董永明，浦志岗

（南京总医院 疗养区，江苏 南京211131）

计算机网络防火墙的安全设计与实现

董永明，浦志岗

（南京总医院 疗养区，江苏 南京211131）

随着计算机和网络技术的告诉发展，安全问题逐渐突出，研究和发展防火墙技术对网络安全置管重要。为分析网络防火墙安全设计，在现有防火墙研究基础上，设计LINUX防火墙系统，设计基本功能模块、辅助功能模块和增强功能模块，采用三端口NAT式防火墙，以LINUX作为嵌入式操作系统，实现模块分为七大模块。对防火墙系统进行测试，结果显示设计基于Linux防火墙网络安全系统能够抵御绝大多数的网络攻击，并能够实现日记的记录，兼顾包过滤和状态检测功能。

计算机网络；网络安全；防火墙；LINUX

随着计算机技术的不断发展，网络应用不断改变人们的生活，与此同时计算机网络也面临越来越多的安全威胁[1]，网络在带来便利的同时也出现很多的网络安全问题。当前我国网络安全主动防御研究普遍认为网络安全状态检测可以通过风险评估、安全检测等技术手段实现[2-3]。防火墙是一种虚拟的网络隔离技术[4]，当前防火墙技术已经发展到第五代，更加完善，为分析计算机网络防火墙安全设计，基于Linux系统，以小企业为服务对象，设计相对简约的LINUX防火墙。在该文分析中重点分析基于LINUX防火墙的设计与实现。

1　防火墙系统总体设计

基于LINUX防火墙方案爱设计提高系统安全性、可靠性，设计系统分为基本功能、辅助功能以及增强功能。根据某单位实际软硬件环境，开发满足要求的防火墙系统。防火墙实现需要满足主机安全保护和良好人际界面基础，方便操作和管理。考虑到现有硬件的显示，简化试验环境，基于主机设计，在Linux环境下采用C语言实现，界面设计和数据库的联接通过Kylix开发工具实现。防火墙包括用户端、以太网和系统服务器3个端口，内网同时能够实现访问功能，但是外网访问会受到限制。

防火墙通过3个端口实现，采用两个独立网卡，一个主要针对服务器安全，另外一个实现数据交换。防火墙代理系统的实现方式能够保证用户信息的安全传递。所采用的操作系统为嵌入式操作系统，方便修改和裁剪，而且安全性能较高，是比较理想的软件设计平台。

2　系统结构组成

传统防火墙设计类似关卡，结构简单，维护方便，仅仅作为一种隔离技术，允许符合身份的人进入。但是对于一些安全级别较高的数据信息而言，外来入侵者容易获取信息。设计LINUX系统防火墙，针对用户级别不同，设计不同级别的防火墙，包括内围和外围两部分。用户访问时，外围防护墙能够实现绝大多数的拦截，第二层防火墙则主要针对用户级别较高人员。

传统防火墙分为包过滤、应用代理以及监测模块。LINUX系统设计中同样采用模块化设计，方便日后的扩展。包括包过滤检测数据包，包括数据部分和端头，不理会包内的信息内容，包头信息包括地址、目的地址、封装协议、输出端接口，找到匹配规则允许，找不到则不允许此包。地址转换模块功能实现静态网络地址转换、端口重定向转换等。防火墙系统分为Web管理、转换、内核模块等部分。硬件设计中，考虑系统成分，同时需要健康减少硬件凸级，在设计系统中，将Linux核心以及文件系统写入flash中，避免硬件信息需要调入，提高执行效率。身份认证模块主要服务于内部网络客户端，用户通过认证实现数据通信，否则客户端需要重新发送请求。网络地址转换模块设计中，建立映射关系，查询转换阶段，完成操作后，解除映射关系。

