管虎林

(江蘇航空職業(yè)技術學院，江蘇 鎮(zhèn)江 212134)

1 引言

在計算機網(wǎng)絡高速發(fā)展的同時，網(wǎng)絡的安全也變得十分重要。特別是隨著校園網(wǎng)建設的不斷開展，目前網(wǎng)絡安全已經(jīng)成為校園中所關注的焦點。校園網(wǎng)絡使用范圍廣泛，是高等院校校內(nèi)外進行信息共享、信息交流、學生學習的重要平臺，所以，在校園網(wǎng)的使用中，防火墻的應用變得尤為重要。

2 相關理論概述

2.1 防火墻的定義

防火墻實質(zhì)是處于網(wǎng)絡應用與計算機之間的系統(tǒng)，其作用是保護內(nèi)外網(wǎng)之間數(shù)據(jù)的安全傳遞。防火墻對內(nèi)外網(wǎng)數(shù)據(jù)的傳輸進行保護，對未經(jīng)授權(quán)的數(shù)據(jù)進行過濾，避免在計算機上被執(zhí)行。同時防火墻可以保護網(wǎng)絡免受路由的攻擊，提供一個單獨的“阻攔點”，在“阻攔點”上設置安全與審計檢查。

2.2 防火墻的實現(xiàn)平臺

本次防火墻的實現(xiàn)平臺系統(tǒng)是使用的Linux的FreeBSD，因為它具有很高的安全性以及穩(wěn)定性，同時它的成本也相對較低。綜合各方面，得以用于校園網(wǎng)防火墻的配置。IP Filter具有內(nèi)核模式，這種內(nèi)核模式有兩種機制，一種是NAT機制，另外一種是防火墻機制。使用IP Filter，這些機制能夠被用戶通過接口程序來控制，這對于軟件的使用是比較安全的。

3 防火墻的配置與實現(xiàn)

3.1 防火墻的配置

3.1.1 校園網(wǎng)身份認證訪問的配置

校園網(wǎng)應用最重要的是安全問題，所以在對校園網(wǎng)防火墻中關于身份認證的設定尤為重要。為了能安全地訪問內(nèi)部資源，首先是需要對內(nèi)部成員進行身份認證，避免受到網(wǎng)絡的攻擊。身份流程圖如圖1所示。

圖1 身份認證流程

用戶信息合法則可以進入使用校園網(wǎng)，不合法則不能。

3.1.2 校園網(wǎng)包過濾、內(nèi)容過濾的配置

主機之間進行相互訪問時，必須指明對方主機的IP地址以及TCP/UDP的端口。在接收返回數(shù)據(jù)時，需要打開一個臨時的接口用來接收。包過濾是通過控制網(wǎng)絡與網(wǎng)絡之間、網(wǎng)絡與站點之間、站點與站點之間的相互訪問將數(shù)據(jù)內(nèi)容傳遞。

數(shù)據(jù)包經(jīng)過NAT處理后，該數(shù)據(jù)包的源地址將會被轉(zhuǎn)換為防火墻出端口上的IP地址，這時防火墻會打開臨時端口用來替換數(shù)據(jù)包中的源端口。當數(shù)據(jù)到達防火墻之后，該數(shù)據(jù)包所在的源地址將會重新覆蓋防火墻出端口的IP地址，最終數(shù)據(jù)包得以傳回校園網(wǎng)的內(nèi)部網(wǎng)絡中。其連接建立如表1所示，TC兩端的接口由A和B來表示，防火墻用FW表示。

表1 連接建立表

表2 連接正常關閉時TCP包的狀態(tài)

首先A端發(fā)送Fin包狀態(tài)為FIN-WAIT-1—防火墻收到該包時將連接狀態(tài)為FIN_WAIT—B端收到該包后發(fā)送Ack包，進入CLOSE-WAIT狀態(tài)—A端收到Ack包后變?yōu)镕INWAIT-2。然后B端發(fā)送Fin包狀態(tài)為LAST_ACK—防火墻接收Fin包，連接狀態(tài)為TIME_WAIT—A端接收Fin包后發(fā)送Ack報文—防火墻收到Ack包狀態(tài)變?yōu)門IME-WAIT—定時器啟動—兩分鐘后刪除連接。使用Rst包關閉連接，A端發(fā)出Syn包給B端的禁止連接的端口，B端發(fā)送Rst包后斷開連接。關閉連接時的狀態(tài)如表3所示。

表3 以Rst包關閉連接時TCP包的狀態(tài)

系統(tǒng)在數(shù)據(jù)包到達后按照Rst->Syn->Fin->Ack->other位置程序?qū)ζ漕愡M行檢測。如果需要更換位置重新設定程序的話，需要對Ack進行處理。具體過程如圖2所示。

