论硬件防火墙在网络安全体系中的核心应用

陈俊锦

摘要：由于网络安全威胁日益加深，人们也同时日益重视网络安全体系结构在网络中的建设。以此为契机，网络安全技术也在不断向前发展，网络安全产品也在不断推陈出新。作为网络安全体系中占有重要地位的防火墙，尤其是防火墙家族中性能最为优越，功能最为强大的硬件防火墙在网络安全体系结构的应用尤为显眼。本文通过具体的小型企业网络安全构建实例对硬件防火墙在网络安全体系中的核心应用进行一个论述。

关键词：网络安全体系；硬件防火墙；核心应用

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）09-0037-02

1 引言

二十一世纪的今天，伴随着日益发展计算机网络，是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分，硬件防火墙能在网络安全体系中会体现出怎样的核心应用呢？

2 网络安全体系简单构建例

一个完整的网络安全体系需要涉及符合国家相关标准规定的诸如物理设备、信息传递、操作系统等一系列的内容。本节主要透过一家小型制衣企业的网络安全体系简单构建过程来直观地体现硬件防火墙在网络安全体系的核心应用。

2.1实施对象概况和安全需求

? 汇聚层交换机，核心层交换机和路由器等均统一放置于生产办公综合大楼二楼网络中心处。

? 该制衣企业拥有电脑数量约为100台，还有3台网络打印机，一台web兼E-mail服务器，一台FTP服务器，一台文件服务器。会议室中还需要部署可以容纳20人左右的无线网络。

? 该企业在广域网连接方面，除了要实现因特网接入外，还要提供远程办公和跟合作伙伴、供应商的VPN连接。

? 内部客户端不能直接访问外网，需要通过企业主干网接入INTERNET（全球互联信息网）。供应部、营销部、技术部可以连接Internet。实现供应部与各供应商保持联络，能发布和接收相关原材料需求和供应信息，但不能访问特定娱乐新闻购物类网站；营销部可以跟各渠道商通过邮件时刻保持联系，在关注现有客户同时发现潜在客户，推广企业的产品，打开市场销路；技术部可以通过网络查找和了解跟本企业产品相关的其他产品或相关技术，为其他部门寻找和准备相对应的网络资源。

? 除以上部门外其他部门除有特殊情况外都不能连接Internet。并且不允许员工在正常工作时间玩基于网络的游戏和进行P2P和BT方式的下载行为。

2.2 利用硬件防火墙完善网络拓扑结构

基于上述的判断，软件防火墙和嵌入式防火墙明显在某些要求上无法完全胜任，这时候硬件防火墙在该网络安全体系核心应用中的优势就能明显体现出来了。

在该网络安全体系结构中硬件防火墙主要由神州数码DCFW-1800S-H-V2企业级硬件防火墙来进行承担。在功能上该型号防火墙采用64位高性能多核处理器技术，拥有包括TCP会话保持与报文重组、VPN、QoS流量管理的芯片级加速方案，并且提供独立的硬件DFA引擎，带有IPS入侵检测模组。辅以高达48Gbps的高速交换总线，以及新一代64位实时并行操作系统DCFOS，确保整个系统不仅在处理网络通讯，而且在处理应用安全防护时拥有充足的系统资源保障。全面优化的软硬件系统拥有高稳定性和高可靠性，其新一代网络安全架构能提供给用户最大化的可扩展能力，方便日后的升级。

在考虑到网络服务器群组的使用和防护要求，同时防止内部网络被入侵导致商业敏感信息泄露的情况发生。作为一个典型的解决方法之一就是利用硬件防火墙构建起在屏蔽子网防火墙体系结构中合并堡垒主机和内部路由器的扩展形式，如图1所示。

在该形式中，专门划分出一个周边网络“非军事区域（DMZ）”，来将对外提供服务的各种服务器放置其中（配置示例如图 2所示），使Internet侧用户访问服务器时不需要进入内部网络，而内部网络用户对服务器维护工作导致的信息传递也不会泄露到外部网络。外部路由器主要作用在于保护周边网络和内部网络，防火墙上则设置针对外网用户的访问过滤规则。例如限制外部用户只有访问DMZ区的和部分内部主机的权限。为了最大限度节约资金投入的同时提高硬件防火墙的利用率，而将原本用于隔离内网络和DMZ区、对内部用户访问DMZ区和外部网络权限进行控制的内部路由器省略，由硬件防火墙模拟及替代该部分功能。然后利用防火墙中的IPS模组对数据流进行再次检查和报警，防止有非法数据流通过硬件防火墙而没有被发现。为了避免外部路由器失效带来致命影响，还可以将硬件防火墙设定为定时复制对方过滤规则，实现一个联动和备用功能。简单来说外网、DMZ、内网三者主要实现下面三个效果：

? 外网可以访问DMZ，但不能直接访问内部网络。

? DMZ可访问外网，不能访问内网。

? 内网可以访问外网和DMZ。

作为堡垒主机的硬件防火墙除了可以向外部用户提供WWW、FTP、E-mail等应用服务外，还可以在接受外部用户的服务器资源请求同时向内部用户提供DNS、E-mail、FTP等服务，并提供内部网络用户访问外部资源的接口。

2.3搭建网络安全平台

经过防火墙体系结构选型和构建，以及对如何完善安全服务机制的初步探讨后，整个网络安全体系已经初见雏形。而作为网络安全体系中重要一环的网络安全平台，则可以将硬件防火墙设备与相关网络技术结合起来，利用其搭建一个以硬件防火墙为核心的可操作性强的网络安全平台。

