邢臺學(xué)院2017屆本科畢業(yè)論文PAGEPAGEI摘要隨著計算機網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地擺在各類用戶的面前。在互聯(lián)網(wǎng)上，每臺計算機、服務(wù)器都存在或多或少的安全問題，安全問題不被重視，必然會導(dǎo)致嚴(yán)重后果，諸如系統(tǒng)被破壞、數(shù)據(jù)丟失、文件被盜和直接、間接的經(jīng)濟(jì)損失等。防火墻是設(shè)置在內(nèi)部系統(tǒng)和外部系統(tǒng)之間的具有保護(hù)作用的關(guān)卡，它會對接受到的所有數(shù)據(jù)進(jìn)行核查，才決定是否丟棄或接收該數(shù)據(jù)包，防止惡意數(shù)據(jù)包對主機或內(nèi)部網(wǎng)絡(luò)的入侵，從而保護(hù)主機或內(nèi)部網(wǎng)絡(luò)的安全。文章首先闡述了防火墻技術(shù)的工作原理、體系結(jié)構(gòu)、功能等基本理論知識；接著通過分析高校校園網(wǎng)網(wǎng)絡(luò)安全面臨的威脅，提出校園網(wǎng)防火墻系統(tǒng)的設(shè)計原則、系統(tǒng)需求和改進(jìn)方案；最后在相關(guān)理論的基礎(chǔ)上，對校園網(wǎng)防火墻系統(tǒng)進(jìn)行了設(shè)計，對數(shù)據(jù)檢測、數(shù)據(jù)傳輸方面的網(wǎng)絡(luò)安全得到了一定程度的改善。關(guān)鍵詞：校園網(wǎng)防火墻；信息技術(shù)；TCP/IP協(xié)議；數(shù)據(jù)包過濾技術(shù)AbstractWiththerapiddevelopmentofcomputernetworktechnology,networksecurityissueshavebecomeincreasinglyprominentinfrontofalltypesofusers.OntheInternet,everycomputerserver,therearesecurityissuesmoreorless,thesecurityproblemisnottakenseriously,willinevitablyleadtoseriousconsequences,suchassystemdamage,lossofdata,documentsstolenanddirectandindirecteconomiclosses.Thefirewallissetbetweentheinternalsystemandexternalsystemcanprotectalldatapoints,itwillreceivetheverificationbeforedecidingwhethertodiscardorreceivethepacket,topreventtheintrusionofmalicioushostsorinternalnetworkpackets,therebyprotectingthehostorinternalnetworksecurity.Thispaperdescribestheworkingprincipleofknowledgeoffirewalltechnology,systemstructure,functionandbasictheory;thenthroughtheanalysisofthecampusnetworksecuritythreats,putforwardthedesignprinciple,systemandtheneedsofthecampusnetworkfirewallsystemimprovementscheme;finally,onthebasisofrelevanttheory,thecampusnetworkfirewallsystemwasdesignedtonetworksecuritydatadetection,datatransmissionhasbeenimprovedtosomeextent.Keywords:Campusnetworkfirewall;Informationtechnology;TCP/IPprotocol;Packetfilteringtechnology

目錄1前言 12防火墻概述 12.1防火墻的工作原理 12.2防火墻的體系結(jié)構(gòu)和組成形式 22.2.1屏蔽路由器 22.2.2雙穴主機網(wǎng)關(guān) 22.2.3被屏蔽主機網(wǎng)關(guān) 22.2.4被屏蔽子網(wǎng) 32.3防火墻的功能 3（1）確定所需的防火墻類型 3（2）包過濾防火墻 3（3）應(yīng)用代理 4（4）安全管理 43高校校園網(wǎng)防火墻存在的問題及改進(jìn) 53.1高校校園網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 5（1）計算機病毒入侵 5（2）信息共享資源的泄露 5（3）黑客攻擊 5（4）校園網(wǎng)內(nèi)部用戶的攻擊 5（5）網(wǎng)絡(luò)資源的浪費 6（6）網(wǎng)絡(luò)安全管理缺陷 63.2校園網(wǎng)防火墻系統(tǒng)設(shè)計原則 63.3校園網(wǎng)防火墻系統(tǒng)需求分析 