校园网防火墙实用技术.doc

发信人:wwwRainbow(毛毛牛),信区:Security标题:校园网防火墙实用技术发信站:BBS水木清华站(MonJan1017:38:362000)校园网防火墙实用技术随着internet的飞速发展和校园网的日益完善，校园网的安全问题已提到日程上来，采用防火墙技术能有效抵抗黑客及某些非法访问。（一）防火墙技术介绍1：防火墙是一个实现安全策略的系统或系统组，强制执行对intranet和internet的访问控制。它能保证只有授权的人可以访问intranet，且保护其中的资源和有价值的数据不会流出intranet。简单的说，防火墙就是介于两个网络之间的具有某些存取控制功能的软硬件集合。2：防火墙的主要目的是控制数据组，只允许合法流通过。其特征是在网络边界上建立相应的网络通信监控系统（即防火墙）来达到保障网络安全的目的。防火墙技术假设被保护网络具有明确的边界和服务，并且假设网络信息的威胁主要来自外部网络而不是内部网络，它通过建立一整套规则和系统策略来检测，限制，更改穿越防火墙的数据流，实现内部网络的保护。采用防火墙安全技术适合于与外部网络相对独立且网络服务类型相对有限的网络系统，而校园网正属此型，故要实现校园网的信息安全应采用防火墙技术。3：防火墙一般主要包括五部分：安全操作系统，过滤器，网关，域名服务和Email处理。目前防火墙产品很多，基本上分为两类：一类基于包过滤，另一类基于代理服务器。前者直接转发报文，它工作在网络的底层IP层，是在网络中适当的位置对数据包实施有选择的过滤，它可以提供廉价，有效，具有一定网络安全的环境，且它对用户是全透明的，速度较快。Cisco的防火墙就是这种，它有两种方法实现防火墙功能，一种是适用于某些接口上的流控制，用于过滤IP或指定TCP和UDP端口的IP数据包，另一种是适用于广播信息，用于过滤广播信息；而代理服务器一般工作在应用层，它可以屏蔽网络内部结构，增强网络内部的安全性，同时还可以用于实施数据流监控，过滤，记录，报告等功能。但它对用户不透明，工作量大，需要高性能服务器，通常要经代理服务器进行身份验证和注册，故速度较慢。（二）校园网防火墙系统的配置这里，假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的，且有明确的闭和边界。它有一个C类的IP地址，有DNS，Email，WWW，FTP等服务器，可采用以下存取控制策略。1对进入CERNET主干网的存取控制校园网有自己IP地址，应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器：InterfaceE0DecriptioncampusNetIpaddaccess_listgroup20out!access_list20permitip0.0.2252:对网络中心资源主机的访问控制网络中心的DNS，Email，FTP，WWW等服务器是重要的资源，要特别的保护，可对网络中心所在子网禁止DNS，Email，WWW，FTP以外的一切服务。3：对校外非法网址的访问一般情况，一些传播非法信息的站点主要在校外，而这些站点的域名可能是已知的，这时可通过计费系统获得最新的IP访问信息，利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。（三）防止IP地址欺骗和盗用为对网络内部人员访问Internet进行一定限制，在连接内部网络的端口接收数据时进行IP地址和以太网地址检查，盗用IP地址的数据包将被丢弃，并记录有关信息；再连接Internet端接收数据时，如从外部网络收到一段假冒内部IP地址发出的报文，也应丢弃，并记录有关信息。防止IP地址被盗用的彻底解决办法是，网络上全部采用交换式集线器提供用户接入，设定每个端口的以太网地址和IP地址，但由于各种原因这种方法目前不可行。建议用下述方法解决：1：代理服务器防火墙用户的对外通信通过代理服务器进行。对用户的收费根据用户请求的数据量计算，和IP地址没很大关系，因此可以在一定程度上减少IP地址盗用给用户带来的经济损失。但它要求一定采用代理服务器方式的防火墙，因而限制了它的推广。2：捆绑IP地址和以太网地址首先登记每个合法IP地址和对应的以太网地址，形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表，获得当前IP和MAC的对应关系，和事先合法的IP和MAC地址进行比较，如不一致，则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此，这种方法的效果不是很好。可对其进行改进，由用户自己动态地控制IP地址的访问权限，当用户不需要对外通信时，可以关掉自己的IP地址对外的权限，这时即使有人盗用IP地址也不会对用户造成直接的经济损失。（四）对非法访问的动态禁止一旦获得某个IP地址的访问是非法的，可立即更改路由器中的存取控制表，从而禁止其对外的非法访问，首先应在路由器和校园网的以太口预设控制组102，然后过滤掉来自非法地址的所有IP包，插入以下命令：access_list1.2deny55A.B.C.D该命令的插入实际上是对路由器进行动态配置。可以通过TelnetSocket，编制针对Cisco的telnet仿真程序，仿真所有的人工命令过程，从而实现对Cisco的动态配置。由于存取控制表不能随意插入控制项，因此仿真程序需要维持一个完整的和Cisco内控制表项一致的配置文件，即先将更改的控制项插入到配置文件中，然后将配置文件作为一个整体，传入路由器中，从而保证存取控制的完整性。（五）透明通道式防火墙传统防火墙的IP地址会给黑客提供攻击的线索，而透明通道式防火墙上的网络接口没有IP地址，可视为一透明设备。外部人员无法知道防火墙的存在，而内部人员也无法访问防火墙，从而增强了网络的安全性。此外，透明通道式防火墙在防止IP欺骗和盗用上也很灵活。它根据MAC地址选择路由（类似透明网桥功能），可自学或静态设置MAC地址和IP地址对应的网络端口。根据配置，它维持一张IP地址，MAC地址和网络端口的对应表，该表可动态生成或由系统管理员手工配置。考虑到MAC地址的数值比较分散，接口表采用hash表将MAC排序，保证查询时有较高的效率，不会因接口表查询成为网络的瓶颈。以上只是我在看书学习时的一点体会，防火墙技术还有更广阔的领域需要学习研究，再今后的学习