防火墙技术在校园网中的应用

湖南科技职业学院电子信息工程与技术系毕业设计1防火墙技术在校园网中的应用摘要网络技术在近几年的时间有了非常大的发展，经历了从无到有，从有到快；网上信息资源也是从匮乏到丰富多彩，应有尽有。但随着网络速度越来越快，资源越来越丰富，网络安全问题却也越来越严峻，网络安全防范对校园网的正常运行来讲也就显得十分重要。在网络安全防范中，防火墙具有着不可或缺的地位。防火墙技术是在安全技术当中又是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网已中木马的主机系统信息泄露...本论文在详细分析防火墙工作原理的基础上，提出一个功能较为完备、性能较好、防火墙系统的本身也较为安全的防火墙系统的设计方案，同时介绍了具体实现过程中的关键步骤和主要方法。该防火墙在通常的包过滤防火墙基础之上，又增加了MAC地址绑定和端口映射等功能，使之具有更完备、更实用、更稳固的特点。通过对于具有上述特点的防火墙的配置与测试工作，一方面使得所设计的防火墙系统本身具有高效、安全、实用的特点，另一方面也对今后在此基础上继续测试其它网络产品作好了一系列比较全面的准备工作。关键词：网络安全；防火墙；校园网湖南科技职业学院电子信息工程与技术系毕业设计2AbstractThenetworktechnologyhasgotverygreatdevelopmentinrecentyears,andtheonlineinformationresourcesaredevelopingfromdeficienttorichandcolorfultoo,andfillwitheverything.Butwiththedevelopmentoftheinternet,thesafeofnetworkisbecomingmoreandmoresevere.ThenetworksafeprecautionseemsveryimportantfornormalrunningofourcampusnetworktooInthenetworksecurityguardagainstthefirewallisavitalroleintechnology.thefirewallisthesafetyoftechnologyisthesimplestandmosteffectivesolution.itisnotonlyfromtheexplorationandscanningservices,toattack,wecanavoidthenethasbeenininformationdisclosureofthewoodenhostcomputer...Thisthesisputforwardafunctionindetailedanalysisfirewallworkingthefoundationoftheprinciplemorecompletefunctionthangood,firewallsystemofoneselfthedesignprojectofthetoosafefirewallsystem,andintroducestorealizesinaspecificwayatthesametimekeyintheprocessstepwithmainmethod.Thatfirewallisintheusualapercolationfirewallfoundationon,increasedagaintheMACaddressbindtosettlethespecialfunctioninetc.,makingithavethefreshandclearcharacteristics.Passtomakefirewallthathavetheresearchoftheabovecharacteristicsanddevelopmentwork,verymuchafirewallfordevelopingsystemoneselfhaveefficiently,safety,practicalcharacteristics,ontheotherhandtootofromnowonherefoundationascenddevelopcontinuouslyKeywords:NetworkSecurity;Firewall;CampusNetwork湖南科技职业学院电子信息工程与技术系毕业设计31概述学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。本文作者在导师的指导下，独立完成了该防火墙系统方案的配置及安全性能的检测工作。本论文在详细分析防火墙工作原理基础上，针对我校防火墙的实际情况，提出了一个能够充分发挥防火墙性能、提高防火墙系统的抗攻击能力的防火墙系统配置方案，同时介绍了具体实现过程中的关键步骤和主要方法，并针对我校的防火墙系统模拟黑客进行攻击，检查防火墙的安全漏洞，并针对漏洞提供相应的解决方案。该防火墙在通常的包过滤防火墙基础之上，又增加了MAC地址绑定、端口映射等特殊功能，使之具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作，一方面使得我校防火墙系统本身具有高效、安全、实用的特点，另一方面在此基础上对今后可能出现的新问题作好了一系列比较全面的准备工作。1.1课题意义安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网湖南科技职业学院电子信息工程与技术系毕业设计4络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术如图1-1。图1-1防火墙功能图它通过监测、限制、修改跨越防火墙的数据流，尽可能地外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建一个相对安全的计算机网络平台。使其免受外部网络的攻击。1.2网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan，但是其安全漏洞相对更多，如IPsweep,teardrop,sync-flood,IPspoofing攻击等。防火墙枝术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。湖南科技职业学院电子信息工程与技术系毕业设计5病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞，并采取相应防范措施，从而降低网络的安全风险而发展起来的一种安全技术。认证和数字签名技术，其中的认证技术主要解决网络通讯过程中通讯双方的身份认可，而数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据，所以有一定的不安全性。应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。1.3防火墙介绍所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法，它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，1.4防火墙技术发展趋势防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。远程办公的增长。全国主要城市先后受到SARS病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。内部网络“包厢化”（compartmentalizing）。人们通常认为处在防火墙保护下的内网是可信的，只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”，对每个“包厢”实施独立的安全策略。1.5防火墙产品发展趋势防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，湖南科技职业学院电子信息工程与技术系毕业设计6恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外，下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。模式转变，传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。未来的的防火墙产品将开始体现出一种分布式结构，以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度。功能扩展，防火墙的管理功能一直在迅猛发展，在将来，通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理，当然，这些管理方式的扩展需要首先面对