防火墙在校园网中的应用
摘要:利用防火墙技术可以有效的解决校园网安全问题,防火墙是在校园网于
Internet之间实施安全防范的系统。通过在防火墙上采用一定的机制,确保校园网不被外界攻击和破坏。本文着重讨论防火墙在校园网中的应用与实现。
关键字:防火墙、网络、安全、校园网
1 引言
随着互联网技术的飞速发展,校园网在丰富教学资源、拓展教学空间、提高教学管理水平等方面发挥着十分重要的作用。但来自互联网的黑客入侵、病毒破坏、文件篡改和密码盗用等问题正侵扰着校园网的正常运行。对于网络管理者来说,非常希望有一种相应的技术能解决上述问题,这就是现在应用比较广泛的防火墙技术。
2 防火墙基础简介
2.1 网络安全问题
传统的边界安全设备——防火墙,成为整体安全策略中不可缺少的重要模块。目前的防火墙产品的用户主要是企业用户。网络的安全问题程度究竟如何?这是许多IT管理人员每天都会考虑的问题。可以想象防火墙的应用也越来越普及。
2.2 防火墙概述
防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。防火墙的技术主要有:分组过滤技术、应用代理技术和网络地址转换(NAT)技术。
2.3 防火墙的作用
防火墙从本质上说是一些设备.是外部网络访问内部网络的控制设备。它是用来保护内部的数据、资源和用户信息的工具,可以防止I…上的危险(病毒、资源盗用等)传播到网络内部。这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。它们充当访问网络的惟一人口点,并且判断是否接收某个连接请求,只有来自授权主机的连接请求才会被处理,而剩于的连接请求将被丢弃。
通常,防火墙被安装在受保护的内部网络与Internet的连接点上。被保护的网络属于内部网络.所防止的网络是不可信的外部网。保护网络包括阻止非法授权用户访问敏感数据的同时,允许合法用户无障碍地访问网络资源,如肪火墙能够确保电子邮件、文件传输、远程登录或在特定系统问信息交换的安全。
总之,从网络安全的角度来考虑,防火墙是两个网络之间的成分集合,它们的合作应具有的性质是:从里向外或外向里的流量女眦I须通过防火墙;只
有符合本地安全策略放行流量才能通过防火墙;防火墙本身是不能穿透的。2.4 防火墙的主要技术
2.4.1 分组过滤技术
分组过滤技术是目前使用最为广泛的防火墙技术之一,该技术基于路由器技术。分组过滤路由器将分析所接收的每一个分组,按照分组过滤规则加以判断,符合规则的分组被转发,不符合规则的分组将被丢弃。分组过滤规则一般是基于部分或全部报头的内容,例如,对于TCP 报头信息,可以是源地址、目的地址、协议类型等。实现分组过滤的关键是制定分组过滤规则。对于防火墙系统,只要在分组过滤规则中对特定的IP 端口、
内装协议、分组地址等不安全因素加以禁止, 就可以有效地防止黑客对内部网络的攻击。
2.4.2 应用代理技术
代理服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机上。代理服务器与路由器合作,路由器实现内部和外部网络交互时的信息流导向,将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理技术的优点:使得受保护和未受保护的网络完全分离,确保没有数据包被允许从一个网络直接发送到另一个网络。
2.4.3 网络地址转换(NAT)技术
由于接入因特网的主机数量的急剧膨胀,IPv4 地址逐步面临耗尽的危机,而IPv6 的实际应用还有待时日。随着高校校园网用户的增多,高
校所获得的公网IP 地址(全局IP 地址)难以满足校园网中的实际上网设备,这种现象具有加剧的倾向。一种可能的解决方案是在校园网内部使用自定义的IP 地址(称为本地IP 地址),当内网用户希望访问外网时,
用专门的路由器(NAT 路由器)负责全局/ 本地IP 地址的映射。使用地
址转换技术可以用极少公网IP 地址让校园网中成千上万的用户访问因特
网。通过使用地址转换技术还可以有效地隐藏内网主机的IP 地址,使内网主机避免许多来自外网的攻击。
2.5 设置防火墙的必要性
(1)集中化的安全管理,强化安全策略。由于Internet上每天都有上百万人在收集信息和交换信息,不可避免地会出现个别品德不好、违反规则的人.防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略。仅仅容许“认可的”和符台规则的请求通过。
(2)网络使用进行统计。因为防火墙是所有进出信息必须的通路,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的惟一点,防火墙能在被保护的网络和外部网络之问进行记录,对网络存取访问进行统计。
(3)保护那些易受攻击的服务。防火墙能够用来隔开网络中一个网段与另一个网段的连接。这样,能够防止影响一个网段的问题通过整个网络传播。
3 CiscoPIX515防火墙在校园网中的应用实例
CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX 技术,运行PIX 操作系统,是一种实时的嵌入式强化系统,可以消除安全漏洞和性
能降级损耗。现按照校园网防火墙需求分析来加以实现(本文省略防火墙中基本的路由配置),拓扑结构如图一所示。
图一 校园网络的拓扑结构
通过本图搭建网络 并完成以下操作
根据拓扑图中以给定的IP 地址,按下列要求对防火墙进行配置:
图中防火墙左面为内网,右面为外网,设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1口,右口为f0/0口。
要求:
1.对防火墙、路由器进行基本的命令配置。使得内网的所有机器能访问外网。
2.所有内网的主机出口使用防火墙对外的全局地址为202.161.1.2
3.所有的外网的主机只能访问内网的IP 地址为192.168.1.10的主机,此主机对外的
公开地址为202.161.1.5,允许对此主机进行www 、ftp
实验过程:
一.路由器配置配置:
路由器R1配置:
int f0/1
ip add 192.168.1.1 255.255.255.0
no shut
int f0/0
ip add 192.168.2.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.2.2
路由器R2配置:
int f0/1
192.168.1.20 112.16.1.20 192.168.3.2
