防火墙技术在校园网络的应用研究

网络技　防火墙技术在校园网络的应用研究　黄山明　（金华教育学院，浙江金华３２１０００）　［摘要］本文通过对防火墙的设置方案、产品选择、路由器的配置方案、防火墙与入侵检测技术　ＩＤＳ的研究，系统地讨论了防火墙技术在校园网络中的应用。　［关键词］防火墙；校园网络；网络安全　１．引言　２．２屏蔽主机网关　屏蔽主机网关易于实现，安全性好，应用　广泛。它又分为单宿堡垒主机和双宿堡垒主机　两种类型。先来看单宿堡垒主机类型，如图２：　一防火墙是目前网络安全的一个最常用的防　护措施，广泛用于对校园网络和系统的保护。　根据校园网络管理员的要求，监控通过防火墙　的数据，允许和禁止特定数据包的通过，并对　所有事件进行监控和记录，使内部网络既能对　个包过滤路由器连接外部网络，同时一个堡　垒主机安装在内部网络上。堡垒主机只有一个　网卡，与内部网络连接。通常在路由器上设立　外正常提供Ｗｅｂ访问，ＦｒＰ下载等服务，又保　护内部网络不被恶意者攻击。　２．防火墙设置方案　２．１双宿主机网关　如图１，这种配置是用一台装有两个网络适　过滤规则，并使这个单宿堡垒主机成为从外网　唯一可以访问的主机，确保了内部网络不受未　被授权的外部用户的攻击。而内部网络的客户　机，可以受控制地通过屏蔽主机和路由器访问　Ｉｎｔｅｒｎｅｔ　配器的双宿主机做防火墙。双宿主机用两个网　络适配器分别连接两个网络，又称堡垒主机。　堡垒主机上运行防火墙软件，可以转发应用程　序，提供服务。双宿主机网关有一个弱点，一　旦入侵者侵入堡垒主机并使其只具有路由器功　能，则任何网上用户均可以随便访问有保护的　内部网络。　图２屏蔽主机网关（单宿堡垒主机）　双宿堡垒主机型与单宿堡垒主机型有些区　别，如图３：堡垒主机有两块网卡，一块连接内　部网络，一块连接包过滤路由器。双宿堡垒主　机在应用层提供代理服务，与单宿型相比更加　作者简介：黄山明，男，浙江浦江人，助教，本科，研究方向：计算机教学。　．－－－——４５．．－．——　维普资讯 http://www.cqvip.com

络技术　安全。　图３屏蔽主机网关（双宿堡垒主机）　２．３屏蔽子网　如图４这种方法是在Ｉｎｔｒａｎｅｔ和Ｉｎｔｅｒｎｅｔ之　间建立一个被隔离的子网，用两个包过滤路由　器将这一子网分别与Ｉｎｔｒａｎｅｔ和Ｉｎｔｅｒｎｅｔ分开。　两个包过滤路由器放在子网的两端，在子网内　构成一个缓冲地带，两个路由器一个控制Ｉｎｔｒａ．　ｎｅｔ数据流，另一个控制Ｉｎｔｅｒｎｅｔ数据流，Ｉｎｔｒａ．　ｎｅｔ和Ｉｎｔｅｒｎｅｔ均可访问屏蔽子网，但禁止它们　穿过屏蔽子网通信。可根据需要在屏蔽子网中　安装堡垒主机，为内部网络和外部网络的互相　访问提供代理服务，但来自两网络的访问都必　须通过两个包过滤路由器的检查。对于向Ｉｎｔｅｒ－　ｎｅｔ公开的服务器，像ｗｗｗ，ＦＴｒＰ，Ｍａｉｌ等Ｉｎ－　ｔｅｒｎｅｔ服务器也可安装在屏蔽子网内，这样无论　是外部用户，还是内部用户都可访问。这种结　构的防火墙安全性能高，具有很强的抗攻击能　力，但需要的设备多，造价高。　图４屏蔽子网防火墙　以上谈到的几种防火墙配置方案，前两种　方案即通过做代理服务器或接路由器最适合当　前中小学应用，既易于实现，安全性又好，而　且不需要巨额资金投入，因此比较有推广价值。　一４６—　３．防火墙产品的选择　３．１软件防火墙　软件防火墙运行于特定的计算机上，它需　要客户预先安装好的计算机操作系统的支持，　一般来说这台计算机就是整个网络的网关，软　件防火墙就像其它的软件产品一样需要先在计　算机上安装并做好配置才可以使用。　３．２硬件防火墙　市场上大多数防火墙都基于ＰＣ架构，由于　此类防火墙采用的依然是别人的内核，因此依　然会受到操作系统本身的安全性影响。传统硬　件防火墙一般至少应具备三个端口，分别接内　网，外网和ＤＭＺ区，现在一些新的硬件防火墙　往往扩展了端口，常见四端口防火墙一般将第　四个端口做为配置口、管理端口。　硬件防火墙采用专用的硬件设备，然后集　成生产厂商的专用防火墙软件　从功能上看，　硬件防火墙内建安全软件，使用　属或强化的　操作系统，管理方便，更换　，软硬件搭配　较固定。硬件防火墙效率高，『１）　决Ｊ　防火墙效　率、性能之间的矛盾。　