浅谈防火墙的研究及其在校园网中的应用____梁伟
高职院校校园网防火墙技术的应用
高职院校校园网防火墙技术的应用随着互联网的迅猛发展,校园网已经成为高职院校学生学习和生活中必不可少的一部分。
随之而来的网络安全问题也日益突出,校园网安全成为了一个亟需解决的难题。
为了保障校园网络的安全稳定运行,高职院校纷纷引入了防火墙技术,以应对各种网络安全威胁,保护师生的网络信息安全。
本文将从防火墙技术的基本概念、校园网安全现状以及高职院校校园网防火墙技术的应用进行分析和探讨。
一、防火墙技术的基本概念防火墙(Firewall)是一种网络安全系统,用来保护网络免受未经授权的访问或恶意攻击。
它可以实现对网络流量的监测和控制,过滤不安全的数据包,从而保障网络的安全。
防火墙通过设定规则,对网络数据进行过滤,只允许符合规定的数据通过,从而保护内部网络免受外部攻击。
在校园网络中,防火墙技术可以有效保护学校网络不受网络攻击、病毒和恶意软件的侵害,保障师生的网络安全。
防火墙可以分为软件防火墙和硬件防火墙两种类型。
软件防火墙是安装在计算机系统中的防火墙软件,通过在系统内部进行防护,如Windows防火墙、360安全卫士等。
而硬件防火墙则是安装在网络设备上的防火墙设备,通过在网络层进行过滤和监控来保护整个网络安全,如思科、华为等厂商的防火墙设备。
在校园网中,通常会采用硬件防火墙进行网络安全防护。
二、校园网安全现状随着互联网的高速发展,校园网安全问题日益突出。
校园网作为学生学习和生活的主要场所,承载了大量的学术和生活信息。
由于校园网用户众多、使用场景复杂,校园网安全风险也相对较高,常常受到来自内部和外部的各种网络安全威胁。
校园网内部存在大量的用户,其中包括师生、行政人员以及访客等。
这些用户的网络安全意识参差不齐,很容易成为网络攻击的对象。
校园网还面临来自外部的各种网络安全威胁,如病毒攻击、网络钓鱼、DDoS攻击等。
这些安全威胁如果没有得到有效的防范和防护,就会给校园网的安全稳定带来严重的影响。
校园网安全问题亟需得到关注和解决。
学校校园网络安全管理中的防火墙技术应用
学校校园网络安全管理中的防火墙技术应用随着信息技术的发展,学校校园内的网络已经成为了学生学习和教师教育的重要工具。
然而,学校校园网络的使用也存在着一些安全风险,例如网络攻击、非法访问、病毒感染等。
为了保障校园网络的安全,学校需要采取一系列措施。
其中,防火墙技术应用是学校校园网络安全管理的关键之一。
本文将介绍防火墙技术在学校校园网络安全管理中的应用。
一、防火墙的概念和原理防火墙是一种位于网络边界的安全设备,它通过对网络数据进行过滤和监控,阻止未经授权的访问和恶意攻击。
防火墙采用了一系列的安全规则和策略,根据网络数据包的源地址、目标地址、端口等信息进行判断和处理,有效保护了网络的安全。
防火墙的原理主要包括包过滤、访问控制列表(ACL)、网络地址转换(NAT)等技术。
包过滤是防火墙最基本的功能,它通过检查数据包的源地址、目标地址、端口等信息,决定是否允许通过。
ACL是防火墙中的一种规则集合,用于限制访问权限,可根据需求设置不同的ACL规则。
NAT技术可以将内部网络的私有IP地址转换为公共IP 地址,提高了网络的安全性。
二、学校校园网络中的安全挑战在学校校园网络中,存在着一些安全挑战,如下所示:1. 未经授权的访问:学生或外部人员可能试图通过非法手段进入学校校园网络,获取未被授权的权限,这会对网络安全造成威胁。
2. 病毒和恶意软件:学校校园网络中的计算机容易受到病毒、蠕虫和恶意软件的感染,这些恶意代码可能会导致网络故障、数据丢失等问题。
3. 网络攻击:黑客可能通过网络攻击手段,如拒绝服务攻击(DDoS)、SQL注入、跨站脚本攻击等,对学校校园网络进行破坏和入侵。
三、防火墙技术在学校校园网络中的应用为了应对学校校园网络中的安全挑战,防火墙技术被广泛应用于网络安全管理中。
下面将介绍防火墙技术在学校校园网络中的具体应用。
1. 访问控制:防火墙可以通过设置访问控制列表(ACL)来限制访问权限,仅允许经过授权的用户访问学校校园网络。
防火墙的研究及其在校园网中的应用
毕业论文题目防火墙的研究及其在校园网中的应用英文题目Firewall and Its Application in the Campus Network学生姓名郑旭学号07119424专业计算机网络技术与应用学院东华理工大学国际教育学院指导教师游胜玉职称助教二零一零年五月东华理工大学国际学院毕业设计(论文)摘要网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从匮乏到丰富多彩,应有尽有。
