浅谈防火墙的研究及其在校园网中的应用梁伟Word文件下载.docx
《浅谈防火墙的研究及其在校园网中的应用梁伟Word文件下载.docx》由会员分享,可在线阅读,更多相关《浅谈防火墙的研究及其在校园网中的应用梁伟Word文件下载.docx(17页珍藏版)》请在冰豆网上搜索。
6.致谢19
7.参考文献19
Campusnetworkfirewallpracticaltechniquesanalysed
Abstract:
Thispaperliststhefirewallbasicprinciplesandmajortypes,andthecurrentmarketamainstreamproduct.Thisarticlediscussedinthemethodofusingafirewallnetwork.Icombinedwithitselfintheschoolofcomputerrooms,manyyearsworkexperienceinaccordancewithinstructionsforhands-onexperiment,completestepsofthefirewallconfiguration.Throughthestudy,thepracticeabilityhasimprovedalot,onmyfuturewillhavepracticalhelp.
Keywords:
firewall;
Campusnetwork;
Informationsecurity;
Networksecurity;
Topology;
Configuration;
Practicaltechnology
浅谈校园网防火墙实用技术
摘要
本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。
本文讨论了在校园网里使用防火墙的方法。
我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。
通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。
关键词防火墙;
校园网;
信息安全;
网络安全;
拓扑;
配置;
实用技术
1.防火墙的基本原理和主要类型
1.1防火墙的基本原理
防火墙是网络安全的一种基本的设备。
它安装在可信网络和未可信网络的边界处,通过设置一系列的安全访问规则,对网络之间透过防火墙的通信进行控制,检测交换的信息,禁止访问未可信网络上的某些有害的站点,防止未可信网络上的某个有害的IP攻击可信网络或者从可信网络里窃取重要信息,从而达到保护可信网络的目的。
我们可以把校园网看作一个可信网络,把互联网看作一个未可信网络,把防火墙放置在校园网的出口处。
此外,我们也在校园网的内部的某个重要部门的局域网到校园网的边界上,设置防火墙,以保护这个重要部门的局域网。
一个防火墙应当具备以下功能:
内部网络和外部网络的所有的数据交换都必须经过防火墙;
提供配置完善的安全策略的机制,只有安全策略所允许的通信才可以进行,否则一律禁止;
防火墙自身的安全必须有保证,能够抵御各种对于防火墙的攻击,而保持正常工作的能力;
防火墙的管理界面友好而且功能强大。
管理员能够很方便地对防火墙进行配置和管理。
防火墙的实现技术主要有包过滤式防火墙、代理式防火墙和状态检测防火墙三种类型。
其工作原理各有不同的特点,下面分别做一简单的讨论。
1.2包过滤式防火墙
包过滤防火墙是在1989年出现的一种早期的防火墙。
一个在网络上传输的数据包的结构可以分为“包头”和“包体”。
在“包体”部分,携带的是要传输的信息本身。
在“包头”部分,携带的是关于这个数据包的性质的信息。
包过滤防火墙通过对每个数据包的“包头”的检查,根据预先设定的安全策略,决定是放行该数据包还是把该数据包丢弃而终止它的旅行。
“包头”所携带的关于包的性质的信息是比较复杂的,计有:
数据包的协议类型:
TCP、UDP、ICMP、IGMP等;
源IP地址和目的IP地址;
源端口号或服务和目的端口号或服务:
HTTP、FTP、DNS等;
IP的选项:
源路由、记录路由等;
TCP选项:
SYN、ACK、FIN、RST等;
其他协议选项:
ICMPECHO、ICMPECHOREPLY等;
数据包的流向:
IN、OUT;
数据包流经的网络接口等等。
根据这些信息,可以制定安全策略。
一般的包过滤防火墙都能够根据数据包的流向、源地址和目的地址、网络协议、端口号进行设置。
好一些的包过滤防火墙能够设置的安全策略会更灵活一些。
1.3代理式防火墙
代理式防火墙又称“应用级网关”。
内网的用户要求对外网进行访问的时候,把访问请求发送到代理式防火墙。
代理式防火墙根据预设的安全策略对用户的请求进行检查。
如果该请求符合安全策略,则把访问请求转发到外网的相应站点。
从外网的相应站点反馈回来的信息再由代理式防火墙转发给用户。
