張文杰 李金鳳

摘 要： 防火墻是一種確保網(wǎng)絡(luò)安全的方法，它可以被安全放置在一個(gè)單獨(dú)的路由器中，用來(lái)過(guò)濾不想要的信息包，也可以被安裝在路由器和主機(jī)中，發(fā)揮更大的網(wǎng)絡(luò)安全保護(hù)作用。防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)四個(gè)部分組成，簡(jiǎn)單說(shuō)防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。

關(guān)鍵詞： 防火墻 TCP/IP 網(wǎng)絡(luò)協(xié)議 校園網(wǎng)

1.引言

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。IT術(shù)語(yǔ)中的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御統(tǒng)，是這一類防范措施的總稱。應(yīng)該說(shuō)，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域 （即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。

2. Windows網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)及操作系統(tǒng)的總體架構(gòu)

2.1 Windows網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)

網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)及交換機(jī)、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時(shí)信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，為它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽。

2.2 Windows操作系統(tǒng)的總體架構(gòu)

Microsoft Windows系列操作系統(tǒng)是在微軟給IBM機(jī)器設(shè)計(jì)MS-DOS的基礎(chǔ)上設(shè)計(jì)的圖形操作系統(tǒng)。現(xiàn)在的Windows系統(tǒng)，如Windows 2000、Windows XP皆是建立于現(xiàn)代的Windows NT核心。NT核心是由OS/2和OpenVMS等系統(tǒng)上借用來(lái)的。

3. 防火墻發(fā)展研究

3.1防火墻體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。

3.2被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開(kāi)。

4.防火墻技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)

這里，假定校園網(wǎng)通過(guò)Cisco路由器與CERNET相連。校園內(nèi)的IP地址范圍是確定的，且有明確的閉和邊界。它有一個(gè)C類的IP地址，有DNS，Email，WWW，F(xiàn)TP等服務(wù)器，可采用以下存取控制策略。

4.1對(duì)進(jìn)入CERNET主干網(wǎng)的存取控制

校園網(wǎng)有自己IP地址，應(yīng)禁止IP地址從本校路由器訪問(wèn)CERNET?？捎孟率雒钤O(shè)置與校園網(wǎng)連接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪問(wèn)控制

網(wǎng)絡(luò)中心的DNS，Email，F(xiàn)TP，WWW等服務(wù)器是重要的資源，要特別保護(hù)，可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止DNS，Email，WWW，F(xiàn)TP以外的一切服務(wù)。

4.3對(duì)校外非法網(wǎng)址的訪問(wèn)

可通過(guò)計(jì)費(fèi)系統(tǒng)獲得最新的IP訪問(wèn)信息，利用域名查詢或字符匹配等方法確定來(lái)自某個(gè)IP的訪問(wèn)是非法的。

5.結(jié)語(yǔ)

本文闡述了防火墻的體系結(jié)構(gòu)及在校園網(wǎng)絡(luò)中的應(yīng)用，并且介紹了網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)與操作系統(tǒng)的總體架構(gòu)。

參考文獻(xiàn)：

[1]黎連業(yè)， 張維 編著.防火墻及其應(yīng)用技術(shù)[M]. 北京：清華大學(xué)出版社，2004.7，第1版.

[2]朱雁輝 ，編著.Windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京：電子工業(yè)出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等譯.防火墻技術(shù)大全[M]. 北京：機(jī)械工業(yè)出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李華飚 ，等譯.Tanenbaum[M]. 北京：中國(guó)水利水電出版社，2005.5，第一版.

[5]謝希仁 ，編著.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）[M].北京：電子工業(yè)出版社 ，2003.6.

[6]Tanenbaum，A.S.著.潘愛(ài)民 ，譯.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社，2004.8.