1、1对防火墙安全策略的分析研究【摘 要】随着计算机技术和互联网络技术的进一步发展,人们对网络安全的要求也是越来越多,在我们现实生活中,也的确存在很多安全隐患。因此,我们在不断增加网络信息安全意识的前提下,就要进一步加强安全技术要求,如加强防火墙、入侵检测技术等。而在加强防火墙安全的过程中,防火墙的安全策略的相关配置就变得犹然重要。本论文就在防火墙的安全策略原理、分类、配置思路以及具体的安全配置策略等方面进行描述,期望可以进一步加强我们的互联网络安全建设,增加安全防范策略。 【关键词】防火墙;安全策略;安全意识 1、防火墙安全策略的原理 防火墙又称为防护墙,是一种介于内部网络和外部网络之间的网络安
2、全系统。其基本作用是保护特定的网络不受非法网络或入侵者的攻击,但同时还得允许两个正常网络之间可以进行合法的通信。安全策略就是对通过防护墙的信息数据进行检验,只有符合规则或符合安全策略的合法数据才能通过防火墙的检验,进行数据通信和资源共享。 通过防火墙安全策略可以有效地控制内网用户访问外网的权限,控制内网不同安全级别的子网之间的访问权限等。同时也能够对网络设备本身进行控制,如限制哪些 IP 地址不能使用设备,控制网管服务器与其他设备间的互相访问等。 2在具体防火墙的应用中,防火墙安全策略是对防火墙的数据流进行网络安全访问的基本手段,其决定了后续的应用数据流是否被处理。NGFW 会对收到的流量进行
3、检测,检测对象包括源目的安全区域、源目的地址、用户、服务和时间段等。具体步骤如下: (1)首先是数据流先要经过防火墙; (2)然后查找防火墙配置的安全策略,判断是否允许下一步的操作;(3)防火墙根据安全策略定义规则对数据包进行处理。 2、安全策略的分类 安全策略大体可分为三大类:域间安全策略、域内安全策略和接口包过滤。 域间安全策略用于控制域间流量的转发,适用于接口加入不同安全区域的场景。域间安全策略按 IP 地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。其也用于控制外界与设备本身的互访,允许或拒绝与设备本身的互访。 域内安全策略与域间安全策略一样,也可以按 I
4、P 地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。但是在企业中某些部门如财务部等重要数据所在的部门,需要防止内部员工对服务器、PC 机等的恶意攻击。所以在域内应用安全策略进行 IPS检测,阻断恶意员工的非法访问。 当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的 IP 报文,可以按 IP 地址、时间段和服务、用户等多种方式匹配3流量并执行相应动作。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度较快。 3、安全策略的配置思路 (1)管理员应该首先明确需要划分哪几个安全区域
5、,接口如何来连接,分别加入哪些安全区域。 (2)管理员选择根据源地址或用户来区分企业员工。 (3)先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许” ,否则为“禁止” 。 (4)确定对哪些通过防火墙的流量进行内容安全监测,进行哪些内容安全检测。 (5)将上述步骤规划出的安全策略的相关参数一一列出,并将所有安全策略按照先精确,再宽泛的顺序进行排序。在配置安全策略时需要按照此顺序进行配置。 4、安全策略的具体配置
6、针对具体的网络拓扑结构以及对防火墙的相关要求,我们在这里对防火墙的安全策略相关配置大体如下: (1)配置安全区域。 系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安4全等级,就可以自行创建新的安全区域并定义其安全级别。具体新建安全区域步骤为:选择网络/安全区域,然后单击“新建” ,直接配置安全区域的相关参数即可。 (2)配置地址和地址组。 地址是 IPV4 地址或 MAC 地址的集合,地址组是地址的集合。地址包含一个或若干个 IPV4 地址或 MAC 地址,类似于一个基础组件,只需定义一次,就可以被各种策略多次引用。 (3)配置地区和地区组。 地区是以地区为单位的 IP 地址对象,每
7、个地区是当前地区的公网 IP地址的集合。为了进一步方便扩展和复用,设备还支持配置地区组供策略引用。配置较为灵活。 (4)配置服务和服务组。 服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。其中,预定义服务是指系统缺省已经存在,可以直接选择的服务类型;自定义服务是通过指定协议类型和端口号等信息来定义的一些应用协议类型。 (5)配置应用和应用组。 应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。具体通过 WEB 界面配置相应的服务。 (6)配置时间段。 时间段定义了时间范围,定义好的时间段被策略引用侯,可以对某一时间段内流经 NGFW 的流量进
8、行匹配和控制。具体通过 WEB 界面进行配5置相关时间段。 综上所述,我们在进一步加强网络安全的今天,就必须在增强网络安全意识的前提下,不断地加强网络安全技术。而在防火墙安全技术中,防火墙的安全配置策略就是重中之重。在实际应用过程中,要不断地进行优化处理。只有不断地的丰富和完善,我们的网络世界才会安全通畅!参考文献: 1 宿洁, 袁军鹏. 防火墙技术及其进展J. 计算机工程与应用,2004, 40(9):147-149. 2 刘克龙, 蒙杨, 卿斯汉. 一种新型的防火墙系统J. 计算机学报, 2000, 23(3):231-236. 3 翟钰, 武舒凡, 胡建武. 防火墙包过滤技术发展研究J. 计算机应用研究, 2004, 21(9):144-146. 4 林晓东, 杨义先. 网络防火墙技术J. 电信科学, 1997(3):41-43. 5 杨琼, 杨建华, 王习平,等. 基于防火墙与入侵检测联动技术的系统设计J. 武汉理工大学学报, 2005, 27(7):112-115. 6 钱伟中, 王蔚然, 袁宏春. 分布式防火墙环境的边界防御系统J. 电子科技大学学报, 2005, 34(4):513-516. 作者简介:张志华(1983) ,女,本科,河南南阳人,长期主要从事计算机网络安全和管理等和网络相关的教学工作研究。现工作于郑州工业应用技术学院信息工程学院