63.4校園網(wǎng)防火墻系統(tǒng)改進(jìn)方案 74校園網(wǎng)防火墻的設(shè)計與實現(xiàn) 84.1設(shè)計理論基礎(chǔ) 84.1.1相關(guān)網(wǎng)絡(luò)通信協(xié)議 84.1.2數(shù)據(jù)包過濾技術(shù)原理 94.2模塊設(shè)計描述及實現(xiàn) 94.2.1主模塊設(shè)計 114.2.2網(wǎng)絡(luò)模塊設(shè)計 124.2.3注冊表模塊設(shè)計 144.2.4類與數(shù)據(jù)結(jié)構(gòu)設(shè)計 154.3改進(jìn)方案分析 204.3.1優(yōu)點 204.3.2不足 215結(jié)論 21參考文獻(xiàn) 22PAGE201前言防火墻原是建筑物之間防范火災(zāi)的設(shè)施，在計算機網(wǎng)絡(luò)中，所謂的“防火墻”也具有類似功能，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合。防火墻通常是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間，根據(jù)一定的安全策略對網(wǎng)絡(luò)間的通信實施訪問控制的一系列部件的組合。防火墻是目前最為流行、最為廣泛使用的一種計算機網(wǎng)絡(luò)安全技術(shù)。對于普通用戶來說，“防火墻”就是一種被放置在內(nèi)部網(wǎng)絡(luò)（通常認(rèn)為是可信的）的計算機與外界網(wǎng)絡(luò)（通常認(rèn)為是不可信的）之間的防御系統(tǒng)，從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)計算機的所有數(shù)據(jù)都要經(jīng)過它的檢查、判斷、分析處理后，才能決定是否將這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)了對計算機的保護(hù)功能。對于企業(yè)、學(xué)校、政府等大型網(wǎng)絡(luò)應(yīng)用來說，設(shè)置防火墻可以有效的防止來自互聯(lián)網(wǎng)（外部網(wǎng)絡(luò)）的惡意攻擊、資源盜用等危險。因此設(shè)置防火墻可以使內(nèi)部局域網(wǎng)（LAN）與因特網(wǎng)（Internet）之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來保護(hù)內(nèi)部網(wǎng)絡(luò)。由于Internet在全世界的迅速發(fā)展及廣泛應(yīng)用，Internet中隨之出現(xiàn)的信息泄密、數(shù)據(jù)篡改和服務(wù)拒絕等網(wǎng)絡(luò)安全事件頻繁發(fā)生，網(wǎng)絡(luò)安全問題變得越來越嚴(yán)重。為解決這些問題，出現(xiàn)了很多網(wǎng)絡(luò)安全技術(shù)和方法，防火墻是其中最為成功的一種。由于在傳統(tǒng)的防火墻構(gòu)建體系中內(nèi)外網(wǎng)之間只設(shè)置單一防火墻作為唯一的進(jìn)出控制點，若防火墻發(fā)生故障，內(nèi)外網(wǎng)之間的通信就可能被切斷，以致網(wǎng)絡(luò)應(yīng)用系統(tǒng)的癱瘓，也面臨單點故障問題，而僅具有基本功能的防火墻又難以滿足校園網(wǎng)絡(luò)安全管理的需要，本文基于此背景研究一種可行的、有效的、較先進(jìn)的防火墻系統(tǒng)應(yīng)用設(shè)計方案，以解決校園網(wǎng)絡(luò)安全系統(tǒng)中存在的關(guān)鍵問題。2防火墻概述防火墻是部署在主機或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，所有經(jīng)過防火墻的數(shù)據(jù)包都要經(jīng)過匹配后，才決定是否丟棄或接收該數(shù)據(jù)包，防止惡意數(shù)據(jù)包對主機或內(nèi)部網(wǎng)絡(luò)的入侵，從而保護(hù)主機或內(nèi)部網(wǎng)絡(luò)的安全。2.1防火墻的工作原理目前市面上的防火墻都會具備三種不同的工作模式，透明模式、NAT模式和路由模式。透明模式時，防火墻過濾通過防火墻的封包，而不會修改數(shù)據(jù)包包頭中的任何源或目的地信息。所有接口運行起來都像是同一網(wǎng)絡(luò)中的一部分。此時防火墻的作用更像是Layer2(第2層)交換機或橋接器。在透明模式下，接口的IP地址被設(shè)置為，防火墻對于用戶來說是可視或“透明”的。處于“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”模式下時，防火墻的作用與Layer3(第3層)交換機(或路由器)相似，將綁定到外網(wǎng)區(qū)段的IP封包包頭中的兩個組件進(jìn)行轉(zhuǎn)換：其源IP地址和源端口號。防火墻用目的地區(qū)段接口的IP地址替換發(fā)送封包的主機的源IP地址。另外，它用另一個防火墻生成的任意端口號替換源端口號。路由模式時，防火墻在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行NAT；即，當(dāng)信息流穿過防火墻時，IP封包包頭中的源地址和端口號保持不變。