1768计算机技术与应用进展·2007构建校园网络防火墙技术研究马桂婷合肥工业大学,合肥230009摘要:随着校园网应用的发展，网络的安全问题也不断显现出来。保障网络的正常运行、资源合法访问，使网络免受病毒和其他不良意图的攻击，就显得尤为重要。本文针对防火墙采用的技术进行了分析，并结合校园网络的特点，探讨了如何构建校园网络的防火墙系统问题。关键词:校园网络信息安全防火墙包过滤1引言校园网是学校信息化建设的基础设施，是学校实现信息化的重要平台，在支持教学、教务管理、行政管理和校内外信息沟通等方面起着举足轻重的作用。随着校园网应用不断普及和深入,网络的安全问题也不断显现出来，如何保障网络的正常运行、资源合法访问，使网络免受黑客、病毒、恶意软件和其他不良意图的攻击，就显得尤为重要。因此，在校园网的建设和维护过程中，必须针对各种不同的安全威胁，制定相应的安全策略，建立科学而有效的安全防护体系，以确保校园网的正常运行。在内部网络和Internet之间设置防火墙并合理配置防火墙是保证内网络安全的主要方法。2防火墙的种类与实现技术目前常用的防火墙主要有：包过滤技术防火墙、状态检测技术防火墙、应用代理技术防火墙。2.1包过滤技术包过滤技术的防火墙对每一个接收到的包做出允许或拒绝的决定。它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则丢弃。包过滤能力来自于软件。其明显的优势就是速度，主要弊端有：①无法对数据包及上层的内容进行核查，所以无法过滤审核数据包的内容。②由于此种类型的防火墙工作在较低层次，防火墙本身所能接触到的信息较少，所以它无法提供描述事件细致的日志系统。③所有可能用到的端口（尤其是>1024的端口）都必须放开，增加了被攻击的可能性。④容易受到IP欺骗攻击。⑤如果网络结构比较复杂，配置ACL非常困难。2.2状态检测技术状态检测防火墙直接对分组里的数据进行处理，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过。状态检测防火墙内部除了有一个需要人为配置的访问控制规则表外，还有一个不需配置，防火墙自动产生的状态表。状态表的内容一般主要包括数据包的来源/目的IP地址、来源/目的端口、时间、以及数据包的sequence number（对于TCP连接）、数据包的标志位等（对于TCP连接）。当有数据包到达防火墙时，这些参数将决定数据包是否在属于一个已经合法的连接。状态检测防火墙能够保护网络不受“拒绝服务”攻击、防止IP欺骗攻击

、避免开放>1024的高端端口。1626构建校园网络防火墙技术研究1769由于其工作在OSI的第三层和第四层，也存在着不能对应用层数据进行控制、不能纪录高层次的日志等问题。2.3应用代理技术应用代理技术防火墙的核心技术就是代理服务器技术。从内部网络发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网络结构的作用。防火墙的实现主要是基于软件。这种防火墙工作在OSI的应用层，能够理解应用层的协议，能进行一些复杂的访问控制，主要包括：①认证机制，如最常见的用户和密码认证；②内容过滤，常见的过滤80端口的Java Applet、JavaScript、ActiveX、电子邮件的MIME类型，以及URL过滤等；③应用层日志，由于防火墙工作在OSI的应用层，因此可以记录非常详尽的日志记录。3校园网的安全设计现以本院的防火墙设计为例，阐明防火墙技术在实践中的应用。本院校园网防火墙的设计主要分总体的体系设计和防火墙的功能实现两方面。3.1现有网络环境目前校园网络以信息中心为核心，连接了五个系部，及图书馆和实训中心的1000多台的微机。校园网在安装防火墙之前，通过一条专线与internet相连，极易受到黑客攻击，影响正常教学和管理。3.2校园网防火墙的体系设计（1）确定要提供的服务建立防火墙的目的是提供安全的网络服务，在构建防火墙时首先要考虑提供哪些服务，同时对哪些服务进行过滤。①基本的网络服务域名服务(DNS)和IDENT用户验证服务允许作为客户端的DNS查询、允许peer-to-peer DNS查询、允许对本地服务器的远程DNS查询；过滤AUTH用户认证服务、允许作为客户机发起AUTH请求、过滤对服务器的进来的AUTH请求。②公用的TCP服务和公用的UDP服务。（2）确定主机通过防火墙的访问策略在防火墙实施前确定可以通过防火墙的站点和IP地址。