张　平　陈　玉

[摘要]在现代网络办公形式中,各种形式的INTERNET网络链接形式各有利弊,在不同形式的环境中发挥的巨大的作用,其中由网络硬件防火墙作路由器上网的链接方式,是小型企业和组织使用的最广泛的一种上网工作方式。对该系统进行相应的配置,使我们的网络工作得到有效的安全保障。

[关键词]网络硬件防火墙NTERNET安全配置

中图分类号:TJ8文献标识码:A文章编号:1671-7597(2009)0710020-02

随着计算机网络的不断发展,全球信息化进程的加速,计算机网络体系的使用更加广泛。但由于各种计算机网络链接形式各种各样,各终端和客户机分布不均匀性,加之网络所具有的开放性、互连性等特点,致使网络易受黑客、病毒、恶意软件和其他非法行为的攻击,所以网络硬件结构的安全和网络软件配置的安全就越来越成为计算机网络安全管理人员面临的一个重大课题。

现在各种企业和组织使用的链接INTERNET网的方式多种多样,各有千秋。以我们十多年参与小型网络建设与管理的经验,分析由网络硬件防火墙作路由器链接INTERNET网,作为一个小型企业或组织网络出口的网关,是当前链接INTERNET网络的主流方式,也是网络配置比较简捷和好用的方式,同时网络的安全性和稳定性得以保障。

这里所论述的小型网络是指企业或组织有一个以上的网络固定IP出口,企业和组织内部用的是C类IP地址链接INTERNET网络,具体企业或组织内部有没有对外或内部公开使用的各种类型服务器不做必要的要求。

一、网络硬件防火墙网络体系结构的配置

(一)网络硬件防火墙接口的配置

网络硬件防火墙自身具有路由功能可直接联通INTERNET,防火墙本身有外网、内网和DMZ三组接口分别对应链接相应的网络环境。

网络硬件防火墙作为一种网络边界防护型的网络安全设备,必须配置在企业或组织受保护网络的边界处,只有这样,防火墙才能控制所有流入和流出网络的通信数据,达到将非法入侵者拒之门外的目的,起到保护企业或组织内部各种公用服务器和内部服务器的安全,同时保障企业或组织内部能上INTERNET网交换数据的客户机的上网冲浪的安全。

外网接口自然是接光纤入口或者是其它网络供应商提供的上网接口,通过给防火墙设置网络出口的固定IP地址可以使网络内部的客户机或终端畅游INTERNET世界。同时也可以让外界的各相关用户通过本网络的固定IP地址或是域名访问本企业或组织所拥有的对外开放的INTERNET服务网络里的相关内容。

内网接口链接企业或组织内部相关的多级网关、路由器、交换机和集线器,各个客户机或终端通过所在的局域网络和网关、路由器、交换机和集线器链接实现上网功能。企业或组织内部的各种服务器也要安置在内网区域内,内部各业务服务器作为功能独立的主机必须与单位内部用户的个人所使用的客户机或终端机分开设置在不用IP地址范围内的二级交换机上,同时配置独立的、固定的IP地址段,组成系统内部的INTRANET。而内部和客户机和终端根据办公所需要的网络环境不同配置相关的IP地址或是不配置IP地址。

DMZ,英语直译是非军事化缓冲区,而在计算机行业中称之为中立区网络,它是当我们的企业或组织的网络中的各种WEB服务器、FTP服务器、邮件服务器和数据库服务器需要开放给公网用户时而特设置的独立区域。由于这些开放的业务服务器要面对大量公网上的任意未知用户的访问,因此,在接入时必须使用网络防火墙上的独立DMZ接口进行隔离,同时需要设置严格的防火墙访问控制策略,以防止入侵者的破坏。如果这些对外开放的服务器是与其他内部主机混在一起,没有放在独立的DMZ区进行隔离,其后果可能是,一旦服务器被黑客利用其漏洞攻击成功,则整个网络就暴露在黑客面前,黑客将很轻松的以服务器为跳板攻击整个网络。由于企业或组织内部拥有不只一台相关的服务器,各DMZ接口一般接在各种对外公开的服务的集合部,也就是各个服务器所接的交换机上,使各个服务器都能被网络外部的计算机所访问。

(二)网络硬件防火墙拓朴结构的配置

网络硬件防火墙的拓朴结构是指的防火墙的各个端口和各级交换机,路由器,集线器的链接方式。一般小型企业和组织使用的防火墙上网的模式大多是由网络防火墙做INTERNET代理上网服务器,使用C类IP采用INTERNET共享上网方式。

