校園網(wǎng)防火墻的應(yīng)用

安秀芝

1 防火墻的概念

“防火墻”是指一種將內(nèi)部網(wǎng)和公眾訪(fǎng)問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在2個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪(fǎng)問(wèn)控制尺度，它只允許“同意”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，最大限度地阻止網(wǎng)絡(luò)中的黑客侵襲。即，防火墻就是介于2個(gè)網(wǎng)絡(luò)之間的具有某些存取控制功能的軟硬件集合。

防火墻一般主要包括5部分：安全操作系統(tǒng)、過(guò)濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理。目前防火墻產(chǎn)品很多，基本上分為2類(lèi)：一類(lèi)基于包過(guò)濾，另一類(lèi)基于代理服務(wù)器。前者直接轉(zhuǎn)發(fā)報(bào)文，它工作在網(wǎng)絡(luò)的底層——IP層，是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包實(shí)施有選擇的過(guò)濾，它可以提供廉價(jià)、有效、具有一定網(wǎng)絡(luò)安全的環(huán)境，且它對(duì)用戶(hù)是全透明的，速度較快。Cisco的防火墻就是這種，它有2種方法實(shí)現(xiàn)防火墻功能，一種是適用于某些接口上的流控制，用于過(guò)濾IP或指定TCP和UDP端口的IP數(shù)據(jù)包；另一種是適用于廣播信息，用于過(guò)濾廣播信息。而代理服務(wù)器一般工作在應(yīng)用層，它可以屏蔽網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，增強(qiáng)網(wǎng)絡(luò)內(nèi)部的安全性，同時(shí)還可以用于實(shí)施數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄、報(bào)告等功能。但它對(duì)用戶(hù)不透明，工作量大，需要高性能服務(wù)器，通常要經(jīng)代理服務(wù)器進(jìn)行身份驗(yàn)證和注冊(cè)，故速度較慢。

2 校園網(wǎng)防火墻系統(tǒng)的配置

假定校園網(wǎng)通過(guò)Cisco路由器與CERNET相連。校園內(nèi)的IP地址范圍是確定的，有明確閉合邊界。它有一個(gè)C類(lèi)的IP地址，有DNS、E-mail、WWW、FTP等服務(wù)器，可采用以下存取控制策略。

2.1 對(duì)進(jìn)入CERNET主干網(wǎng)的存取控制校園網(wǎng)有自己的IP地址，應(yīng)禁止IP地址從本校路由器訪(fǎng)問(wèn)CERNET。可用下述命令設(shè)置與校園網(wǎng)連接的路由器：

Interface E0

Decription campus Net

Ip add162.105.17.1

access_list group 20 out

!

Access_list 20 permit ip 162.105.17.0 0.0.225

2.2 對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪(fǎng)問(wèn)控制網(wǎng)絡(luò)中心的DNS、E-mail、FTP、WWW等服務(wù)器是重要的資源，要特別地保護(hù)，可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止DNS、E-mail、WWW、FTP以外的一切服務(wù)。

2.3 對(duì)校外非法網(wǎng)址的訪(fǎng)問(wèn)一般情況，一些傳播非法信息的站點(diǎn)主要在校外，而這些站點(diǎn)的域名可能是已知的，這時(shí)可通過(guò)計(jì)費(fèi)系統(tǒng)獲得最新的IP訪(fǎng)問(wèn)信息，利用域名查詢(xún)或字符匹配等方法確定來(lái)自某個(gè)IP的訪(fǎng)問(wèn)是非法的。

3 防止IP地址欺騙和盜用

為對(duì)網(wǎng)絡(luò)內(nèi)部人員訪(fǎng)問(wèn)Internet進(jìn)行一定限制，在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行IP地址和MAC地址（以太網(wǎng)地址）檢查，盜用IP地址的數(shù)據(jù)包將被丟棄，并記錄有關(guān)信息。在連接Internet端接收數(shù)據(jù)時(shí)，如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報(bào)文，也應(yīng)丟棄，并記錄有關(guān)信息。

防止IP地址被盜用的徹底解決辦法是，網(wǎng)絡(luò)上全部采用交換式集線(xiàn)器提供用戶(hù)接入，設(shè)定每個(gè)端口的MAC地址和IP地址。但由于各種原因，這種方法目前不可行。建議用下述方法解決。

3.1 代理服務(wù)器防火墻用戶(hù)的對(duì)外通信通過(guò)代理服務(wù)器進(jìn)行。對(duì)用戶(hù)的收費(fèi)根據(jù)用戶(hù)請(qǐng)求的數(shù)據(jù)量計(jì)算，和IP地址沒(méi)很大關(guān)系，因此可以在一定程度上減少I(mǎi)P地址盜用給用戶(hù)帶來(lái)的經(jīng)濟(jì)損失。但它要求一定采用代理服務(wù)器方式的防火墻，因而限制了它的推廣。

3.2 捆綁IP地址和MAC地址首先登記每個(gè)合法IP地址和對(duì)應(yīng)的MAC地址，形成一個(gè)對(duì)應(yīng)表。運(yùn)行時(shí)通過(guò)定期掃描校園網(wǎng)內(nèi)各個(gè)路由器中的ARP表，獲得當(dāng)前IP和MAC地址的對(duì)應(yīng)關(guān)系，和事先合法的IP和MAC地址進(jìn)行比較，如不一致，則為非法訪(fǎng)問(wèn)。這種方法的出發(fā)點(diǎn)是每個(gè)網(wǎng)卡的MAC地址是固定不變而且是唯一的。但事實(shí)上用戶(hù)可以讓網(wǎng)卡使用任意的MAC地址。因此，這種方法的效果不是很好。可對(duì)其進(jìn)行改進(jìn)，由用戶(hù)自己動(dòng)態(tài)地控制IP地址的訪(fǎng)問(wèn)權(quán)限，當(dāng)用戶(hù)不需要對(duì)外通信時(shí)，可以關(guān)掉自己的IP地址對(duì)外的權(quán)限，這時(shí)即使有人盜用IP地址，也不會(huì)對(duì)用戶(hù)造成直接的經(jīng)濟(jì)損失。

4 對(duì)非法訪(fǎng)問(wèn)的動(dòng)態(tài)禁止

一旦獲得某個(gè)IP地址的訪(fǎng)問(wèn)是非法的，可立即更改路由器中的存取控制表，從而禁止其對(duì)外的非法訪(fǎng)問(wèn)。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102，然后過(guò)濾掉來(lái)自非法地址的所有IP包，插入命令“access_list 1.2 deny 0.0.0.0 255.255.255.255 A.B.C.D 0.0.0.0”。該命令的插入實(shí)際上是對(duì)路由器進(jìn)行動(dòng)態(tài)配置。可以通過(guò)Telnet Socket，編制針對(duì)Cisco的telnet仿真程序，仿真所有的人工命令過(guò)程，從而實(shí)現(xiàn)對(duì)Cisco的動(dòng)態(tài)配置。由于存取控制表不能隨意插入控制項(xiàng)，因此仿真程序需要維持一個(gè)完整的和Cisco內(nèi)控制表項(xiàng)一致的配置文件，即先將更改的控制項(xiàng)插入到配置文件中，然后將配置文件作為一個(gè)整體，傳入路由器中，從而保證存取控制的完整性。