防火墻技術研究及其在校園網中的應用

張文杰 李金鳳

摘 要： 防火墻是一種確保網絡安全的方法，它可以被安全放置在一個單獨的路由器中，用來過濾不想要的信息包，也可以被安裝在路由器和主機中，發揮更大的網絡安全保護作用。防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關四個部分組成，簡單說防火墻就是一個位于計算機和它所連接的網絡之間的軟件，該計算機流入流出的所有網絡通信均要經過此防火墻。

關鍵詞： 防火墻 TCP/IP 網絡協議 校園網

1.引言

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。IT術語中的防火墻是指隔離在本地網絡與外界網絡之間的一道防御統，是這一類防范措施的總稱。應該說，在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區域 （即Internet或有一定風險的網絡）與安全區域（局域網）的連接，同時不妨礙人們對風險區域的訪問。

2. Windows網絡協議的實現及操作系統的總體架構

2.1 Windows網絡協議的實現

網絡協議是網絡上所有設備（網絡服務器、計算機及交換機、路由器、防火墻等）之間通信規則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。大多數網絡都采用分層的體系結構，每一層都建立在它的下層之上，為它的上一層提供一定的服務，而把如何實現這一服務的細節對上一層加以屏蔽。

2.2 Windows操作系統的總體架構

Microsoft Windows系列操作系統是在微軟給IBM機器設計MS-DOS的基礎上設計的圖形操作系統。現在的Windows系統，如Windows 2000、Windows XP皆是建立于現代的Windows NT核心。NT核心是由OS/2和OpenVMS等系統上借用來的。

3. 防火墻發展研究

3.1防火墻體系結構

雙重宿主主機體系結構圍繞雙重宿主主機構筑。

3.2被屏蔽子網體系結構

被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡和外部網絡（通常是Internet）隔離開。

4.防火墻技術在校園網中的實現

這里，假定校園網通過Cisco路由器與CERNET相連。校園內的IP地址范圍是確定的，且有明確的閉和邊界。它有一個C類的IP地址，有DNS，Email，WWW，FTP等服務器，可采用以下存取控制策略。

4.1對進入CERNET主干網的存取控制

校園網有自己IP地址，應禁止IP地址從本校路由器訪問CERNET。可用下述命令設置與校園網連接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2對網絡中心資源主機的訪問控制

網絡中心的DNS，Email，FTP，WWW等服務器是重要的資源，要特別保護，可對網絡中心所在子網禁止DNS，Email，WWW，FTP以外的一切服務。

4.3對校外非法網址的訪問

可通過計費系統獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。

5.結語

本文闡述了防火墻的體系結構及在校園網絡中的應用，并且介紹了網絡協議的實現與操作系統的總體架構。

參考文獻：

[1]黎連業， 張維 編著.防火墻及其應用技術[M]. 北京：清華大學出版社，2004.7，第1版.

[2]朱雁輝 ，編著.Windows防火墻與網絡封包截獲技術[M].北京：電子工業出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等譯.防火墻技術大全[M]. 北京：機械工業出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李華飚 ，等譯.Tanenbaum[M]. 北京：中國水利水電出版社，2005.5，第一版.

[5]謝希仁 ，編著.計算機網絡（第四版）[M].北京：電子工業出版社 ，2003.6.

[6]Tanenbaum，A.S.著.潘愛民 ，譯.計算機網絡[M].北京：清華大學出版社，2004.8.