摘 要：本文主要研究了通過配置linux系統(tǒng)主機(jī)ipchains防火墻來保護(hù)校園網(wǎng)絡(luò)的方法。這種方法可以將多臺(tái)教學(xué)計(jì)算機(jī)組成的局域網(wǎng)隱藏于私有網(wǎng)絡(luò)之中，并通過防火墻提供的網(wǎng)絡(luò)地址轉(zhuǎn)換功能與互聯(lián)網(wǎng)連接，同時(shí)通過指定的鏈規(guī)則，防止各種危險(xiǎn)報(bào)文的進(jìn)入進(jìn)出，最大化保護(hù)網(wǎng)絡(luò)安全。

關(guān)鍵詞：防火墻；包過濾；校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08

針對主干網(wǎng)的DDoS攻擊、針對特定端口的大范圍網(wǎng)絡(luò)掃描與利用開放式遞歸DNS 查詢進(jìn)行流量放大攻擊等事件依然是主干網(wǎng)需要時(shí)刻警惕的安全問題。由于高校集中高密度的學(xué)生人群和學(xué)校本身的特殊性質(zhì)，校園網(wǎng)絡(luò)安全的問題需要引起社會(huì)的關(guān)注。

1 網(wǎng)絡(luò)安全問題

360網(wǎng)站安全部門總監(jiān)趙武在2013中國互聯(lián)網(wǎng)大會(huì)表示360公司在2012年做統(tǒng)計(jì)的時(shí)候發(fā)現(xiàn)互聯(lián)網(wǎng)80%的網(wǎng)站存在高危漏洞。到2013年360公司在高考期間做了一個(gè)中國高校網(wǎng)站的檢測報(bào)告，其實(shí)也證明超過95%的高校網(wǎng)站曾經(jīng)被篡改過。國內(nèi)的網(wǎng)站安全器，政府和高校的得分情況是最低。針對這一問題，美國聯(lián)邦政府已考慮將其活動(dòng)獨(dú)立于當(dāng)前互聯(lián)網(wǎng)中，而完全重新構(gòu)建在虛擬專用網(wǎng)絡(luò)中。但對于國內(nèi)外的校園網(wǎng)絡(luò)來說，由于其需要使學(xué)生學(xué)會(huì)應(yīng)用互聯(lián)網(wǎng)并從互聯(lián)網(wǎng)中取得新知識(shí)，其不能將自身完全脫離互聯(lián)網(wǎng)。但另一方面，當(dāng)前校園網(wǎng)絡(luò)對安全問題的重視性相比許多大型商業(yè)公司十分不夠，這一方面是由于網(wǎng)絡(luò)安全本身的復(fù)雜性，許多學(xué)校沒有足夠的技術(shù)能力解決這一問題，另一方面是由于購買專業(yè)的防火墻產(chǎn)品所需要的經(jīng)費(fèi)不足。因此更有必要探索更為合適的防火墻解決策略，而構(gòu)建防火墻特別是針對常見的網(wǎng)絡(luò)安全問題制定安全策略來切實(shí)保護(hù)網(wǎng)絡(luò)安全至關(guān)重要。

2 防火墻實(shí)現(xiàn)及策略定義

2.1 防火墻配置環(huán)境。校園網(wǎng)絡(luò)環(huán)境與商業(yè)網(wǎng)絡(luò)環(huán)境的一個(gè)顯著區(qū)別是其有許多處于原始狀態(tài)的未經(jīng)設(shè)置的計(jì)算機(jī)用于教學(xué)目的，學(xué)生使用的計(jì)算機(jī)往往存在許多安全漏洞，但學(xué)生在上網(wǎng)時(shí)一般采用最直接和簡單的方式連接到互聯(lián)網(wǎng)。學(xué)生往往沒有能力去快速配置其教學(xué)用計(jì)算機(jī)來獲得一個(gè)安全的使用環(huán)境，這種缺少保護(hù)的方式和計(jì)算機(jī)環(huán)境正是黑客最喜歡攻擊的目標(biāo)。因此，減少遭受攻擊的最簡單的方式就是設(shè)置私有網(wǎng)絡(luò)，通過防火墻訪問互聯(lián)網(wǎng)。這種地址轉(zhuǎn)換方式隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，同時(shí)在校園網(wǎng)絡(luò)公開地址不足時(shí)使用這種方式可以提供IP復(fù)用方式。同時(shí)，除了校園本身要設(shè)置中央防火墻外，內(nèi)網(wǎng)也應(yīng)架設(shè)獨(dú)立的防火墻，這將作為其第一個(gè)進(jìn)入的安全過濾點(diǎn)。這種防火墻配置方式相比于僅僅使用中央校園防火墻來說有更高的靈活性和更強(qiáng)保護(hù)能力。此外，因?yàn)檫@種內(nèi)網(wǎng)的防火墻級別較低，針對出現(xiàn)的緊急問題相比于中央防火墻而言可以進(jìn)行及時(shí)快速的防御和修復(fù)。為了實(shí)現(xiàn)這一目標(biāo)，我們將通過裝有Linux系統(tǒng)的主機(jī)上的ipchains這一包過濾軟件來進(jìn)行校園網(wǎng)絡(luò)安全保護(hù)。這一軟件由于是內(nèi)置于linux系統(tǒng)中的，因此完全無需額外的購買費(fèi)用，只需要單獨(dú)使用一臺(tái)電腦安裝linux系統(tǒng)和雙網(wǎng)卡。

