丢失或被窃取等等安全问题出现的时候能够提供相应的手段和依据。

2防火墙概述

防火墙，通俗的来说就是包含有软硬件的在内外部网之间的一种保护屏障。防火墙主要包括服务访问规则、应用网关、包过滤以及验证工具四大部分组成。能够实现对内部网的信息进行有效的安全防护，其中，计算机中通过的所有的网络通信以及数据信息都要经过防火墙。防火墙主要有网络层防火墙、应用层防火墙以及数据库防火墙三种类型。（1）网络层防火墙：网络层防火墙能够对IP实行有效的封包过滤，并运行在底层的TCP/IP协议堆栈上，管理员能够对封包的相关规则进行定义和相关的修改工作；（2）应用层防火墙：应用层防火墙跟网络层防火墙不同，它是运行在TCP/IP协议堆栈的应用层上。它能够对一些应用程序的所有封包进行拦截和封锁，从理论上来说，这种类型的防火墙基本上可以实现对外部数据的完全阻绝，不让外部数据进入到受保护的计算机中；（3）数据库防火墙：该防火墙是建立在数据库协议分析和控制技术的数据库系统之上的一种安全防护系统。数据库防火墙能够主动防御，有效的控制数据库的访问行为，对访问数据库中的危险行为进行有效的阻断，对访问数据库中的一些可疑的行为进行有效的审计，从而保护计算机的数据库系统。

3LINUX环境下的防火墙网络安全设计

3.1LINUX环境下防火墙网络安全设计原则

对LINUX环境下的防火墙网络安全系统的设计，主要包括硬件设计和软件设计两方面。硬件部分可以根据其性能和要求，尽量选择性价比高的设备，软件设计作为该防火墙系统的重点，要求软件系统保证模块化，采用模块化设计，一方面能够有效保证防火墙系统的可靠性和易维护性，另一方面还能够保证防火墙系统易扩充和灵活，尤其在防火墙系统的升级的情况下。在防火墙系统的设计中，必须要保证系统的可靠性、稳定性以及针对性，使得防火墙能够对不同用户设置不同的权限，有效的防止和降低系统外部的非法攻击与破坏，从而达到网络安全性的提升。

3.2防火墙系统的设计功能和目标

在防火墙系统的设计中，防火墙要能够对经由它的网络信息和数据进行扫描工作，将一些攻击过滤掉；通过对部分特定端口的通信流出予以禁止和对特殊站点的一些访问予以关闭，从而保证系统的安全。基于LINUX环境下防火墙系统的功能主要有：（1）实现对数据库的安全防护：防火墙系统能够根据SQL协议分析，只对一些合法的SQL操作放行，从源头上斩断非法操作，保证数据库的安全，此外，防火墙系统还能够对一些SQL危险操作的审计和预防，这样一来，一内一外实现了对数据库的安全防护；（2）实现对信息外泄的防止：在防火墙系统的设计过程中，必须要将内部网络合理划分、保证重点网段的有效隔离纳入到设计理念中来，在很大程度上解决了一些局部重点的网络安全问题等等给全局网罗的安全带来的影响，从而有效的防止系统信息的外泄；（3）实现对网络的监控和监听：防火墙系统能够对访问进行相应的记录，保证了网络使用情况信息的精准，同时，防火墙系统还能够对一些可疑的访问进行报警，并提供网络受到不法攻击和不法检测的依据，此外，能够及时将这些信息资料反馈到系统管理员那里，从而保障了系统的安全；（4）实现对网络安全策略的管理：在防火墙系统中，系统管理员能够制定合理的网络安全方案，针对不同用户，制定出不同权限的权限表以及不同用户的基本信息表，并将这些信息应用到防火墙系统中，这样一来，在用户使用网络的过程中，防火墙能够根据管理员提供的信息表对不同用户不同的权限允许其进行不同的操作，实现了对网络安全问题的集中管理。

3.3防火墙的实现方式与测试环境

根据上文中防火墙的相关功能，可以在防火墙设计中，采用合适数量的端口，在系统中，一些网卡实现对服务器的安全防护，剩余的网卡则是主要对数据信息实现交换，在这里，需要注意的就是数据交换并不包括IP的转化；此外，通过设置防火墙系统，能够实现用户信息传递过程中不需要进行访问。在对防火墙系统进行测试的时候，直接采用源代码公开的LINUX操作系统进行测试即可。

4LINUX环境下的防火墙网络安全实现

4.1身份认证模块的实现

对用户身份认证识别，要具有灵活性。一般来说，防火墙的设计中，要对内部用户进行资源访问进行有效的控制，身份认证实现的流程图如图1所示：图1对用户身份的认证

4.2网络地址转换的实现

在对防火墙进行配置的时候，通过对NAT配置，保证内网计算机在访问外网时的地址转换，确保内外网二者之间能够实现对对方的访问；此外，ACL访问的设置，能够有效地确保内网计算机的访问权限的设置，对内网访问外网或者内网计算机之间的相互访问予以阻止。

4.3路由器记录模块的设计实现

在路由器记录模块功能的实现中，路由选择选项能够实现对路由器选择路由的控制和监视。路由器将处理过的数据信息后将其IP地址加入到源主机生成的IP地址空表中来，同时，路由选择选项就那个数据报的相关记录加以设置，进而采用相关的结构实现数据的转换，实现对网络数据在协议层之间移动过程描述。

4.4LINUX的TCP/IP实现

在LINUX的TCP/IP实现中，模块的驱动需要对被装载的网络设备进行相关的检测和初始化，对内核启动的驱动方法，则需要检测和初始化所有内核支持的网络设备，在初始化过程中，LINUX调用了init函数对网卡进行了驱动，实现对设备是否存在的检测、对网络设备终端号的检测等等工作。

5结束语

本文主要通过对网络安全和防火墙进行详细的概述，并就LINUX环境下防火墙网络安全设计从LINUX环境下防火墙网络安全设计原则、防火墙系统的设计功能和目标以及防火墙的实现方式与测试环境三方面来进行详细的分析，并从身份认证模块的实现、网络地址转换的实现、路由器记录模块的设计实现以及LINUX的TCP/IP实现对LINUX环境下防火墙网络安全实现进行探讨。

作者:刘成 单位:湖北生物科技职业学院

引用：

[1]刘清毅.浅谈防火墙在网络安全中应用[J].电子测试，2015.

[2]李华清.防火墙网络安全技术分析[J].电子制作，2014.

[3]秦拯，厉怡君，欧露等.一种基于SFDD的状态防火墙规则集比对方法[J].湖南大学学报（自然科学版），2014.

[4]王俊康.基于防火墙网络安全技术分析[J].信息通信，2015.

[5]罗彩君.基于Linux系统的网络安全策略研究[J].电子设计工程，2013.