防火墙在局域网中的部署与实现

方案：

防火墙的工作模式有：透明模式、路由模式以及混合模式。

（1）路由模式是指网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP地址。

（2）透明模式是指，网络卫士防火墙的所有接口均作为交换接口工作。即对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。

（3）混合模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境[2]。

2 网络规划

由于防火墙要部署在已运行的局域网中，此时防火墙的部署往往要求尽可能地少改动或禁止改动各节点的网络属性，如网络拓扑结构、网络设备地址等，同时要求防火墙的接入对现网络的通信影响为最低。为此防火墙的部署采用了透明模式。

根据外网用户的需求及外网内各类服务器的需求实现访问控制管理。具体部署如图1。

3 实现访问控制功能

根据业务需求及安全策略的考虑主要对以下进行配置。根据现局域网网络部署及安全管理要求，接口模式采用交换接口模式。外网局域网中主要进行资源管理的有外网路由器、外网web服务器及防火墙。为了便于管理外网IP地址从新更换了网段地址。

3.1 访问控制

访问控制规则主要针对于局域网中客户端允许或禁止访问控制规则的报文通过或仅记录为符合规则的连接信息等。

本地主要配置的访问控制规则有：

（1）限制访问路由器的用户。通过MAC地址、IP地址来限制访问和管理路由器的用户。同时禁止外部网络用户访问路由器。

（2）不限制内部用户访问web服务器，但禁止外部任何地址对web服务器的访问。

（3）限制访问防火墙的用户。通过MAC地址、IP地址来限制访问和管理防火墙的用户。同时禁止外部网络用户访问防火墙。

（4）针对于普通访问外网用户，不做限制。禁止外网的任何地址访问到内网客户端。

3.2 入侵防御

入侵防御部分也主要针对路由器、web服务器、防火墙等进行了配置。

3.3 内容过滤

根据常用的网络服务及协议，对于ftp服务、smtp服务、tftp服务、http服务、pop3、sqlnet、telnet等应用协议及端口进行绑定、配置。

3.4 阻断策略

通过阻断策略可实现简单的二、三层的访问控制。如果没有匹配到任何策略，则会依据默认规则对该报文进行处理。

3.5 日志与报警

根据单位实际业务运行情况，对于日志及报警信息进行存储。以备于查询。

4 结束语

网络安全卫士防火墙接入运行以来，对于内部网络的网络安全起到了决定性作用。作为一种安全审计设备对访问内部业务系统及信息进行了合法授权和有效控制。对于提升本单位信息网络安全及保密管理等方面有着不可忽视的“墙”的作用。

参考文献

[1]华蓓，蒋凡，史杏荣，等.计算机安全[M].人民邮电出版社，2003.

[2]网络卫士防火墙系统.NGFW4000-UF系列产品说明[Z].

[3]王秀翠，王彬.防火墙技术在计算机网络安全中的应用[J].软件导刊，2011（5）.

推荐访问:防火墙 部署 网中

---