與NAT不同，不需要為了允許入站會話到達(dá)主機而建立路由模式接口的映射和虛擬IP地址。與透明模式不同，內(nèi)網(wǎng)區(qū)段中的接口和外網(wǎng)區(qū)段中的接口在不同的子網(wǎng)中。2.2防火墻的體系結(jié)構(gòu)和組成形式2.2.1屏蔽路由器這是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶。2.2.2雙穴主機網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙穴主機網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機可能已被黑客入侵。雙穴主機網(wǎng)關(guān)的一個致命弱點是：一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。2.2.3被屏蔽主機網(wǎng)關(guān)屏蔽主機網(wǎng)關(guān)易于實現(xiàn)也很安全，因此應(yīng)用廣泛。例如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機就會受到很大威脅。這與雙穴主機網(wǎng)關(guān)受攻擊時的情形差不多。2.2.4被屏蔽子網(wǎng)這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有堡壘主機作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。建造防火墻時，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級風(fēng)險。采用哪種技術(shù)主要取決于經(jīng)費，投資的大小或技術(shù)人員的技術(shù)、時間等因素。一般有以下幾種形式：使用多堡壘主機；合并內(nèi)部路由器與外部路由器；合并堡壘主機與外部路由器；合并堡壘主機與內(nèi)部路由器；使用多臺內(nèi)部路由器；使用多臺外部路由器；使用多個周邊網(wǎng)絡(luò)；使用雙重宿主主機與屏蔽子網(wǎng)。2.3防火墻的功能（1）確定所需的防火墻類型防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時，它首先需要了解一個防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。防火墻的設(shè)計策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應(yīng)允許公眾對站點的訪問，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。（2）包過濾防火墻要說防火墻是一種用于在兩個網(wǎng)絡(luò)間進(jìn)行訪問控制的設(shè)備,防火墻系統(tǒng)防范的對象是來自被保護(hù)的網(wǎng)絡(luò)的外部的對網(wǎng)絡(luò)安全的威脅,它通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能的實現(xiàn)對外部網(wǎng)絡(luò)的安全保護(hù)。那么包過濾技術(shù)則是防火墻最基本的實現(xiàn)技術(shù),具有包過濾技術(shù)的裝置是用來控制內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)流入和流出,包過濾技術(shù)的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺的,對數(shù)據(jù)流的每個包進(jìn)行檢查,根據(jù)數(shù)據(jù)報的源地址、目的地址、TCP和IP的端口號，以及TCP的其他狀態(tài)來確定是否允許數(shù)據(jù)包通過。包過濾是一種內(nèi)置于Linux內(nèi)核路由功能之上的防火墻類型，其防火墻工作在網(wǎng)絡(luò)層。包過濾的工作就是通過查看數(shù)據(jù)包的源地址、目的地址或端口來實現(xiàn)的，一般來說，它不保持前后連接信息，過濾決定是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容來做的。管理員可以做一個可接受機和服務(wù)的列表，以及一個不可接受機和服務(wù)的列表。在主機和網(wǎng)絡(luò)一級，利用數(shù)據(jù)包過濾很容易實現(xiàn)允許或禁止訪問。（3）應(yīng)用代理從代理技術(shù)上講,一般具有一下兩種代理:傳統(tǒng)代理和透明代理。代理防火墻與包過濾防火墻本質(zhì)的區(qū)別就是從客戶端到代理服務(wù)器和從代理服務(wù)器到客戶端是兩個完全獨立的過程，它將客戶端請求間接傳遞給服務(wù)器,與目標(biāo)服務(wù)器建立單獨的連接,它不處理數(shù)據(jù)包包也不轉(zhuǎn)發(fā)據(jù)包,它以字節(jié)流的形式接收連接,解析并驗證連接所采用協(xié)議元素的內(nèi)容,在安全策略允許的情況下與服務(wù)器建立連接,這樣可以對數(shù)據(jù)包的內(nèi)容進(jìn)行細(xì)致的分析。