但随着网络速度越来越快,资源越来越丰富,网络安全问题却也越来越严峻,网络安全防范对校园网的正常运行来讲也就显得十分重要。
在网络安全防范中,防火墙具有着不可或缺的地位。
防火墙技术是在安全技术当中又是最简单,也是最有效的解决方案。
它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网已中木马的主机系统信息泄露...本论文在详细分析防火墙工作原理的基础上,提出一个功能较为完备、性能较好、防火墙系统的本身也较为安全的防火墙系统的设计方案,同时介绍了具体实现过程中的关键步骤和主要方法。
该防火墙在通常的包过滤防火墙基础之上,又增加了MAC 地址绑定和端口映射等功能,使之具有更完备、更实用、更稳固的特点。
通过对于具有上述特点的防火墙的配置与测试工作,一方面使得所设计的防火墙系统本身具有高效、安全、实用的特点,另一方面也对今后在此基础上继续测试其它网络产品作好了一系列比较全面的准备工作。
关键词:网络安全;防火墙;校园网ABSTRACTThe network technology has got very great development in recent years, and the online information resources are developing from deficient to rich and colorful too, and fill with everything. But with the development of the internet, the safe of network is becoming more and more severe. The network safe precaution seems very important for normal running of our campus network tooIn the network security guard against the firewall is a vital role in technology. the firewall is the safety of technology is the simplest and most effective solution. it is not only from the exploration and scanning services, to attack, we can avoid the net has been in information disclosure of the wooden host computer...This thesis put forward a function in detailed analysis firewall working the foundation of the principle more complete function than good, fire wall system of oneself the design project of the too safe fire wall system, and introduces to realizes in a specific way at the same time key in the process step with main method. That firewall is in the usual a percolation firewall foundation on, increased again the MAC address bind to settle the special function in etc., making it have the fresh and clear characteristics. Pass to make fire wall that have the research of the above characteristics and development work, very much a firewall for developing