防火墙技术研究及其在校园网中的应用
2015-09-10张文杰李金凤
张文杰 李金凤
摘 要: 防火墙是一种确保网络安全的方法,它可以被安全放置在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成,简单说防火墙就是一个位于计算机和它所连接的网络之间的软件,该计算机流入流出的所有网络通信均要经过此防火墙。
关键词: 防火墙 TCP/IP 网络协议 校园网
1.引言
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。IT术语中的防火墙是指隔离在本地网络与外界网络之间的一道防御统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不妨碍人们对风险区域的访问。
2. Windows网络协议的实现及操作系统的总体架构
2.1 Windows网络协议的实现
网络协议是网络上所有设备(网络服务器、计算机及交换机、路由器、防火墙等)之间通信规则的集合,它定义了通信时信息必须采用的格式和这些格式的意义。大多数网络都采用分层的体系结构,每一层都建立在它的下层之上,为它的上一层提供一定的服务,而把如何实现这一服务的细节对上一层加以屏蔽。
2.2 Windows操作系统的总体架构
Microsoft Windows系列操作系统是在微软给IBM机器设计MS-DOS的基础上设计的图形操作系统。现在的Windows系统,如Windows 2000、Windows XP皆是建立于现代的Windows NT核心。NT核心是由OS/2和OpenVMS等系统上借用来的。
3. 防火墙发展研究
3.1防火墙体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。
3.2被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。
4.防火墙技术在校园网中的实现
这里,假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界。它有一个C类的IP地址,有DNS,Email,WWW,FTP等服务器,可采用以下存取控制策略。
4.1对进入CERNET主干网的存取控制
校园网有自己IP地址,应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器:
Interface E0
Decription campusNet
Ipadd 162.105.17.1
access_list group 20 out !
access_list 20 permit ip 162.105.17.0 0.0.225
4.2对网络中心资源主机的访问控制
网络中心的DNS,Email,FTP,WWW等服务器是重要的资源,要特别保护,可对网络中心所在子网禁止DNS,Email,WWW,FTP以外的一切服务。
4.3对校外非法网址的访问
可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
5.结语
本文阐述了防火墙的体系结构及在校园网络中的应用,并且介绍了网络协议的实现与操作系统的总体架构。
参考文献:
[1]黎连业, 张维 编著.防火墙及其应用技术[M]. 北京:清华大学出版社,2004.7,第1版.
[2]朱雁辉 ,编著.Windows防火墙与网络封包截获技术[M].北京:电子工业出版社,2002.7,第一版.
[3]Keith E.Strassberg,等著.李昂,等译.防火墙技术大全[M]. 北京:机械工业出版社,2003,3,第一版.
[4]Carasik-Henmi,A.等著.李华飚 ,等译.Tanenbaum[M]. 北京:中国水利水电出版社,2005.5,第一版.
[5]谢希仁 ,编著.计算机网络(第四版)[M].北京:电子工业出版社 ,2003.6.
[6]Tanenbaum,A.S.著.潘爱民 ,译.计算机网络[M].北京:清华大学出版社,2004.8.