防火墙技术在校园网络安全中的应用.docx

1、防火墙技术在校园网络安全中的应用防火墙技术在校园网络安全中的应用摘要网络技术在近几年的时间有了非常大的发展，经历了从无到有，从有到快；网上信息资源也是从匮乏到丰富多彩，应有尽有。但随着网络速度越来越快，资源越来越丰富，网络安全问题却也越来越严峻，网络安全防范对校园网的正常运行来讲也就显得十分重要。在网络安全防范中，防火墙具有着不可或缺的地位。防火墙技术是在安全技术当中又是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网已中木马的主机系统信息泄露.本论文在详细分析防火墙工作原理的基础上，提出一个功能较为完备、性能较好、防火墙系统的本身也较为安全的防火墙

2、系统的设计方案，同时介绍了具体实现过程中的关键步骤和主要方法。该防火墙在通常的包过滤防火墙基础之上，又增加了MAC地址绑定和端口映射等功能，使之具有更完备、更实用、更稳固的特点。通过对于具有上述特点的防火墙的配置与测试工作，一方面使得所设计的防火墙系统本身具有高效、安全、实用的特点，另一方面也对今后在此基础上继续测试其它网络产品作好了一系列比较全面的准备工作。关键词：网络安全；防火墙；校园网 AbstractThe network technology has got very great development in recent years, and the online informat

3、ion resources are developing from deficient to rich and colorful too, and fill with everything. But with the development of the internet, the safe of network is becoming more and more severe. The network safe precaution seems very important for normal running of our campus network tooIn the network

4、security guard against the firewall is a vital role in technology. the firewall is the safety of technology is the simplest and most effective solution. it is not only from the exploration and scanning services, to attack, we can avoid the net has been in information disclosure of the wooden host co

5、mputer.This thesis put forward a function in detailed analysis firewall working the foundation of the principle more complete function than good, fire wall system of oneself the design project of the too safe fire wall system, and introduces to realizes in a specific way at the same time key in the

6、process step with main method. That firewall is in the usual a percolation firewall foundation on, increased again the MAC address bind to settle the special function in etc., making it have the fresh and clear characteristics. Pass to make fire wall that have the research of the above characteristi

7、cs and development work, very much a firewall for developing system oneself have efficiently ,safety, practical characteristics, on the other hand too to from now on here foundation ascend develop continuouslyKeywords: Network Security; Firewall; Campus Network1概述学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会

8、的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，

9、遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。本文作者在导师的指导下，独立完成了该防火墙系统方案的配置及安全性能的检测工作。本论文在详细分析防火墙工作原理基础上，针对我校防火墙的实际情况，提出了一个能够充分发挥防火墙性能、提高防火墙系统的抗攻击能力的防火墙系统配置方案，同时介绍了具体实现过程中的关键步骤和主要方法，并针对我校的防火墙系统模拟黑客进行攻击，检查防火墙的安全漏洞，并针对漏洞提供相应的解决方案。该防火墙在通常的包过

10、滤防火墙基础之上，又增加了MAC地址绑定、端口映射等特殊功能，使之具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作，一方面使得我校防火墙系统本身具有高效、安全、实用的特点，另一方面在此基础上对今后可能出现的新问题作好了一系列比较全面的准备工作。1.1 课题意义 安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙

11、(Firewall)技术如图1-1。图1-1 防火墙功能图它通过监测、限制、修改跨越防火墙的数据流，尽可能地外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建一个相对安全的计算机网络平台。使其免受外部网络的攻击。1.2 网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、

12、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan，但是其安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。防火墙枝术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行

13、状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞，并采取相应防

14、范措施，从而降低网络的安全风险而发展起来的一种安全技术。认证和数字签名技术，其中的认证技术主要解决网络通讯过程中通讯双方的身份认可，而数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据，所以有一定的不安全性。应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。1.3 防火墙介绍 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法，它是一种计算机硬

15、件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，1.4 防火墙技术发展趋势 防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。 远程办公的增长。全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样

16、可以确保信息的保密性，又能成为识别入侵行为的手段。 内部网络 “ 包厢化 ” （ compartmentalizing ）。人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ”

17、，对每个 “ 包厢 ” 实施独立的安全策略。1.5 防火墙产品发展趋势 防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外，下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。模式转变，传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。未来的的防火墙产品将开始体现出一种分布式结构，以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度。功能扩展，防火

18、墙的管理功能一直在迅猛发展，在将来，通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理，当然，这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。性能提高，未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有

19、上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋进几何级数的程度上升，这是对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一，例如利用集成专有算法的协处理器来专门处理规则判断，在防火墙的某方面性能出现较大瓶颈时，我们可以单纯地升级某个部分的硬件来解决，这种设计有些已经应用到现有的产品中了，也许未来的防火墙产品会呈现出非常复杂的结构. 2需求分析2.1校园网络安全分析高校校园网一般都是采用最先进的网络技术架构的，用户较多，使用面较广，存在的安全隐患和漏洞相对较广泛，大多有如下几个方面： 校园网与Internet相连，在享受Internet方便快捷的同时，也面临着

