程鹏

[摘要]防火墙技术作为一种综合性的网络安全技术，是目前用于保障网络安全的主要手段之一，尤其是硬件防火墙技术，一直是科研机构与企业研究的热点。由于防火墙在网络中位置的特殊性，当前的防火墙产品大多集成了众多的安全功能与管理功能于一体，而大量功能的拓展往往都会对防火墙性能产生较大的影响。本文基于硬件防火墙，设计并实现了防火墙辅助管理系统服务器端，该服务器端在位于内网的通用计算机上实现防火墙的日志信息处理、用户邮件管理等业务，同时配合客户端实现了对内网的安全管理等业务，从而减轻了防火墙设备的业务处理负担，达到提高防火墙性能的目的。

[关键词]防火墙;安全管理;服务器

1硬件防火墙技术

根据物理特性，防火墙可以分为软件防火墙和硬件防火墙。硬件防火墙是当前在较高安全要求下最常使用的手段，从体系架构上看，硬件防火墙大致可以分为三类：第一类使用通用CPU以及主板进行架构（即所谓的工控机），但这样设计的防火墙系统性能普通，无法满足网络通信中海量数据包处理的需求;第二类使用网络处理器（NP）进行架构，同样由于NP性能的限制，这种架构的防火墙只能够实现防火墙最基本的功能[1];第三类硬件防火墙使用专用的ASIC进行架构，这样架构的防火墙能够大幅提高系统的吞吐能力，保证其线速性能，能够胜任千兆级的骨干网络环境，该架构的缺点是开发成本较高，对开发维护的灵活性及扩展性不够。

2硬件防火墙系统关键技术

2.1.网络各个层次的协议分析和安全检查

按照7层网络层次的安全需要和安全措施，对于任何进入系统的数据流都会经过网络安全专用芯片的多层协议分析和安全检查，同时系统线速地对每一个进入的数据包进行从数据链路层到协议应用层的安全检查和协议分析，这样可以阻止任何违法、伪装和恶意攻击入侵的数据包。通过协议分析和检查，用户可以在安全区域上定制自己的防火墙开关，从而达到过滤一些不安全协议的目的，例如：分片的TCPSYN包是一个不安全的协议包，如果用户定制为禁止，那么所有从这个安全区域流入的分片的TCPSYN包就会被阻止，同时还可以根据策略定制深层协议过滤。

2.2状态防火墙

系统对外部安全区域上发起的每个数据流进行安全策略检查和状态检测[2]。一旦发现任何违反安全策略的数据流将全部被系统阻止。检查是基于会话的安全状态的判断，针对网络层和传输层的网络会话建立特征和合理状态进行的检查和过滤，安全策略允许的的可以进入内部网络的数据流必须通过安全跟踪和状态检查，一旦发现任何状态不正常的情况，立即阻止该非法数据的传输，所以只有符合安全策略的会话建立状态才可以正确进行通信连接。

2.3入侵检测和过滤

大部分外部的攻击和入侵都会先进行网络扫描，查找网络内部的IP、服务和安全漏洞，如果发现可以攻击的IP，服务或者安全漏洞就会采用各种攻击工具或者黑客软件发起攻击和入侵数据流，从而达到攻击和入侵的目的。系统通过检查这些恶意扫描和攻击入侵数据流，从而阻止各种攻击和入侵的产生。所有这些入侵检测策略都是预先定制好的，根据用户实际网络中划分的不同安全区域，可以改变这些配置，从而达到网络安全要求。所有这些安全检测处理都是由专用网络安全芯片（ASIC）完成的，从而可以实现高效可靠的网络安全防御功能。同时还可以根据安全策略进行基于应用协议内容的过滤和检查：如UR过滤、WEB过滤、Email过滤等。