如果此后有另外一个用户有相同的请求,则代理式防火墙将直接把刚才已经返回的信息直接发给这个用户,而不再需要到外网上重复访问。
代理式防火墙要求每一个网络服务都要启动一个相应的代理程序,这在实际上是不容易做到的。
另外,代理式防火墙的工作负担相当沉重,会使得网络效率降低。
从外网上只能看到一个代理防火墙,而不能访问内网的站点。
如果需要对外网开放内网上的某个站点,则需要启用一个“重定向”功能,把内网的这个站点映射到防火墙的一个端口上,允许外网访问。
1.4状态检测防火墙
状态检测防火墙在内部维护一个状态表,该状态表以会话的方式,记录内网一个数据包发起的连接请求以及后续的整个会话过程,直至会话结束。
而由外网发起的连接请求数据包则全部丢弃。
状态检测防火墙提供了完整的对传输层的控制,但是网络效率较低。
1.5防火墙的主流产品
防火墙可以分为软件防火墙和硬件防火墙,软件防火墙中有一些是个人使用的低端产品,如瑞星、江民、天网等都有个人软件防火墙产品。
用在校园网的防火墙主要是中档的产品。
从网络效率看,硬件防火墙的表现会好一些。
防火墙主流产品有Cisco公司的CiscoSecurePIX515-E和CiscoIOS,CheckPoint公司的FireWall-14.1NG,Microsoft公司的ISAServer,SonicWall公司的TELE3,NetScreen公司的5XP和208,联想公司的网御2000,东软公司的NetEye4032,天融信公司的网络卫士NGFW4000-S以及Nokia公司的IP110等。
CiscoSecurePIX防火墙是通过端到端安全服务的有机组合,提供了安全性。
适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。
CiscoSecurePIX515-E与普通的CPU密集型专用代理服务器不同,它采用非UNIX、安全、实时的内置系统。
NAT可提供扩展和重新配置IP网络的特性,既可利用现有IP地址,也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。
CiscoSecurePIX515-EFirewall比适合中小型企业的网络安全需求。
北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。
它由防火墙和管理器组成。
网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。
网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。
网络卫士防火墙系统是中国人自己设计的,因此管理界面使用中文,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面相当直观。
网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。
联想网御2000千兆防火墙集成了主动式状态检测、DoS攻击防范、IPSecVPN和内容过滤、带宽管理、日志管理等功能,用户以较低成本便可拥有完善的安全措施。
易于实施和管理,提供多种管理方式,支持SSL、HTTPS和SNMP协议,实现了真正的安全远程管理和集中管理。
同时提供丰富的日志查询功能,日志服务器可存储10G以上的数据,完全满足大流量网络中防火墙日志管理的需要。
网御2000千兆防火墙支持包括透明模式、路由模式、混合模式等多种工作模式,全面支持VLAN,支持众多网络通信协议和应用协议,适用于各种复杂网络结构和应用的接入。
防拒绝服务网关,抵御SYNflood,UDPflood,ICMPflood,TearDrop,Smurf,LandAttack,PingOfDeath等多种当今流行的DoS/DDoS攻击。
网御2000千兆防火墙支持多台防火墙之间的热机备份和负载均衡,维护所有会话同步,对网络中大量的突发流量有更高的处理能力,确保多个防火墙设备正常运行并同步进行数据传输。
各种产品在功能、性能、价格、服务等方面各有特别的表现,也存在着若干差异。
校园网应根据实际需要和可能,选择适当的产品。
本论文的实验是在CiscoSecurePIX515-E上进行的,因此本论文中将以此为例,并不意味着CiscoSecurePIX515-E是校园网应用的推荐选择。
2.防火墙在校园网中的应用
2.1防火墙在校园网中的连接拓扑图
图1防火墙在校园网中的连接拓扑图
图1是防火墙在校园网中典型的连接方法。
防火墙的外网接口连接到互联网,内网接口连接到校园网,xtra接口连接到校园网上的服务器群。
防火墙在网络边界上,一方面抵御来自互联网的种种对于校园网特别是校园网的服务器群的攻击,另一方面也防止来自校园网内部的对服务器群的攻击。
服务器群为校园网和互联网上的用户提供各种服务,同时屏蔽掉各种超出权限的请求,以及防止敏感信息的泄漏。
