第一章绪论1.1引言科学技术的飞速发展，人们已经生活在信息时代。

计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。

近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。

然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。

“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。

“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。

因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。

1.2研究现状因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。

对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。

不断地提高自身网络的安全才是行之有效地办法。

1.3课题意义安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。

为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术如图1-1。

图1-1防火墙(Firewall)技术图1.3 网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。

其中虚拟网技术防止了大部分基于网络监听的入侵手段。

通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

例如vlan，但是其安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

防火墙枝术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行状态。

但是防火墙无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。

病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。

是一种用于检测计算机网络中违反安全策略行为的技术。

安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞，并采取相应防范措施，从而降低网络的安全风险而发展起来的一种安全技术。

认证和数字签名技术，其中的认证技术主要解决网络通讯过程中通讯双方的身份认可，而数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

VPN技术就是在公网上利用随到技术来传输数据。

但是由于是在公网上进行传输数据，所以有一定的不安全性。

应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。

1.4 防火墙介绍防火墙(Firewall)是一种网络边防产品，是在可信网络与不可信网络之间构筑的一道防线，是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

防火墙监控可信网络和不可信网络之间的访问渠道，防止外部网络的危险蔓延到内部网络上。

从而是一种获取安全的形象说法，它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙的基本功能是对网络通信进行筛选和屏蔽，以防止未经授权的访问进出计算机网络，具体表现为：过滤进出网络数据；管理进出网络访问；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警等。

防火墙外形如图1-2：图1-2防火墙外形图1.5防火墙技术发展趋势防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。

远程办公的增长。

全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。

现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。

只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。

内部网络“包厢化”（compartmentalizing）。

人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。

由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。

由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。

企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。

应对的办法就是将内部网细分成一间间的“包厢”，对每个“包厢”实施独立的安全策略。

1.6防火墙产品发展趋势防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外，下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。

模式转变，传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。

未来的的防火墙产品将开始体现出一种分布式结构，以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度。

功能扩展，防火墙的管理功能一直在迅猛发展，在将来，通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理，当然，这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。

性能提高，未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋进几何级数的程度上升，这是对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一，例如利用集成专有算法的协处理器来专门处理规则判断，在防火墙的某方面性能出现较大瓶颈时，我们可以单纯地升级某个部分的硬件来解决，这种设计有些已经应用到现有的产品中了，也许未来的防火墙产品会呈现出非常复杂的结构.第二章需求分析2.1校园网络安全分析高校校园网一般都是采用最先进的网络技术架构的，用户较多，使用面较广，存在的安全隐患和漏洞相对较广泛，大多有如下几个方面：（1）校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

高校校园网速度比较快，我院与电脑的出口带宽达到了1Gbps，这给网络入侵和攻击也提供了一个快速通道。

（2）校园网内部也存大很大的安全隐患。

由于内部用户对网络的结构和应用模式都比较了解，因些来自内部的安全威胁会更大一些。

（3）目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。

例如Windows 2000、Windows 2003、Windows 2008的普遍性和可操性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、病毒木马等。

（4）随着校园内计算机应用的大范围普入，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络攻击、系统瘫痪等严重后果。

（5）内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网，内外网恶意用户可能利用一些工具对网络入服务器发起Dos/DDoS攻击，导致网络及服务不可用，高校学生通常是最活跃的网络用户，对网络的各种技术都充满了好奇，有强大的求知和实验的欲望，勇于尝试，不计后果，校园网内针对如的黑客程序、ARP病毒、超级网管随处可见。

鉴于上述不安全因素，有必要为校园网设计一个严密的防火墙。

2.2校园网防火墙需求分析保护校园网中的资源免受外来攻击是校园网建设中需要考虑的重要环节，在内网和外网之间设置防火墙是保护校园网免受外来攻击的有效手段之一。

现针对校园网防火墙提出如下的需求：（1）校园网中的Web服务器、FTP服务器、E-mail等服务器要能同时对内网和外网用户提供服务，各服务器仅开启相应服务端口，其他端口均关闭。

（2）具备IP地址转换能力，隐藏内网结构，并使得校园网内部所以用户可以通过一个公网IP地址访问lnternet。

在地址转换时对于不同区域的设计要兼顾安全和效率两方面因素。

（3）保护作为防火墙的主机安全，禁止外部用户通过使用Telnet、FTP等方式登陆防火墙，仅允许网络管理员在网络中心访问防火墙及核心交换机。

（4）防火墙应具备防攻击的能力，能够有效地防止病毒端口及IP地址欺骗等攻击。

2.3校园网防火墙部署思路防火墙是网络安全的屏障。

一个防火墙（作为阴塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有经对精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。