常见的模型是防火墙占用一个固定IP(公网IP,从ISP处获得)地址,防火墙对内的地址是192.168.0.1,系统内的其它计算机通过不同区所接的交换机或是集线器通过防火墙上网。防火墙、交换机(集线器)、路由器和光猫构成了一个星型的网络拓朴结构,但这只是这些网络链接设备,没加各个计算机。

防火墙的三个功能区接口,每个接口链接一个交换机或是路由器上,通过交换机和路由器再链接相关的计算机或是下一级的交换机,对于每个交换机所链接的设备又构成了一个星型的网络拓朴结构。若干个小的星型网络拓朴结构通过几层的扩展链接,最终把所有的计算机和网络设备链接成一个星星网,构成了一个树型网络,有的专家也称之为混合型网络。这样的网络结构层次清楚,容易隔离有问题的某个网络小单元段,也便于增加新的网络单元段,更便于网络的维护。

(三)网络硬件防火墙IP地址的配置

网络防火墙硬件系统和企业或组织内的各种设备安装到位后,接下来就是给予每个要上网的主机分配上网地址,也就是通常我们所说的IP地址,每个上网主机有了IP地址后才能通过防火墙代理上网,实现相应的网络功能。

首先是将从ISP处获得的公网IP地址分配给防火墙,通过防火墙的管理软件将该IP地址转换成INTERNET网络共享IP地址192.168.0.1。然后把其于253个IP地址分配给各个上网的主机或终端。建议IP地址分段落的分配给各个用户层,这样便管理和故障处理。例如:我们将192.168.0.2至192.168.0.20用于校内内部各个服务器上,将192.168.0.21至192.168.0.

100分配给各个办公室的上网办公用机,将192.168.0.101至192.168.0.

200分配给机房和多功能教室的教学上网用机,从192.168.0.201以后留作备用和设备的拓展使用。

二、网络硬件防火墙网络软件功能的配置

网络硬件防火墙的硬件布置好后,只能说网络硬件防火墙可以工作了,但还不能起作用,只有进入网络硬件防火墙的管理系统内进行相关的软件功能设置后,网络硬件防火墙才能真正的起作用。

首先是对网络出口的配置。使用网络硬件防火墙上网的目的就是能安全稳妥的上网进行相应的工作,所以配置网络出口是必须的也是首要任务。进入防火墙管理系统后,在基本设置里面选择相应的网络模式,小型企业和组织一般多用的是静态设置选项,也就是从ISP处获取固定的网络出口的公网IP地址,不管你的组织内有没有公网服务器,都要有一个这样的IP地址,这是保障网络安全和稳定的必要手段。将从ISP处获取的IP地址写入“设置WAN接口IP地址处,配置如下:

WAN接口IP

之后设置LAN接口IP地址,配置如下:

其次是对企业或组织内对外的公开服务器的配置。要在防火墙的高级设置里加上WAN的IP地址和内网IP地址转换参数,例如:

并在虚拟服务器项目上进行策略的设置,例如:

这样系统内的服务器就可以成为公网上的一个公用服务器,不仅本系统内的计算机能访问,外界的计算机也能访问。

第三步是内部INTRANET服务器的设置。许多企业和组织都有内部办公数据服务器,仅对系统内部的主机开放,故这些服务只需把本机的IP地址设为内网的IP地址,然后安装好相关的应用系统,并对相关的应用数据设置共享,系统内的主机就可以采用IP地址或是机器名的方式访问内部服务器的相关内容。

最后是对功能权限的合理分配。企业或组织根据的自己系统的实际情况进行合理的配置以使系统达到最佳的工作状态。比如有些企业在工作时间内不允许使用QQ等软件,就可根据用户的不同级别设置不同的权限。具有最高权限的用户不受任何限制,次级权限的用户根据工件需要相应开放MSN,QQ,E-mail,web,ftp等对口业务的权限,而最低级别的用户只开放本职工作权限如邮件服务功能。同时为了最大限度发挥网络的功能,还可以根据时间段对上网行为进行控制,比如在工作时间内禁止BT下载,视频活动等功能。

用网络硬件防火墙作路由器上网并不是最安全的上网方式,但是是在小型企业和组织中使用最广泛的一种上网工作方式,由于它的链接方式简洁,功能适中,安全性有所保障,能够满足系统内部实现网络办公自动化的要求,是一种很好的网络工作模式的选择。该种工件方式在应用中还在不断的完善和发展,以适应更新更广泛的需求。

参考文献:

[1]周明天、汪文勇,《TCP/IP网络原理与技术》,清华大学出版社,1999.12.

[2]楚狂,《网络安全与防火墙技术》,人民邮电出版社,2000.4.

[3]瑞星全功能NP防火墙使用手册.

[4]瑞星防火墙设计使用书.