2.2防火墙的边界防护功能
校园网有几个显著的特点,对于制定安全策略,维护网络安全具有一定的意义。
首先是校园网的用户数目极其庞大,有许多是万人以上的高校,这是一些企业的网络所不能相比的。
上网人数的众多和集中,会对网络造成一定的冲击。
校园网的用户以青年学生为主,网上行为十分活跃,这和一些政府机关的网络是不同的。
如何对网上行为做出规范和管理,是网络安全的一个课题。
校园网的用户都有相当的文化水准,有些还是网络技术的内行,而且一些住校的学生在夜晚有大量的时间,有可能在内部发起对校园网的攻击,这是和一些部门或者网吧的情况很不相同的。
因此,在校园网的边界以及校园网服务器群的边界,使用防火墙来实施边界防护,是十分必要的。
防火墙虽然不能完全杜绝各种安全隐患,但是毕竟能够在一定程度上降低对校园网安全的威胁。
上面图1给出了防火墙在校园网边界防护中的典型用法,但是并不意味着校园网中就只有这一个防火墙。
实际上,为了安全起见,校园网内部是要进一步划分为更多层次的局部网络的,各个局部网络之间都有防火墙相互隔离,或者使用VLAN技术相互隔离。
通常情况下,各学区、各院系要相互隔离,办公、科研、教学、生活各系统也要相互隔离。
具体情况视实际需要而定。
2.3防火墙的NAT功能
在校园网中,有一部分子网是不希望外界了解它的网络结构和信息资源的。
这一部分子网有必要用防火墙的NAT功能来实现IP地址的转换。
IP地址转换之后,在外网上只能看到内网的某个主机的IP地址的映射,而不能得到它真正的IP地址。
地址转换NAT的另外一个意义是有效地利用分配给学校的IP资源。
当IP资源比较紧张,而用户数目又十分庞大的时候,NAT是一个有效的解决办法。
2.4防火墙的防毒功能
传统的防火墙几乎没有对病毒的防御功能。
一些最新的防火墙产品已经把防毒技术结合到防火墙中去了。
例如天融信公司网络卫士防火墙4000在内核上实现了对病毒防护。
SonicWALL公司的TELE3防火墙也具有一定的防毒功能。
3.防火墙的配置方法
不同厂家不同型号的防火墙的配置方法是不完全一样的。
我在林海[2]主任的网络基础实验室里,按照杨义先[1]先生的实验指导书的方法,学习对CISCOPIX防火墙的配置,其步骤如下:
3.1配置工作站的连接
首先把配置工作站和防火墙用Console连接起来,方法是Console线的RJ45端插在CISCOPIX防火墙的Console口上,Console线的串口端插在计算机的串口上。
然后在计算机上单击“开始”→“程序”→“附件”→“通信”→“超级终端”,在弹出窗口“新建连接”的文本输入框里输入“名称”为“dd1”,“确定”后在弹出窗口里选择串口为“com1”,按“确定”。
接下来在弹出窗口里配置串口“com1”的参数“每秒位数”=9600,“数据位”=8,“奇偶检验”=无,“停止位”=1,“数据流控制”=硬件,按“确定”,进入“超级终端”窗口。
图2超级终端界面
3.2接口的基本连接和配置
现在,按照图3的IP地址分配在超级终端窗口里来配置防火墙各口的IP地址。
图3实验中配置的防火墙网络拓扑图
在超级终端窗口输入命令“enable”,按回车再输入密码,即进入特权模式,显示提示符为“PIX515#”。
输入命令“configureterminal”,进入配置模式,提示符为“PIX515(configure)#”。
为防火墙各端口设置名称和优先级,命令为
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
nameifethernet2xtrasecurity50
然后为防火墙各口配置IP地址,命令为
ipaddressoutside15.1.1.2255.255.255.0
ipaddressinside10.1.1.1255.255.255.0
ipaddressxtra12.1.1.1255.255.255.0
配置完毕后检查其结果是否正确,命令为
showip
在超级终端窗口里显示
SystemIPAddresses:
结果无误。
接下来就可以配置内、外和Xtra网络的全局地址了。
3.3配置全局IP地址
首先用全局命令配置外网的IP地址池,命令为
global(outside)115.1.1.10-15.1.1.25netmask255.255.255.0
然后用全局命令配置xtra网的IP地址池,命令为
global(xtra)112.1.1.4-12.1.1.20netmask255.255.255.0
最后用地址转换命令配置内网的IP地址范围,命令为
nat(inside)110.1.1.0255.255.255.000
还可以为内外网的连同设置一条静态路由,例如
routeoutside0015.1.1.22
配置完毕后要检查一下配置是否正确。
先检查全局地址,命令为
showglobal
显示结果为
再检查转换地址,命令为
shownat
最后检查静态路由,命令为
