张文杰 李金凤

摘 要： 防火墙是一种确保网络安全的方法，它可以被安全放置在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成，简单说防火墙就是一个位于计算机和它所连接的网络之间的软件，该计算机流入流出的所有网络通信均要经过此防火墙。

关键词： 防火墙 TCP/IP 网络协议 校园网

1.引言

防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。IT术语中的防火墙是指隔离在本地网络与外界网络之间的一道防御统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域 （即Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不妨碍人们对风险区域的访问。

2. Windows网络协议的实现及操作系统的总体架构

2.1 Windows网络协议的实现

网络协议是网络上所有设备（网络服务器、计算机及交换机、路由器、防火墙等）之间通信规则的集合，它定义了通信时信息必须采用的格式和这些格式的意义。大多数网络都采用分层的体系结构，每一层都建立在它的下层之上，为它的上一层提供一定的服务，而把如何实现这一服务的细节对上一层加以屏蔽。

2.2 Windows操作系统的总体架构

Microsoft Windows系列操作系统是在微软给IBM机器设计MS-DOS的基础上设计的图形操作系统。现在的Windows系统，如Windows 2000、Windows XP皆是建立于现代的Windows NT核心。NT核心是由OS/2和OpenVMS等系统上借用来的。

3. 防火墙发展研究

3.1防火墙体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。

3.2被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。

4.防火墙技术在校园网中的实现

这里，假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的，且有明确的闭和边界。它有一个C类的IP地址，有DNS，Email，WWW，FTP等服务器，可采用以下存取控制策略。

4.1对进入CERNET主干网的存取控制

校园网有自己IP地址，应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2对网络中心资源主机的访问控制

网络中心的DNS，Email，FTP，WWW等服务器是重要的资源，要特别保护，可对网络中心所在子网禁止DNS，Email，WWW，FTP以外的一切服务。

4.3对校外非法网址的访问

可通过计费系统获得最新的IP访问信息，利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。

5.结语

本文阐述了防火墙的体系结构及在校园网络中的应用，并且介绍了网络协议的实现与操作系统的总体架构。

参考文献：

[1]黎连业， 张维 编著.防火墙及其应用技术[M]. 北京：清华大学出版社，2004.7，第1版.

[2]朱雁辉 ，编著.Windows防火墙与网络封包截获技术[M].北京：电子工业出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等译.防火墙技术大全[M]. 北京：机械工业出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李华飚 ，等译.Tanenbaum[M]. 北京：中国水利水电出版社，2005.5，第一版.

[5]谢希仁 ，编著.计算机网络（第四版）[M].北京：电子工业出版社 ，2003.6.

[6]Tanenbaum，A.S.著.潘爱民 ，译.计算机网络[M].北京：清华大学出版社，2004.8.