20、遭遇攻击的风险。高校校园网速度比较快，我院与电脑的出口带宽达到了1Gbps，这给网络入侵和攻击也提供了一个快速通道。 校园网内部也存大很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因些来自内部的安全威胁会更大一些。 目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。例如Windows 2000、Windows 2003、Windows 2008的普遍性和可操性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、病毒木马等。 随着校园内计算机应用的大范围普入，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络攻

21、击、系统瘫痪等严重后果。 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网，内外网恶意用户可能利用一些工具对网络入服务器发起Dos/DDoS攻击，导致网络及服务不可用，高校学生通常是最活跃的网络用户，对网络的各种技术都充满了好奇，有强大的求知和实验的欲望，勇于尝试，不计后果，校园网内针对如的黑客程序、ARP病毒、超级网管随处可见。鉴于上述不安全因素，有必要为校园网设计一个严密的防火墙。2.2校园网防火墙部署思路防火墙是网络安全的屏障。一个防火墙（作为阴塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全

22、的服务而降低风险。由于只有经对精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性： 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问/。总体上遵从“不被允许的服务就被禁止”的原则。 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击，过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。 在防火墙上建立内网计算机的IP地址和MAC地址对应表，防止IP

23、地址被盗用。 在局域网的入口架设行兆防火墙，并实现VNP的功能，在校园网络入口建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。 定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 允许通过配置网卡对防火墙设置，提高防火墙管理安全性。3校园网面对的安全威胁3.1物理安全保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网络的物理安全包括构成网络的相关基础设施的安全，网络的运行环境比如温度、湿度、电源等，自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响。物理安全是保

24、护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。3.1.1自然威胁自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主要包括以下几方面：自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏，或对网络运行造成的影响。如：雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏，大雾对无线传输的影响。正常使用情况下的设备损坏在网络设中，所有的网络设备都是电子设备，任何电子元件也都会老化，

25、因此由电子元件构成的网络设备都一个有限的正常使用年限，即使严格按照设备的使用环境要求使用，在设备达到使用寿命后均可能出现硬件故障或不稳定现象，从而威胁计算机网络的安全运行。设备运行环境网络的运行是不间断的。保证网络设备的安全运行，运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行，其中主要包括周边环境和电源系统两大要素。 周边环境我们所使用的网络交换设备一般都有自己的散热系统，所以环境因素往往被一些管理员所忽略。随着使用周期的增长，一些设备的散热系统损坏，或在潮湿的天气环境下积尘较多而引起设备运行不稳定，都是不安全因素。因此网络设备的安放都需要比较良好的环境，

26、所以校园网的网络中心机房一般都配备调湿调温并经常保洁的环境，以保证设备的运行。在分节点的网络设备，可以采取定期维护保养的措施或分别设置空调设备。 电源系统电源系统的稳定可靠直接影响到网络的安全运行。如果要保证网络的不间断，就必须保证电源系统的稳定和不间断。校园网的电源系统可分为两部分，一部分主要用于网络设备和主机，由于这些网络设备和主机对电源系统要求较高，且不能间断，所以这部分的供电系统就采用UPS（不间断电源系统），而且最好是采用在线式的，这样可以充分隔离电力系统对网络设备的干扰，保证网络的运行。另一部分主要用于空调设备，其特点是电源容量要求大，可短时间间断，但由于我们部分学校所使用的空调系

27、统在恢复供电后都不能自动启动，所以必须让管理人员掌握电源的通断信息。以上海师大校园网为例，网络中心通过对UPS电源监控系统的整合，使电源通断信息的变化会及时地反映到网管人员的手机上，这样中心工作人员就能及时了解突发情况。3.1.2 人为威胁人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁，包括故意人为和无意人为威胁。人为故意威胁是指人为主观威胁网络的物理安全。最常见的是人为通过物理接近的方式威胁网络安全，物理接近是其它攻击行为的基础。如通过搭线连接获取网络上的数据信息；或者潜入重要的安全部门窃取口令、密钥等重要的网络安全信息；或者直接破坏网络的物理基础设施（盗割网络通信线缆、盗取或破坏

28、网络设备等）。这些人为的故意破坏行为严重威胁网络的安全运行。人为无意威胁是人为因素造成但不是故意的物理安全威胁。即使是合法的、技术过硬的操作人员，由于从时间疲劳工作或者其它身体因素的影响，或者自身安全意识不强都可能产生失误和意外疏忽。这些意外和疏忽也可能影响网络的安全运行，有时还会造成重大的损失，如删除了重要的网络配置文件、格式化了存储有重要数据或信息的分区或整个硬盘、没有采取防静电措施插拔硬件等等3.2 内网攻击分析3.2.1 ARP攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目

29、标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址IA物理地址PA），请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。

30、其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。3.2.2.网络监听在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好

31、者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。主要包括： 数据帧的截获 对数据帧的分析归类 dos攻击的检测和预防 IP冒用的检测和攻击 在网络检测上的应用 对垃圾邮件的初步过滤3.2.3蠕虫病毒3.2.3.1蠕虫病毒攻击原理蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病

32、毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。3.2.3.2蠕虫病毒入侵过程蠕虫病毒攻击主要分成三步：扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。复制：复制模