就透明代理而言，透明代理和傳統(tǒng)代理一樣，可以比包過濾更深層次地檢查數(shù)據(jù)信息，比如FTP包的port命令等。同時它也是一個非常快的代理，從物理上分離了連接，這可以提供更復(fù)雜的協(xié)議需要，例如帶動態(tài)端口分配的H.323，或者一個帶有不同命令端口和數(shù)據(jù)端口的連接。這樣的通信是包過濾所無法完成的。防火墻使用透明代理技術(shù)，這些代理服務(wù)對用戶也是透明的，用戶意識不到防火墻的存在，便可完成內(nèi)外網(wǎng)絡(luò)的通訊。當(dāng)內(nèi)部用戶需要使用透明代理訪問外部資源時，用戶不需要進(jìn)行設(shè)置，代理服務(wù)器會建立透明的通道，讓用戶直接與外界通信，這樣極大地方便了用戶的使用。（4）安全管理用戶要使用一個安全的防火墻系統(tǒng)，就需要實行一套安全的防火墻策略，所以安全管理是選購時需要關(guān)注的重點環(huán)節(jié)。由于防火墻往往扮演的是為企業(yè)及組織網(wǎng)絡(luò)安全把關(guān)的第一道防線，在考慮防火墻的安全管理時不可不慎。防火墻系統(tǒng)只能控制有經(jīng)過防火墻的網(wǎng)絡(luò)聯(lián)機，因此，防火墻應(yīng)該必須為連上Internet的唯一網(wǎng)關(guān)(gateway)。防火墻硬件的安全配置建議：將防火墻管理主控臺分開－目前許多廠牌防火墻系統(tǒng)皆提供從遠(yuǎn)程透過另一平臺管理firewall的能力，未來如有firewall增加的需要，也可以將firewall的管理工作集中控管。安裝新版本操作系統(tǒng)或防火墻系統(tǒng)軟件，或?qū)嵭芯S護(hù)時，防火墻系統(tǒng)應(yīng)該終止所有的網(wǎng)絡(luò)連結(jié)，在經(jīng)完整測試確定沒問題之后再恢復(fù)網(wǎng)絡(luò)連結(jié)。3高校校園網(wǎng)防火墻存在的問題及改進(jìn)3.1高校校園網(wǎng)網(wǎng)絡(luò)安全面臨的威脅隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和安全地運行是所有高校都面臨的問題。高校的校園網(wǎng)網(wǎng)絡(luò)安全主要存在以下幾方面的威脅：（1）計算機病毒入侵計算機病毒入侵是校園網(wǎng)面臨的最主要的威脅之一。可以通過網(wǎng)上下載、電子郵件、盜版光盤或U盤及其他移動存儲設(shè)備等多種傳播途徑侵入校園網(wǎng)。尤其是計算機黑色產(chǎn)業(yè)鏈在受利益的驅(qū)使，竊取用戶賬號、密碼，或造成信息泄露、文件丟失、破壞數(shù)據(jù)、毀損硬件、阻塞網(wǎng)絡(luò)等，嚴(yán)重時甚至造成校園網(wǎng)絡(luò)傳輸中斷和系統(tǒng)癱瘓。有的圖省事疏忽大意不安裝殺毒軟件，很容易感染病毒，病毒極易借助校園網(wǎng)進(jìn)行跨網(wǎng)段傳播，往往是一臺計算機中毒造成大面積的電腦中毒癱瘓。（2）信息共享資源的泄露校園網(wǎng)絡(luò)主要承擔(dān)教學(xué)、科研、辦公任務(wù)，因此經(jīng)常要部署共享網(wǎng)絡(luò)資源，便于師生之間的資源共享，由于缺少必要的訪問控制策略和保密意識淡薄，就可能有意、無意的把重要信息，特別是科研成果長期暴露在網(wǎng)絡(luò)上，從而被輕易竊取并傳播出去造成泄密。（3）黑客攻擊校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇黑客攻擊的風(fēng)險，黑客攻擊技術(shù)也來越復(fù)雜，攻擊破壞的程度越來越大，呈現(xiàn)出分布式攻擊的趨勢。針對校園網(wǎng)應(yīng)用服務(wù)器的網(wǎng)絡(luò)攻擊，往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點，也是目前校園網(wǎng)管理最關(guān)注的安全問題。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是DNS服務(wù)器、Web應(yīng)用服務(wù)器和郵件服務(wù)器。黑客甚至利用一些專業(yè)的攻擊工具對校園網(wǎng)絡(luò)及服務(wù)器發(fā)起DoS、DDoS攻擊，增大校園網(wǎng)流量，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用，甚至系統(tǒng)崩潰；有的惡意攻擊可借助網(wǎng)絡(luò)上泛濫的“傻瓜式”的攻擊軟件，非法用戶甚至不具備任何計算機技術(shù)便可對校園網(wǎng)進(jìn)行肆無忌憚的攻擊。例如通過注入漏洞檢測工具對WEB服務(wù)器進(jìn)行數(shù)據(jù)庫注入式攻擊，造成學(xué)院網(wǎng)站主頁被篡改、數(shù)據(jù)被破壞等惡果，干擾教學(xué)秩序的正常運行，給校園網(wǎng)帶來經(jīng)濟(jì)和聲譽損失。