system oneself have efficiently ,safety, practical characteristics, on the other hand too to from now on here foundation ascend develop continuously Keywords: network security; firewall目录ABSTRACT (I)绪论 (1)1计算机的安全问题 (2)1.1计算机网络面临的安全问题 (2)1.2攻击方法 (2)1.3安全隐患 (3)2防火墙的相关知识 (5)2.1防火墙的有关知识 (5)2.1.1防火墙的概念 (5)2.1.2防火墙的相关参数 (5)2.1.3防火墙的连接 (6)2.2防火墙的分类 (7)2.2.1 从软、硬件形式上分 (7)2.2.2 从防火墙技术上分 (8)2.2.3 从防火墙结构分 (8)2.2.4 按防火墙的应用部署位置分 (9)2.2.5从防火墙性能上分 (10)3.校园网面对的安全威胁 (11)3.1物理安全 (11)3.1.1自然威胁 (11)3.1.2 人为威胁 (12)3.2 内网攻击分析 (13)3.2.1 ARP攻击 (13)3.2.2.网络监听 (13)3.2.3.蠕虫病毒 (14)3.3外网攻击 (14)3.3.1 DOS攻击 (14)3.3.2 SYN Attack(SYN攻击) (15)3.3.3 ICMP Flood(UDP泛滥) (15)3.3.4 UDP Flood(UDP泛滥) (15)3.3.5 Port Scan Attack(端口扫描攻击) (16)4.防火墙在校园网中的配置 (17)4.1高校校园网防火墙网络安全策略 (17)4.2防火墙的基本配置 (19)4.3基于内网的防火墙功能及配置 (21)4.3.1 IP与MAC(用户)绑定功能 (21)4.3.2 MAP(端口映射)功能 (22)4.3.3 NAT(地址转换)功能 (23)4.4基于外网的防火墙功能及配置 (23)4.4.1 DOS攻击防范 (23)4.4.2访问控制功能 (24)结论 (26)致谢 (27)参考文献 (28)绪论科学技术的飞速发展,人们已经生活在信息时代。
防火墙技术及其在校园网中的应用
防火墙技术及其在校园网中的应用作者:杨韫来源:《电脑知识与技术》2018年第12期摘要:当今社会,计算机网络与信息技术都飞速发展,在某些我们无法看到的应用中也可能隐藏者一些网络威胁。
本文介绍了防火墙技术及其实现方法,分析了防火墙优势及其存在的问题,并且介绍了防火墙的主要技术,提出了校园网存在的问题及防火墙在校园网络的合理应用。
关键词:防火墙;网络安全;信息安全;校园网中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)12-0047-03随着信息技术的发展,计算机网络变得越来越重要,已经逐步渗透到日常生活工中的各个方面,人们生活工作学习都离不开他。
计算机网络虽然给我们带来很多便利,但是与此同时也带来了许多潜在的安全威胁,因此保障网络安全也变得越来越重要。
本文从网络安全中的防火墙谈起,主要探讨防火墙技术包括防火墙的概念,优势及存在问题,运用的关键技术及在校园网络上的运用。
使我们更深入的了解了解到防火墙在网络安全方面的作用是至关重要的。
1 防火墙概念防火墙也叫防护墙,英文名称为Firewall,是在内网与外网之间建立的一种网络安全系统,在外网与内网之间,公用网络与专用网络之间形成了一道保护网络安全的屏障,将允许“同意”的访问和数据进入内部网,同时将“不同意”的访问和数据拒之门外。
防火墙就像是在一个网络与另一个网络间设置了一道关卡,根据预先设置好的安全策略对出入内部网的信息流进行有效控制,这样不仅能有效防止无法预测的具有潜在破坏性数据流入侵内部网,而且正常访问被保护的网络也不会受到影响。
尽管近些年涌现出大批的网络安全技术,但是截至目前,防火墙仍是保护网络安全最常用的也是最成熟的技术。
2 防火墙的优势有第一,内部网和外部网之间的所有网络数据都必须经过防火墙。
也就是说,防火墙就像是一个隔离器一样通过设置安全策略来保护内网安全,只允许符合安全策略的数据进入到内部网络中去,将不符合安全策略的数据拒之门外。
防火墙技术在计算机网络安全中的应用
防火墙技术在计算机网络安全中的应用随着互联网的快速发展,计算机网络安全问题日益突出。
