校园网防火墙系统的设计与实现.docxVIP

华南师范大学学报 ( 自然科学版)2000 年 8 月Aug . 2000JOURNAL OF SOUTH CHINA NORMAL UNIVERSITY( NATURAL SCIENCE EDITION)2000 年第 3 期No. 3, 2000文章编号: 1000- 5463( 2000) 03- 0030- 05校园网防火墙系统的设计与实现廖春盛华南师范大学计算与信息中心广州510631摘要: 讨论了与网 络运 行和 内 部信 息管 理 系统 数据 和 信息 安全 相 关的 防 火墙 技 术, 介 绍了 基 于Packet filter 和 Proxy Service 的复合型防火墙 系统的设计及其网络访问规则的实现关键词: 防火墙( Firewall) ; Packet filter; Proxy中图分类号: TP393. 08文献标识码: A随着越来越多的校园网投入运行和连入 Internet, 校园网的安全管理问题越来越突出, 为了确保网络的安全运行, 确保内部信息管理系统的数据和信息的安全, 必须建立安全、可靠的防火墙系统目前, 市场上的防火墙产品有很多, 如 网络卫士 防火墙系统、天网防火墙等等, 这些产品都有包过滤和安全审计的功能, 有些还有攻击测试、代理服务、地址转换、IP 绑定等功能, 性能不一, 但都比较昂贵, 为了节省投资, 同时又要保证网络的安全运行, 因此, 构造经济实用的基于路由器 Packet filter 和 Proxy Service 的复合型防火墙系统是最好的办法实际的应用证明, 此系统基本上能满足校园网络的安全要求, 还能适合教育网的计费需要, 为网络计费提供原始的数据.1防火墙技术防火墙是指设置在不同网络或网络安全域之间的一个或一组系统, 它用来加强在不同网络或网络安全域之间的网络访问控制 它能根据你的网络访问原则控制出入网络的信息流,且本身具有较强的抗攻击能力Firewall 必须在使内部网络运行的同时, 防止从未被授权的外部节点访问被保护的网络虽然 Firewall 有很多种类型, 但大体上可以分为两类: 一类基于 Packet filter ( 包过滤形) , 另一类基于 Proxy Service( 代理服务) 它们的区别在于基于 Packet filter 的 Firewall 通常直接转发报文, 它对用户完全透明, 速度较快 而基于 Proxy 的 Firewall 则不是如此, 它通过 Proxy Server来建立连接, 它可以有更强的身份验证(Authentication) 和注册( log) 功能 下面, 我们来讨论这两种不同的模式1. 1Packet filterPacket filter 作用在网络层和传输层, 它根据 IP Packet 的源或目标 IP 地址和端口号、协议类型等标志确定是否允许数据包通过 用户可能不会察觉到 Packet filter 的存在, 除非他是非法用户而被拒绝了 Packet Filter 比起其它模式的 Firewall 有着更高的网络性能和更好的应用收稿日期: 1999- 12- 13作者简介: 廖春盛, 男, 实验师程序透明性 当然, 由于 Packet filter 无法有效地区分同一 IP 地址的不同用户, 它的安全性相对较低 Packet filter 通常安装在路由器上, 绝大多数的路由器缺省配置提供 Packet filter 另外那些用来充当路由器的 PC 机上同样可以安装 Packet Filter, 而且可能会有更强的功能因此基于 Packet filter 的 Firewall 又被称为基于路由器的 Firewall 使用 Packet filter 模式的 Firewall 好处在于, 在原有网络上增加这样的 Firewall 几乎不需要任何额外的费用因为差不多所有的路由器都可以对通过的 Packet 进行过滤, 而路由器对一个网络与 Internet 连接是必不可少的商业的 Packet filter 比起一般的路由器增加可外部注册功能和某些安全特性例如有审计和报警机制 随着 Firewall 技术的发展, Packet filter 的原理也被用于 UDP 和 ICMP Packet 这种本来基于 IP 的 Packet filter 更加低层化, 也使 Packet filter 能够具有更多的 log 特性, 也使 Firewall 具有更大的安全性制定自己的网络访问原则并在路由器上利用包过滤功能加以实现, 就可以建立适合你的网络的 Firewall包过滤规则的制定可基于以下两种模式[ 1] : 1) 基于关闭式的, 即缺省情况下阻断所有内外互访, 个别开放单项服务; 2) 基于开放式的, 即缺