（4）校園網(wǎng)內(nèi)部用戶的攻擊由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式等相對比較了解，一些學(xué)生對網(wǎng)絡(luò)新技術(shù)充滿好奇和實踐欲望，為了滿足好奇心或是刻意炫耀，他們經(jīng)常有意無意的攻擊校園網(wǎng)系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)進(jìn)行攻擊，干擾校園網(wǎng)的安全運行，給校園網(wǎng)的安全工作增加了難度。校園網(wǎng)與一般企業(yè)網(wǎng)不同的是，不僅要注意防止外部網(wǎng)絡(luò)對校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的惡意攻擊。根據(jù)觀察，來自校園網(wǎng)內(nèi)部的各種攻擊竟高達(dá)30％，這當(dāng)中大多是一些學(xué)生因好奇發(fā)起的。防范這種來自內(nèi)部的攻擊，一方面要普及安全知識教育，采取相應(yīng)的措施，禁止學(xué)生從互聯(lián)網(wǎng)上下載各種病毒和黑客程序等；另一方面要加強對用戶的分級管理，限制學(xué)生用戶的驗證和賬戶管理，降低其使用權(quán)限，完善防火墻監(jiān)控、過濾策略等。（5）網(wǎng)絡(luò)資源的浪費BT、迅雷、電騾等P2P軟件在校園網(wǎng)內(nèi)的大量使用，占用了大量寶貴的帶寬資源，使得網(wǎng)絡(luò)運行速度緩慢，無法開展正常業(yè)務(wù)。而用戶在利用P2P軟件下載網(wǎng)絡(luò)資源的同時，也存在將外網(wǎng)病毒帶入校園網(wǎng)內(nèi)的隱患，對校園網(wǎng)的安全運行有極大影響。（6）網(wǎng)絡(luò)安全管理缺陷校園網(wǎng)絡(luò)安全系統(tǒng)復(fù)雜，管理難度大，用戶群體一般也比較大，少則數(shù)千人、多則數(shù)萬人，具有數(shù)據(jù)量大、速度高、階段性強等特點。一方面要加強教育、疏導(dǎo)及管理工作；另一方面要完善相關(guān)的管理制度，加強關(guān)鍵設(shè)備的安全管理，加強人員培訓(xùn)，提高整體防范能力水平。3.2校園網(wǎng)防火墻系統(tǒng)設(shè)計原則從校園網(wǎng)防火墻系統(tǒng)的安全角度來看，防火墻系統(tǒng)必須滿足以下要求（1）防火墻應(yīng)該由多個構(gòu)件組成，形成有一定冗余度的安全系統(tǒng)，避免成為校園網(wǎng)的“單失效點”。否則一旦被突破，校園網(wǎng)絡(luò)系統(tǒng)則無安全可言。（2）防火墻應(yīng)能成為抵抗網(wǎng)絡(luò)黑客攻擊的“阻塞點”，并對網(wǎng)絡(luò)通信進(jìn)行監(jiān)控和審計。（3）邊界防火墻一旦失效，重啟動或崩潰，則應(yīng)完全阻斷內(nèi)外部網(wǎng)絡(luò)站點的連接，以免闖人者進(jìn)入，實現(xiàn)“失效一安全”模式的控制要求。（4）防火墻應(yīng)提供強制認(rèn)證服務(wù)，外部網(wǎng)絡(luò)節(jié)點對內(nèi)部網(wǎng)絡(luò)的訪問應(yīng)經(jīng)過防火墻的認(rèn)證檢查，包括對網(wǎng)絡(luò)用戶和數(shù)據(jù)源的認(rèn)證。支持Email、FTP、Telnet和WWW等應(yīng)用。（5）防火墻對內(nèi)部網(wǎng)絡(luò)應(yīng)起到屏蔽作用，并且隱藏內(nèi)部網(wǎng)站的地址和內(nèi)部網(wǎng)站的拓?fù)浣Y(jié)構(gòu)。（6）選用的防火墻技術(shù)應(yīng)能體現(xiàn)成熟、先進(jìn)、經(jīng)濟(jì)、可靠的要求。3.3校園網(wǎng)防火墻系統(tǒng)需求分析校園網(wǎng)防火墻系統(tǒng)構(gòu)建是一項復(fù)雜的系統(tǒng)工程，實際上也是入侵者與反入侵者之間，持久的對抗與反對抗過程，不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。我國高校校園網(wǎng)一般由三部分組成，第一部分為重點信息安全保護(hù)區(qū)，即為校園網(wǎng)中的重要應(yīng)用服務(wù)器群；第二部分為邊界防火墻雙機系統(tǒng)；第三部分為校園網(wǎng)普通網(wǎng)絡(luò)區(qū)域，即為校園網(wǎng)內(nèi)除重點信息安全保護(hù)區(qū)、邊界防火墻之外的其它網(wǎng)絡(luò)設(shè)備和用戶。因此，系統(tǒng)建設(shè)要結(jié)合考慮滿足以下五點網(wǎng)絡(luò)安全需求：（1）校園網(wǎng)禁止外部非校園網(wǎng)用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，實現(xiàn)內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器數(shù)據(jù)的安全防護(hù)。（2）劃分VLAN，對各個部門之間的網(wǎng)絡(luò)實行訪問控制，未經(jīng)授權(quán)原則上不能直接相互訪問，實現(xiàn)子網(wǎng)隔離。（3）加強網(wǎng)絡(luò)監(jiān)控，實現(xiàn)對涉及重要服務(wù)器數(shù)據(jù)和攻擊行為的記錄與分析。