作为计算机网络安全的重要组成部分,防火墙技术在网络安全中扮演着重要的角色。
本文将从防火墙技术的基本原理、应用场景和未来发展趋势等方面,探讨防火墙技术在计算机网络安全中的重要意义。
一、防火墙技术的基本原理防火墙技术的基本原理是通过对网络数据包进行过滤和监测,以保护网络系统及数据的安全。
防火墙工作在网络的边界上,对数据包进行检查和过滤,只允许符合特定规则的数据包通过,从而防止网络攻击和非法入侵。
防火墙可以根据网络管理员的设置,对数据包进行源地址、目的地址、端口号、协议类型等多个方面进行检查和过滤,以实现对网络流量的精确控制。
防火墙技术一般分为网络层防火墙和应用层防火墙两种类型。
网络层防火墙主要基于IP地址、端口号和协议类型等信息进行过滤和控制,而应用层防火墙则能够对应用层数据进行深度检查和过滤,以提高安全性和精度。
二、防火墙技术的应用场景1. 企业内网安全保护在企业内网中,防火墙技术可以有效防止网络攻击和数据泄露。
通过设置防火墙规则,可以对企业内外的网络流量进行严密的监控和过滤,保障企业内部系统和数据的安全性。
2. 云计算环境安全保护随着云计算技术的发展,越来越多的企业将业务数据存储于云端。
在这种情况下,通过在云端设置防火墙,可以有效防范外部攻击和恶意入侵,保障云计算环境的安全性。
在个人计算机上,安装防火墙软件可以有效防止网络病毒、木马和恶意软件的攻击,保障个人隐私和数据的安全。
三、防火墙技术的未来发展趋势1. 智能化技术的应用未来的防火墙技术将会应用更多的智能化技术,如人工智能、大数据分析和机器学习等,以提高防火墙的检测和识别能力,减少误报率,更好地应对复杂多变的网络安全威胁。
2. 多层次防护机制未来的防火墙技术将向多层次防护机制发展,通过多种技术手段和设备协同工作,实现网络安全的全方位保护。
3. 虚拟化和云化趋势随着虚拟化和云计算技术的快速发展,未来的防火墙技术将更加注重对虚拟化和云化环境的适配和优化,以保障这些新型网络环境的安全性。
防火墙技术在校园网环境下的应用研究
防火墙技术在校园网环境下的应用研究随着互联网的普及,越来越多的人开始使用校园网来进行学习、工作和娱乐等活动。
但是,与此同时也会面临着网络安全的威胁。
为了保障校园网内部网络的安全,许多学校都会采用防火墙技术。
本文将对防火墙技术在校园网环境下的应用进行研究。
一、防火墙技术的基本原理防火墙又称为网络安全墙,其基本原理是对网络流量进行过滤和管理,控制网络流量的出入口,阻止一些非法的或危险的网络流量,保证网络的安全和稳定性。
防火墙是网络中安全的第一道防线。
防火墙技术主要包括静态过滤、动态过滤、状态检测等多种技术。
静态过滤主要是根据一些预先设定的规则或策略进行过滤,比较简单;动态过滤则是根据实时的网络情况来进行过滤,比较复杂;状态检测则是在网络连接的时候检测网络状态来进行过滤,可以有效地防止一些攻击。
二、校园网防火墙的应用实践在校园网中,防火墙技术被广泛应用。
一般来说,校园网防火墙主要采用动态过滤技术。
动态过滤技术可以根据实际的网络情况进行过滤,能够更好地适应复杂和变化的网络环境。
校园网防火墙的主要作用是对校园网内外的网络流量进行管理和控制。
它可以防止电脑病毒、恶意软件、垃圾邮件等网络安全威胁的侵袭。
同时,它还能够防止一些非法的网络活动,如黑客攻击、网络欺诈等。
除此之外,校园网防火墙还可以对网络带宽进行管理和优化。
通过合理地设置网络带宽限制和优先级排队,防火墙可以确保校园网内的网络流量的合理分配和调度。
这可以有效地提高网络的响应速度和稳定性。
三、防火墙技术的不足之处虽然防火墙技术在很大程度上保障了校园网的网络安全和稳定性,但是它也存在一些不足之处。
首先,防火墙技术并非万能的。
一些高级的黑客攻击或恶意软件可能会绕过防火墙的检测,造成网络安全威胁。
其次,防火墙技术的使用也需要注意合理性和适度性。
一些过度强制的防火墙规则可能会对正常的网络活动造成影响,影响用户的使用体验和工作效率。
最后,防火墙技术的管理和维护也需要投入相当的人力和物力。
防火墙技术研究及其在校园网中的应用
l i s t g r o u p 2 O o u t ! l i s t 2 0p e r mi t i p 1 6 2 . 1 0 5 . 1 70002 . . . 2 5
2 . 2 Wi n d o w s 操 作 系 统 的 总 体 架 构
acces s
_