2.4内部网络防御

相对于外网防御，内部网络防御主要是对内部一些重要网络资源进行保护，防止内部的非法访问[3]，防止内部感染了网络病毒的用户从网络内部影响整个内部网络的业务。另外就是针对内部用户和网络资源进行有效的管理，控制和监视。由于种种原因可能有些无意或者恶意的安全隐患是直接从内部网络发起的，如：内部某个用户感染了网络病毒，因为内部网络的安全区域可能没有启用像外部网络安全区域那么严格的安全策略检查，这时可能会对内部网络造成影响，系统会对内部网络进行以下的控制：内部用户的会话发起速度检测和限制，一旦发现内部用户不正常，可以控制和限制它对内部网络的影响。对内部网络进行严格的源检查，因为攻击包多数是伪装，它无法通过合法源检查。对内部网络进行实时安全策略调整，根据不正常现象检测进行实时策略实施以避免攻击形成。

3辅助管理系统功能分析

系列防火墙在专用安全芯片上实现了常用的防火墙安全技术，并在通用CPU上完成了更加复杂的网络处理与系统管理功能，然而，尽管在防火墙上实现了内部网络防御的部分功能，由于内部网络攻击的特殊性，防火墙仍然需要一个分布于用户主机的软件系统来完善对内部网络的防御。同时考虑到用户需求的日益增多，例如在企业网内部，为了维护企业自身的利益，管理者往往希望能够对企业网用户实现上网行为监管、各种进出企业内部网的文件备份等等[4]。如果将这些性能的拓展全部集中于防火墙设备，对防火墙设备而言无疑将添加沉重的负担，使其性能大打折扣。同時，防火墙系统自身是通过通用CPU以及嵌入式实时操作系统对防火墙的日志、文件等数据进行统计分析，而海量的日志与文件数据在处理时所耗费的存储空间只能靠不断添加存储设备实现，这对整个防火墙系统结构的设计是很不利的，另外日志分析的用户接口等功能在嵌入式实时操作系统中实现起来也会比较繁琐。

4服务器设计方案

本文所构架的防火墙辅助管理系统服务器采用了经典的Apache+PHP+MySQL的结构，其中Apache作为WEB服务器，MySQL作为系统后台数据库，PHP作为脚本解释器，用以进行WEB与MySQL数据处理以及WEB前端显示。Apache是目前世界使用排名第一的的WEB服务器，同时可以作为代理服务器使用，作为一款功能强大、高灵活性、高可拓展性的免费软件，它几乎可以运行在所有广泛使用的计算机平台上。

PHP是一种在服务器端执行的嵌入HTML文档的脚本语言，语言风格类似于C语言，由于其开放性、高效性以及较强的可移植性等特点，同时在PHP4、PHP5等版本中加入了对面向对象设计的支持，使得PHP语言已成为目前网页设计中广泛采用的设计语言[5]。本文所采用的PHP版本为PHP-5.2.5-Win32，该版本适用于Win32系列开发环境，同时包含了PHP5系列所具备的良好的面向对象设计以及数据库接口等功能。MySQL是一个基于结构化查询语言的多用户、多线程SQL数据库服务器，它是目前中小型数据库解决方案中广受欢迎的一种，与其它大型数据库相比，MySQL的不足之处在于规模较小、功能有限等，但对于一般的中小型企业来说，MySQL提供的功能已绰绰有余，同时，由于MySQL是开放源码的免费软件，因此可以大大降低系统成本[26]。本文所选用的MySQL版本为MySQL5.0.54forWin32，同时使用mysqlcc软件作为数据库界面化开发工具。

5结论

本文设计与实现了防火墙辅助管理系统服务器端，该系统将防火墙上的部分功能转移至内网的通用PC上实现，从而达到提高防火墙系统性能的目的。

参考文献

[1]冯力超.基于计算机防火墙安全屏障的网络防范技术[J].信息与电脑（理论版），2018（13）：192-193.

[2]青华.基于计算机防火墙安全屏障的网络防范技术应用分析[J].无线互联科技，2017（21）：20-21.

[3]程彪.试谈硬件防火墙在网络中的应用[J].电脑编程技巧与维护，2016（19）：88-89.

[4]杨玉梅，宫纪明，胡兰兰.网络安全中防火墙穿越代理的实践研究[J].计算机与网络，2016，42（17）：63-65.

[5]陈俊锦.论硬件防火墙在网络安全体系中的核心应用[J].电脑知识与技术，2016，12（09）：37-38+54.