（4）網(wǎng)絡(luò)中的病毒防范。（5）加強安全管理，對內(nèi)部網(wǎng)絡(luò)訪問行為進(jìn)行規(guī)范化。3.4校園網(wǎng)防火墻系統(tǒng)改進(jìn)方案本文在研究防火墻技術(shù)的基礎(chǔ)上結(jié)合現(xiàn)有的條件設(shè)計了高校校園網(wǎng)防火墻系統(tǒng)的改進(jìn)方案，如圖3-1所示。圖3-1校園網(wǎng)防火墻改進(jìn)方案拓?fù)鋱D（1）針對校園網(wǎng)邊界防火墻存在的“單點失效”問題，采用雙機集群防火墻如圖3-1所示。如果群集中的主用防火墻發(fā)生故障，群集中的備用防火墻可以自動替換，并承擔(dān)故障防火墻所做的工作，將繼續(xù)處理網(wǎng)絡(luò)數(shù)據(jù)傳輸并不間斷提供常規(guī)安全服務(wù)。故障主機恢復(fù)后，可以加入集群成為主用機，也可以作為備用機（即主備角色互換）。（2）在圖3-1所示的改進(jìn)方案中，針對內(nèi)部網(wǎng)絡(luò)服務(wù)器、應(yīng)用服務(wù)器的安全防范能力薄弱的問題，構(gòu)建服務(wù)器主機防火墻，以有效控制非授權(quán)訪問。主機防火墻負(fù)責(zé)策略的實施，在主機中如果不允許用戶干預(yù)，則只包含包過濾引擎、上載審計事件的模塊、加密模塊等。防火墻對用戶是透明，即用戶感覺不到服務(wù)器有防火墻的存在；非授權(quán)用戶不能修改規(guī)則，也不能繞過防火墻。在服務(wù)器中實現(xiàn)主機防火墻的功能，應(yīng)可以也必需做到對宿主服務(wù)器的性能干擾最小。主機防火墻要實現(xiàn)精細(xì)的訪問控制，增強服務(wù)器自身的安全性，堵住操作系統(tǒng)的漏洞。主機防火墻的安全監(jiān)測核心引擎嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)，以消除隱患。（3）針對內(nèi)部用戶的屬性及應(yīng)用特點需求，劃分若干個VLAN，以有效控制已授權(quán)用戶的非授權(quán)訪問。4校園網(wǎng)防火墻的設(shè)計與實現(xiàn)4.1設(shè)計理論基礎(chǔ)4.1.1相關(guān)網(wǎng)絡(luò)通信協(xié)議隨著信息化時代的不斷推進(jìn)，Internet儼然已成為一個復(fù)雜的龐大系統(tǒng)。它將來全世界的計算機互聯(lián)在一起，融合了他們的信息。那么如此多的機器之間需要進(jìn)行通信，就必須有一個傳輸協(xié)議。如今，很多通信公司都研制了自己的通信協(xié)議來支持自己的產(chǎn)品，但是為了使信息資源共享，同時讓計算機之間能進(jìn)行數(shù)據(jù)交換，這就要求我們必須制定一個通用的協(xié)議標(biāo)準(zhǔn)，即是使用一樣的通訊協(xié)議。在這個通訊協(xié)議中，各個數(shù)據(jù)包中的數(shù)據(jù)的每一位都被定義，網(wǎng)絡(luò)中的互聯(lián)計算機只要遵循這個通訊協(xié)議就能進(jìn)行數(shù)據(jù)交換。TCP/IP協(xié)議制定了可靠的數(shù)據(jù)信息傳遞服務(wù)。IP協(xié)議即互聯(lián)網(wǎng)協(xié)議，是網(wǎng)絡(luò)間數(shù)據(jù)相互交換的基礎(chǔ)，并完善網(wǎng)絡(luò)間的互聯(lián)。例如IP數(shù)據(jù)報（IPDatagram）制定了地址格式。TCP/IP協(xié)議與底層的數(shù)據(jù)鏈路層和物理層是相互獨立的，也就是與硬件沒有太大的關(guān)系，這也是TCP/IP獨特的一點。這種協(xié)議需要用多種硬件平臺和軟件環(huán)境來實現(xiàn)。TCP/IP可適用于微機、巨型機等各種機型，例如在DOS、Unix、Windows等操作系統(tǒng)中均有實現(xiàn)的版本。迄今為止，TCP/IP協(xié)議應(yīng)用在Internet網(wǎng)絡(luò)中。它是目前世界上最完整的通訊協(xié)議標(biāo)準(zhǔn)。TCP/IP被劃分為四個層次：網(wǎng)絡(luò)接口層、IP層、傳輸層和應(yīng)用層。TCP/IP將與物理網(wǎng)絡(luò)相關(guān)部分統(tǒng)稱為網(wǎng)絡(luò)接口層，網(wǎng)絡(luò)接口層之間交換的信息單位是數(shù)據(jù)幀。網(wǎng)絡(luò)層的主要作用是為兩臺互聯(lián)計算機進(jìn)行數(shù)據(jù)交換提供平臺。當(dāng)傳輸層發(fā)送的請求被網(wǎng)絡(luò)層接收到時，網(wǎng)絡(luò)層會將接收到的數(shù)據(jù)封裝在IP數(shù)據(jù)報中，之后設(shè)置好此報文頭，選擇合適的路由算法，最后判斷此IP報文的最終去向。此外，當(dāng)網(wǎng)絡(luò)層接到由下層發(fā)送來的報文時，它會檢測報文的有效性，接著根據(jù)相應(yīng)路由算法來判斷該報文是被轉(zhuǎn)發(fā)出去還是本地處理。除此之外，網(wǎng)絡(luò)層還具有處理和發(fā)送網(wǎng)際控制信息協(xié)議（ICMP）報文的功能。