M i c r 0 s o f t Wi n d o w s 系列操作 系统 是在 微软给I B M机 器 设 计M S — D O S 的基础上设计 的图形操作系统 。 现 在 的Wi n d o w s 系 统. 如 Wi n d o w s 2 0 0 0 、 Wi n d o w s X P 皆 是 建 立 于 现 代 的 Wi n d o w s N T 核 心 。N T 核 心 是 由O S / 2 和O p e n V MS 等系统上借用来 的。 3 . 防 火墙 发展 研 究 3 . 1 防 火墙 体 系结 构 双 重 宿 主 主机 体 系结 构 围绕 双 重 宿 主 主机 构 筑 。
一
被 屏 蔽 子 网体 系 结 构 添 加 额 外 的安 全 层 到被 屏 蔽 主 机 体 系结 构 , 即通 过 添 加 周 边 网络 更 进 一 步 地 把 内部 网络 和 外 部 网络 ( 通 常是 I n t e ac r t ) 隔离 开 。
4 . 防 火 墙 技 术在 校 园 网 中的 实 现 这里 , 假 定 校 园网 通 过C i s c o 路 由器 与C E R N E T 相 连 。校 园 内 的I P 地址范围是确定的 , 且 有 明确 的 闭 和边 界 。它 有一 个 C 类 的I P 地址 , 有D N S , E ma i l , WWW , n甲 服务器 , 可 采 用 以 下
浅谈防火墙在中小学校园网中的应用
浅谈防火墙在中小学校园网中的应用作者:王法令来源:《小学教学研究·理论版》2010年第09期近几年来,随着信息与计算机技术的飞速发展,校园网络作为学校重要的基础设施,为学校提供了教学、科研、管理和对外交流窗口等诸多重要平台。
与此同时,网络社会与生俱来的不安全因素,如黑客、病毒、垃圾邮件、反动和色情等不健康信息,也无时无刻不在威胁着校园网络的健康发展,已成为教育信息化建设中不容忽视的问题。
作为保护局域网的一种有效手段,硬件防火墙在校园网络安全建设中发挥了重要作用。
一、校园网防火墙的选购原则由于黑客技术日益公开化、职业化,各种攻击日益频繁,病毒日益泛滥,中小学校所选用的路由器防火墙已经不能很好地防御网络黑客攻击,选择更好的专用硬件防火墙将成为防御网络黑客攻击的重要手段。
目前市场上的硬件防火墙种类繁多、功能各异,如何选购适合于中小学校园网络的硬件防火墙呢?笔者认为可从以下几个方面考虑:1.用户连接数多是校园防火墙必须具备的特点随着各中小学校的扩建,在校人数的增加,教师队伍的壮大,办公用计算机的数量也相当可观,再加上学校的各类机房,中小学校的网络规模越来越大。
所以,防火墙需要允许数量众多的计算机上网。
现在市场上已经有很多无人数限制的防火墙,可从根本上解决这一问题。
2.适合于校园的防火墙必须具有快速连接能力现在的校园网络一般都采用了百兆或者千兆以上的网络,所以我们需要选择高带宽的防火墙,否则就有可能成为网络出口的瓶颈。
3.适合于校园的防火墙必须具备很强的防攻击能力和入侵监控能力,这也是防火墙的基本特征目前网络黑客攻击的主要手段有DOS攻击、IP地址欺骗、特洛伊木马、口令字攻击、邮件炸弹等。
这些攻击方式不仅来自外部网络,也可能来自内部网络。
适合于校园的防火墙必须有防止这些外网和内网攻击的能力。
防火墙是由软件和硬件组成的,其中的软件提供了升级功能,这样就能帮助我们修补不断发现的漏洞。
4.由于校园网络内部有访问一些非法网站的事情发生,为了禁止访问非法网站,防火墙不仅需要防止内网访问非法网站的功能,还必须具有监控网络的功能,因为现在一些不良网站每天都有新的变化,只有通过监控,才能根据相关信息及时屏蔽这些非法网站。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北京华夏管理学院毕业论文文理学院计算机专业课题名称浅谈校园网防火墙实用技术学生姓名梁伟学生班级计算机指导老师付春霞起讫日期 2011.2-2011.4 2011年4月23日目录1. 防火墙的基本原理和主要类型 (4)1.2 包过滤式防火墙 (5)1.3 代理式防火墙 (6)1.4 状态检测防火墙 (6)1.5 防火墙的主流产品 (6)2. 防火墙在校园网中的应用 (8)2.2 防火墙的边界防护功能 (8)2.3 防火墙的NAT功能 (9)2.4 防火墙的防毒功能 (9)3. 防火墙的配置方法 (9)3.1 配置工作站的连接 (9)3.4 测试连通性 (12)3.5 配置备份防火墙 (14)3.6 配置访问控制列表和嫌疑代码过滤 (17)4. 