北京华夏管理学院毕业论文文理学院计算机专业课题名称浅谈校园网防火墙实用技术学生姓名梁伟学生班级计算机指导老师付春霞起讫日期 2011.2-2011.4 2011年4月23日目录1. 防火墙的基本原理和主要类型 (4)1．2 包过滤式防火墙 (5)1．3 代理式防火墙 (6)1．4 状态检测防火墙 (6)1．5 防火墙的主流产品 (6)2. 防火墙在校园网中的应用 (8)2．2 防火墙的边界防护功能 (8)2．3 防火墙的NAT功能 (9)2．4 防火墙的防毒功能 (9)3. 防火墙的配置方法 (9)3．1 配置工作站的连接 (9)3．4 测试连通性 (12)3．5 配置备份防火墙 (14)3．6 配置访问控制列表和嫌疑代码过滤 (17)4. 防火墙应用中的若干问题及改进设想 (18)4．1 木马新技术反弹端口的问题 (18)5.结论 (19)6. 致谢 (19)7. 参考文献 (19)Campus network firewall practical techniques analysedAbstract:This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help.Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology浅谈校园网防火墙实用技术摘要本文列举了防火墙的基本原理和主要类型，以及当前市场的主流产品。

本文讨论了在校园网里使用防火墙的方法。

我结合自己在学校计算机房的多年工作经验，按照指导书的步骤动手实验，完成对防火墙的配置。

通过学习，实践能力有了很大的提高，对我今后的工作会有切实的帮助。

关键词防火墙；校园网；信息安全；网络安全；拓扑；配置；实用技术1. 防火墙的基本原理和主要类型1．1 防火墙的基本原理防火墙是网络安全的一种基本的设备。

它安装在可信网络和未可信网络的边界处，通过设置一系列的安全访问规则，对网络之间透过防火墙的通信进行控制，检测交换的信息，禁止访问未可信网络上的某些有害的站点，防止未可信网络上的某个有害的IP攻击可信网络或者从可信网络里窃取重要信息，从而达到保护可信网络的目的。

我们可以把校园网看作一个可信网络，把互联网看作一个未可信网络，把防火墙放置在校园网的出口处。

此外，我们也在校园网的内部的某个重要部门的局域网到校园网的边界上，设置防火墙，以保护这个重要部门的局域网。

一个防火墙应当具备以下功能：内部网络和外部网络的所有的数据交换都必须经过防火墙；提供配置完善的安全策略的机制，只有安全策略所允许的通信才可以进行，否则一律禁止；防火墙自身的安全必须有保证，能够抵御各种对于防火墙的攻击，而保持正常工作的能力；防火墙的管理界面友好而且功能强大。

管理员能够很方便地对防火墙进行配置和管理。

防火墙的实现技术主要有包过滤式防火墙、代理式防火墙和状态检测防火墙三种类型。

其工作原理各有不同的特点，下面分别做一简单的讨论。

1．2 包过滤式防火墙包过滤防火墙是在1989年出现的一种早期的防火墙。

一个在网络上传输的数据包的结构可以分为“包头”和“包体”。

在“包体”部分，携带的是要传输的信息本身。

在“包头”部分，携带的是关于这个数据包的性质的信息。

包过滤防火墙通过对每个数据包的“包头”的检查，根据预先设定的安全策略，决定是放行该数据包还是把该数据包丢弃而终止它的旅行。

“包头”所携带的关于包的性质的信息是比较复杂的，计有：数据包的协议类型：TCP、UDP、ICMP、IGMP等；源IP地址和目的IP地址；源端口号或服务和目的端口号或服务：HTTP、FTP、DNS等；IP的选项：源路由、记录路由等；TCP选项：SYN、ACK、FIN、RST等；其他协议选项：ICMP ECHO、ICMP ECHO REPLY等；数据包的流向：IN、OUT；数据包流经的网络接口等等。

