局域网防火墙技术分析及典型配置

摘 要：本文主要介绍了局域网中防火墙的功能特点，重点分析了防火墙的技术类型，主要有包过滤技术、代理技术、状态检测技术，最后介绍了典型防火墙配置，即三网口透明模式、三网口混合模式。

关键词：防火墙 局域网 网络安全

中图分类号：TP393.1 文献标识码：A 文章编号：1672-3791（2013）02（a）-0031-01

随着网络安全重要性日益提升，防火墙作为网络防御技术的重要手段广泛应用于网络工程中。防火墙通常部署于网络之间，通过访问控制策略来保护网络通信安全。（图1）

1 防火墙的主要功能

防火墙配置于信任程度不同的网络之间，是软件或硬件设备的组合，它对网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，从而保护目标系统的安全。防火墙的主要功能如下。（1）防御攻击。防火墙通过设置过滤规则，禁止有安全隐患的服务，防止非授权用户进入内部网络，极大提高了内网的安全性。（2）强化内网安全管理。利用防火墙的网络管理功能可对内部网络进行网段划分，区分不同的网络分组来制定访问规则。（3）实现网络地址转换。防火墙的NAT技术，可以将内网地址映射到公网地址，实现解决公网地址不足和隐藏内网结构的目的，降低来自外网安全威胁，同时主机IP地址配置不用做大的变动，仅需要配置网关即可。

2 防火墙技术的主要类型

目前，防火墙技术主要包括：包过滤技术、应用代理技术、状态检测技术等。

（1）包过滤技术。包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据的包头源地址、目的地址、端口号和协议类型来过滤信息。当一个数据包满足过滤规则，则允许此数据包通过。（2）应用代理技术。应用代理型防火墙工作在OSI网络参考模型的最高层，即应用层。通过对每种应用服务使用特定的代理程序，实现监视和控制应用层信息流的作用。（3）状态检测技术。状态检测技术采用基于连接的检测机制，将属于同一连接的所有包作为一个整体的数据流来对待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态加以识别。状态检测技术是包过滤技术的延伸，使用各种状态表来追踪活跃的TCP会话。由用户定义的访问控制列表决定充许建立哪些会话，只有与活跃会话相关联的数据才能通过防火墙。

3 防火墙典型应用环境

3.1 三网口透明模式（图2）

三网口透明模式中，网络IP地址属于同一网段，划分为三个区段。内部局域网区段的地址是 10.10.10.1～50/24；DMZ网络区段的地址是10.10.10.100～150/24；fe2所连网络区段的地址是 10.10.10.200～254/24。DMZ提供WWW、MAIL、FTP等服务。防火墙fe1、fe2、fe3工作在透明模式。区段间的安全策略是：允许内部网络区段访问DMZ区段和外网的http、smtp、pop3、ftp服务，允许外网区段访问DMZ网络的http、smtp、pop3、ftp服务。外网对DMZ的访问做深度防护检测，其他的访问都不做深度防护检测。

3.2 三网口混合模式（图3）

三网口混合模式中，局域网和DMZ属于同一网段，其中局域网的IP地址是10.10.10.2～50/24；DMZ网络区段的IP地址是10.10.10.100～150/24。DMZ提供WWW、MAIL、FTP等服务。外网地址是202.100.100.0/24。防火墙fe1、fe3工作在透明模式，fe2工作在路由模式。区段间的安全策略是：允许局域网访问DMZ和外网，允许外网访问DMZ，其他的访问都禁止。

4 结语

防火墙是实现网络安全、防御网络入侵的重要手段，通过对内、外网之间的通信进行检测，从而有效地保护内部网络资源，也可以限制内部网络对某些外部信息的访问。必须强调，网络安全仅仅依靠防火墙技术是不够的，还需结合其他技术全面考虑。

参考文献

[1]许伟，廖明武.网络安全基础教程[M].北京：清华大学出版社，2009.

[2]吴灏.网络攻防技术[M].北京：机械工业出版社，2010.