防火墙设计

一、设计防火墙的一般原则

设计和选用防火墙首先要明确哪些数据是必须保护的，这些数据的被闯入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙，对于管理员来说，首先得根据安全级别确定防火墙的安全标准。

其次，设计或选用防火墙必须与网络接口匹配，要尽量防止所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于网桥、网关、路由器等设备之中。

面对市场上的数十种产品，应当从安全策略开始考虑，选择最适合于本公司的产品。许多组织常常以一种不叫确的思想开始，并没有一个他们打算做什么的清楚的概念，这样是很危险的。

有了采用适当的安全级别和特别设计出来的防火墙，入侵者企图闯入网络时必须付出时间和金钱上的昂贵代价，且它容易暴露并具有较大的风险。

二、安全策略的确定

设计防火墙系统之前必须制定明确的安全策略。

1、明确目的

在确定安全策略之前，管理员要首先明确企业与Internet联接的最主要的目的是什么？是为了宣传企业的形象，还是为了电子贸易，或者是为了在网上查找信息?

2、了解企业的需求

在明确建立防火墙的目的之后，管理员还要了解企业对系统的具体要求。包括：

（1）内部网上有哪些数据需要保护?数据具有何种安全级别?

（2）公司是否发布web页面?

（3）是否允许Internet用户访问内部网服务器上的文件？

（4）是否允许Internet远程登录（telnet）?

（5）内部用户能无限制地访问web吗?

（6）内部网的各个部分分布在个同的物理位置吗?

（7）内部网被侵入后可能造成的最严重的后果是什么?

（8）主要的威胁可能来自外部还是内部?还是两方面都有？

3、确定方案

管理员依据企业的需求倍息，进一步确定系统设计方案，包括：

（1）内部网用户按照权限，应当如何分组?

（2）选用何种安全方案和防火墙体系结构?

（3）选择哪种防火墙产品?

（4）网络内部是否需要利用防火墙增强公司各部门之间的安全?

（5）是否统计通过防火墙访问内部网的信息?

（6）是否有专业人员监视防火墙的安全?

三、防火墙的设计实例

在学习了防火墙的基木概念和理论之后，下面用一个实例来说明如何将防火墙用于实际的系统设计方案。

我们先假设建立一个虚构的企业，其组织机构和运行方式如下：

公司设有计划部、生产部、市场部、财务部等部门，其中市场部的销售人员分散在各地，并在各地设有分部。

公司的运营方式是：销售人员寻找客户并开定单，定单先传到本地分部，然后从本地分部传到总部的市场部和财务部。财务部对定货方的信任度进行确认，将发货的通知发送给市场部，市场部组织发货，并通知财务部。财务部对在规定时间内未付货款的客户提出警告，或与银行交涉处理。计划部研究分析市场部、财务部有关数据，结合其他信息，提出调整计划，报请总经理批复，然后向生产部、市场部和采购部一一传达。

这样，各部门都有各自的信息，有的仅供领导使用，有的供公司内部人员使用，有的向网上发布。

对Web的需求:

企业之所以要建立内部网并且要和Internet联接，主要是考虑如下需要：

n 在web站点上建立公司主页，扩大产品影响。

n 建立E-mail服务，收集客户对产品的反映。

n 各地的销售人员通过E-mail向市场部传递销售定单。

n 采购人员通过E-mail向采购部传递采购定单。

n 计划部和生产部通过web查阅网上的技术参考资料。

n 企业各部门之间实现必要的快速信息文流。

为此，提出并分析如下的建议方案。