showroute
route0.0.0.00.0.0.015.1.1.22OTHERstatic
检查无误之后,就可以用clearxlate命令使配置生效,键入
clearxlate
一切顺利,现在,我们就可以把配置保存下来了,命令是
writememory
屏幕显示
Buildingconfiguration…
Cryptochecksum:
9483c870465a2be2bb611f100e3940ab
[OK]
3.4测试连通性
上面,我们已经用超级终端上的行命令对防火墙的3个端口及其所连接的网络的IP地址进行了配置和做了静态的检查。
现在,我们要动态地发送数据包,来测试3个网络之间的连通性。
为此,我们先输入一个命令,设置允许icmp和ping包通过防火墙,命令是
conduitpermiticmpanyany
先在超级终端上用ping命令测试防火墙各个端口的连通性。
键入
pinginside10.1.1.1
内网端口的响应为
10.1.1.1responsereceived…0ms
pingoutside15.1.1.2
外网端口的响应为
15.1.1.2responsereceived…0ms
pingxtra12.1.1.1
xtra网端口的响应为
12.1.1.1responsereceived…0ms
测试完各个端口的连通性之后,接着在超级终端上用ping命令测试防火墙各个端口所连接的网络的连通性。
pinginside10.1.1.3
内网的响应为
10.1.1.3responsereceived…0ms
pingoutside15.1.1.22
外网的响应为
15.1.1.22responsereceived…0ms
pingxtra12.1.1.5
xtra网的响应为
12.1.1.5responsereceived…0ms
最后,我们用内网、外网和xtra网上的计算机,发送ping命令来测试各个网络彼此之间的连通性。
例如我们要测试内网上的计算机(10.1.1.3)到外网的计算机(15.1.1.22)的连通性,就可以在内网上的计算机(10.1.1.3)上键入行命令
C:
\>
ping15.1.1.22
在内网上的计算机(10.1.1.3)的屏幕上可以看到外网的计算机(15.1.1.22)的响应
Replyfrom15.1.1.22:
bytes=32time<
10msTTL=64
Pingstatisticsfor15.1.1.22:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=10ms,Maximum=10ms,Average=10ms
用同样的方法可以测试外网到内网、内网到xtra网、xtra网到内网、外网到xtra网、xtra网到外网的连通性。
3.5配置备份防火墙
CISCOPIX防火墙具备有冗余功能。
当主防火墙正常工作的时候,备份防火墙处在待机状态。
当主防火墙失效的时候,备份防火墙则自动从待机状态转入工作状态。
现在,我们就来配置这个备份防火墙。
图4防火墙的冗余
同样,在超级终端输入进入配置状态的命令
configureterminal
则提示符变成
PIX515(config)#
命名防火墙的故障处理接口为ethernet3,并设置其优先级
nameifethernet3failoversecurity15
配置该接口的网络速率
interfaceethernet3auto
配置该接口的IP地址
addressfailover11.1.1.10
主防火墙的故障处理接口failover配置完了,现在来配置备份防火墙的各个接口。
但是,配置备份防火墙的命令仍然是从连接在主防火墙的超级终端上发出的。
命令为
failoveripaddressfailover11.1.1.11
failoveripaddressxtra12.1.1.11
failoveripaddressoutside15.1.1.3
failoveripaddressinside10.1.1.11
将配置结果保存起来
现在,把备份防火墙在物理上与主防火墙连接起来,然后启动备份防火墙,刚才所做的配置就自动传输到备份防火墙了。
连接的方法是:
两个防火墙的failover直接相连,而备份防火墙的内、外、xtra三个接口分别与主防火墙的内、外、xtra三个网络相连。
备份防火墙已经配置好并且启动了,用下面的命令来静态地检查失效保护功能是否正常:
showfailover
显示为
FailoverOn
Cablestatus:
Normal
Reconnecttimeout0:
00:
15
Pollfrequency5seconds
Thishost:
Primary-Active
Activetime:
11545(sec)
Interfacefailover(11.1.1.10):
Interfacextra(12.1.1.1):
Normal(Waitin