3　网络安全实现

防火墙设计模块分为数据路、包过滤、身份认证等模块。链路层建立在物理层传输能力基础上，位于内外网之间，包括IP、ARP和RARP协议，其中IP协议实现数据传输，ARP 和RARP模块实现地址信息的接受。在防火墙系统实现中，需要配置硬件，设置intranet内部网址，同时配置相应的软件地址。主要复制内核文件，busybox-1.18.5 linux linux-3.0.1. tar.bz。复制到源代码目录并命名为.config，root＠server56 src] #cd linux-3.0.1；/boot/config-2.6.18-164.el5./.config。进入编译配置界面，使用make命令编译内核，[root＠server56 linux-3.0.1]#make，makemake modules_install。将内核信息写入grub中，重新启动系统。命令brcfg_era调用:br_forward模块。

身份认证模块并不具有灵活性，该设计系统比较适合小型单位，因此在设计中，需要设计用户自制，录入用户资源信息，对内部成员实现用户认证，需要解决身份认证和记录问题。身份认证过程见图1所示。用户认证模块设计中，用户进图模块，判断用户信息，符合则进入数据库，苟泽生成配置文件，进图系统主控程序。

图1　身份认证过程

主机发起访问，需要在数据包报头中指明IP地址，数据包被处理时，源地址替换为防火墙出口段IP地址，同时防火墙可会出现临时端口，回应数据到来时，外部制剂能够看到端口号。包过滤模块操作过程见图2所示。该模块充分利用内核模块设计优势，模块初始化有con-lter实现。注册子函数时，通过nf_register_hook（）注册，同样根据此来实现，代码为：static struct nf_hook_ops ipt_ops[]=.hook=hook_func_in，// hook_func_in；hooknum=NF_INET_LOCAL_IN，//钩子函数. hooknum；hooknum=NF_IP_LOCAL_IN，hooknum=NF_IP_ FORWARD，pf=PF_INET，hooknum=NF_IP_LOCAL_OUT。模块初始化函数为：&ip_allowed_in_node_head）-＞next=NULL；&ip_denied＞next=NULL；&port_denied_in_node_head）；&ip_denied_out_node_head）-＞next=NULL；nf_register_hook （&my_netfilter[0]）；。读取配置文件，加载到内核，然后分别处理数据包，钩子函数为：struct sk_buff*skb，const struct net_device*out，#ifdef NET_DOWN；__be32 saddr=ntohl （iph-＞saddr）；work_mode==MODE_IP_PORT_ALLOWED_IN || eturn NF_ACCEPT。

图2　包过滤模块操作流程

在防火墙配置中，NAT和ACL是重点，ACL实现访问控制，NAT则实现计算机访问地址转换。建立内部网络和外部网络，将PC2、Core连接起到，利用软件进行配置。由2626A创建两个vlan，分配端口，并配置中断端口，采用三层转发。给7102A写指向2626A静态路由，NAT设置外部接口IP和内部接口IP。建立映射，建立IP 10.1.1.2端口映谢，在接口上启动 NAT，#ip NAT outside//设定NAT，做 nat转换，从pc2ping PCi截图。对三层交换机增加配置，#vlan 10 untagged D1-D4//vlan10分配 D1-D4；vlan11分配E1-E4；#vlan 11 ip access-group 10 out。

路由器选择提供监控途径，选项允许原主机记录IP地址，关键程序包括：//定义结构sk_buff；structsk_buff*prve；magic_debug _cookie；struct iphdr*ip_hdr；//iphdr；unsigned hear*end；）

Linux网络协议栈按照分层设计思想，分为系统判断、协议无关、协议实现、驱动以及无关设备驱动层。模块驱动中，先判断insmod，登记成功则成功插入，否则返回。检测网络设备名字，确定进入init-function函数，确定网卡设备是否存在，存在则进行初始化工作，存在则初始化成功。以上模块驱动中，需要监测和初始化网络设备，启动时，系统能够检测可能存在的设备。主要过程为启动时，在dec-base列表上检测网络设备结构，采用net-dev-init函数对节点进行init函数指针，说明设备存在，设备不存在则删除，保存信息完成初始化，系统完成内核启动后，产生init进程，刁颖sys-setup初始化设备，启动检测程度，实现设备检测。

