包丽丽

文章编号：2095-6835（2016）13-0073-01

摘 要：传统防火墙的设计类似于关卡，结构简单，维护方便，它作为一种隔离技术，允许符合身份的人进入。但是，对于一些安全级别比较高的数据信息而言，采用传统的防火墙，外来入侵者很容易获取到相关信息。鉴于此，在设计Linux系统防火墙时，要针对不同级别的用户设计不同级别的防火墙。简要分析了计算机网络防火墙的安全设计及其应用，以期为日后的相关工作提供参考。

关键词：计算机网络；防火墙；隔离技术；网络安全

中图分类号：TP393.08 文献标识码：A DOI：10.15913/j.cnki.kjycx.2016.13.073

防火墙是一种虚拟的网络隔离技术。目前，防火墙技术已经发展到第五代，越来越完善。为了分析计算机网络防火墙的安全设计，基于Linux系统，以小企业为服务对象，特设计了相对简约的Linux防火墙。本文重点分析了基于Linux防火墙的设计与实现。

1 基于Linux防火墙系统设计

基于Linux防火墙的设计提高了系统的安全性、可靠性，使设计系统具有基本功能、辅助功能和增强功能。根据某单位软硬件的实际使用环境，要开发满足要求的防火墙系统。防火墙功能的实现需要以主机安全保护和良好人际界面为基础，方便操作和管理。考虑到现有硬件的显示，需简化试验环境，基于主机设计，在Linux环境下采用C语言实现，界面设计和数据库的联接通过Kylix开发工具实现。防火墙包括用户端、以太网和系统服务器3个端口，内网能够实现访问功能，但是，外网访问会受到限制。

防火墙的功能是通过三端口实现的，它采用2个独立网卡，一个主要针对服务器的安全，另外一个实现数据交换。防火墙代理系统的实现方式能够保证用户信息的安全传递。它采用的操作系统为嵌入式的，方便修改和裁剪，而且安全性能比较高。

2 基本构成

传统防火墙主要有包过滤防火墙、应用代理防火墙和监测模块。Linux系统同样采用的是模块化设计，以方便其日后扩展。包过滤检测数据包主要包括数据部分和端头，它不理会包内的信息内容。其中，包头信息包括地址、目的地址、封装协议、输出端接口。包过滤防火墙将根据匹配规则对每一个包作出允许或不允许的决定。地址转换模块功能能够实现静态网络地址转换、端口重定向转换等。防火墙系统分为Web管理、转换、内核模块等部分。在硬件设计中，考虑到系统成分，需要减少硬件凸级。在设计系统中，将Linux核心和文件系统写入Flash中，避免硬件信息的调入，提高执行效率。身份认证模块主要服务于内部网络客户端，用户通过认证可以实现数据通信，否则客户端需要重新发送请求。在网络地址转换模块设计中，要建立映射关系，查询转换阶段，待完成操作后解除映射关系。

3 网络安全实现

防火墙设计模块分为数据路、包过滤、身份认证等。链路层建立在物理层传输能力的基础上，位于内外网之间，包括IP协议、ARP协议和RARP协议。其中，IP协议能够实现数据传输，ARP协议和RARP协议主要用于地址信息的接收。在防火墙系统实现的过程中，需要配置硬件，设置Intranet内部网址，同时，配置相应的软件地址。

身份认证模块并不具有灵活性。该设计系统比较适合小型单位，因此，在设计中，需要设计用户自制，并录入用户资源信息，对内部成员实现用户认证，解决身份认证和记录问题。在用户认证模块的设计中，如果用户进图模块判断用户信息符合要求，则进入数据库，生成配置文件，进入系统主控程序。

当主机发起访问时，需要在数据包报头中指明IP地址。当数据包被处理时，可将源地址替换为防火墙出口段IP地址，同时，防火墙可能会出现临时端口，以回应数据到来时外部制剂能够看到的端口号。

在防火墙配置中，NAT和ACL是重点，ACL实现访问控制，NAT则实现计算机访问地址转换。建立内部网络和外部网络，将PC2、Core连接起来，利用软件进行配置。由2626A创建2个Vlan分配端口，并配置中断端口，采用三层转发的方式。同时，给7102A写指向2626A静态路由，NAT设置外部接口IP和内部接口IP。建立映射时，要建立 IP 10.1.1.2 端口映设，在接口上启动NAT，#ip NAT outside //设定 NAT，做nat转换，从pc2ping PCi截图。另外，要为三层交换机增加配置，#vlan 10 untagged D1-D4 // vlan10 分配 D1-D4，vlan11 分配 E1-E4，#vlan 11 ip access-group 10 out.

按照分层设计的思想，可将Linux网络协议分为系统判断、协议无关、协议实现、驱动和无关设备驱动层。在模块驱动中，可先判断insmod，登记成功则成功插入，否则返回。检测网络设备名字，确定进入init-function函数，确定网卡设备是否存在，存在则进行初始化工作。在以上模块驱动中，需要监测和初始化网络设备，启动时，系统要检测可能存在的设备——要在dec-base列表上检测网络设备结构，采用net-dev-init函数对节点进行init函数指针，以说明设备的存在。如果设备不存在，则需删除，保存信息，完成初始化工作。系统完成内核启动后，产生init进程，带动sys-setup初始化设备，从而启动检测程序实现设备检测。

4 结束语

总之，本文主要分析了基于Linux防火墙的网络安全设计。经过测试，防火墙具有测试、工作的双重性能，而且包过滤技术能够综合性分析数据包和应用层规则。在未来的整合过程中，能够扩大其应用范畴。另外，采用分布式设计结构大大提高了防火墙的安全防护强度，管理员能够在第一时间处理相关事务。

参考文献

[1]朱诗生，陈晓强，肖海涛，等.ERP系统IAM的网络安全设计[J].电子设计工程，2014（22）：166-169.

[2]赵海峰.浅谈计算机网络防火墙的安全技术[J].电脑开发与应用，2013（10）：24-26.

[3]陈建强.基于计算机网络防火墙的安全设计分析[J].电子技术与软件工程，2013（16）：241.

〔编辑：白洁〕