防火墙在校园网中的应用

防火墙在校园网中的应用
摘要：利用防火墙技术可以有效的解决校园网安全问题，防火墙是在校园网于
Internet之间实施安全防范的系统。

通过在防火墙上采用一定的机制，确保校园网不被外界攻击和破坏。

本文着重讨论防火墙在校园网中的应用与实现。

关键字：防火墙、网络、安全、校园网
1 引言
随着互联网技术的飞速发展，校园网在丰富教学资源、拓展教学空间、提高教学管理水平等方面发挥着十分重要的作用。

但来自互联网的黑客入侵、病毒破坏、文件篡改和密码盗用等问题正侵扰着校园网的正常运行。

对于网络管理者来说，非常希望有一种相应的技术能解决上述问题，这就是现在应用比较广泛的防火墙技术。

2 防火墙基础简介
2.1 网络安全问题
传统的边界安全设备——防火墙，成为整体安全策略中不可缺少的重要模块。

目前的防火墙产品的用户主要是企业用户。

网络的安全问题程度究竟如何？这是许多IT管理人员每天都会考虑的问题。

可以想象防火墙的应用也越来越普及。

2.2 防火墙概述
防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件。

设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。

防火墙的技术主要有：分组过滤技术、应用代理技术和网络地址转换（NAT）技术。

2.3 防火墙的作用
防火墙从本质上说是一些设备．是外部网络访问内部网络的控制设备。

它是用来保护内部的数据、资源和用户信息的工具，可以防止I…上的危险(病毒、资源盗用等)传播到网络内部。

这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。

它们充当访问网络的惟一人口点，并且判断是否接收某个连接请求，只有来自授权主机的连接请求才会被处理，而剩于的连接请求将被丢弃。

通常，防火墙被安装在受保护的内部网络与Internet的连接点上。

被保护的网络属于内部网络．所防止的网络是不可信的外部网。

保护网络包括阻止非法授权用户访问敏感数据的同时，允许合法用户无障碍地访问网络资源，如肪火墙能够确保电子邮件、文件传输、远程登录或在特定系统问信息交换的安全。

总之，从网络安全的角度来考虑，防火墙是两个网络之间的成分集合，它们的合作应具有的性质是：从里向外或外向里的流量女眦I须通过防火墙；只
有符合本地安全策略放行流量才能通过防火墙；防火墙本身是不能穿透的。

2.4 防火墙的主要技术
2.4.1 分组过滤技术
分组过滤技术是目前使用最为广泛的防火墙技术之一，该技术基于路由器技术。

分组过滤路由器将分析所接收的每一个分组，按照分组过滤规则加以判断，符合规则的分组被转发，不符合规则的分组将被丢弃。

分组过滤规则一般是基于部分或全部报头的内容，例如，对于TCP 报头信息，可以是源地址、目的地址、协议类型等。

实现分组过滤的关键是制定分组过滤规则。

对于防火墙系统，只要在分组过滤规则中对特定的IP 端口、
内装协议、分组地址等不安全因素加以禁止, 就可以有效地防止黑客对内部网络的攻击。

2.4.2 应用代理技术
代理服务是另一种类型的防火墙，它通常是一个软件模块，运行在一台主机上。

代理服务器与路由器合作，路由器实现内部和外部网络交互时的信息流导向，将所有的相关应用服务请求传递给代理服务器。

代理服务作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

应用代理技术的优点：使得受保护和未受保护的网络完全分离,确保没有数据包被允许从一个网络直接发送到另一个网络。

2.4.3 网络地址转换(NAT)技术
由于接入因特网的主机数量的急剧膨胀，IPv4 地址逐步面临耗尽的危机，而IPv6 的实际应用还有待时日。

随着高校校园网用户的增多，高
校所获得的公网IP 地址（全局IP 地址）难以满足校园网中的实际上网设备，这种现象具有加剧的倾向。

一种可能的解决方案是在校园网内部使用自定义的IP 地址（称为本地IP 地址），当内网用户希望访问外网时，
用专门的路由器（NAT 路由器）负责全局/ 本地IP 地址的映射。

使用地
址转换技术可以用极少公网IP 地址让校园网中成千上万的用户访问因特
网。

通过使用地址转换技术还可以有效地隐藏内网主机的IP 地址，使内网主机避免许多来自外网的攻击。

2.5 设置防火墙的必要性
(1)集中化的安全管理，强化安全策略。

由于Internet上每天都有上百万人在收集信息和交换信息，不可避免地会出现个别品德不好、违反规则的人．防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略。