2.2 防火墻的構(gòu)建。首先，校內(nèi)的某個(gè)計(jì)算機(jī)教室組成的局域網(wǎng)要連接到互聯(lián)網(wǎng)中，那么可以構(gòu)建一個(gè)雙宿主機(jī)型Linux包過濾防火墻。Linux主機(jī)配備用于與互聯(lián)網(wǎng)相連的網(wǎng)卡card0（具有公共網(wǎng)絡(luò)地址202.101.1.2）和card1用于與局域網(wǎng)（c類私有地址192.168.1.0）相連。Linux系統(tǒng)自帶有ipchains封包過濾軟件，可以通過鏈（規(guī)則列表）實(shí)現(xiàn)對報(bào)文的管理。鏈主要包括輸入鏈、輸出鏈、轉(zhuǎn)發(fā)鏈和用戶定義鏈。對于從互聯(lián)網(wǎng)進(jìn)入局域校園網(wǎng)的報(bào)文來說，其首先進(jìn)入輸入鏈經(jīng)過輸入鏈包含的規(guī)則檢查，被允許通過或拒絕通過，隨后還要經(jīng)過轉(zhuǎn)發(fā)鏈和輸出鏈的檢查。同時(shí)還可以設(shè)定用戶定義鏈來插入到這些鏈之間加強(qiáng)檢查的力度。

2.3 防火墻配置策略。由于我們采用的是linux系統(tǒng)內(nèi)置的ipchains包過濾軟件，對于這種類型的防火墻主要有兩種策略。第一種是首先拒絕所有報(bào)文通過，再規(guī)定可以通過的報(bào)文。第二種是先允許所有報(bào)文通過，再拒絕某些類型的報(bào)文通過。由于校園局域網(wǎng)主要是用于教學(xué)目的，其常用的軟件和所需的功能對于教師而言十分熟悉，因此我們選擇第一種策略。如此，鏈中包含的規(guī)則可以比較少，因此我們只要設(shè)定可以通過鏈的幾種報(bào)文。下面我們將對防火墻策略進(jìn)行設(shè)置。

首先刷新輸入鏈、輸出鏈和轉(zhuǎn)發(fā)鏈即刷新所有的防火墻規(guī)則。隨后可以設(shè)置默認(rèn)的防火墻規(guī)則，這里我們允許所有報(bào)文的輸入、輸出和轉(zhuǎn)發(fā)。接著設(shè)置本地環(huán)路規(guī)則，我們允許本地進(jìn)程之間的報(bào)文可以任意通過。然后通過對輸入、輸出鏈指定規(guī)則防止IP欺騙報(bào)文，其設(shè)置如下：

/sbin/ipchains -A input -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A input -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ip chains -A output -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A output -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ipchinas -A input -j DENY

- i card0 -s 202.101.1.25/32

/sbin/ipchinas -A output -j DENY

- i card0 -d 202.101.1.25/32

隨后我們禁止廣播包：

/sbin/ipchains -A input -j DENY

- i card1 -s 255.255.255.255

/sbin/ipchains -A input -j DENY

- i card1 -d 0.0.0.0

/sbin/ipchains -A output -j DENY

- i card1 -s 240.0.0.0/3

最后轉(zhuǎn)發(fā)內(nèi)部所有的報(bào)文，并啟動(dòng)網(wǎng)絡(luò)地址轉(zhuǎn)換功能，即開啟IP MASQ功能，這一規(guī)則定義是針對轉(zhuǎn)發(fā)鏈進(jìn)行的：

/sbin/ipchains -A forward -j ACCEPT

- i card0 -s 192.168.1.1/24

/sbin/ipchains -A forward -j ACCEPT

-i card0 -d 192.168.1.1/24

/sbin/ipchains -A forward -j MASQ

- i card1 -s 192.168.1.1/24

這一功能可以隱藏局域網(wǎng)的IP地址，即對于來自192.168.1.1/24網(wǎng)絡(luò)中的所有報(bào)文流向card0的進(jìn)行IP地址偽裝。并實(shí)現(xiàn)局域網(wǎng)公用一個(gè)公有地址連接互聯(lián)網(wǎng)的功能。通過上述步驟，便實(shí)現(xiàn)了基本的封包過濾防火墻設(shè)置。

3 結(jié)束語

（1）校園局域網(wǎng)絡(luò)通過基于linux系統(tǒng)的ipchains防火墻連接互聯(lián)網(wǎng)，通過使用IP MASQ網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)功能不僅隱藏了內(nèi)網(wǎng)的地址，同時(shí)還節(jié)省了學(xué)校寶貴的IP地址資源。（2）構(gòu)建雙宿主機(jī)型linux防火墻僅需一臺(tái)獨(dú)立的電腦，而無需額外購買昂貴的硬件防火墻，即可擁有具有強(qiáng)大功能和靈活性的封包過濾防火墻。這對于沒有很高預(yù)算的學(xué)校來說十分合適。（3）合理的防火墻策略配置能夠建立起靈活而有效的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，無論從互聯(lián)網(wǎng)進(jìn)入校園局域網(wǎng)的報(bào)文會(huì)被檢查，從校園網(wǎng)進(jìn)入互聯(lián)網(wǎng)的報(bào)文也會(huì)被檢查。通過禁止IP欺騙、廣播包和IP MASQ功能，有效地保護(hù)了網(wǎng)絡(luò)的安全，實(shí)現(xiàn)了以防火墻為基礎(chǔ)對內(nèi)外網(wǎng)之間所有進(jìn)出的流量進(jìn)行檢查的功能。

參考文獻(xiàn)：

[1]馬振晗，賈軍保.密碼學(xué)與網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2009.

[2]堯新遠(yuǎn).計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].軟件，2012（07）.

[3]張統(tǒng)豪.計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（23）.

[4]張文斗.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J].福建電腦.2011.04.

作者單位：重慶財(cái)經(jīng)職業(yè)學(xué)院實(shí)踐教學(xué)中心，重慶 402160