主要可以分为下面几类情况:①外部网络的主机可以通过防火墙访问本地服务器即发起端是外部网络的主机。②内部网络的主机可通过防火墙访问哪些外部网络的站点即发起端是内部网络的主机。③外部网络是否可以直接访问内部网络的主机(服务器主机除外)。在设计过程中，内部网络的主机可以有地访问外部网络的站点，以内部网络的主机访问那些内容不健康或反动的站点，而外部网络的主机只能访问本地的允许外部访问的服务器，其它的服务器或主机，外部网络的主机是不能访问的。图1校园网络防火墙拓扑结构图（3）确定校园网防火墙在网络上的位置16271770计算机技术与应用进展·2007通过上述所确定的访问策略，可以把防火墙在网络上的位置确定下

来。校园网防火墙主要连接三部分网络:内部网络、DMZ和Internet，根据其实现的功能，确定其网络拓扑结构图如图1所示。3.3防火墙实现功能通过防火墙的体系设计，从该校园网络拓扑图中可以看出，该防火墙主要实现了以下几方面的功能:（1）该防火墙从物理上把Internet和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点即所谓的非军事化区(DMZ)。（2）外部的包过滤路由器使用状态过滤技术防止“拒绝服务”攻击、防止IP欺骗攻击、避免开放>1024的高端端口，同时外部到壁垒主机的访问，并且拒绝任何来自非壁垒主机的信息传输。内部的包过滤路由器作为第三条防线，同样使用规则来防止IP哄骗和源路由攻击，拒绝所有流入的非壁垒主机生成的信息包，并只向壁垒主机发送出站的信息包。（3）壁垒主机配置成应用代理负责转发服务器与内客户之间的通信，应用代理将内部客户生成的信息包转发给目标系统，目标系统回应给代理，然后代理再将传回的信息包送回客户机。这样有效地隐藏了内部网络的结构，使得攻击几乎无法伤害到被保护的真实的网络设备。4结束语任何一种防火墙只是为校园网通信或数据传输提供了更有保障的安全性，但校园网络安全也不能完全依赖于防火墙，还要加强系统的安全性，提高自身的安全意识，制定出有效的安全管理措施，从而形成有层次的安全防御体系，为学校的教学和管理提供更有力的保障。参考文献[1]James Stanger等著。CIW:安全专家全息教程，电子工业出版社,2003.[2]赵小林、彭祖林、王亚彬.网络安全技术教程，国防工业出版社,2002.[3]黄开枝.网络防御与安全对策.清华大学出版社,2004,4.[4]Keith E.Strassberg.网络与信息安全技术丛书:防火墙技术大全,机械工业出版社,2003.[5]Managing firewall and network-edge security policies Al-Shaer,E.;Network Operations and ManagementSymposium,2004.NOMS 2004.IEEE/IFIPVolume 1,19-23 April 2004 Page(s):926,Vol.1.The Technique Research of Setting up a Cammpus Net FirewallMA Gui-tingHefei University of Technology,Hefei 230009Abstract:With the developing application of the campus net,the security of network is continuouslyemerging.It is very important to ascertain that the network work normally,the network resource be visitedlegally and make the network avoid from the computer virus and other bad intentions attack.This paperanalyzed the firewall technics and discussed the problems of how to build up the firewall system of campusnet,in terms of the safe characteristics of the campus net.Keywords:campus net;information security;firewall;package-filtrate1628下载本文