圖2 包過濾模塊的操作過程

本次設計將內(nèi)容過濾模塊設計成可加載內(nèi)核模塊，分別為：Con_lter.o、Netfilter()實現(xiàn)模塊的初始化和nf_register_hook(&Contentfilter)實現(xiàn)注冊鉤子處理函數(shù)；當我們要向NF_IP_FORWARD注冊鉤子函數(shù)時，通常都是實例化一個nf_hook_ops{}對象，然后通過nf_register_hook()接口將其注冊到NF_IP_FORWARD中就可以了。其中filter模塊也是通過這種常規(guī)方式來實現(xiàn)完成的。

3.1.3 校園網(wǎng)路由記錄模塊的配置

由于包過濾技術只能夠保證部分傳輸?shù)男畔⑹前踩?，本次防火墻的設計采取的是兩層結(jié)構(gòu)，通過設置兩層防火墻保證校園網(wǎng)絡的安全。在該防火墻設計中，改變RAM執(zhí)行的設定，重新更改路由器的具體配置。其中記錄路由選項首先生成一個IP地址的空列表，然后將處理過的數(shù)據(jù)包的地址添加到列表里，其實現(xiàn)過程關鍵程序如下所示：

3.1.4 校園網(wǎng)網(wǎng)絡地址轉(zhuǎn)換的配置

因為數(shù)據(jù)包中含有源地址和目標地址，所以在校園網(wǎng)絡地址轉(zhuǎn)換過程中，如果數(shù)據(jù)包從源地址傳到目標地址時被攔截，就會關閉連接。并且為了不影響下次連接的使用，NAT地址會釋放新的連接端口。

在校園網(wǎng)絡地址轉(zhuǎn)換過程中，主要是對NAT和ACL進行配置。NAT的功能是保證校園網(wǎng)的內(nèi)網(wǎng)與外網(wǎng)能夠成功訪問。ACL的功能是用來設置內(nèi)網(wǎng)計算機的訪問權(quán)限，主要是訪問控制。NAT是能夠保證內(nèi)網(wǎng)計算機成功訪問外網(wǎng)，ACL是允許或者禁止內(nèi)網(wǎng)計算機之間的相互訪問以及內(nèi)網(wǎng)訪問外網(wǎng)。具體如圖3所示。

圖3 網(wǎng)絡拓撲圖

不過將校園網(wǎng)的IP地址轉(zhuǎn)換成防火墻各有利弊。好處是校園網(wǎng)能夠通過私有地址訪問公共網(wǎng)址并且能夠控制流入流出網(wǎng)絡的流量。缺點是地址轉(zhuǎn)換成防火墻具有一定的局限性，比如說數(shù)據(jù)包的處理，因為地址轉(zhuǎn)換之后TCP或者是UDP兩端的地址也發(fā)生了變化，那么兩報頭校驗必須重新計算，所以會在這個過程中增加延遲的情況，并且不是所有應用的TCP協(xié)議都能支持地址轉(zhuǎn)換的。

4 結(jié)語

本文針對校園網(wǎng)絡的安全問題設計了校園網(wǎng)的防火墻系統(tǒng)。該系統(tǒng)運用IP Filter平臺進行操作完成對防火墻配置和實現(xiàn)。系統(tǒng)比較清晰明了并且本次校園網(wǎng)防火墻的操作簡單，也不需要太多的專業(yè)知識，實踐證明，該系統(tǒng)能有效保護校園網(wǎng)絡的安全。

[1]周鐵．基于安全策略的校園網(wǎng)組建[D]．湖南：中南大學，2009．

[2]李幸．基于S P I和ND I S H OOK的包過濾型防火墻[D]．浙江：浙江大學，2007．

[3]鐘平．校園網(wǎng)安全防范技術研究[D]．廣東：廣東工業(yè)大學，2007.

[4]韓祿．鞍山師院校園網(wǎng)絡安全模型的設計與實現(xiàn)[D]．大連：大連理工大學，2008．

[5]董立順．L I NU X下包過濾防火墻設計與實現(xiàn)[D]．山東：山東大學,2008．

[6]陸峰驊．校園網(wǎng)安全與防范研究[J]．科技資訊，2010（32）：71-71.

[7]張俊祥．高校校園網(wǎng)絡安全現(xiàn)狀分析與解決策略[J]．數(shù)字技術與應用，2011（9）：245-245．

[8]孫曉樂，高東懷.多維校園網(wǎng)安全模型研究[J]．現(xiàn)代電子技術，2011（21）：122-124．