根据这些信息，可以制定安全策略。

一般的包过滤防火墙都能够根据数据包的流向、源地址和目的地址、网络协议、端口号进行设置。

好一些的包过滤防火墙能够设置的安全策略会更灵活一些。

1．3 代理式防火墙代理式防火墙又称“应用级网关”。

内网的用户要求对外网进行访问的时候，把访问请求发送到代理式防火墙。

代理式防火墙根据预设的安全策略对用户的请求进行检查。

如果该请求符合安全策略，则把访问请求转发到外网的相应站点。

从外网的相应站点反馈回来的信息再由代理式防火墙转发给用户。

如果此后有另外一个用户有相同的请求，则代理式防火墙将直接把刚才已经返回的信息直接发给这个用户，而不再需要到外网上重复访问。

代理式防火墙要求每一个网络服务都要启动一个相应的代理程序，这在实际上是不容易做到的。

另外，代理式防火墙的工作负担相当沉重，会使得网络效率降低。

从外网上只能看到一个代理防火墙，而不能访问内网的站点。

如果需要对外网开放内网上的某个站点，则需要启用一个“重定向”功能，把内网的这个站点映射到防火墙的一个端口上，允许外网访问。

1．4 状态检测防火墙状态检测防火墙在内部维护一个状态表，该状态表以会话的方式，记录内网一个数据包发起的连接请求以及后续的整个会话过程，直至会话结束。

而由外网发起的连接请求数据包则全部丢弃。

状态检测防火墙提供了完整的对传输层的控制，但是网络效率较低。

1．5 防火墙的主流产品防火墙可以分为软件防火墙和硬件防火墙，软件防火墙中有一些是个人使用的低端产品，如瑞星、江民、天网等都有个人软件防火墙产品。

用在校园网的防火墙主要是中档的产品。

从网络效率看，硬件防火墙的表现会好一些。

防火墙主流产品有Cisco公司的Cisco Secure PIX 515-E和Cisco IOS，Check Point公司的FireWall-1 4.1 NG，Microsoft公司的ISA Server，SonicWall 公司的TELE3，NetScreen公司的5XP和208，联想公司的网御2000，东软公司的NetEye 4032，天融信公司的网络卫士NGFW4000-S以及Nokia公司的IP110等。

Cisco Secure PIX防火墙是通过端到端安全服务的有机组合，提供了安全性。

适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。

Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器不同，它采用非UNIX、安全、实时的内置系统。

NAT可提供扩展和重新配置IP网络的特性，既可利用现有IP地址，也可利用Internet 指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。

Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。

北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统，目前在我国电信、电子、教育、科研等单位广泛使用。

它由防火墙和管理器组成。

网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全更加稳定。

网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能，可以为不同类型的Internet接入网络提供全方位的网络安全服务。

网络卫士防火墙系统是中国人自己设计的，因此管理界面使用中文，使管理工作更加方便，网络卫士NGFW4000-S防火墙的管理界面相当直观。

网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。

联想网御2000千兆防火墙集成了主动式状态检测、DoS攻击防范、IPSec VPN和内容过滤、带宽管理、日志管理等功能，用户以较低成本便可拥有完善的安全措施。

易于实施和管理，提供多种管理方式，支持SSL、HTTPS和SNMP协议，实现了真正的安全远程管理和集中管理。

同时提供丰富的日志查询功能，日志服务器可存储10G以上的数据，完全满足大流量网络中防火墙日志管理的需要。

网御2000千兆防火墙支持包括透明模式、路由模式、混合模式等多种工作模式，全面支持VLAN，支持众多网络通信协议和应用协议，适用于各种复杂网络结构和应用的接入。

防拒绝服务网关，抵御SYNflood， UDPflood， ICMPflood， Tear Drop，Smurf， Land Attack， Ping Of Death等多种当今流行的DoS/DDoS攻击。

网御2000千兆防火墙支持多台防火墙之间的热机备份和负载均衡，维护所有会话同步，对网络中大量的突发流量有更高的处理能力，确保多个防火墙设备正常运行并同步进行数据传输。

各种产品在功能、性能、价格、服务等方面各有特别的表现，也存在着若干差异。

校园网应根据实际需要和可能，选择适当的产品。

本论文的实验是在Cisco Secure PIX 515-E上进行的，因此本论文中将以此为例，并不意味着Cisco Secure PIX 515-E是校园网应用的推荐选择。

2. 防火墙在校园网中的应用2．1 防火墙在校园网中的连接拓扑图图1 防火墙在校园网中的连接拓扑图图1是防火墙在校园网中典型的连接方法。

防火墙的外网接口连接到互联网，内网接口连接到校园网，xtra接口连接到校园网上的服务器群。

防火墙在网络边界上，一方面抵御来自互联网的种种对于校园网特别是校园网的服务器群的攻击，另一方面也防止来自校园网内部的对服务器群的攻击。

服务器群为校园网和互联网上的用户提供各种服务，同时屏蔽掉各种超出权限的请求，以及防止敏感信息的泄漏。