网卡初始化函数任务为判断该设备是够存在，完成网卡驱动后，传输网络数据，注册ei-interrupt（）后处理服务程序结构数据。网络数据传输执行过程见图3。

图3　网络数据传输执行过程

4　系统测试分析

以某单位实际工作环境为背景，从外层防火墙进行分析，在测试中判断性能质量。预期结构正向ping成功，访问被禁止，规则不允许，实测结果征象成功，反向不同，访问被禁止，与预测结果相一致。IP过滤规则对数据包测试，预测正向成功，反向禁止，访问被禁止，实测结果与预期结果一致。将IP包过滤应用于FTP服务，实测结果禁止telnet访问，允许PTP访问，与预期结果一致。对防火墙进行攻击测试，测试结果显示防火墙能够抵御绝大多数网络攻击，与预期结果相一致。

5　结束语

总之，文中主要分析基于LINUX防火墙网络安全设计，经过测试，防火墙能够实现与测试工作的双重性能，包过滤技术能够综合性分析数据包和应用层规则，在未来整合中能够整合更多范畴，采用分布式设计结构，安全防护强度大大提高，管理员能够第一事件处理相关事务。

[1]姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用，2013（4）:178-179.

[2]赵海峰.浅谈计算机网络防火墙的安全技术[J].电脑开发与应用，2013（10）:24-26.

[3]张磊.高职校园计算机网络安全的研究[J].计算机光盘软件与应用，2013（5）:235-235，237.

[4]郭璐，曹佳佳.基于防火墙的企业网络安全设计与实现[J].计算机光盘软件与应用，2015（3）:181-181，183.

[5]谭湘.基于防火墙的企业网络安全设计与实现[D].西安电子科技大学，2013.

[6]汪楠，张浩.一种防火墙技术的网络安全体系构建研究[J].石家庄学院学报，2015（10）:44-48.

[7]钱亮.计算机防火墙安全屏障的网络防范措施分析 [J].网络安全技术与应用，2014（6）:37.

[8]陈凯.计算机防火墙安全应用分析[J].计算机光盘软件与应用，2014（1）:163.

[9]朱诗生，陈晓强，肖海涛，等.ERP系统IAM的网络安全设计[J].电子设计工程，2014（22）:166-169.

[10]陈丽仙.计算机防火墙防护技术的安全应用分析[J].信息通信，2015（6）:94.

[11]李辉.基于计算机防火墙防护技术探究分析[J].无线互联科技，2015（11）:105-106.

[12]张森.关于计算机防火墙与Internet安全性的研究[J].电子技术与软件工程，2015（7）:216.

[13]陈建强.基于计算机网络防火墙的安全设计分析[J].电子技术与软件工程，2013（16）:241.

[14]宋德明.计算机防火墙安全屏障的网络防范措施分析[J].商品与质量：消费研究，2015（2）:90.

[15]张锋.基于计算机防火墙安全屏障的网络防范技术[J].数字技术与应用，2014（5）:197.

Security design and implementation of computer network firewall

DONG Yong-ming，PU Zhi-gang
（Nanjing General Hospital，Nanjing 211131，China）

With the development of computer and network technology，the security problem becomes more and more serious. The research and development of firewall technology is important to network security.For the analysis of the network security firewall design，in the existing based on the firewall，design of Linux firewall system，design basic function module，assistant function module and enhanced functional module，using a three port NAT firewall，to Linux as an embedded operating system，realizing module is divided into seven modules.On the firewall system test，the results show that the design based on Linux firewall network security system to resist most of the network attacks，and can realize the diary records，taking into account the packet filtering and state detection function.

computer network；network security；firewall；LINUX

TN99

A

1674－6236（2016）22-0106-03

2016-02-16稿件编号：201602045

董永明（1973—），男，浙江余姚人，硕士，中级工程师。研究方向：计算机网络管理。