此外，硬件防火墙还有以下优势：　１）性能优势：防火墙的性能对防火墙来说　是至关重要的。它决定了每秒钟通过防火墙的　数据流量。单位是Ｂｐｓ，从几十Ｍ到几百Ｍ不　等，还有千兆防火墙甚至达到几Ｇ的防火墙。　而软件防火墙则不可能达到如此高的速率。　２）ＣＰＵ占用率的优势：硬件防火墙的ＣＰＵ　占用率当然是０了，而如果处于节约成本的考　虑将防火墙软件安装在提供服务的主机上，当　数据流量较大时，ＣＰＵ占用率将大幅增加。　在价格上，软件防火墙的优势就比较明显　了，而目在Ｉｎｔｅｒｎｅｔ上还有很多免费下载；而一　款吞吐量百兆级、万级并发连接数的中档硬件　防火墙至少在两万元以上，这就需要根据校园　网络实际使用情况选择相应的防火墙产品。　４．路由器的配置方案　路由器是一种连接多个网络或网段的网络　设备，它能将不同网络或网段之间的数据信息　维普资讯 http://www.cqvip.com

网络技　进行“翻译”，以使它们能够相互“读”懂对　方的数据，从而构成一个更大的网络。路由器　工作在ＯＳＩ模型中的第三层，即网络层。路由　器利用网络层定义的逻辑上的网络地址（即ＩＰ　的安全作用。　在校园网这种中小型网络中，安全路由器　的部署使防火墙成为一个配置在路由器之中的　设备，因此就没有必要再部署独立防火墙了。　地址）来区别不同的网络，实现网络的互连和　隔离，保持各个网络的独立性。当ＩＰ子网中的　一台主机发送ＩＰ分组给同一ＩＰ子网的另一台主　机时，它将直接把ＩＰ分组送到网络上，对方就　能收到。而要送给不同ＩＰ于网上的主机时，它　要选择一个能到达目的子网上的路由器，把ＩＰ　分组送给该路由器，由路由器负责把ＩＰ分组送　到目的地，由于是在网络层的互连，路由器可　方便地连接不同类型的网络，只要网络层运行　的是ＩＰ协议，通过路由器就可互连起来。我们　这里讨论的主要是硬件路由器设备，硬件路由　器设各可以看成是一种具有多个网络接口的计　算机，这种特殊的计算机内部也有ＣＰＵ，内存、　系统总线、输入输出接口等等和ＰＣ相似的硬　件，只不过它所提供的功能与普通计算机不同　而已。　路由器主要有以下几种功能：　第一，网络互连，路由器支持各种局域网　和广域网接口，主要用于互连局域网和广域网，　实现不同网络互相通信；　第二，数据处理，提供包括分组过滤、分　组转发、优先级、复用、加密、压缩和防火墙　等功能；　第三，网络管理，路由器提供包括配置管　理、性能管理、容错管理和流量控制等功能。　现在的路由器产品功能越来越多，其中很　重要的一个功能就是具备了安全防护的功能，　它集成了防火墙和ＶＰＮ等安全功能，这样的路　由器是集常规路由与网络安全功能于一身的网　络安全设备，从主要功能来讲，它作为路由器，　主要承担网络中的路由交换任务，但还具各了　安全功能，包括可以内置防火墙模块。一般来　说，高性能的安全路由器具有以下主要功能：　除了ＮＡＴ之外，路由器接人Ｉｎｔｅｒｎｅｔ还采用了　防火墙技术，主要是基于源和目标ＩＰ地址以及　端口过滤的防火墙技术。通过防火墙技术，可　以使内部的局域网免受外面的攻击，起到一定　但是在大型的网络中，两者是完全不同的安全　设备，安全路由器取代防火墙还太现实。对于　条件较好的校园网络，在公网和内部网络之间　可以选择安装专业的硬件防火墙，保证代理服　务器和校园网内部免受攻击。在防火墙设置上　我们按照以下原则配置来提高网络安全性：　１）根据校园网安全策略和安全目标，规划　设置正确的安全过滤规则，规则审核ＩＰ数据包　的内容包括：协议、端口、源地址、目的地址、　流向等项目，严格禁止来自公网对校园内部网　不必要的、非法的访问。总体上遵从“不被允　许的服务就是被禁止”的原则。　２）将防火墙配置成过滤掉以内部网络地址　进入路由器的ＩＰ包，这样可以防范源地址假冒　和源路由类型的攻击；过滤掉以非法ＩＰ地址离　开内部网络的ＩＰ包，防止内部网络发起的对外　攻击。　３）在防火墙上建立内网计算机的ＩＰ地址　和ＭＡＣ地址的对应表，防止ＩＰ地址被盗用。　４）定期查看防火墙访问日志，及时发现攻　击行为和不良上网记录。　５）允许通过配置网卡对防火墙设置，提高　防火墙管理安全性。　５．