管虎林

(江蘇航空職業(yè)技術學院，江蘇 鎮(zhèn)江 212134)

1 引言

在計算機網絡高速發(fā)展的同時，網絡的安全也變得十分重要。特別是隨著校園網建設的不斷開展，目前網絡安全已經成為校園中所關注的焦點。校園網絡使用范圍廣泛，是高等院校校內外進行信息共享、信息交流、學生學習的重要平臺，所以，在校園網的使用中，防火墻的應用變得尤為重要。

2 相關理論概述

2.1 防火墻的定義

防火墻實質是處于網絡應用與計算機之間的系統(tǒng)，其作用是保護內外網之間數據的安全傳遞。防火墻對內外網數據的傳輸進行保護，對未經授權的數據進行過濾，避免在計算機上被執(zhí)行。同時防火墻可以保護網絡免受路由的攻擊，提供一個單獨的“阻攔點”，在“阻攔點”上設置安全與審計檢查。

2.2 防火墻的實現平臺

本次防火墻的實現平臺系統(tǒng)是使用的Linux的FreeBSD，因為它具有很高的安全性以及穩(wěn)定性，同時它的成本也相對較低。綜合各方面，得以用于校園網防火墻的配置。IP Filter具有內核模式，這種內核模式有兩種機制，一種是NAT機制，另外一種是防火墻機制。使用IP Filter，這些機制能夠被用戶通過接口程序來控制，這對于軟件的使用是比較安全的。

3 防火墻的配置與實現

3.1 防火墻的配置

3.1.1 校園網身份認證訪問的配置

校園網應用最重要的是安全問題，所以在對校園網防火墻中關于身份認證的設定尤為重要。為了能安全地訪問內部資源，首先是需要對內部成員進行身份認證，避免受到網絡的攻擊。身份流程圖如圖1所示。

圖1 身份認證流程

用戶信息合法則可以進入使用校園網，不合法則不能。

3.1.2 校園網包過濾、內容過濾的配置

主機之間進行相互訪問時，必須指明對方主機的IP地址以及TCP/UDP的端口。在接收返回數據時，需要打開一個臨時的接口用來接收。包過濾是通過控制網絡與網絡之間、網絡與站點之間、站點與站點之間的相互訪問將數據內容傳遞。

數據包經過NAT處理后，該數據包的源地址將會被轉換為防火墻出端口上的IP地址，這時防火墻會打開臨時端口用來替換數據包中的源端口。當數據到達防火墻之后，該數據包所在的源地址將會重新覆蓋防火墻出端口的IP地址，最終數據包得以傳回校園網的內部網絡中。其連接建立如表1所示，TC兩端的接口由A和B來表示，防火墻用FW表示。

表1 連接建立表

表2 連接正常關閉時TCP包的狀態(tài)

首先A端發(fā)送Fin包狀態(tài)為FIN-WAIT-1—防火墻收到該包時將連接狀態(tài)為FIN_WAIT—B端收到該包后發(fā)送Ack包，進入CLOSE-WAIT狀態(tài)—A端收到Ack包后變?yōu)镕INWAIT-2。然后B端發(fā)送Fin包狀態(tài)為LAST_ACK—防火墻接收Fin包，連接狀態(tài)為TIME_WAIT—A端接收Fin包后發(fā)送Ack報文—防火墻收到Ack包狀態(tài)變?yōu)門IME-WAIT—定時器啟動—兩分鐘后刪除連接。使用Rst包關閉連接，A端發(fā)出Syn包給B端的禁止連接的端口，B端發(fā)送Rst包后斷開連接。關閉連接時的狀態(tài)如表3所示。

表3 以Rst包關閉連接時TCP包的狀態(tài)

系統(tǒng)在數據包到達后按照Rst->Syn->Fin->Ack->other位置程序對其類進行檢測。如果需要更換位置重新設定程序的話，需要對Ack進行處理。具體過程如圖2所示。

圖2 包過濾模塊的操作過程

本次設計將內容過濾模塊設計成可加載內核模塊，分別為：Con_lter.o、Netfilter()實現模塊的初始化和nf_register_hook(&Contentfilter)實現注冊鉤子處理函數；當我們要向NF_IP_FORWARD注冊鉤子函數時，通常都是實例化一個nf_hook_ops{}對象，然后通過nf_register_hook()接口將其注冊到NF_IP_FORWARD中就可以了。其中filter模塊也是通過這種常規(guī)方式來實現完成的。

3.1.3 校園網路由記錄模塊的配置

由于包過濾技術只能夠保證部分傳輸的信息是安全的，本次防火墻的設計采取的是兩層結構，通過設置兩層防火墻保證校園網絡的安全。在該防火墻設計中，改變RAM執(zhí)行的設定，重新更改路由器的具體配置。其中記錄路由選項首先生成一個IP地址的空列表，然后將處理過的數據包的地址添加到列表里，其實現過程關鍵程序如下所示：

3.1.4 校園網網絡地址轉換的配置

因為數據包中含有源地址和目標地址，所以在校園網絡地址轉換過程中，如果數據包從源地址傳到目標地址時被攔截，就會關閉連接。并且為了不影響下次連接的使用，NAT地址會釋放新的連接端口。

在校園網絡地址轉換過程中，主要是對NAT和ACL進行配置。NAT的功能是保證校園網的內網與外網能夠成功訪問。ACL的功能是用來設置內網計算機的訪問權限，主要是訪問控制。NAT是能夠保證內網計算機成功訪問外網，ACL是允許或者禁止內網計算機之間的相互訪問以及內網訪問外網。具體如圖3所示。

圖3 網絡拓撲圖

不過將校園網的IP地址轉換成防火墻各有利弊。好處是校園網能夠通過私有地址訪問公共網址并且能夠控制流入流出網絡的流量。缺點是地址轉換成防火墻具有一定的局限性，比如說數據包的處理，因為地址轉換之后TCP或者是UDP兩端的地址也發(fā)生了變化，那么兩報頭校驗必須重新計算，所以會在這個過程中增加延遲的情況，并且不是所有應用的TCP協(xié)議都能支持地址轉換的。

4 結語

本文針對校園網絡的安全問題設計了校園網的防火墻系統(tǒng)。該系統(tǒng)運用IP Filter平臺進行操作完成對防火墻配置和實現。系統(tǒng)比較清晰明了并且本次校園網防火墻的操作簡單，也不需要太多的專業(yè)知識，實踐證明，該系統(tǒng)能有效保護校園網絡的安全。

[1]周鐵．基于安全策略的校園網組建[D]．湖南：中南大學，2009．

[2]李幸．基于S P I和ND I S H OOK的包過濾型防火墻[D]．浙江：浙江大學，2007．

[3]鐘平．校園網安全防范技術研究[D]．廣東：廣東工業(yè)大學，2007.

[4]韓祿．鞍山師院校園網絡安全模型的設計與實現[D]．大連：大連理工大學，2008．

[5]董立順．L I NU X下包過濾防火墻設計與實現[D]．山東：山東大學,2008．

[6]陸峰驊．校園網安全與防范研究[J]．科技資訊，2010（32）：71-71.

[7]張俊祥．高校校園網絡安全現狀分析與解決策略[J]．數字技術與應用，2011（9）：245-245．

[8]孫曉樂，高東懷.多維校園網安全模型研究[J]．現代電子技術，2011（21）：122-124．