《防火墙与与校园网技术》由会员分享,可在线阅读,更多相关《防火墙与与校园网技术(3页珍藏版)》请在金锄头文库上搜索。
1、防火墙与校园网的安全策略摘 要:网络技术的发展正在改变校园内人们的学习生活, 我们在享受其带来的巨大的进步与利益同时, 校园网遭受来自外网的攻击也逐渐增多,据此提出了防火墙解决方案。本文将对防火墙的基本概念、工作原理和主要技术进行描述,然后结合防火墙在校园网中典型应用进行进一步的实例阐述。关键词:防火墙;校园网;网络安全引言随着互联网技术的飞速发展, 校园网在丰富教学资源、拓展教学空间、提高教学管理水平等方面发挥着十分重要的作用。但来自互联网的黑客入侵、病毒破坏、文件篡改和密码盗用等问题正侵扰着校园网的正常运行。对于网络管理者来说,非常希望有一种相应的技术能解决上述问题,这就是现在应用比较广泛
2、的防火墙技术。(一)防火墙技术介绍1:防火墙是一个实现安全策略的系统或系统组,强制执行对 intranet 和 internet 的访问控制。它能保证只有授权的人可以访问 intranet,且保护其中的资源和有价值的数据不会流出 intranet。简单的说,防火墙就是介于两个网络之间的具有某些存取控制功能的软硬件集合。2:防火墙的主要目的是控制数据组,只允许合法流通过。其特征是在网络边界上建立相应的网络通信监控系统(即防火墙)来达到保障网络安全的目的。 防火墙技术假设被保护网络具有明确的边界和服务,并且假设网络信息的威胁主要来自外部网络而不是内部网络,它通过建立一整套规则和系统策略来检测,限制
3、,更改穿越防火墙的数据流,实现内部网络的保护。采用防火墙安全技术适合于与外部网络相对独立且网络服务类型相对有限的网络系统,而校园网正属此型,故要实现校园网的信息安全应采用防火墙技术。3:防火墙一般主要包括五部分:安全操作系统,过滤器,网关,域名服务和 Email 处理。目前防火墙产品很多,基本上分为两类:一类基于包过滤,另一类基于代理服务器。前者直接转发报文,它工作在网络的底层IP 层,是在网络中适当的位置对数据包实施有选择的过滤 ,它可以提供廉价,有效,具有一定网络安全的环境,且它对用户是全透明的,速度较快。Cisco 的防火墙就是这种,它有两种方法实现防火墙功能,一种是适用于某些接口上的流
4、控制,用于过滤 IP 或指定 TCP 和 UDP 端口的 IP 数据包,另一种是适用于广播信息,用于过滤广播信息;而代理服务器一般工作在应用层,它可以屏蔽网络内部结构,增强网络内部的安全性,同时还可以用于实施数据流监控,过滤,记录,报告等功能。但它对用户不透明,工作量大,需要高性能服务器,通常要经代理服务器进行身份验证和注册,故速度较慢。4: 防火墙的技术主要有:分组过滤技术、应用代理技术和网络地址转换(NAT)技术。4.1 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有
5、效,因为它能很大程度地满足企业的安全要求。包过滤在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于 IP、TCP 或UDP 包头。4.2 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在 OSI 模型的最高层,掌握着应用系统中可用作安全决策的全部信息。4.3 NAT 技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时使用 NAT 的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。NAT的另一个显而易见的用途是解决 I
6、P 地址匮乏问题。(二)校园网防火墙系统的配置这里,假定校园网通过 Cisco 路由器与 CERNET 相连。校园内的 IP 地址范围是确定的,且有明确的闭和边界。它有一个 C 类的 IP 地址,有 DNS,Email,WWW,FTP 等服务器,可采用以下存取控制策略。1 对进入 CERNET 主干网的存取控制校园网有自己 IP 地址,应禁止 IP 地址从本校路由器访问 CERNET。可用下述命令设置与校园网连接的路由器:Interface E0Decription campusNetIpadd 162.105.17.1access_list group 20 out!access_list