防火墙应用中的若干问题及改进设想 (18)4.1 木马新技术反弹端口的问题 (18)5.结论 (19)6. 致谢 (19)7. 参考文献 (19)Campus network firewall practical techniques analysedAbstract:This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help.Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology浅谈校园网防火墙实用技术摘要本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。
本文讨论了在校园网里使用防火墙的方法。
我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。
通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。
关键词防火墙;校园网;信息安全;网络安全;拓扑;配置;实用技术1. 防火墙的基本原理和主要类型1.1 防火墙的基本原理防火墙是网络安全的一种基本的设备。
它安装在可信网络和未可信网络的边界处,通过设置一系列的安全访问规则,对网络之间透过防火墙的通信进行控制,检测交换的信息,禁止访问未可信网络上的某些有害的站点,防止未可信网络上的某个有害的IP攻击可信网络或者从可信网络里窃取重要信息,从而达到保护可信网络的目的。
我们可以把校园网看作一个可信网络,把互联网看作一个未可信网络,把防火墙放置在校园网的出口处。
此外,我们也在校园网的内部的某个重要部门的局域网到校园网的边界上,设置防火墙,以保护这个重要部门的局域网。
一个防火墙应当具备以下功能:内部网络和外部网络的所有的数据交换都必须经过防火墙;提供配置完善的安全策略的机制,只有安全策略所允许的通信才可以进行,否则一律禁止;防火墙自身的安全必须有保证,能够抵御各种对于防火墙的攻击,而保持正常工作的能力;防火墙的管理界面友好而且功能强大。
管理员能够很方便地对防火墙进行配置和管理。
防火墙的实现技术主要有包过滤式防火墙、代理式防火墙和状态检测防火墙三种类型。
其工作原理各有不同的特点,下面分别做一简单的讨论。
1.2 包过滤式防火墙包过滤防火墙是在1989年出现的一种早期的防火墙。
一个在网络上传输的数据包的结构可以分为“包头”和“包体”。
在“包体”部分,携带的是要传输的信息本身。
在“包头”部分,携带的是关于这个数据包的性质的信息。
包过滤防火墙通过对每个数据包的“包头”的检查,根据预先设定的安全策略,决定是放行该数据包还是把该数据包丢弃而终止它的旅行。
“包头”所携带的关于包的性质的信息是比较复杂的,计有:数据包的协议类型:TCP、UDP、ICMP、IGMP等;源IP地址和目的IP地址;源端口号或服务和目的端口号或服务:HTTP、FTP、DNS等;IP的选项:源路由、记录路由等;TCP选项:SYN、ACK、FIN、RST等;其他协议选项:ICMP ECHO、ICMP ECHO REPLY等;数据包的流向:IN、OUT;数据包流经的网络接口等等。
根据这些信息,可以制定安全策略。
一般的包过滤防火墙都能够根据数据包的流向、源地址和目的地址、网络协议、端口号进行设置。
好一些的包过滤防火墙能够设置的安全策略会更灵活一些。
1.3 代理式防火墙代理式防火墙又称“应用级网关”。
内网的用户要求对外网进行访问的时候,把访问请求发送到代理式防火墙。
代理式防火墙根据预设的安全策略对用户的请求进行检查。
如果该请求符合安全策略,则把访问请求转发到外网的相应站点。
从外网的相应站点反馈回来的信息再由代理式防火墙转发给用户。
如果此后有另外一个用户有相同的请求,则代理式防火墙将直接把刚才已经返回的信息直接发给这个用户,而不再需要到外网上重复访问。
代理式防火墙要求每一个网络服务都要启动一个相应的代理程序,这在实际上是不容易做到的。
另外,代理式防火墙的工作负担相当沉重,会使得网络效率降低。
从外网上只能看到一个代理防火墙,而不能访问内网的站点。
如果需要对外网开放内网上的某个站点,则需要启用一个“重定向”功能,把内网的这个站点映射到防火墙的一个端口上,允许外网访问。
1.4 状态检测防火墙状态检测防火墙在内部维护一个状态表,该状态表以会话的方式,记录内网一个数据包发起的连接请求以及后续的整个会话过程,直至会话结束。
