校园网安全防火墙设计实例

这里，假定校园网通过Cisco路由器与intemet相连。校园内的IP地址范围是确定的，且有明确的闭和边界。它有一个c类的IP地址，有DNS，Email，wWW，FTP等服务器，可采用以下存取控制策略。

(1)对进入校园主干网的存取控制

校园网有自己IP地址，应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器：

InterfaCe EO

Decription campusNet

Ipadd 192．168．1．9

access． ．1ist group 20 out

!

access―

list 20 permit ip 192．168．1．0 0．0．225

(2)对网络中心资源主机的访问控制

网络中心的DNS，Email，FTP，www等服务器是重要的资源，要特别的保护，可对网络中心所在子网禁止DNS，Email，WWW，FTP以外的一切服务。

． (3)防止IP地址欺骗和盗用

对校园网内人员访问Intemet进行一定限制，在连接内部网络的端口接收数据时进行IP地址和以太网地址检查，盗用IP地址的数据包将被丢弃，并记录有关信息；在连接Intemet接收数据时，如从

外部网络收到一段假冒内部IP地址发出的报文，也应丢弃，并记录有关信息。防止IP地址被盗用的彻底解决办法是，网络上全部采用交换式集线器提供用户接入，设定每个端口的以太网地址和IP地址，但由于各种原因这种方法目前不可行。建议用下述方法解决：

a)代理服务器防火墙

用户的对外通信通过代理服务器进行和IP地址没很大关系，因此可以在一定程度上减少IP地址盗用给用户带来的损失。但它要求采用代理服务器方式的防火墙，因而限制了它的推广。

b)捆绑IP地址和以太网地址

首先登记每个合法IP地址和对应的以太网地址，形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表，获得当前IP和MAC的对应关系，和事先合法的IP和MAC地址进行比较，如不一致，则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此，这种方法的效果不是很好。可对其进行改进，由用户自己动态地控制IP地址的访问权限，当用户不需要对外通信时，可以关掉自己的IP

地址对外的权限，这时即使有人盗用IP地址也不会对用户造成直接的损失。

(4)对非法访问的动态禁止

一旦获知某个IP地址的访问是非法的，可立即更改路由器中的存取控制表，从而禁止其对外的非法访问，首先应在路由器和校园网的以太口预设控制组102，然后过滤掉来自非法地址的所有IP

包，插入以下命令：

access． ．1ist 1．2 deny 0．0．0．0 255．255．255．255

A．B．C．D O．O．O．O

该命令的插入实际上是对路由器进行动态配置。可以通过Telnet Socket。编制针对Cisco的tel―net仿真程序，仿真所有的人工命令过程，从而实现对Cisco的动态配置。由于存取控制表不能随意

插入控制项，因此仿真程序需要维持一个完整的和Cisco内控制表项一致的配置文件，即先将更改的控制项插入到配置文件中，然后将配置文件作为一个整体，传人路由器中，从而保证存取控制的完

整性。

(5)采用透明通道式防火墙

传统防火墙的IP地址会给黑客提供攻击的线索，而透明通道式防火墙上的网络接口没有IP地址，可视为一透明设备。外部人员无法知道防火墙的存在，而内部人员也无法访问防火墙，从而增强

了网络的安全性。此外，透明通道式防火墙在防止IP欺骗和盗用上也很灵活。它根据MAC地址选择路由(类似透明网桥功能)，可静态设置MAC地址和IP地址对应的网络端口。根据配置，它维持一张IP地址，MAC地址和网络端口的对应表，该表可动态生成或由系统管理员手工配置。考虑到MAC地址的数值比较分散，接口表采用hash表将MAC排序，保证查询时有较高的效率，不会因接口表查询成为网络的瓶颈。

4 结束语

防火墙是一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。校园网利用防火墙技术可以有效抵抗黑客及某些非法访问。但是，目前防火墙在设计上仍然有一定的困难和缺陷，所以防火墙并不能保证万无一失。需要不断根据实际情况，改进控制的策略和规则，使之更加有效的抵御来自网络的攻击。另外，防火墙是在内部网安全的前提下进行设计的，所以要防止内部网的病毒及内部人员的恶意破坏