浅谈防火墙在政务系统网络的应用

摘 要：随着网络应用的普及，网络安全越来越重要，防火墙在网络安全方面的应用逐步提高。本文着重介绍了防火墙在政务内网中的应用。

关键词：防火墙;政务网;应用

1 绪论

本文较为系统的分析下防火墙在政务内网多出口环境下的应用。

政务内网一般是采用了接入不同ISP的方法，这种方法在提高可用性和可靠性的同时，也能增加带宽而提高网络性能，使用防火墙接入多ISP出口的好处主要有以下几点：

1.1 提高网络速度

政务内网一般使用电信、网通两条线路出口来提高线路总体带宽，并且通过防火墙的动态负载均衡系统，可以有效的利用线路带宽，将用户的网络请求动态均衡的分配到多条线路，达到访问电信地址走电信出口，访问网通地址走网通出口的需求，既做到了提高网络速度的目的，又避免了一条线路阻塞而另一条线路空闲的局面发生，提高了用户的网络速度和可靠性。

1.2 线路备份

网络的不稳定因素很多，其中出口不稳定是一个重要因素，如果接入的单链路出现故障，会造成整个网络通信中断。政务内网使用防火墙分别接入电信和网通出口，在其中一个出口出现故障的时候，可以将用户上网请求自动转移到另一出口，保证通信正常，只是会造成非常短暂的网络延迟，不会因为某条出口链路故障或高负荷造成网络瘫痪和缓慢，从而更好的为网络用户提供了高可用性。

1.3 网络安全

防火墻具有完善的智能系统：包括过滤功能和抗攻击功能，只有经过精心选择的应用协议才能通过，能够禁止非IP协议的数据报文通过，最新的病毒过滤引擎基于特征码过滤含有螨虫病毒的数据包。可使网络环境变得更安全。如可以禁止NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路攻击。而且可以拒绝所有攻击的报文并通知防火墙管理员。

2 多出口环境部署

2.1 地址分配问题

大家都知道互联网的地址非常有限。特别是进入21世纪以来，各国计算机网络发展迅速，IPV4地址已经接近枯竭，所以大多数互联网拨号用户都是通过NAT转换技术转换为公网地址去访问网络应用。政务网通过防火墙NAT转换技术把私有地址动态转换成多个公网地址来访问互联网，因为考虑到政务网用户多、网络应用流量虽大的特点，所以防火墙在每个出口上配置多个NAT地址保证NAT转换的过程中不会造成地址资源的耗尽，避免了部分访问网络的速度变缓。

2.2 路由选择问题

防火墙通过ISP自动路由寻址功能和源路由功能的相互配合，达到指定服务通过指定接口组转发，并结合线路带宽和线路质量进行最优的路由负载。线路的带宽决定了在防火墙在线路中负载的权重，如果线路带宽比较高，那可以跑更多的流量更有效的利用网络带宽，防火墙路由负载的工作原理如下：

当一个数据包进入防火墙时，防火墙会对这个连接的原地址+目的地址+索引进行HASH运算，得到一个HASH值，再和权重进行比较，选择路由，如果配置了路由负载均衡，内核则根据每个下一跳的权重来选路。

2.3 自动切换问题

通常当某条链路出现故障时，指向它的路由有效但不可替达，这样从该链路出去的流量就不可到，造成部分网络的访问中断，只能靠管理员手上修改路由后，这部分网络才可达。因此，必须解决能够实时监测链路的状态和质量进行自动的路由切换，这样才能满足高可靠性的需求。

防火墙能够自动探测链路的状态和质量，当探测到相应的链路故障或者线路质量不好的情况下，都会将对应链路的路由标记为无效，因此，防火墙将每个目的的路由设置为多个，分别指向多个ISP的链路，只是修改其路由度量值，再启用了路由探测功能。这样，当某条链路状态出现故障或者链路质量不佳，会自动切换到次佳的链路上。

3 防火墙运维

3.1 简述

防火墙作为政务网核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于政务网关键的实时业务系统，要求网络能够提供24小时的不间断保护，保持防火墙系可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

3.2 防火墙日常维护

围绕防火墙可靠运行和出现故障时能够快速恢复为目标.防火墙维护主要思路是通过积极主动的日常维护将故障隐患消除在萌芽状态故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行，故障处理后及时进行总结与改进避免故障再次发生。

常规维护：在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。

应急处理：当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击.定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行VRRP双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速转到旁路防火墙，在故障明确定位前不要关闭防火墙。

防火墙发生故障时处理方法：

如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙。防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。

4 结束语

任何网络安全策略最主要的部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

参考文献：

[1]吴功宜.计算机网络[M].北京：清华大学出版社，2003.

[2]陈建亚，余浩.软交换与下一代网络[M].北京邮电大学出版社，2003.

[3]达新宇.现代通信新技术[M].西安电子科技大学出版社，2005.

[4]戴浩译.开放式网络和开放系统互利互连[M].北京：电子工业出版社，1994.

推荐访问:浅谈 防火墙 政务 系统 网络