7、20 permit ip 162.105.17.0 0.0.2252: 对网络中心资源主机的访问控制网络中心的 DNS,Email,FTP,WWW 等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止 DNS,Email,WWW,FTP 以外的一切服务。3:对校外非法网址的访问一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的,这时可通过计费系统获得最新的 IP 访问信息,利用域名查询或字符匹配等方法确定来自某个 IP 的访问是非法的。(三)防止 IP 地址欺骗和盗用为对网络内部人员访问 Internet 进行一定限制,在连接内部网络的端口接收数据时进行 IP 地
8、址和以太网地址检查,盗用 IP 地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部 IP 地址发出的报文,也应丢弃,并记录有关信息。防止 IP 地址被盗用的彻底解决办法是,网络上全部采用交换式集线器提供用户接入,设定每个端口的以太网地址和 IP 地址,但由于各种原因这种方法目前不可行。建议用下述方法解决:1:代理服务器防火墙用户的对外通信通过代理服务器进行。对用户的收费根据用户请求的数据量计算,和 IP 地址没很大关系,因此可以在一定程度上减少 IP 地址盗用给用户带来的经济损失。但它要求一定采用代理服务器方式的防火墙,因而限制了它的推广
9、。2:捆绑 IP 地址和以太网地址首先登记每个合法 IP 地址和对应的以太网地址,形成一个对应表。运行时通过定期扫描校园网内各个路由器中的 ARP 表,获得当前 IP 和 MAC 的对应关系,和事先合法的 IP 和 MAC 地址进行比较,如不一致,则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此,这种方法的效果不是很好。可对其进行改进,由用户自己动态地控制 IP 地址的访问权限,当用户不需要对外通信时,可以关掉自己的 IP 地址对外的权限,这时即使有人盗用 IP 地址也不会对用户造成直接的经济损失。(四)对非法访问的动
10、态禁止一旦获得某个 IP 地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问,首先应在路由器和校园网的以太口预设控制组 102,然后过滤掉来自非法地址的所有 IP 包,插入以下命令:access_list 1.2 deny 0.0.0.0 255.255.255.255 A.B.C.D 0.0.0.0该命令的插入实际上是对路由器进行动态配置。可以通过 Telnet Socket,编制针对 Cisco 的 telnet 仿真程序,仿真所有的人工命令过程,从而实现对 Cisco 的动态配置。由于存取控制表不能随意插入控制项,因此仿真程序需要维持一个完整的和 Cisco 内
11、控制表项一致的配置文件,即先将更改的控制项插入到配置文件中,然后将配置文件作为一个整体,传入路由器中,从而保证存取控制的完整性。(五)透明通道式防火墙传统防火墙的 IP 地址会给黑客提供攻击的线索,而透明通道式防火墙上的网络接口没有 IP 地址,可视为一透明设备。外部人员无法知道防火墙的存在,而内部人员也无法访问防火墙,从而增强了网络的安全性。此外,透明通道式防火墙在防止 IP 欺骗和盗用上也很灵活。它根据 MAC 地址选择路由(类似透明网桥功能) ,可自学或静态设置 MAC 地址和 IP 地址对应的网络端口。根据配置,它维持一张 IP 地址,MAC 地址和网络端口的对应表,该表可动态生成或由
12、系统管理员手工配置。考虑到 MAC 地址的数值比较分散,接口表采用 hash 表将 MAC 排序,保证查询时有较高的效率,不会因接口表查询成为网络的瓶颈。当前,防火墙在校园网中发挥着不可替代的作用。 校园网利用防火墙有效抵御了众多的来自外网的攻击,防火墙技术也正朝着高速、多功能、更安全的方向发展,这使得防火墙可以更好地为校园网服务。但使用防火墙并不能使得校园网万无一失,比如:来自校园网内部的攻击就难以防范。校园网络安全是一个系统工程,不能单考虑来自外网的不安全问题,而需要仔细考虑各个方面的安全因素, 将各种安全技术、管理手段结合在一起,才能构建一个更加高效、安全、稳定的校园网络环境。参考文献1吴功宜. 计算机网络(第二版)M.北京:清华大学出版社,2007.2潘瑜等. 计算机网络安全技术M.北京:科学出版社,2006.3周亚建等. 网络安全加固技术M.北京:电子工业出版社,2007.
