王杰昌

摘要：防火墙是网络安全的重要技术手段，一般而言，防火墙设备是被嵌入内网和因特网之间，防止内网受到来自因特网的攻击。然而，在内网中服务器若想防范来自内网普通用户的攻击，就需要构筑内网虚拟防火墙。另外，在服务器区，为防范来自同vlan的中毒服务器攻击，其他服务器需开启并设置自带的系统防火墙。

关键词：防火墙设备;内网虚拟防火墙;系统防火墙

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2019）19-0052-02

近几年来，随着网络安全形势的日益严峻，尤其是“棱镜门”事件的曝光和“勒索病毒”的肆虐，网络安全越来越受到大家的重视，我国将其上升到国家战略层面，先是成立了中央网络安全和信息化领导小组，后又将其改为中央网络安全和信息化委员会。而防火墙又是网络安全中一种重要的技术手段和有效的防御工具，通过因特网访问内网的资源时，以及通过内部主机访问因特网时，防火墙可保护内网免受来自外网的安全威胁[1]。

1 常规防火墙设备介绍

常规防火墙设备被嵌入内网和因特网之间，从而创建受控制的连接且构成外部安全墙或者说是边界。这个边界的目的在于防止内网受到来自因特网的攻击，并在安全性将受到影响的地方形成阻塞点[1]。

防火墙的设计目标[2]：（1）所有的通信连接，不管是从内网到外网还是从外网到内网，都必须经过防火墙。（2）只有被授权的通信连接才能通过防火墙，本地安全策略将规定这些授权。（3）防火墙本省对于渗透必须是免疫的。

防火墙用以控制访问和加强网络站点安全策略的主要有以下四项常用技术[3]：

（1）服务控制：决定哪些服务可以被访问，不管服务是从内网而外网，还是从外网到内网。防火墙可以以IP地址和TCP端口为基础过滤通信。

（2）方向控制：决定在哪些特定的方向上服务请求可以被发起并通过防火墙。

（3）用户控制：根据用户正在试图访问的服务器，来控制他的访问。这个技术特性主要应用于防火墙网络内部的用户（本地用户），它也可以应用到来自外部用户的通信。

（4）行为控制：控制一个具体的服务如何被实现。举例来说，防火墙可以通过过滤邮件来清除垃圾邮件。它也可能只允许外部用户访问本地服务器的部分信息。

2 常规防火墙设备不能解决的问题

2.1 内网普通用户对中心机房服务器区发起的攻击

普通的防火墙产品只是被嵌入内网和因特网之间，防止内网受到来自因特网的攻击。但是有三种安全威胁常规防火墙设备无法防范：（1）内网的普通用户若上网不慎导致电脑中毒，会对内网服务器区造成安全威胁。（2）内网的普通用户被黑客攻击变成肉鸡，被黑客控制对服务器区发动攻击。（3）内网用户本人直接在内网对服务器发动恶意攻击。因这些针对内网服务器的攻击都是在内网发起的，而不是直接从因特网发起的，内外网之间的那道防火墙也爱莫能助。

2.2 中心机房服务器间发起的攻击

普通的防火墙产品只是被嵌入内网和因特网之间，所以其根本无法防御中心机房服务器间（尤其是同vlan）发动的攻击。一台服务器中毒的话，它会很容易感染同vlan服务器。另外，如果一台服务器被别人远程控制，那么别人会轻而易举地通过这台服务器去攻击其他同vlan服务器。因为这些攻击是在中心机房服务器区内发动的，内网与因特网间的防火墙更加无能为力了。

3 解决问题的对策

3.1 为防范内网攻击而设立的内网虚拟防火墙

若中心机房服务器要防范直接或间接从内网普通用户发起的攻击，必须在内网的中心机房服务器区和内网普通用户之间另设一道防火墙，我们称之为虚拟防火墙。

虚拟防火墙主要用于防范来自内网普通用户对服务器发起的攻击，为了防范来自内网的攻击，可以为其设置相应的安全策略。以校园网为例，大部分服务器的端口（尤其是远程控制）或高级权限只能开放给网络中心的管理员，教务系统服务器的高级控制权限只能开放给教务处的系统管理员，财务服务器的高级控制权限只能开放给财务处的系统操作员，等等，同时，要求这些管理员老师要对自己的办公PC定期杀毒，而且不要随便下载或点击因特网上一些不明资源或链接。对于普通老师和学生用户，只对他们开放一些必需的http访问权限。这样服务器就能有效避免来自内网普通用户的攻击。具体操作如下：

