防火墙在校园网中的应用

合集下载

校园网络安全问题及对策

校园网络安全问题及对策校园网络安全问题及对策内容提要：如果要查阅近年来文化史的关键词，“网络”一定是一个发烫的词条。

这个词犹如一阵旋风冲入我们这个年代，俨然代表了某种强大的历史力量。

随着网络的高速发展，网络的安全问题日益突出。

近年间，黑客攻击、网络病毒等屡屡曝光。

而在学校的信息化建设中扮演着至关重要角色的校园网，如何保证其能正常运行，不受各种黑客、病毒的侵扰，就成为各个学校不可回避的安全问题，解决网络安全问题刻不容缓。

关键词：校园网网络安全教育信息化对于学校来说是千载难逢的好机遇。

人类历史虽然曾有过无数次革命性的技术，但能够直接为教育服务的却是凤毛鳞角。

现代化电子信息技术则是自印刷术发明以来对教育最具革命性影响的技术。

校园网作为学校教育的数字化信息最重要的运输载体，它的安全性对于实现教育现代化起着不可估量的作用。

一、校园网络安全现状分析>1、网络安全方面的资金投入不足政府对学校的经费投入是杯水车薪，再加上掌握决策权的学校领导对信息技术的了解不多，对建设校园网的目的不明确，所以就将有限的经费投资在关键的硬件设备上，而对于网络的安全建设一直没有比较系统的投入。

从而导致校园网络始终处于没有任何防备的状态，随时都有被侵袭的危险，存在极大的安全隐患。

2、网络病毒泛滥随着网络的发展和普及，计算机病毒的传播方式也发生了根本性改变，从以前通过磁盘、光盘传播到通过网络的传播，到现在已经变成只要计算机接入网络，就随时有被病毒入侵的可能。

当20XX“威金”蠕虫、灰鸽子后门、落雪木马、埃德罗……造成的危害还在我们脑海里晃悠的时候，又迎来了可怕的20XX 熊猫烧香。

它们的猖狂捣蛋，造成了网速过慢、信息篡改、信息丢失、应用程序打不开，甚至出现计算机不断地重新启动、动不动就死机的现象。

给我们的现代化教育教研带来了许多麻烦。

3、电子邮件系统不够完善电子邮件是接入因特网的一个不可缺少的应用之一，同时也是病毒和垃圾的重要传播途径。

浅谈校园网网络安全及防范技术

一
以下几点。
一
１、对网络硬件设备的破坏。这种威胁是目前校园网中比较常见的种安全威胁，主要表现为对校园网线路的破坏，例如施工不慎挖断
线缆、室内装修剪断线路等，以及对网络交换设备的损坏，例如雷击、设备正常工作环境遭破坏、硬件设备遭人为损坏等等。２、窃取和干扰网络传输媒介上承载的信号。这种威胁主要是以窃听和干扰正常通信为目的的，主要表现方式有：校园网内一些恶意用户在校园网内接入非法终端或在传输线路上非法安装接收／转发设备，对网络传输媒介上的电磁信号进行截收、窃听和分析，对其传播进行人为干扰。３、利用ＴＣＰ／ＩＰ协议簇的安全漏洞以及校园网中不合理的网络拓扑结构进行攻击。目前网络上所使用的ＴＣＰ／ＩＰ协议在订立的时候，出于提高效率、减小应用程序编写量等因素，对于安全性方面限制很少，而且，由于ＴＣＰ／ＩＰ协议簇完全公开，因此，利用ＴＣＰ／ＩＰ协议簇的漏洞进行的网络攻击成为了校园网中目前最常见的安全威胁之一，比较典型的例如利用ＡＲＰ协议的接收／发送无需身份验证特性而进行的
序或设备对重要信息进行侦听。４、采用虚拟专用网ｆ Ⅵ 技术构建内部虚拟专用网。虚拟专用网（ Ⅵ，Ｎ）技术是在Ｉｎｔｅｍｅｔ基础上开发的供企业专用的虚拟网络，其利用可靠度不高的公用互联网作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络类似的安全性能，从而实现对重要信息的安全传输。通过使用ＶＰＮ技术可以使得分布于不同地理位置上的校园网各节点之间在有安全保障的情况下高效地进行重要数据的交换，有效地避免重要数据遭受恶意用户的窃取。５、构建安全防火墙系统。校园网防火墙的设置可以根据具体情况而定，在校园网总出口，需要设置高性能硬件防火墙，在校园网内部各节点，可以根据实际情况灵活设置各种防火墙产品。通过周密的防火墙设置，可以按照服务功能将校园网划分为多个安全区域和公共区域，结合制定相应的防范策略，可以最大限度地保证校园网应用服务系统的安全工作６、加强对校园网的监控和对用户的管理。在校园网出口处采用高性能硬件防火墙，可以有效地阻止大部分来自外网的网络攻击，在校园网内部，校园网管理员可以通过使用网络管理系统对校园网内部进行安全管理、安全检测、安全控制，需要建立严格的网络安全日志和审查系统，建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等，并定时对其进行审查分析，一方面可以及时发现和解决网络中发生的安全事故，另方面可以便于查找网络安全事故的原因及事故的责任人。