2.3.1外部访问认证

由于存在合作伙伴、协力企业、在外出差员工等对企业网络资源访问需求的群体，企业必须为他们提供一种安全的远程连接访问方式。而硬件防火墙上技术成熟、使用广泛的，成本低廉的VPN虚拟专用网络技术则正好能满足企业的需求。

通常来说传统的通过特定VPN连接软件连接的第一代VPN实现方式上有基于数据链路层PPTP、L2TP的VPN实现方式与基于网络层的IPSec的VPN实现方式（如图3所示）。虽然创建基于PPTP和L2TP的VPN的方法较创建IPSec VPN方法要简单许多，但是随着时代的进步和网络安全威胁的日益增加，基于数据链路层的VPN连接已无法完全胜任时代的安全需求了。所以现在进行VPN配置时一般选择使用IPSec技术作为数据传输时安全保障。

从原理上说，IPSec通过使用基于HASH函数的消息摘要来确保数据传输的完整性，使用动态密钥来对数据进行传输加密。也刚正好符合完善网络安全机制的要求。

图3 传统VPN实现方式

在防火墙中创建基于IPSec的VPN时，一般要先创建好IKE（即Internet密钥交换协议）的第一阶段和第二阶段提议，然后继续创建VPN对端，并在接下来创建IPSEC隧道并制定基于隧道的安全策略，最后再创建源NAT策略。在实现过程中有以下几个要点：

? IPSec隧道建立的条件必须要一端触发才可。

? 基于隧道的策略要放在该方向策略的最上方。另外从本地到对端网段的源NAT策略应该放在源NAT策略中的最上方。

? 在IPSEC VPN隧道中关于代理ID的概念，这个代理ID是指本地加密子网和对端加密子网。

除上述模式外，硬件防火墙还能支持第二代VPN实现方式SCVPN，即基于传输层的SSL VPN。其优势在于相对IPSec VPN相比，配置和构建相对简单方便，穿透力强能以透明模式功能，而且SSL VPN客户端早已融入到各主流浏览器中。用户只需要通过浏览器登录并通过验证即可使用VPN功能，为用户省去繁琐的客户端携带和安装，大大增强便捷性。但是缺点也很明显，由于SSL 协议的限制，在硬件防火墙上使用SSL VPN性能发挥上远远不如IPSec VPN。

2.3.2内部访问验证

为了对内网用户进行具体的网络行为跟踪监督工作，分配内网用户访问权限。进行内部访问认证从而确认网络行为实施者就变得很有必要了。一般来说，进行网络内部访问认证需要配置Radius认证服务器、Active-Directory认证服务器和LDAP认证服务器中的一种，用来存储用户信息和提供用户验证功能，虽说每一种验证服务器的功能都非常强大，但是部署起来不但需为之投入额外资金和资源，而且配置相对繁琐和维护也相对不易，对于小型企业来说实施起来有一定困难。幸好得益于硬件防火墙强大的性能，我们也可以直接在硬件防火墙上配置本地认证，然后通过web浏览器为客户端进行认证登陆（如图4所示）。当然有条件的企业亦可以通过将硬件防火墙上的WEB访问验证方式跟Radius、Active-Directory、LDAP验证服务器无缝结合起来，减轻硬件防火墙的资源负担，增强整个内部访问验证的可靠性和高效性。

图4 内部WEB认证登陆页面 （下转第54页）

（上接第38页）

2.3.3网络层到应用层全面控制

硬件防火墙通过在网络层和传输层通过特定的规则、数据封包的属性来对数据进行检测和过滤，从而抵御非法数据的入侵和黑客的攻击，同时提供多种地址转换方式，这些都是硬件防火墙最传统也最常用的应用。

开启硬件防火墙在应用层上的附加功能以扩展硬件防火墙的安全保护范围，提升整个网络的安全指数。例如通过URL过滤可以屏蔽一些跟工作无关的新闻、娱乐、购物类网站以及恶意网址；通过网页内容过滤来屏蔽一些敏感的关键字；通过开启防病毒检测，从网络外部阻挡病毒木马的入侵；通过上网行为监督，来提高网络的使用效率；通过IM工具过滤来提升员工的工作效率。

3 结束语

随着计算机网络在人们生活的各个领域中广泛应用，以网络为目标的不法行为也日渐增多。为所属网络构建一个完整高效可操作性强的网络安全体系亦越来越重要。而这次通过构建基于实际案例和具体网络安全指标的网络安全体系例子则非常充分地体现了硬件防火墙在网络安全体系中的区域隔离、攻击防护、协议过滤、流量控制、用户认证、上网行为追踪记录与管理、VPN远程访问等核心应用。相信在很长的一段时间内如何有效地和实地利用硬件防火墙在应用上的优势将会是影响整个网络安全体系构建成败的关键因素。

参考文献：

[1] 谢希仁.计算机网络（第6版）[M].北京：电子工业出版社，2013.

[2] 王达.金牌网管师：网络工程方案规划和设计[M].北京：中国水利水电出版社，2010.

[3] 满文庆.计算机网络技术与设备[M].北京：清华大学出版社，2004.

[4] 罗森林.安全与对抗技术[M].北京：北京理工大学出版社，2005.