仅仅容许“认可的”和符台规则的请求通过。

(2)网络使用进行统计。

因为防火墙是所有进出信息必须的通路，所以防火墙非常适用于收集关于系统和网络使用和误用的信息。

作为访问的惟一点，防火墙能在被保护的网络和外部网络之问进行记录，对网络存取访问进行统计。

(3)保护那些易受攻击的服务。

防火墙能够用来隔开网络中一个网段与另一个网段的连接。

这样，能够防止影响一个网段的问题通过整个网络传播。

3 CiscoPIX515防火墙在校园网中的应用实例
CiscoPIX515是业界性能最高的防火墙之一。

这种防火墙模块基于PIX 技术，运行PIX 操作系统，是一种实时的嵌入式强化系统，可以消除安全漏洞和性
能降级损耗。

现按照校园网防火墙需求分析来加以实现(本文省略防火墙中基本的路由配置)，拓扑结构如图一所示。

图一 校园网络的拓扑结构
通过本图搭建网络 并完成以下操作
根据拓扑图中以给定的IP 地址，按下列要求对防火墙进行配置:
图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1口，右口为f0/0口。

要求：
1.对防火墙、路由器进行基本的命令配置。

使得内网的所有机器能访问外网。

2．所有内网的主机出口使用防火墙对外的全局地址为202.161.1.2
3．所有的外网的主机只能访问内网的IP 地址为192.168.1.10的主机，此主机对外的
公开地址为202.161.1.5,允许对此主机进行www 、ftp
实验过程：
一．路由器配置配置：
路由器R1配置：
int f0/1
ip add 192.168.1.1 255.255.255.0
no shut
int f0/0
ip add 192.168.2.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.2.2
路由器R2配置：
int f0/1
192.168.1.20 112.16.1.20 192.168.3.2
ip add 192.168.3.2 255.255.255.0
no shut
int f0/0
ip add 112.16.1.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.3.1
防火墙配置：
设置端口安全级别：
nameif e0 outside sec0
nameif e1 inside sec100
设置端口参数：
interface e0 auto
interface e1 auto
配置内外网的IP地址：
ip add outside 192.168.3.1
ip add inside 192.168.2.2
设置指向内外网的静态路由
nat (inside) 1 0 0
global (outside) 1 202.161.1.2
route outside 0.0.0.0 0.0.0.0 192.168.3.2
为什么？？？//route inside 192.168.1.1 255.255.255.0 192.168.2.1
配置静态IP地址映射命令
static (inside,outside) 202.161.1.5 192.168.1.10
通过conduit命令设置对资源主机的访问控制
conduit permit tcp host 202.161.1.5 eq www any
conduit permit tcp host 202.161.1.5 eq ftp any
实验结果:
：
4 其它安全设计考虑
（1）开启防火墙对数据包的路由检测功能。

该功能检查每一个经过防火墙的数据包，在防火墙的路由表中若没有该数据包源IP 地址的路由，路由器将丢弃该数据包。

该功能可以有效地杜绝IP 地址欺骗。

（2）建立防病毒访问控制列表，并用在防火墙的相应端口上，可以有效地防止病毒的侵扰。

若及时更新防病毒访问控制列表，则防病毒效果会更加理想。

（3）对核心设备6509（FWSM 防火墙模块安装在核心设备上）的登录方式加以访问控制策略。

在策略中对登录的IP加以限定为内网网络中心的地址，这样就可以有效地避免外网用户及内部非网络中心的用户登录到核心设备上。

5 结束语
当前，防火墙在校园网中发挥着不可替代的作用。

校园网利用防火墙有效抵御了众多的来自外网的攻击，防火墙技术也正朝着高速、多功能、更安全的方向发展，这使得防火墙可以更好地为校园网服务。

但使用防火墙并不能使得校园网万无一失，比如：来自校园网内部的攻击就难以防范。

校园网络安全是一个系统工程,不能单考虑来自外网的不安全问题,而需要仔细考虑各个方面的安全因素, 将各种安全技术、管理手段结合在一起,才能构建一个更加高效、安全、稳定的校园网络环境。

参考文献：
[1]吴功宜.《计算机网络》第二版）[M].北京：清华大学出版社，2007.
[2]胡卫，张昌宏，吴晓平.《校园网安全防火设计与实现》[J].计算
机与数学工程，2007,35(1):103-105
[3]潘瑜等.《计算机网络安全技术》[M].北京：科学出版社，2006.
[4]周亚建等.《网络安全加固技术》[M].北京:电子工业出版社，2007.
[5]方胜，《防火墙技术在校园网中的应用》[J].电脑知识与技术，
2005（26）
[6]孙小权.《浅谈校园网络规划中的安全设计》[J].实验技术与管理，
2006,23(4):60-62。