防火墙与入侵检测技术ＩＤＳ　ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ，入侵监澳４　系统）是一种网络安全系统，ＩＤＳ作为一种安　全产品，作用就是检测、识别网络和系统中存　在的入侵和攻击，并对攻击作出有效的响应，　如阻止攻击的进行、对攻击进行记录、作出主　动响应等。入侵检测技术是近２Ｏ年出现的一种　主动保护自己以免受黑客攻击的新型网络安全　技术，它被认为是防火墙之后的第一道安全闸　门，它在不影响网络性能的情况下对网络进行　检测，从而提供对内部攻击、外部攻击和误操　作的实时保护。入侵检测能力是衡量一个防御　体系是否完整有效的重要因素。强大的、完整　一４７—　维普资讯 http://www.cqvip.com

络技术　的入侵检测体系可以弥补防火墙相对静态防御　的不足。　样的主流功能，都被集成到防火墙产品中了，　很多时候我们已经无法分辨这样的产品到底是　传统的方案中往往是防火墙与ＩＤＳ各成安　全体系，互不相通。对于条件较好，安全要求　较高的校园网，可采用瑞星的入侵检测系统　ＲＩＤＳ。此系统具有传统入侵检测功能以外，通　过安装互动插件实现与瑞星防火墙进行互操作。　以防火墙为主，还是以某个功能为主了，即其　已经逐渐向我们普遍称之为ＩＰＳ（入侵防御系　统）的产品转化了。虽然各种安全技术存在着　一定程度的差异，但是不同技术的协同工作和　在应用上的融合又是一个迫切的要求和必然趋　势，各产品的融合、协同、集中管理是网络安　全的发展方向。　６．结语　为了更有效地检测校园网的外部攻击和内部攻　击，在每个需要受保护的网络内安装相应的　ＲＩＤＳ入侵检测系统。通过专用响应模式与防火　墙进行互操作。　ＩＤＳ与防火墙联动可以更有效地阻断所发　如前所述，防火墙是目前保障网络安全最　常用的一种措施，对于校园网来说，防火墙的　应用不应该盲目追求“完美”和“高档次”，　应该是在充分考虑安全性能、资金投入情况等　多方面的因素前提下，结合本校园网络建设的　生的攻击事件，从而使网络隐患降至较低限度，　ＩＤＳ与防火墙联动工作原理是：入侵检测系统　在捕捉到某一攻击事件后，按策略进行检查，　如果策略中对该攻击事件设置了防火墙阻断，　那么入侵检测系统就会发给防火墙一个相应的　动态阻断策略，防火墙根据该动态策略中的设　置进行相应的阻断，阻断的时间、阻断时间间　隔、源端口、目的端口、源ＩＰ和目的ＩＰ等信　具体情况，选择最为合适的防火墙技术。　参考文献：　［１］阎慧，王伟．防火墙原理与技术［Ｍ］．北　京：机械工业出版社，２００４．　息，完全依照入侵检测系统发出的动态策略来　执行。　现在的防火墙产品已经呈现出一种集成多　种功能的设计趋势，甚至防病毒、入侵检测这　［２］黄开枝．网络防御与安全对策［Ｍ］．北京：　清华大学出版社，２００４．　Ｔｈｅ　Ａｐｐｌｉｃａｔｉｏｎ　Ｒｅｓｅａｒｃｈ　ｏｆ　ｔｈｅ　Ｆｉｒｅｗａｌｌ　Ｔｅｃｈｎｏｌｏｇｙ　。ｉ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｎ　ＣａｍｐＵＳ　ｅｔｗｏｒｋ　Ｈｕａｎｇ　Ｓｈａｎｍｉｎｇ　（Ｊｉｎｈｕａ　Ｅｄｕｃａｔｉｏｎ　Ｃｏｌｌｅｇｅ，Ｊｉｎｈｕａ　３２１０００，Ｚｈｅｊｉａｎｇ）　【Ａｂｓｔｒａｃｔ】Ｔｈｉｓ　ｐａｐｅｒ　ｓｔｕｄｉｅｓ　ｔｈｅ　ｃｏｎｆｉｇｕｒａｔｉｏｎ　ｐｌａｎ　ｏｆ　ｉｆｒｅｗａｌｌ，ｐｒｏｄｕｃｔ　ｓｅｌｅｃｔｉｏｎ，ｔｈｅ　ｃｏｎｉｇｆｕｒａｔｉｏｎ　ｐｌａｎ　ｏｆ　ｒｏｕｔｅｒ　ａｎｄ　ＩＤＳ　ｉｎｔｒｕｓｉｏｎ　ｔｅｓｔｉｎｇ　ｔｅｃｈｎｏｌｏｇｙ，ａｎｄ　ｓｙｓｔｅｍａｔｉｃａｌｌｙ　ｄｉｓｃｕｓｓｅｓ　ｔｈｅ　ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　ｆｉｒｅｗａｌｌ　ｔｅｃｈ．　ｎｏｌｏｇｙ　ｉｎ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ．　【Ｋｅｙｗｏｒｄｓ】ｆｉｒｅｗａｌｌ；ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ；ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　４８—