防火墙的主要类型

防火墙的主要类型按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。

1.包过滤防火墙数据包过滤是指在网络层对数据包进行分析、选择和过滤。

选择的数据是系统内设置的访问控制表（又叫规则表），规则表制定允许哪些类型的数据包可以流入或流出内部网络。

通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。

包过滤防火墙一般可以直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，也可以由一台单独的计算机来完成数据包的过滤。

数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于Cisco 和Sonic System等公司的路由器上。

缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口存在着潜在的危险。

例如：“天网个人防火墙”就属于包过滤类型防火墙，根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理，有效地提高了计算机的抗攻击能力。

2、应用代理防火墙应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。

防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。

有点是外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用；缺点是执行速度慢，操作系统容易遭到攻击。

代理服务在实际应用中比较普遍，如学校校园网的代理服务器一端接入Internet,另一端介入内部网，在代理服务器上安装一个实现代理服务的软件，如WinGate Pro、Microsoft Proxy Server等，就能起到防火墙的作用。

3、状态检测防火墙状态检测防火墙又叫动态包过滤防火墙。

状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。

一次作为数据来决定该数据包是接受还是拒绝。

检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被终止。

如何加强中小学校园网的网络安全及防范对策

如何加强中小学校园网的网络安全及防范对策摘要：伴随着信息时代的到来，人们的生活开始离不开信息技术的支持。

人们在享受网络带来的便捷同时，也在承受着更多的网络安全问题。

对于中小学生来说，其网络安全教育问题显得尤为重要。

中小学生的思维尚未发展成熟，很容易受到外界影响因素的干扰。

教师应当肩负起维护校园网安全的职责将多种防范对策进行全面落实，净化网络校园环境。

教师应当加强校园网络管理，采购配备必要软件，增强安全技术；开展网络安全培训，提高安全意识；规划网络整体架构，优化网络结构；及时更新设备系统，完善备份机制。

关键词：中小学学生；校园网；网络安全；防范对策对于中小学生以及教师来说，校园网是获得学习资料的重要途径，也是师生需要常常接触的区域。

如果校园网存在一定的安全问题，会导致学生的身心健康发展受到严重影响，进而阻碍学生健全人格的形成与发展。

基于核心素养的教学要求，教师在开展教学工作的同时，应当肩负起保护学生身心健康发展的职责。

教师应当及时发现校园网中隐藏的安全问题，并及时联系相关技术人员进行检修维护。

避免不良信息对学生的健康造成危害，保障中小学网络的安全性。

一、中小学校园网络信息安全的现状（一）安全意识淡薄在近些年的中小学教学模式中，信息技术的引用是十分常见的。

伴随着教学效率提升的同时，网络安全问题也随之增加。

学校需要注重校园网络的扩建以及安全意识的引导工作，让学生可以在安全的网络环境中进行学习与生活。

就目前的校园网络使用情况来看，大部分的师生网络安全意识淡薄，并未树立起防范于未然的安全意识。

许多网络黑客会将各种木马病毒植入到校园网中，从而导致校园重要信息泄露，并对师生的健康发展产生严重的影响。

许多教师对待校园网络的使用问题，只关注到网络为教学与生活所带来的便捷性，却忽视了病毒入侵以及数据丢失等安全隐患问题的发生。

（二）管理有待加强大部分的网络安全解决方案都是在发生网络安全问题后而制定的补救方案，学校以及师生的防范意识不足是导致安全问题层出不穷的主要原因。

基于蜜网技术的主动防御系统在校园网中的应用

收稿日期：００—１２１２—２６
作者简介：何婷婷（９Ｏ）女，１８一，江苏南通人，南通职业大学教育技术中心讲师，士。硕
第１期
何婷婷：基于蜜网技术的主动防御系统在校园网中的应用
５３
各种报警方法提醒管理员可疑攻击行为的发生。五个模块通过控制策略进行联动，互相协作。
第１卷第１０期
２１年３０１月
ｄｉ０３６／ｉｓ．６１９９．１．１１ｏ：．９９．ｎ１７— ８１０１．４１ｊｓ２００
南通航运职业技术学院学报
ＪＵＲＡＬＯＡＴＮＶＡＯＮＦＮＮ０ＧＯＣ￣ＯＮＬ＆ＴＣＩＡＨＩＰＮＯＬＧＡＥＨＮＣＬＳＰＩＧＣＬＥＥ
兰萎
数ｆ据ｌ
… ，
竺兰ｌ兰
Ｉ素主机
ｖ＿
Ｉ
ｖ
记录
响应模块
接口
— — — —— ．ｒＪ
数据捕
Ｌ —— —— —一
报ｌ警Ｉ
’
数据ｌ
管理员
图１系统模块关系图
３校园网主动防御系统的具体实现
在理论分析的基础上，我们采用比较成熟的开源软件和网络技术来构建一个主动防御系统。在一台电
脑上安装ＷｉｄｗｓｎｏＸＰ操作系统作为管理平台，过Ｖｍｗｒ虚拟机软件虚拟了两台电脑，中一台安装通ａｅ其Ｌｎｘｉｕ操作系统作为系统的主要功能平台，另一台安装Ｗｉｄｗｓ００Ｓｒｅ操作系统作为虚拟蜜罐主机。ｎｏ０ｅｖｒ２

校园网络安全策略和配置

校园网络安全策略和配置摘要：高校网络安全稳定越来越得到重视，为了给全校教师和学生创造一个快捷、可靠的网络环境，对学校的核心交换机进行了安全策略的配置。

本文从实际角度出发，详细地阐述了核心交换机配置。

关键词：校园网络案例策略特点应用一、引言随着高校信息化建设速度的加快，也伴随产生了日益严重的信息安全问题，而信息的安全首先依赖于网络本身的安全。

在一个开放式的大学校园网内，无论是有意的攻击，还是无意的误操作，都会给信息系统带来不可估量的损失。

攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息；还可以篡改数据库内容、伪造用户身份。

攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等，严重影响了整个校园网的教学运作。

因此，我们必须采用有效的安全策略与技术手段来保护网络。

二、校园网络的特点校园网络与企业或政府网络相比，其自身的特点导致了安全管理非常复杂，具体体现在以下几个方面：1.校园网数量和规模高校校园网络目前普遍使用百兆、千兆，甚至万兆实现园区主干互连。

用户群体比较大，比较密集。

正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快，对网络的影响比较严重。

2.开放的网络环境由于以教学和科研为主的特点决定了校园网络环境应该是开放的，管理也是比较宽松的。

至少在校园网的主干方面不能实施过多的限制，否则一些新的应用、新的技术很难在校园网内部实施。

开放的网络环境必然会带来安全管理上的难度。

3.学生是网络的活跃群体高校的学生通常是最活跃的网络用户，对网络新技术充满好奇，勇于尝试。

如果没有意识到后果的严重性，有意识和无意识地使用一些软件，如：流光、冰河等黑客软件，就可能对网络造成一定的影响和破坏。

还有些学生自己私自设置DHCP服务器，造成网络内部大量的广播包的发送，大大降低了交换机设备的使用效率。

4.办公用机对病毒的警惕性不高高校内部的许多教工对电脑只有最基础的了解，因此对互联网上出现的病毒毫无警惕，而如今的Internet病毒传染力越来越强，随着不断的演进，网络蠕虫与病毒进一步融合，发展成为破坏力超强的“超级病毒”。

校园网络安全防御系统的设计与实现毕业设计(论文)

毕业设计（论文）题目（论文）校园网络安全防御系统的设计与实现√设计□报告选题性质：□毕业设计（论文）选题审批单院系：年级级专业计算机网络技术班级毕业设计（论文）开题报告及进度要求毕业设计（论文）答辩记录单专业：计算机网络技术班级：学生姓名设计(论文)题目：校园网安全防御系统设计与实现选题性质：设计□报告提问及答辩记录：答辩记录签名：答辩成员签名：答辩日期：年月日毕业设计（论文）指导教师指导记录表设计（论文）题目：校园网络安全防御系统的设计与实现选题性质：□√设计□论文院（系）：专业：年级：班级：指导教师（签名）学生（签名）注：此表由教师填写，如指导次数多，可另附纸。

摘要目前，随着网络时代的飞速发展，网络安全问题也日益突出，如何在开放网络环境中保证数据和系统的安全性已经成为从多人关心的问题。

本论文重点以构建网络安全防御系统的方案设计和实现过程，在本文中主要以所设计的网络安全防御系统网络拓扑结构图，及采用的各种安全技术的具体细节。

“安全”从来就是一个相对概念，不存在绝对安全，所以必须未雨绸缪、居安思危；“威胁”一直便是一个动态过程，不可能根除威胁，所以唯有积极防御、有效应对。

根据分析设计了包括物理防护、网络防护和数据防护的防御系统。

设计系统包括物理防护、网络防护和数据防护。

网络防护的主要目的是隔离、检测和认证。

数据防护包括移动数据管理、操作系统安全和传输加密。

关键词：校园网络、安全、防火墙、防御系统目录摘要 (I)目录 (II)引言 (1)第1章校园网络安全技术概述 (3)1.1 校园网络技术发展 (3)1.2 校园网络安全技术介绍 (4)1.2.1密码学 (4)1.2.2访问控制 (4)1.2.3身份认证 (5)1.2.4安全监控 (5)1.2.5安全漏洞检测技术 (5)1.2.6防火墙 (6)1.2.7反病毒技术 (6)第2章校园网络安全防御系统 (7)2.1 防火墙系统 (7)2.1.1防火墙及其功能 (7)2.1.2防火墙体系结构与实现模型 (7)2.2 校园网数据库管理系统 (8)2.3 数据备份与恢复系统 (9)2.4 身份识别系统 (10)2.4.1身份识别系统分类 (11)2.4.2身份识别系统优点 (11)2.5 访问控制功能 (12)2.6 上网行为管理 (12)2.7 入侵检测系统 (13)2.7.1入侵系统组成 (14)2.7.2入侵系统功能 (14)第3章校园网络安全防御系统的设计 (15)3.1 安全分析 (15)3.1.1系统的安全分析 (15)3.1.2内部工作网络系统平台安全分析 (16)3.2 设计主要思路 (16)3.2.1 物理防护 (16)3.2.2 网络防护 (16)3.2.3 数据防护 (17)3.3 设计方案 (19)3.3.1 方案设计的基本原则 (19)3.3.2 方案设计结构 (20)第4章网络安全防御系统的实现 (21)4.1 物理防护的实现 (21)4.1.1 制定完善严格的管理制度 (21)4.1.2 建立数据备份制度 (22)4.2 网络防护的实现 (22)4.2.1 隔离的实现——防火墙Cisco PIX (22)4.2.2 检测的实现——安装JUMP 入侵检测系统 (25)4.3 数据防护的实现 (30)4.3.1 移动数据防护的实现 (30)4.3.2 操作系统的防护 (30)第5章网络安全防御系统的测试 (32)5.1 测试 (32)5.1.1 测试环境 (32)5.1.2 测试系统防御外部攻击能力 (32)5.1.2 测试系统防御内部攻击能力 (32)5.2 小结 (32)总结 (33)致谢 (34)参考文献 (35)引言随着时间的发展，人类步入信息社会，信息产业成为全球经济发展的主导产业，计算机科学与技术在信息产业中占据了重要的地位。

浅谈校园网的网络安全技术应用

于颖蔚
（西安职业技术学院财政金融系，陕西西安７０７）１０７
摘
要：从网络及网络安全防护的特点出发，从不同方面讨论了计算机的安全技术，并针对校园网
给出了相应的安全防护措施，可以有效地提高校园网的安全性。关键词：校园网｝网络安全技术；防火墙Ｉ入侵检测中圈分类号：３３０ＴＰ９．２文献标识码：Ａ
（）于网络目录和文件安全性方法 ห้องสมุดไป่ตู้基
—一
以Ｎｔｒ为例，ＮｔｒｅＷａｅ在ｅＷａｅ中，提供了目录和文件访问权限与属性两种安全性措施。采用基于网络目录和文件安全性的方法对防止
病毒起到了一定作用，但是这种方法毕竟是基于网络操作系统的安全性的设计，在着局存
（）于服务器的防毒技术３基
服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器防治病毒的产品主要提供扫描病毒能力，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。２２防火墙技术．防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访
１引言
随着Ｉｔｎｔｎｅｅ的迅速发展和普及，ｒ计算机网络已广泛的应用于教育领域。在享受校园网带来方便的同时，校园网的信息安全问题也日益突出。一方面，网络环境越来越复杂，计算机病毒及黑客攻击手段越来越智能化，影响范围越来越广、破坏力也越来越大。另一方面，园网内部的安全隐患越来越突校出。随着大学生计算机技术水平的提高，时常会有意无意地破坏校园网系统，干扰校园网安全正常运行。所以，解决好校园网的网络安全问题，是保证校园网网络正常运行的前提。对于校园网潜在的威胁基于两个方面，一是来自外部互联网中的攻击；－－是来自校园内部网中的自我颠覆。以下两个图分别说明了内外网之间的安全点，以及内部网络的安全因素和安全隐患所在。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

防火墙在校园网中的应用摘要：利用防火墙技术可以有效的解决校园网安全问题，防火墙是在校园网于Internet之间实施安全防范的系统。

通过在防火墙上采用一定的机制，确保校园网不被外界攻击和破坏。

本文着重讨论防火墙在校园网中的应用与实现。

关键字：防火墙、网络、安全、校园网1 引言随着互联网技术的飞速发展，校园网在丰富教学资源、拓展教学空间、提高教学管理水平等方面发挥着十分重要的作用。

但来自互联网的黑客入侵、病毒破坏、文件篡改和密码盗用等问题正侵扰着校园网的正常运行。

对于网络管理者来说，非常希望有一种相应的技术能解决上述问题，这就是现在应用比较广泛的防火墙技术。

2 防火墙基础简介2.1 网络安全问题传统的边界安全设备——防火墙，成为整体安全策略中不可缺少的重要模块。

目前的防火墙产品的用户主要是企业用户。

网络的安全问题程度究竟如何？这是许多IT管理人员每天都会考虑的问题。

可以想象防火墙的应用也越来越普及。

2.2 防火墙概述防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件。

设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。

防火墙的技术主要有：分组过滤技术、应用代理技术和网络地址转换（NAT）技术。

2.3 防火墙的作用防火墙从本质上说是一些设备．是外部网络访问内部网络的控制设备。

它是用来保护内部的数据、资源和用户信息的工具，可以防止I…上的危险(病毒、资源盗用等)传播到网络内部。

这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。

它们充当访问网络的惟一人口点，并且判断是否接收某个连接请求，只有来自授权主机的连接请求才会被处理，而剩于的连接请求将被丢弃。

通常，防火墙被安装在受保护的内部网络与Internet的连接点上。

被保护的网络属于内部网络．所防止的网络是不可信的外部网。

保护网络包括阻止非法授权用户访问敏感数据的同时，允许合法用户无障碍地访问网络资源，如肪火墙能够确保电子邮件、文件传输、远程登录或在特定系统问信息交换的安全。

总之，从网络安全的角度来考虑，防火墙是两个网络之间的成分集合，它们的合作应具有的性质是：从里向外或外向里的流量女眦I须通过防火墙；只有符合本地安全策略放行流量才能通过防火墙；防火墙本身是不能穿透的。

2.4 防火墙的主要技术2.4.1 分组过滤技术分组过滤技术是目前使用最为广泛的防火墙技术之一，该技术基于路由器技术。

分组过滤路由器将分析所接收的每一个分组，按照分组过滤规则加以判断，符合规则的分组被转发，不符合规则的分组将被丢弃。

分组过滤规则一般是基于部分或全部报头的内容，例如，对于TCP 报头信息，可以是源地址、目的地址、协议类型等。

实现分组过滤的关键是制定分组过滤规则。

对于防火墙系统，只要在分组过滤规则中对特定的IP 端口、内装协议、分组地址等不安全因素加以禁止, 就可以有效地防止黑客对内部网络的攻击。

2.4.2 应用代理技术代理服务是另一种类型的防火墙，它通常是一个软件模块，运行在一台主机上。

代理服务器与路由器合作，路由器实现内部和外部网络交互时的信息流导向，将所有的相关应用服务请求传递给代理服务器。

代理服务作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

应用代理技术的优点：使得受保护和未受保护的网络完全分离,确保没有数据包被允许从一个网络直接发送到另一个网络。

2.4.3 网络地址转换(NAT)技术由于接入因特网的主机数量的急剧膨胀，IPv4 地址逐步面临耗尽的危机，而IPv6 的实际应用还有待时日。

随着高校校园网用户的增多，高校所获得的公网IP 地址（全局IP 地址）难以满足校园网中的实际上网设备，这种现象具有加剧的倾向。

一种可能的解决方案是在校园网内部使用自定义的IP 地址（称为本地IP 地址），当内网用户希望访问外网时，用专门的路由器（NAT 路由器）负责全局/ 本地IP 地址的映射。

使用地址转换技术可以用极少公网IP 地址让校园网中成千上万的用户访问因特网。

通过使用地址转换技术还可以有效地隐藏内网主机的IP 地址，使内网主机避免许多来自外网的攻击。

2.5 设置防火墙的必要性(1)集中化的安全管理，强化安全策略。

由于Internet上每天都有上百万人在收集信息和交换信息，不可避免地会出现个别品德不好、违反规则的人．防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略。

仅仅容许“认可的”和符台规则的请求通过。

(2)网络使用进行统计。

因为防火墙是所有进出信息必须的通路，所以防火墙非常适用于收集关于系统和网络使用和误用的信息。

作为访问的惟一点，防火墙能在被保护的网络和外部网络之问进行记录，对网络存取访问进行统计。

(3)保护那些易受攻击的服务。

防火墙能够用来隔开网络中一个网段与另一个网段的连接。

这样，能够防止影响一个网段的问题通过整个网络传播。

3 CiscoPIX515防火墙在校园网中的应用实例CiscoPIX515是业界性能最高的防火墙之一。

这种防火墙模块基于PIX 技术，运行PIX 操作系统，是一种实时的嵌入式强化系统，可以消除安全漏洞和性能降级损耗。

现按照校园网防火墙需求分析来加以实现(本文省略防火墙中基本的路由配置)，拓扑结构如图一所示。

图一校园网络的拓扑结构通过本图搭建网络并完成以下操作根据拓扑图中以给定的IP 地址，按下列要求对防火墙进行配置:图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1口，右口为f0/0口。

要求：1.对防火墙、路由器进行基本的命令配置。

使得内网的所有机器能访问外网。

2．所有内网的主机出口使用防火墙对外的全局地址为202.161.1.23．所有的外网的主机只能访问内网的IP 地址为192.168.1.10的主机，此主机对外的公开地址为202.161.1.5,允许对此主机进行www 、ftp实验过程：一．路由器配置配置：路由器R1配置：int f0/1ip add 192.168.1.1 255.255.255.0no shutint f0/0ip add 192.168.2.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.2.2路由器R2配置：int f0/1192.168.1.20 112.16.1.20 192.168.3.2ip add 192.168.3.2 255.255.255.0no shutint f0/0ip add 112.16.1.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.3.1防火墙配置：设置端口安全级别：nameif e0 outside sec0nameif e1 inside sec100设置端口参数：interface e0 autointerface e1 auto配置内外网的IP地址：ip add outside 192.168.3.1ip add inside 192.168.2.2设置指向内外网的静态路由nat (inside) 1 0 0global (outside) 1 202.161.1.2route outside 0.0.0.0 0.0.0.0 192.168.3.2为什么？？？//route inside 192.168.1.1 255.255.255.0 192.168.2.1配置静态IP地址映射命令static (inside,outside) 202.161.1.5 192.168.1.10通过conduit命令设置对资源主机的访问控制conduit permit tcp host 202.161.1.5 eq www anyconduit permit tcp host 202.161.1.5 eq ftp any实验结果:：4 其它安全设计考虑（1）开启防火墙对数据包的路由检测功能。

该功能检查每一个经过防火墙的数据包，在防火墙的路由表中若没有该数据包源IP 地址的路由，路由器将丢弃该数据包。

该功能可以有效地杜绝IP 地址欺骗。

（2）建立防病毒访问控制列表，并用在防火墙的相应端口上，可以有效地防止病毒的侵扰。

若及时更新防病毒访问控制列表，则防病毒效果会更加理想。

（3）对核心设备6509（FWSM 防火墙模块安装在核心设备上）的登录方式加以访问控制策略。

在策略中对登录的IP加以限定为内网网络中心的地址，这样就可以有效地避免外网用户及内部非网络中心的用户登录到核心设备上。

5 结束语当前，防火墙在校园网中发挥着不可替代的作用。

校园网利用防火墙有效抵御了众多的来自外网的攻击，防火墙技术也正朝着高速、多功能、更安全的方向发展，这使得防火墙可以更好地为校园网服务。

但使用防火墙并不能使得校园网万无一失，比如：来自校园网内部的攻击就难以防范。

校园网络安全是一个系统工程,不能单考虑来自外网的不安全问题,而需要仔细考虑各个方面的安全因素, 将各种安全技术、管理手段结合在一起,才能构建一个更加高效、安全、稳定的校园网络环境。

参考文献：[1]吴功宜.《计算机网络》第二版）[M].北京：清华大学出版社，2007.[2]胡卫，张昌宏，吴晓平.《校园网安全防火设计与实现》[J].计算机与数学工程，2007,35(1):103-105[3]潘瑜等.《计算机网络安全技术》[M].北京：科学出版社，2006.[4]周亚建等.《网络安全加固技术》[M].北京:电子工业出版社，2007.[5]方胜，《防火墙技术在校园网中的应用》[J].电脑知识与技术，2005（26）[6]孙小权.《浅谈校园网络规划中的安全设计》[J].实验技术与管理，2006,23(4):60-62。