校園網防火墻的應用

2009-05-25 09:01:50安秀芝

中國教育技術裝備 2009年9期

關鍵詞：用戶

安秀芝

1 防火墻的概念

“防火墻”是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在2個網絡通訊時執行的一種訪問控制尺度，它只允許“同意”的人和數據進入網絡，最大限度地阻止網絡中的黑客侵襲。即，防火墻就是介于2個網絡之間的具有某些存取控制功能的軟硬件集合。

防火墻一般主要包括5部分：安全操作系統、過濾器、網關、域名服務和E-mail處理。目前防火墻產品很多，基本上分為2類：一類基于包過濾，另一類基于代理服務器。前者直接轉發報文，它工作在網絡的底層——IP層，是在網絡中適當的位置對數據包實施有選擇的過濾，它可以提供廉價、有效、具有一定網絡安全的環境，且它對用戶是全透明的，速度較快。Cisco的防火墻就是這種，它有2種方法實現防火墻功能，一種是適用于某些接口上的流控制，用于過濾IP或指定TCP和UDP端口的IP數據包；另一種是適用于廣播信息，用于過濾廣播信息。而代理服務器一般工作在應用層，它可以屏蔽網絡內部結構，增強網絡內部的安全性，同時還可以用于實施數據流監控、過濾、記錄、報告等功能。但它對用戶不透明，工作量大，需要高性能服務器，通常要經代理服務器進行身份驗證和注冊，故速度較慢。

2 校園網防火墻系統的配置

假定校園網通過Cisco路由器與CERNET相連。校園內的IP地址范圍是確定的，有明確閉合邊界。它有一個C類的IP地址，有DNS、E-mail、WWW、FTP等服務器，可采用以下存取控制策略。

2.1 對進入CERNET主干網的存取控制校園網有自己的IP地址，應禁止IP地址從本校路由器訪問CERNET。可用下述命令設置與校園網連接的路由器：

Interface E0

Decription campus Net

Ip add162.105.17.1

access_list group 20 out

Access_list 20 permit ip 162.105.17.0 0.0.225

2.2 對網絡中心資源主機的訪問控制網絡中心的DNS、E-mail、FTP、WWW等服務器是重要的資源，要特別地保護，可對網絡中心所在子網禁止DNS、E-mail、WWW、FTP以外的一切服務。

2.3 對校外非法網址的訪問一般情況，一些傳播非法信息的站點主要在校外，而這些站點的域名可能是已知的，這時可通過計費系統獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。

3 防止IP地址欺騙和盜用

為對網絡內部人員訪問Internet進行一定限制，在連接內部網絡的端口接收數據時進行IP地址和MAC地址（以太網地址）檢查，盜用IP地址的數據包將被丟棄，并記錄有關信息。在連接Internet端接收數據時，如從外部網絡收到一段假冒內部IP地址發出的報文，也應丟棄，并記錄有關信息。

防止IP地址被盜用的徹底解決辦法是，網絡上全部采用交換式集線器提供用戶接入，設定每個端口的MAC地址和IP地址。但由于各種原因，這種方法目前不可行。建議用下述方法解決。

3.1 代理服務器防火墻用戶的對外通信通過代理服務器進行。對用戶的收費根據用戶請求的數據量計算，和IP地址沒很大關系，因此可以在一定程度上減少IP地址盜用給用戶帶來的經濟損失。但它要求一定采用代理服務器方式的防火墻，因而限制了它的推廣。

3.2 捆綁IP地址和MAC地址首先登記每個合法IP地址和對應的MAC地址，形成一個對應表。運行時通過定期掃描校園網內各個路由器中的ARP表，獲得當前IP和MAC地址的對應關系，和事先合法的IP和MAC地址進行比較，如不一致，則為非法訪問。這種方法的出發點是每個網卡的MAC地址是固定不變而且是唯一的。但事實上用戶可以讓網卡使用任意的MAC地址。因此，這種方法的效果不是很好。可對其進行改進，由用戶自己動態地控制IP地址的訪問權限，當用戶不需要對外通信時，可以關掉自己的IP地址對外的權限，這時即使有人盜用IP地址，也不會對用戶造成直接的經濟損失。

4 對非法訪問的動態禁止

一旦獲得某個IP地址的訪問是非法的，可立即更改路由器中的存取控制表，從而禁止其對外的非法訪問。首先應在路由器和校園網的以太口預設控制組102，然后過濾掉來自非法地址的所有IP包，插入命令“access_list 1.2 deny 0.0.0.0 255.255.255.255 A.B.C.D 0.0.0.0”。該命令的插入實際上是對路由器進行動態配置。可以通過Telnet Socket，編制針對Cisco的telnet仿真程序，仿真所有的人工命令過程，從而實現對Cisco的動態配置。由于存取控制表不能隨意插入控制項，因此仿真程序需要維持一個完整的和Cisco內控制表項一致的配置文件，即先將更改的控制項插入到配置文件中，然后將配置文件作為一個整體，傳入路由器中，從而保證存取控制的完整性。