導語：防火墻網絡安全設計與實現探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

0引言

網絡在我們日常生產生活中應用越來越普及，黑客技術也在不斷發展，網絡在改變我們的生活的同時，我們面臨的威脅也越來越大，如何避免網絡不受到非法的攻擊，保證網絡安全是目前必須要解決的一個重大問題。LINUX防火墻作為保護網絡安全的一個重要部分，它的性價比高，安全性強，因此應用較為廣泛。

1網絡安全概述

網絡安全指的就是在使用網絡的過程中，安全系統為防止用戶的數據信息因惡意或者偶然因素導致破壞而對硬件、軟件系統中的數據進行保護。網絡安全主要有以下幾個特征：（1）保密性：保證未經授權前提下信息不被泄露；（2）完整性：在數據信息未經授權的前提下，保障信息在存儲或者傳輸中不被修改和破壞；（3）可用性：保障合法用戶在網絡環境下能夠獲取自己所需要的相關數據信息。比方說，破壞網絡、拒絕服務等等行為在網絡環境下就不屬于可用性的范疇；（4）可控性：用戶在網絡環境下對信息進行傳遞的過程中，對信息的內容以及傳播能夠加以控制；（5）可審查行性：網絡用戶的信息丟失或被竊取等等安全問題出現的時候能夠提供相應的手段和依據。

2防火墻概述

防火墻，通俗的來說就是包含有軟硬件的在內外部網之間的一種保護屏障。防火墻主要包括服務訪問規則、應用網關、包過濾以及驗證工具四大部分組成。能夠實現對內部網的信息進行有效的安全防護，其中，計算機中通過的所有的網絡通信以及數據信息都要經過防火墻。防火墻主要有網絡層防火墻、應用層防火墻以及數據庫防火墻三種類型。（1）網絡層防火墻：網絡層防火墻能夠對IP實行有效的封包過濾，并運行在底層的TCP/IP協議堆棧上，管理員能夠對封包的相關規則進行定義和相關的修改工作；（2）應用層防火墻：應用層防火墻跟網絡層防火墻不同，它是運行在TCP/IP協議堆棧的應用層上。它能夠對一些應用程序的所有封包進行攔截和封鎖，從理論上來說，這種類型的防火墻基本上可以實現對外部數據的完全阻絕，不讓外部數據進入到受保護的計算機中；（3）數據庫防火墻：該防火墻是建立在數據庫協議分析和控制技術的數據庫系統之上的一種安全防護系統。數據庫防火墻能夠主動防御，有效的控制數據庫的訪問行為，對訪問數據庫中的危險行為進行有效的阻斷，對訪問數據庫中的一些可疑的行為進行有效的審計，從而保護計算機的數據庫系統。

3LINUX環境下的防火墻網絡安全設計

3.1LINUX環境下防火墻網絡安全設計原則

對LINUX環境下的防火墻網絡安全系統的設計，主要包括硬件設計和軟件設計兩方面。硬件部分可以根據其性能和要求，盡量選擇性價比高的設備，軟件設計作為該防火墻系統的重點，要求軟件系統保證模塊化，采用模塊化設計，一方面能夠有效保證防火墻系統的可靠性和易維護性，另一方面還能夠保證防火墻系統易擴充和靈活，尤其在防火墻系統的升級的情況下。在防火墻系統的設計中，必須要保證系統的可靠性、穩定性以及針對性，使得防火墻能夠對不同用戶設置不同的權限，有效的防止和降低系統外部的非法攻擊與破壞，從而達到網絡安全性的提升。

