浅谈防火墙的研究及其在校园网中的应用____梁伟

北京华夏管理学院

毕业论文

文理学院计算机专业

课题名称浅谈校园网防火墙实用技术

学生姓名梁伟

学生班级计算机

指导老师付春霞

起讫日期 2011.2-2011.4 2011年4月23日

目录

1. 防火墙的基本原理和主要类型 (4)

1．2 包过滤式防火墙 (5)

1．3 代理式防火墙 (6)

1．4 状态检测防火墙 (6)

1．5 防火墙的主流产品 (6)

2. 防火墙在校园网中的应用 (8)

2．2 防火墙的边界防护功能 (8)

2．3 防火墙的NAT功能 (9)

2．4 防火墙的防毒功能 (9)

3. 防火墙的配置方法 (9)

3．1 配置工作站的连接 (9)

3．4 测试连通性 (12)

3．5 配置备份防火墙 (14)

3．6 配置访问控制列表和嫌疑代码过滤 (17)

4. 防火墙应用中的若干问题及改进设想 (18)

4．1 木马新技术反弹端口的问题 (18)

5.结论 (19)

6. 致谢 (19)

7. 参考文献 (19)

Campus network firewall practical techniques analysed

Abstract:

This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help.

Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology

浅谈校园网防火墙实用技术

摘要

本文列举了防火墙的基本原理和主要类型，以及当前市场的主流产品。本文讨论了在校园网里使用防火墙的方法。我结合自己在学校计算机房的多年工作经验，按照指导书的步骤动手实验，完成对防火墙的配置。通过学习，实践能力有了很大的提高，对我今后的工作会有切实的帮助。

关键词防火墙；校园网；信息安全；网络安全；拓扑；配置；实用技术

1. 防火墙的基本原理和主要类型

1．1 防火墙的基本原理

防火墙是网络安全的一种基本的设备。它安装在可信网络和未可信网络的边界处，通过设置一系列的安全访问规则，对网络之间透过防火墙的通信进行控制，检测交换的信息，禁止访问未可信网络上的某些有害的站点，防止未可信网络上的某个有害的IP攻击可信网络或者从可信网络里窃取重要信息，从而达到保护可信网络的目的。我们可以把校园网看作一个可信网络，把互联网看作一个未可信网络，把防火墙放置在校园网的出口处。此外，我们也在校园网的内部的某个重要部门的局域网到校园网的边界上，设置防火墙，以保护这个重要部门的局域

网。

一个防火墙应当具备以下功能：

内部网络和外部网络的所有的数据交换都必须经过防火墙；

提供配置完善的安全策略的机制，只有安全策略所允许的通信才可以进行，否则一律禁止；

防火墙自身的安全必须有保证，能够抵御各种对于防火墙的攻击，而保持正常工作的能力；

防火墙的管理界面友好而且功能强大。管理员能够很方便地对防火墙进行配置和管理。

防火墙的实现技术主要有包过滤式防火墙、代理式防火墙和状态检测防火墙三种类型。其工作原理各有不同的特点，下面分别做一简单的讨论。

1．2 包过滤式防火墙

包过滤防火墙是在1989年出现的一种早期的防火墙。一个在网络上传输的数据包的结构可以分为“包头”和“包体”。在“包体”部分，携带的是要传输的信息本身。在“包头”部分，携带的是关于这个数据包的性质的信息。包过滤防火墙通过对每个数据包的“包头”的检查，根据预先设定的安全策略，决定是放行该数据包还是把该数据包丢弃而终止它的旅行。

“包头”所携带的关于包的性质的信息是比较复杂的，计有：

数据包的协议类型：TCP、UDP、ICMP、IGMP等；

源IP地址和目的IP地址；

源端口号或服务和目的端口号或服务：HTTP、FTP、DNS等；

IP的选项：源路由、记录路由等；

TCP选项：SYN、ACK、FIN、RST等；

其他协议选项：ICMP ECHO、ICMP ECHO REPLY等；

数据包的流向：IN、OUT；

数据包流经的网络接口等等。

根据这些信息，可以制定安全策略。一般的包过滤防火墙都能够根据数据包的流向、源地址和目的地址、网络协议、端口号进行设置。好一些的包过滤防火墙能够设置的安全策略会更灵活一些。

1．3 代理式防火墙

代理式防火墙又称“应用级网关”。内网的用户要求对外网进行访问的时候，把访问请求发送到代理式防火墙。代理式防火墙根据预设的安全策略对用户的请求进行检查。如果该请求符合安全策略，则把访问请求转发到外网的相应站点。从外网的相应站点反馈回来的信息再由代理式防火墙转发给用户。如果此后有另外一个用户有相同的请求，则代理式防火墙将直接把刚才已经返回的信息直接发给这个用户，而不再需要到外网上重复访问。

代理式防火墙要求每一个网络服务都要启动一个相应的代理程序，这在实际上是不容易做到的。另外，代理式防火墙的工作负担相当沉重，会使得网络效率降低。从外网上只能看到一个代理防火墙，而不能访问内网的站点。如果需要对外网开放内网上的某个站点，则需要启用一个“重定向”功能，把内网的这个站点映射到防火墙的一个端口上，允许外网访问。

1．4 状态检测防火墙

状态检测防火墙在内部维护一个状态表，该状态表以会话的方式，记录内网一个数据包发起的连接请求以及后续的整个会话过程，直至会话结束。而由外网发起的连接请求数据包则全部丢弃。状态检测防火墙提供了完整的对传输层的控制，但是网络效率较低。

1．5 防火墙的主流产品

防火墙可以分为软件防火墙和硬件防火墙，软件防火墙中有一些是个人使用的低端产品，如瑞星、江民、天网等都有个人软件防火墙产品。用在校园网的防火墙主要是中档的产品。从网络效率看，硬件防火墙的表现会好一些。

防火墙主流产品有Cisco公司的Cisco Secure PIX 515-E和Cisco IOS，Check Point公司的FireWall-1 4.1 NG，Microsoft公司的ISA Server，SonicWall 公司的TELE3，NetScreen公司的5XP和208，联想公司的网御2000，东软公司的NetEye 4032，天融信公司的网络卫士NGFW4000-S以及Nokia公司的IP110等。Cisco Secure PIX防火墙是通过端到端安全服务的有机组合，提供了安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU