防火墻技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用研究摘要：網(wǎng)絡(luò)技術(shù)在近幾年的時(shí)間有了非常大的發(fā)展，經(jīng)歷了從無(wú)到有，從有到快；網(wǎng)上信息資源也是從匱乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來(lái)越快，資源越來(lái)越豐富，網(wǎng)絡(luò)安全問(wèn)題卻也越來(lái)越嚴(yán)峻，網(wǎng)絡(luò)安全防范對(duì)校園網(wǎng)的正常運(yùn)行來(lái)講也就顯得十分重要。本論文在詳細(xì)分析防火墻工作原理的基礎(chǔ)上，通過(guò)對(duì)于防火墻的配置與測(cè)試工作，一方面使得所設(shè)計(jì)的防火墻系統(tǒng)本身具有高效，安全，實(shí)用的特點(diǎn)，另一方面也對(duì)今后在此基礎(chǔ)上繼續(xù)測(cè)試其它網(wǎng)絡(luò)產(chǎn)品做好了一系列比較全面的準(zhǔn)備工作。

關(guān)鍵詞：防火墻；校園網(wǎng)；網(wǎng)絡(luò)安全

1引言

科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展，給人們的生活帶來(lái)了全新地感受，人類(lèi)社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來(lái)越大。然而，凡事“有利必有弊”，人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的巨大機(jī)遇的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)。“黑客攻擊”網(wǎng)站被“黑”，“CIH病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)中。“電子戰(zhàn)”已成為國(guó)與國(guó)之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó)，各部門(mén)，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無(wú)時(shí)無(wú)刻地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。

2防火墻的概念

防火墻一詞最早源于建筑行業(yè)，當(dāng)構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周?chē)鳛槠琳希@種防護(hù)構(gòu)筑物被稱(chēng)之為防火墻。在今日的電子信息世界里，人們借助了這個(gè)概念，使用防火墻來(lái)保護(hù)敏感的數(shù)據(jù)不被竊取和篡改，不過(guò)這些防火墻是由先進(jìn)的計(jì)算機(jī)系統(tǒng)構(gòu)成的。今天的防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，隔在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間，用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。

3防火墻的相關(guān)參數(shù)

1）樣式：標(biāo)準(zhǔn)1U——4U機(jī)箱，根據(jù)接口數(shù)量、處理性能等不同而異。

2）網(wǎng)絡(luò)接口數(shù)量：標(biāo)準(zhǔn)一般配置3個(gè)10/100M自適應(yīng)接口，根據(jù)需要可以定制更多接口，有些還可熱拔插。

3）網(wǎng)絡(luò)接口類(lèi)型：標(biāo)準(zhǔn)一般是10/100-Base-TX接口，也有其他類(lèi)型接口。

4.電源：一般是單電源，特殊場(chǎng)合可以配置雙電源，但需要定制。

5.硬件平臺(tái)架構(gòu)：大多基于X86工控平臺(tái)，也有基于NP加速的產(chǎn)品6.處理器：多數(shù)的是CPU，極少數(shù)是CPU+NPU7.軟件平臺(tái)：WindowsNT，也有直接基于開(kāi)放LINUX架構(gòu)改造，使用免費(fèi)代碼構(gòu)建。

4校園網(wǎng)面對(duì)的安全威脅

4.1物理安全

保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全是在物理介質(zhì)層次上數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)訪問(wèn)安全。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全包括構(gòu)成網(wǎng)絡(luò)的相關(guān)基礎(chǔ)設(shè)施的安全，網(wǎng)絡(luò)的運(yùn)行環(huán)境比如溫度、濕度、電源等，自然環(huán)境的影響以及人的因素等對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的物理安全和運(yùn)行的影響。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web服務(wù)器、打印機(jī)等硬件實(shí)體和網(wǎng)絡(luò)通信設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。

4.2自然威脅

自然威脅主要是指由于自然原因造成的對(duì)網(wǎng)絡(luò)設(shè)備硬件的損壞和網(wǎng)絡(luò)運(yùn)行的影響。主要包括以下幾方面：

①自然災(zāi)害自然災(zāi)害對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備或其它相關(guān)設(shè)施造成的損壞，或?qū)W(wǎng)絡(luò)運(yùn)行造成的影響。如：雷擊、火災(zāi)、水災(zāi)、地震等不可抗力造成的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)通信線路的損壞，大霧對(duì)無(wú)線傳輸?shù)挠绊憽?/p>

②正常使用情況下的設(shè)備損壞在網(wǎng)絡(luò)設(shè)中，所有的網(wǎng)絡(luò)設(shè)備都是電子設(shè)備，任何電子元件也都會(huì)老化，因此由電子元件構(gòu)成的網(wǎng)絡(luò)設(shè)備都一個(gè)有限的正常使用年限，即使嚴(yán)格按照設(shè)備的使用環(huán)境要求使用，在設(shè)備達(dá)到使用壽命后均可能出現(xiàn)硬件故障或不穩(wěn)定現(xiàn)象，從而威脅計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。

③設(shè)備運(yùn)行環(huán)境網(wǎng)絡(luò)的運(yùn)行是不間斷的。保證網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，運(yùn)行環(huán)境是一個(gè)很重要的因素。任何計(jì)算機(jī)網(wǎng)絡(luò)都需要一個(gè)可靠的運(yùn)行環(huán)境來(lái)保證其可靠地運(yùn)行，其中主要包括周邊環(huán)境和電源系統(tǒng)兩大要素。

5高校校園網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)安全策略

1）拒絕訪問(wèn)除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西。

2）允許訪問(wèn)除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西校園網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開(kāi)放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問(wèn)。

6防火墻的基本配置

學(xué)院采用的是防火墻，它的初始配置也是通過(guò)控制端口（Console）與PC機(jī)的串口連接，再通過(guò)超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但必需先由Console將防火墻的這些功能打開(kāi)。

NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權(quán)模式（PrivilegedMode）、配置模式（ConfigurationMode）和端口模式（InterfaceMode）。

顯示基本信息：

命令行基本信息收集：

netscreen>getsyst（得到系統(tǒng)信息）

netscreen>getconfig（得到config信息）

netscreen>getlogevent（得到日志）

功能問(wèn)題需收集下列信息：

netscreen>setffiliter？（設(shè)置過(guò)濾器）

netscreen>debugflowbasic是開(kāi)啟基本的debug功能

netscreen>cleardb是清除debug的緩沖區(qū)

netscreen>getdbufstream就可以看到debug的信息了

性能問(wèn)題需收集下列信息：

得到下列信息前，請(qǐng)不要重新啟動(dòng)機(jī)器，否則信息都會(huì)丟失，無(wú)法判定問(wèn)題所在。netscreen>Getpercpudetail（得到CPU使用率）

netscreen>Getsessioninfo（得到會(huì)話信息）

netscreen>Getpersessiondetail（得到會(huì)話詳細(xì)信息）

netscreen>Getmac-learn（透明方式下使用，獲取MAC硬件地址）

netscreen>Getalarmevent（得到告警日志）

netscreen>Gettech>tftp6tech.txt（導(dǎo)出系統(tǒng)信息）

netscreen>Getlogsystem（得到系統(tǒng)日志信息）

netscreen>Getlogsystemsaved（得到系統(tǒng)出錯(cuò)后，系統(tǒng)自動(dòng)記錄信息，該記錄重啟后不會(huì)丟失。設(shè)置接口-帶寬，網(wǎng)關(guān)設(shè)置所指定的各個(gè)端口的帶寬速率，單位為kb/s

Setinterfaceinterfacebandwidthnumber

unsetinterfaceinterfacebandwidth

設(shè)置接口的網(wǎng)關(guān)

setinterfaceinterfacegatewayip_addr

unsetinterfaceinterfacegateway

設(shè)置接口的接口的區(qū)域，IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū)，可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實(shí)施策略：

設(shè)置接口的接口的區(qū)域

setinterfaceinterfacezonezone

unsetinterfaceinterfacezone

設(shè)置接口的IP地址

setinterfaceinterfaceipip_addr/mask

setinterfaceinterfaceipunnumberedinterfaceinterface2

unsetinterfaceinterfaceipip_addr

7總結(jié)

網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起世界各國(guó)的嚴(yán)密關(guān)注，隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類(lèi)生活各個(gè)領(lǐng)域的廣泛應(yīng)用，不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵，重要資料被竊取，網(wǎng)絡(luò)系統(tǒng)癱瘓等嚴(yán)重問(wèn)題，網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來(lái)越多；各種病毒泛濫成災(zāi)。這一切，已給各個(gè)國(guó)家以及眾多商業(yè)公司造