网络安全之防火墙

282 2011.12

2011年12月科教纵横

网络安全之防火墙

文/杨超

中图分类号：TN915.08 文献标识码：A 文章编号：1006-4117（2011）12-0282-01

一、选题的目的和意义

计算机系统和网络广泛应用于人们现代的生活当中，Internet已经成为当今社会不可或缺的一部分，但如果一些重要部门的计算机被攻击，直接影响到正常的工作，并造成不可估量的损失。如何避免这些损失，网络安全意义重大。

网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。

在网络应用日趋丰富的今天，也许我们已经习惯于将所有的网络应用安全防护交给传统的防火墙、防病毒网关、防病毒软件等防护设备。它们像一道道关卡，兢兢业业地检测并阻挡着可能对内部网络应用构成威胁的信息。

二、防火墙的相关知识

1、防火墙的基本知识

防火墙就是一个位于计算机和它所连接的网络之间的软件。在我们当今的计算机行业中，防火墙是用来使个别网络不手其他网络的影响，最常见的用途是保护我们的内部网络，能够免受Internet上的其他因素的影响。

而严格的说“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

2、防火墙的用途

随着网络信息化的发展迅猛，网络上病毒和木马层出不穷，防火墙是对网络通讯之间进行隔离和扫描，能有有效的阻止一些病毒和木马的攻击，从而防止不明的攻击破坏。

3、防火墙的分类有哪些

常见的放火墙有三种类型：（1）分组过滤防火墙；（2）应用代理防火墙；（3）状态检测防火墙。

（1）分组过滤：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。

（2）应用代理：也叫应用网关，它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。

（3）状态检测：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。

4、防火墙需要依赖的规则

第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。

三、防火墙的环境与相关软件

使用工具介绍的：

1、WinRoute

2、WinRoute是什么？

WinRoute是可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件！WinRoute目前应用比较广泛！

3、用W i n R o u t e创建包过滤规则（比较常用的是WinRoute4.1！）

默认情况下，该密码为空。点击按钮“OK”，进入系统管理。当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中。

利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”。

因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”。

在“I C M P T y p e”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”，创建完毕后点击按钮“OK”，一条规则就创建完毕。

为了使设置的规则生效，点击按钮“应用”。

设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应。

虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“Logs>Security Logs”，察看日志纪录。

4、用WinRoute禁用HTTP访问

HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP 地址是“172.18.25.109”。

利用WinRoute建立访问规则：

打开本地的IE连接远程主机的HTTP服务，将遭到拒绝。

访问违反了访问规则，所以在主机的安全日志中记录下来。

成功的创建一个防火墙系统一般需要六步：

第一步：制定安全策略，第二步：搭建安全体系结构，第三步：制定规则次序，第四步：落实规则集，第五步：注意更换控制，第六步：做好审计工作。

四、总结

通过努力，了解防火墙的基本概念和原理，使用Winroute创建简单的防火墙规则。

可以实现应用于一些简单的网络防火墙，但由于时间太短，个人能力尚欠不足，防火墙还有很多不尽如人意的地方，比如防护还不全面，构建过于简单，这些都还有待进一步完善。

作者单位：南京市玄武区兰园社区卫生服务中心