張文杰 李金鳳

摘 要： 防火墻是一種確保網(wǎng)絡安全的方法，它可以被安全放置在一個單獨的路由器中，用來過濾不想要的信息包，也可以被安裝在路由器和主機中，發(fā)揮更大的網(wǎng)絡安全保護作用。防火墻指的是一個有軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關四個部分組成，簡單說防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件，該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。

關鍵詞： 防火墻 TCP/IP 網(wǎng)絡協(xié)議 校園網(wǎng)

1.引言

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。IT術語中的防火墻是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御統(tǒng)，是這一類防范措施的總稱。應該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以隔離風險區(qū)域 （即Internet或有一定風險的網(wǎng)絡）與安全區(qū)域（局域網(wǎng)）的連接，同時不妨礙人們對風險區(qū)域的訪問。

2. Windows網(wǎng)絡協(xié)議的實現(xiàn)及操作系統(tǒng)的總體架構(gòu)

2.1 Windows網(wǎng)絡協(xié)議的實現(xiàn)

網(wǎng)絡協(xié)議是網(wǎng)絡上所有設備（網(wǎng)絡服務器、計算機及交換機、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，為它的上一層提供一定的服務，而把如何實現(xiàn)這一服務的細節(jié)對上一層加以屏蔽。

2.2 Windows操作系統(tǒng)的總體架構(gòu)

Microsoft Windows系列操作系統(tǒng)是在微軟給IBM機器設計MS-DOS的基礎上設計的圖形操作系統(tǒng)。現(xiàn)在的Windows系統(tǒng)，如Windows 2000、Windows XP皆是建立于現(xiàn)代的Windows NT核心。NT核心是由OS/2和OpenVMS等系統(tǒng)上借用來的。

3. 防火墻發(fā)展研究

3.1防火墻體系結(jié)構(gòu)

雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑。

3.2被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡更進一步地把內(nèi)部網(wǎng)絡和外部網(wǎng)絡（通常是Internet）隔離開。

4.防火墻技術在校園網(wǎng)中的實現(xiàn)

這里，假定校園網(wǎng)通過Cisco路由器與CERNET相連。校園內(nèi)的IP地址范圍是確定的，且有明確的閉和邊界。它有一個C類的IP地址，有DNS，Email，WWW，F(xiàn)TP等服務器，可采用以下存取控制策略。

4.1對進入CERNET主干網(wǎng)的存取控制

校園網(wǎng)有自己IP地址，應禁止IP地址從本校路由器訪問CERNET。可用下述命令設置與校園網(wǎng)連接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2對網(wǎng)絡中心資源主機的訪問控制

網(wǎng)絡中心的DNS，Email，F(xiàn)TP，WWW等服務器是重要的資源，要特別保護，可對網(wǎng)絡中心所在子網(wǎng)禁止DNS，Email，WWW，F(xiàn)TP以外的一切服務。

4.3對校外非法網(wǎng)址的訪問

可通過計費系統(tǒng)獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。

5.結(jié)語

本文闡述了防火墻的體系結(jié)構(gòu)及在校園網(wǎng)絡中的應用，并且介紹了網(wǎng)絡協(xié)議的實現(xiàn)與操作系統(tǒng)的總體架構(gòu)。

參考文獻：

[1]黎連業(yè)， 張維 編著.防火墻及其應用技術[M]. 北京：清華大學出版社，2004.7，第1版.

[2]朱雁輝 ，編著.Windows防火墻與網(wǎng)絡封包截獲技術[M].北京：電子工業(yè)出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等譯.防火墻技術大全[M]. 北京：機械工業(yè)出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李華飚 ，等譯.Tanenbaum[M]. 北京：中國水利水電出版社，2005.5，第一版.

[5]謝希仁 ，編著.計算機網(wǎng)絡（第四版）[M].北京：電子工業(yè)出版社 ，2003.6.

[6]Tanenbaum，A.S.著.潘愛民 ，譯.計算機網(wǎng)絡[M].北京：清華大學出版社，2004.8.