而由外网发起的连接请求数据包则全部丢弃。
状态检测防火墙提供了完整的对传输层的控制,但是网络效率较低。
1.5 防火墙的主流产品防火墙可以分为软件防火墙和硬件防火墙,软件防火墙中有一些是个人使用的低端产品,如瑞星、江民、天网等都有个人软件防火墙产品。
用在校园网的防火墙主要是中档的产品。
从网络效率看,硬件防火墙的表现会好一些。
防火墙主流产品有Cisco公司的Cisco Secure PIX 515-E和Cisco IOS,Check Point公司的FireWall-1 4.1 NG,Microsoft公司的ISA Server,SonicWall 公司的TELE3,NetScreen公司的5XP和208,联想公司的网御2000,东软公司的NetEye 4032,天融信公司的网络卫士NGFW4000-S以及Nokia公司的IP110等。
Cisco Secure PIX防火墙是通过端到端安全服务的有机组合,提供了安全性。
适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。
Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器不同,它采用非UNIX、安全、实时的内置系统。
NAT可提供扩展和重新配置IP网络的特性,既可利用现有IP地址,也可利用Internet 指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。
Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。
北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。
它由防火墙和管理器组成。
网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。
网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。
网络卫士防火墙系统是中国人自己设计的,因此管理界面使用中文,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面相当直观。
网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。
联想网御2000千兆防火墙集成了主动式状态检测、DoS攻击防范、IPSec VPN和内容过滤、带宽管理、日志管理等功能,用户以较低成本便可拥有完善的安全措施。
易于实施和管理,提供多种管理方式,支持SSL、HTTPS和SNMP协议,实现了真正的安全远程管理和集中管理。
同时提供丰富的日志查询功能,日志服务器可存储10G以上的数据,完全满足大流量网络中防火墙日志管理的需要。
网御2000千兆防火墙支持包括透明模式、路由模式、混合模式等多种工作模式,全面支持VLAN,支持众多网络通信协议和应用协议,适用于各种复杂网络结构和应用的接入。
防拒绝服务网关,抵御SYNflood, UDPflood, ICMPflood, Tear Drop,Smurf, Land Attack, Ping Of Death等多种当今流行的DoS/DDoS攻击。
网御2000千兆防火墙支持多台防火墙之间的热机备份和负载均衡,维护所有会话同步,对网络中大量的突发流量有更高的处理能力,确保多个防火墙设备正常运行并同步进行数据传输。
各种产品在功能、性能、价格、服务等方面各有特别的表现,也存在着若干差异。
校园网应根据实际需要和可能,选择适当的产品。
本论文的实验是在Cisco Secure PIX 515-E上进行的,因此本论文中将以此为例,并不意味着Cisco Secure PIX 515-E是校园网应用的推荐选择。
2. 防火墙在校园网中的应用2.1 防火墙在校园网中的连接拓扑图图1 防火墙在校园网中的连接拓扑图图1是防火墙在校园网中典型的连接方法。
防火墙的外网接口连接到互联网,内网接口连接到校园网,xtra接口连接到校园网上的服务器群。
防火墙在网络边界上,一方面抵御来自互联网的种种对于校园网特别是校园网的服务器群的攻击,另一方面也防止来自校园网内部的对服务器群的攻击。
服务器群为校园网和互联网上的用户提供各种服务,同时屏蔽掉各种超出权限的请求,以及防止敏感信息的泄漏。