TCP/IP協(xié)議的傳輸層提供了應(yīng)用程序之間的通訊，有UDP和TCP兩種協(xié)議。傳輸層通過對分組報文進(jìn)行一定的控制來達(dá)到數(shù)據(jù)傳輸?shù)目煽啃浴CP/IP協(xié)議中的應(yīng)用層提供了常用的應(yīng)用程序，比如DNS服務(wù)、文件傳輸和E-mail等。通常使用應(yīng)用進(jìn)程的方式來實現(xiàn)它的各種應(yīng)用，用戶直接調(diào)用應(yīng)用程序就能實現(xiàn)數(shù)據(jù)的收發(fā)。4.1.2數(shù)據(jù)包過濾技術(shù)原理數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭，根據(jù)以下幾點來決定哪些數(shù)據(jù)包能夠進(jìn)行傳遞：數(shù)據(jù)包的目的地址；數(shù)據(jù)包的源地址；數(shù)據(jù)包的傳送協(xié)議。例如IP原始地址，IP目的地址，協(xié)議類型（TCP包、UDP包和ICMP包），TCP或UDP包的目的端口，TCP或UDP包的源端口，ICMP消息類型等。數(shù)據(jù)包入接口和出接口時，如果有相應(yīng)匹配并且該數(shù)據(jù)包被規(guī)則允許，那么此數(shù)據(jù)包就由路由表中的信息決定其下一步的去向。但如果即使有對應(yīng)的匹配而該數(shù)據(jù)包被規(guī)則拒絕，那么此數(shù)據(jù)包也會被丟棄。如果連匹配規(guī)則都沒有，那么缺省的配置信息會決定該數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是丟棄。數(shù)據(jù)包過濾技術(shù)讓防火墻能夠依據(jù)特殊的服務(wù)接收或阻止流動的數(shù)據(jù)，因為大多數(shù)服務(wù)使用者都在已知的TCP/UDP端口號上。因此我們要對TCP/UDP端口進(jìn)行過濾。例如，默認(rèn)的Telnet服務(wù)器連接的端口號是23，它就可以在TCP的23號端口上監(jiān)聽遠(yuǎn)程連接，為了防止其他Telnet的連接，防火墻只要簡單地放棄所有TCP端口號等于23的數(shù)據(jù)包。為了把進(jìn)來的Telnet連接限制到內(nèi)部的數(shù)臺機器上，防火墻必須拒絕所有TCP端口號等于23并且目標(biāo)IP地址不等于允許主機的IP地址的數(shù)據(jù)包。4.2模塊設(shè)計描述及實現(xiàn)在完成各模塊時，都需要調(diào)用Windows系統(tǒng)相關(guān)的動態(tài)連接庫，比如：kernel32．dll、user32．d11、advapi．dll、iphlpapi．d11、wsock32．dll等，這些動態(tài)鏈接庫對我們的設(shè)計而言是相當(dāng)豐富的，方便我們監(jiān)聽網(wǎng)絡(luò)狀態(tài)、訪問注冊表和存取日志文件等。其設(shè)計流程圖如圖4-1所示：圖4-1程序流程圖4.2.1主模塊設(shè)計該模塊貫穿了整個防火墻的設(shè)計，其中定義了loadsettings()和log兩個共用函數(shù)，這兩個共用函數(shù)中的許多功能函數(shù)可供設(shè)計中的其他模塊進(jìn)行調(diào)用。在設(shè)計中，loadsettings()函數(shù)將日志內(nèi)容顯示在日志標(biāo)簽里，并設(shè)置默認(rèn)狀態(tài)下的規(guī)則。主模塊在本次防火墻設(shè)計中主要實現(xiàn)的功能有三點：實現(xiàn)日志內(nèi)容的存取；加載相關(guān)選項與規(guī)則設(shè)置；實現(xiàn)程序窗口相關(guān)屬性。主模塊設(shè)計流程如圖4-2所示：圖4-2loadsettings()函數(shù)流程圖Log函數(shù)定義了阻塞時的系統(tǒng)時間并將其顯示；本地及遠(yuǎn)程端口的信息會隨著規(guī)則的改變而變化，用戶所執(zhí)行的操作也改變狀態(tài)信息主模塊中部分核心代碼見表4-1：表4-1主模塊部分核心代碼4.2.2網(wǎng)絡(luò)模塊設(shè)計網(wǎng)絡(luò)模塊的設(shè)計時網(wǎng)絡(luò)設(shè)計中的核心部分，它主要是調(diào)用一些諸如wsock32．dll、iphlpapi．dll等DLL（動態(tài)鏈接庫）文件，來監(jiān)聽互聯(lián)網(wǎng)中的TCP包和ICMP包，并將監(jiān)聽到的信息提供給主窗口和日志選項。方便路由器做出路由抉擇。網(wǎng)絡(luò)模塊實現(xiàn)的功能：獲取IP地址；如果需要顯示功能，則應(yīng)該在該模塊中定義諸如ICMP表、TCP表等的數(shù)據(jù)類型。網(wǎng)絡(luò)模塊代碼設(shè)計流程如圖4-3所示：圖4-3網(wǎng)絡(luò)模塊設(shè)計流程圖網(wǎng)絡(luò)模塊設(shè)計的核心代碼見表4-2：表4-2網(wǎng)絡(luò)模塊設(shè)計核心代碼4.2.3注冊表模塊設(shè)計注冊表中有豐富的庫函數(shù)，這些庫函數(shù)為主模塊和網(wǎng)絡(luò)模塊的實現(xiàn)提供了重要基礎(chǔ)，因此也是此次設(shè)計中不可或缺的部分，它主要完成了下面兩個功能：調(diào)用windows的DLL，來設(shè)置注冊表相應(yīng)的鍵值，并可以運行regedit，找到里面對應(yīng)的設(shè)置來調(diào)整注冊表禁止和允許的狀態(tài)；為更好的配合其他模塊對函數(shù)調(diào)用，首先定義好設(shè)置、存取、索引和刪除鍵值四個函數(shù)。