以阿姆瑞特防火墙为例，通过web页面管理，网络中心管理员登录进去后，为各业务系统设置权限。若是为教务系统设置权限，那么首先要打开对象，选择地址簿，将教务处系统管理员、成绩管理员、学籍管理員、评教管理员等老师的办公电脑ip地址添加进去并命名，还可以将他们编成一个教务处ip组。然后再在对象下选择服务，将tcp80端口添加（tcp/udp服务）并命名为http，将tcp3389端口添加（tcp/udp服务）并命名为rdp，另外再将两个数据库端口添加并命名为两个tcp/udp服务，并且将这两个数据库tcp/udp服务添加并命名到一个服务组里。新建几条策略，首先将教务系统数据库服务器的数据库服务组开放给教务处ip组，然后将教务系统web服务器的http服务开放给校内所有人，因这两台服务器vlan相同，虚拟防火墙不会限制它俩的任何通信;如有需要，可将这两台服务器的rdp服务分别开放给教务系统管理员和网络中心管理员;然后点击让这些策略生效。

3.2 为防范同vlan服务器间的攻击而开启的服务器系统防火墙

一般而言，内网虚拟防火墙对服务器区不同vlan间的服务器也有隔离作用，但同vlan的服务器间虚拟防火墙不起作用，如果一台服务器中毒，那么它会轻而易举地对同vlan的服务器发起攻击，此时就需要开启服务器自带的系统防火墙。

专门的防火墙产品可以定向只对某些用户开放端口，限制普通用户的访问权限。而服务器系统防火墙只能粗放型地对所有用户开放哪些端口，关闭哪些端口。虽然服务器自带的系统防火墙没有专门的防火墙产品那么智能，但是它却能有效地防范来自同vlan的服务器攻击。一台服务器开启系统防火墙后，可以只令部分业务端口（比如http端口）例外通过，关闭高风险端口（比如远程连接端口），这些高风险端口只有在必须使用的情况下才临时打开一会儿，这样就能有效避免来自同vlan的服务器攻击。下面就两种常见的服务器系统防火墙设置举例：

（1）对于win server 2008系统来说，我们首先要打开控制面板，然后再控制面板中找到windows防火墙并打开，然后点击打开或关闭windows防火墙，启用windows防火墙，在这种情况下大部分端口都被封闭了，服务器是很安全的，但是基本是不能对外界提供服务，安全和便利是矛盾的，是既对立又统一的。服务器如果想在相对安全的条件下对外提供服务，那就需要在开启防火墙的情况下开启端口例外。

在windows防火墙设置选项卡下点击高级设置，然后在高级安全windows防火墙右上方，点击创建规则，在新建入站规则向导窗口下选择端口，点击下一步，选择TCP或UDP，点击特定本地端口输入端口号（例如80、8080-8081），下一步选择允许连接，再点击下一步，选择域、专用、公用等，然后命名该条规则（例如：http）完成;出站规则和入站规则设置一样。通过这些操作就可以使特定服务端口例外通过防火墙。

如果想远程控制服务器，那么不仅要让TCP3389端口例外通过windows防火墙，而且还要服务器中右击计算机，选择属性，然后点击远程设置，最后选择允许运行任意版本远程桌面的计算机连接。只有这样，才能打开远程连接，服务器才能被远程控制。但是服务器能够被远程连接也是非常危险的，特别容易被攻击，所以一定要在管理员或厂家使用完远程连接后，及时远程连接。

（2）对于Linux操作系统（以Centos6.5为例）来说，开启防火墙需要敲入命令：service iptables start;如果我们要让80、443、8080这三个端口例外通过防火墙，我们可以在/etc/sysconfig/iptables文件中添加三行命令：

-A INPUT –m state –state NEW –m tcp –p tcp –dport 80 –j ACCEPT

-A INPUT –m state –state NEW –m tcp –p tcp –dport 443 –j ACCEPT

-A INPUT –m state –state NEW –m tcp –p tcp –dport 8080 –j ACCEPT

4 結语

随着网络安全越来越被大家重视，防火墙技术的重要性凸显，本文从实践中深入探讨了一般防火墙所不能防范的两种网络威胁，并提出了相应的解决方法。希望对大家有所启发，共同进步。

参考文献：

[1] 斯托林斯.密码编码学与网络安全——原理与实践[M]. 3版.北京：电子工业出版社，2004.

[2] Bellovin S， Cheswick W.Network Firewalls[J].IEEE Communications Magazine，1994（9）.

[3] Smith R.Internet Cryptography[M]. MA：Addison-Wesley，1997.

【通联编辑：代影】