校园网防御系统中防火墙的应用

2023-10-18 理论教育版权反馈

【摘要】：各高校校园网的建设使高校的教学、科研工作质量得到大幅度提高。为保障整个校园网的正常运行，免受外来攻击，必须开发校园网的防御系统。图7-6校园网防御系统结构示意图图中，R1、R2、R3是具有IP包过滤功能的路由设备。另外有一个应用网关用来控制外部网络与校园网之间的通信，保护校园网不受侵害，它是整个系统的核心。

各高校校园网的建设使高校的教学、科研工作质量得到大幅度提高。但对于连入Internet和CHINANET等网的校园网，也面临着安全问题。为保障整个校园网的正常运行，免受外来攻击，必须开发校园网的防御系统。

一般说来，校园网防御系统的设计目标为：校内用户可以自己访问Internet上的常用服务，如ftp，telnet及http等；校外授权用户可以访问内部网络上的ftp，telnet和http服务；校外没经授权的用户不能访问内部网络的任何资源；有些公共信息服务提供给Internet上的所有用户。

由于校园网对外与各个网络相连，网络拓扑结构比较复杂，故考虑综合使用包过滤技术和应用网关技术。系统结构如图7-6所示，可以将之看成一个过滤子网防火墙系统。

pagenumber_ebook=161,pagenumber_book=155

图7-6　校园网防御系统结构示意图

图中，R1、R2、R3是具有IP包过滤功能的路由设备。

由图7-6可见，整个防御系统利用3个带有IP包过滤功能的路由器R1、R2、R3，并在校园网、CHINANET和教育科研网之间形成一个子网。过滤路由器分别限制校园网，CHINANET和教育科研网只能与子网进行网络通信，从而使得子网是唯一一块3个网络都可访问的区域。在子网内有一个公共信息服务器用来向Internet上所有用户提供WWW、NEWS或匿名FTP服务。另外有一个应用网关用来控制外部网络与校园网之间的通信，保护校园网不受侵害，它是整个系统的核心。

根据整个防御体系的系统结构，可以确定应用网关的逻辑结构，如表7-1所示，该应用网关提供4种最常用的网络服务代理软件，以便内部用户访问外部网络服务及外部授权用户访问内部网络服务。从逻辑图上可以看到，对所有4种服务都要求高级身份识别与验证；对所有的通信都要进行监控、记录及报告。

表7-1　应用网关逻辑结构

pagenumber_ebook=161,pagenumber_book=155 (www.chuimin.cn)

在具体实现过程中，可利用一个配置文件来确定各种服务的权项，配置文件结构如表7-2所示。其中，代理名proxy-name可为ftp、telnet或http。

表7-2　配置文件结构

pagenumber_ebook=162,pagenumber_book=156

源IP地址source-ip和目的IP地址dest-ip分别指包的源IP地址和目的IP地址；允许/禁止项allow-deny指对满足源IP地址和目的IP地址的包是允许还是阻塞（allow/deny），如果是允许，是否需要确认auth（Yes/No），确认之后是否还有与应用有关的阻塞（app-deny）。

例如，配置文件如下：

该规划使得C类网络203.95.5.0上的授权用户可以访问校园网内的C类网202.120.250.0上的ftp服务，但必须要求确认和身份鉴别，且在使用ftp服务时，下载文件是被阻塞的。

这样，将制定的网络安全策略用配置文件格式写出，应用于网关上，就可以对各种服务和信息流的情况做出正确的安全反应了。

按上述结构设计的校园网防御系统综合利用了IP包过滤技术和应用网关技术，结合了两者的优点，较好地解决了单独使用的问题，并且由于各路由设备的任务比较单一，规则库比较简单，从而使各路由设备容易维护，进而使整个系统的维护相对于单用一个路由设备时更为简单。

校园网防御系统中防火墙的应用

相关推荐