注冊表模塊代碼流程如圖4-4：圖4-4注冊表模塊流程圖注冊表模塊核心代碼,見表4-3所示：表4-3注冊表模塊核心代碼4.2.4類與數(shù)據(jù)結(jié)構(gòu)設(shè)計CfireView主要結(jié)構(gòu)代碼，見表4-4所示：表4-4CfireView主要結(jié)構(gòu)代碼TDriver下的IP數(shù)據(jù)包處理函數(shù)代碼，見表4-5所示：表4-5TDriver主要結(jié)構(gòu)代碼Filter結(jié)構(gòu)體的代碼內(nèi)容，見表4-6所示：表4-6Filter結(jié)構(gòu)體的代碼IPPacket結(jié)構(gòu)體的代碼內(nèi)容，見表4-7所示：表4-7IPPacket結(jié)構(gòu)體代碼TCPHeader結(jié)構(gòu)體的代碼內(nèi)容，見表4-8：表4-8TCPHeader結(jié)構(gòu)體的代碼UDPHeader結(jié)構(gòu)體的代碼內(nèi)容，見表4-9所示：表4-9UDPHeader結(jié)構(gòu)體的代碼CaddRuleDlg類的代碼內(nèi)容，見表4-10所示：表4-10CaddRuleDlg類的代碼（8）IOCTL編碼，見表4-11所示：表4-11IOCTL編碼4.3改進(jìn)方案分析4.3.1優(yōu)點目前業(yè)界對防火墻“單點失效”問題的解決方法通常是冗余技術(shù)來解決的，可以是硬件冗余技術(shù)也可以是軟件冗余技術(shù)，或者是軟硬件相結(jié)合的冗余技術(shù)。集群(雙機)技術(shù)可以很好的解決單點失效問題，主要在一些可靠性要求較高應(yīng)用，但是無法防范內(nèi)部的攻擊行為。而應(yīng)用分布式防火墻技術(shù)可以有效地提高防范內(nèi)部攻擊的能力，但是邊界防火墻仍舊存在單點失效的問題。本文設(shè)計并實現(xiàn)的雙機(集群)高可用的防火墻與分布式防火墻相融合的改進(jìn)方案主要有以下幾個優(yōu)點。1.構(gòu)建雙機集群邊界防火墻，克服傳統(tǒng)防火墻單點失效的問題。2.部署分布式主機防火墻，有效地解決傳統(tǒng)防火墻防外不防內(nèi)的問題。3.提高分布式防火墻中邊界防火墻的可靠性。4.實現(xiàn)“點面結(jié)合”、內(nèi)外皆防的校園網(wǎng)防火墻技術(shù)應(yīng)用的有效改進(jìn)。4.3.2不足1.主備機切換問題改進(jìn)方案設(shè)計實現(xiàn)的基于LinuxHA邊界防火墻采用采用兩臺服務(wù)器，一主一備的運行模式，工作機對外提供服務(wù)，備份機每隔一段時間發(fā)心跳信息來監(jiān)視工作機的狀態(tài)是否正常一致，一旦工作機發(fā)生故障，備份機會立即自動接管工作機的應(yīng)用，繼續(xù)為用戶提供正常服務(wù)，從而保證應(yīng)用系統(tǒng)業(yè)務(wù)的不間斷運行。由于工作機故障改進(jìn)措施:在本文的方案實施時發(fā)現(xiàn)了該問題，并己做了改進(jìn)，即故障機恢復(fù)時僅作備用機，不再做切換，避免不必要的系統(tǒng)遷移，減少應(yīng)用干擾。2.主備系統(tǒng)資源利用率問題主備模式模式的不足是系統(tǒng)資源的浪費，當(dāng)主用防火墻工作時，備用防火墻的幾乎處于閑置狀態(tài)。防火墻的性能也改進(jìn)措施:利用負(fù)載均衡技術(shù)或?qū)崿F(xiàn)雙機雙工系統(tǒng)。3.防火墻功能失效的發(fā)現(xiàn)機制問題邊界防火墻的功能的實現(xiàn)，依賴于LinuxHeartbeat對Linux系統(tǒng)運行狀態(tài)的心跳判斷機制的準(zhǔn)確性。實驗表明，當(dāng)切斷主用防火墻電源時，備用防火墻可以及時發(fā)現(xiàn)故障并接管主防火墻進(jìn)行工作;當(dāng)切斷被外部網(wǎng)絡(luò)時，備用防火墻也可以及時發(fā)現(xiàn)故障并接管主防火墻進(jìn)行工作。但是如果主用防火墻由于網(wǎng)絡(luò)發(fā)生擁塞或防火墻功能不能正常發(fā)揮時，備份防火墻并不能察覺到異常的發(fā)生，并能有效地實現(xiàn)服務(wù)切換功能。因此，改進(jìn)方案對基于LinuxHA邊界防火墻功能的失效問題，還缺乏一個及時有效的發(fā)現(xiàn)機制，這一問題同樣也存在于對主機防火墻失效的判斷上。5結(jié)論從防火墻的誕生、起步，到現(xiàn)在發(fā)展成為互聯(lián)網(wǎng)中必不可少的部分，可見他對我們網(wǎng)絡(luò)資源的維護(hù)、信息安全的保護(hù)是多么重要。自從在網(wǎng)絡(luò)中添加了這一道屏障之后，我們在互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換、信息交流甚至商業(yè)買賣都放心得多，安全得多。