3.2防火墻系統的設計功能和目標

在防火墻系統的設計中，防火墻要能夠對經由它的網絡信息和數據進行掃描工作，將一些攻擊過濾掉；通過對部分特定端口的通信流出予以禁止和對特殊站點的一些訪問予以關閉，從而保證系統的安全。基于LINUX環境下防火墻系統的功能主要有：（1）實現對數據庫的安全防護：防火墻系統能夠根據SQL協議分析，只對一些合法的SQL操作放行，從源頭上斬斷非法操作，保證數據庫的外圍安全，此外，防火墻系統還能夠對一些SQL危險操作的審計和預防，這樣一來，一內一外實現了對數據庫的安全防護；（2）實現對信息外泄的防止：在防火墻系統的設計過程中，必須要將內部網絡合理劃分、保證重點網段的有效隔離納入到設計理念中來，在很大程度上解決了一些局部重點的網絡安全問題等等給全局網羅的安全帶來的影響，從而有效的防止系統信息的外泄；（3）實現對網絡的監控和監聽：防火墻系統能夠對訪問進行相應的記錄，保證了網絡使用情況信息的精準，同時，防火墻系統還能夠對一些可疑的訪問進行報警，并提供網絡受到不法攻擊和不法檢測的依據，此外，能夠及時將這些信息資料反饋到系統管理員那里，從而保障了系統的安全；（4）實現對網絡安全策略的管理：在防火墻系統中，系統管理員能夠制定合理的網絡安全方案，針對不同用戶，制定出不同權限的權限表以及不同用戶的基本信息表，并將這些信息應用到防火墻系統中，這樣一來，在用戶使用網絡的過程中，防火墻能夠根據管理員提供的信息表對不同用戶不同的權限允許其進行不同的操作，實現了對網絡安全問題的集中管理。

3.3防火墻的實現方式與測試環境

根據上文中防火墻的相關功能，可以在防火墻設計中，采用合適數量的端口，在系統中，一些網卡實現對服務器的安全防護，剩余的網卡則是主要對數據信息實現交換，在這里，需要注意的就是數據交換并不包括IP的轉化；此外，通過設置防火墻系統，能夠實現用戶信息傳遞過程中不需要進行訪問。在對防火墻系統進行測試的時候，直接采用源代碼公開的LINUX操作系統進行測試即可。

4LINUX環境下的防火墻網絡安全實現

4.1身份認證模塊的實現

對用戶身份認證識別，要具有靈活性。一般來說，防火墻的設計中，要對內部用戶進行資源訪問進行有效的控制，身份認證實現的流程圖如圖1所示：圖1對用戶身份的認證

4.2網絡地址轉換的實現

在對防火墻進行配置的時候，通過對NAT配置，保證內網計算機在訪問外網時的地址轉換，確保內外網二者之間能夠實現對對方的訪問；此外，ACL訪問的設置，能夠有效地確保內網計算機的訪問權限的設置，對內網訪問外網或者內網計算機之間的相互訪問予以阻止。

4.3路由器記錄模塊的設計實現

在路由器記錄模塊功能的實現中，路由選擇選項能夠實現對路由器選擇路由的控制和監視。路由器將處理過的數據信息后將其IP地址加入到源主機生成的IP地址空表中來，同時，路由選擇選項就那個數據報的相關記錄加以設置，進而采用相關的結構實現數據的轉換，實現對網絡數據在協議層之間移動過程描述。

4.4LINUX的TCP/IP實現

在LINUX的TCP/IP實現中，模塊的驅動需要對被裝載的網絡設備進行相關的檢測和初始化，對內核啟動的驅動方法，則需要檢測和初始化所有內核支持的網絡設備，在初始化過程中，LINUX調用了init函數對網卡進行了驅動，實現對設備是否存在的檢測、對網絡設備終端號的檢測等等工作。

5結束語

本文主要通過對網絡安全和防火墻進行詳細的概述，并就LINUX環境下防火墻網絡安全設計從LINUX環境下防火墻網絡安全設計原則、防火墻系統的設計功能和目標以及防火墻的實現方式與測試環境三方面來進行詳細的分析，并從身份認證模塊的實現、網絡地址轉換的實現、路由器記錄模塊的設計實現以及LINUX的TCP/IP實現對LINUX環境下防火墻網絡安全實現進行探討。

作者:劉成 單位:湖北生物科技職業學院

引用：

[1]劉清毅.淺談防火墻在網絡安全中應用[J].電子測試，2015.

[2]李華清.防火墻網絡安全技術分析[J].電子制作，2014.

[3]秦拯，厲怡君，歐露等.一種基于SFDD的狀態防火墻規則集比對方法[J].湖南大學學報（自然科學版），2014.

[4]王俊康.基于防火墻網絡安全技術分析[J].信息通信，2015.

[5]羅彩君.基于Linux系統的網絡安全策略研究[J].電子設計工程，2013.