安卓版下载

校园网防火墙的应用

2009-05-25 09:01安秀芝
中国教育技术装备 2009年9期
关键词:代理服务器IP地址校园网

安秀芝

1 防火墙的概念

“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在2个网络通讯时执行的一种访问控制尺度,它只允许“同意”的人和数据进入网络,最大限度地阻止网络中的黑客侵袭。即,防火墙就是介于2个网络之间的具有某些存取控制功能的软硬件集合。

防火墙一般主要包括5部分:安全操作系统、过滤器、网关、域名服务和E-mail处理。目前防火墙产品很多,基本上分为2类:一类基于包过滤,另一类基于代理服务器。前者直接转发报文,它工作在网络的底层——IP层,是在网络中适当的位置对数据包实施有选择的过滤,它可以提供廉价、有效、具有一定网络安全的环境,且它对用户是全透明的,速度较快。Cisco的防火墙就是这种,它有2种方法实现防火墙功能,一种是适用于某些接口上的流控制,用于过滤IP或指定TCP和UDP端口的IP数据包;另一种是适用于广播信息,用于过滤广播信息。而代理服务器一般工作在应用层,它可以屏蔽网络内部结构,增强网络内部的安全性,同时还可以用于实施数据流监控、过滤、记录、报告等功能。但它对用户不透明,工作量大,需要高性能服务器,通常要经代理服务器进行身份验证和注册,故速度较慢。

2 校园网防火墙系统的配置

假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的,有明确闭合边界。它有一个C类的IP地址,有DNS、E-mail、WWW、FTP等服务器,可采用以下存取控制策略。

2.1 对进入CERNET主干网的存取控制校园网有自己的IP地址,应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器:

Interface E0

Decription campus Net

Ip add162.105.17.1

access_list group 20 out

!

Access_list 20 permit ip 162.105.17.0 0.0.225

2.2 对网络中心资源主机的访问控制网络中心的DNS、E-mail、FTP、WWW等服务器是重要的资源,要特别地保护,可对网络中心所在子网禁止DNS、E-mail、WWW、FTP以外的一切服务。

2.3 对校外非法网址的访问一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的,这时可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。

3 防止IP地址欺骗和盗用

为对网络内部人员访问Internet进行一定限制,在连接内部网络的端口接收数据时进行IP地址和MAC地址(以太网地址)检查,盗用IP地址的数据包将被丢弃,并记录有关信息。在连接Internet端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。

防止IP地址被盗用的彻底解决办法是,网络上全部采用交换式集线器提供用户接入,设定每个端口的MAC地址和IP地址。但由于各种原因,这种方法目前不可行。建议用下述方法解决。

3.1 代理服务器防火墙用户的对外通信通过代理服务器进行。对用户的收费根据用户请求的数据量计算,和IP地址没很大关系,因此可以在一定程度上减少IP地址盗用给用户带来的经济损失。但它要求一定采用代理服务器方式的防火墙,因而限制了它的推广。

3.2 捆绑IP地址和MAC地址首先登记每个合法IP地址和对应的MAC地址,形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表,获得当前IP和MAC地址的对应关系,和事先合法的IP和MAC地址进行比较,如不一致,则为非法访问。这种方法的出发点是每个网卡的MAC地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的MAC地址。因此,这种方法的效果不是很好。可对其进行改进,由用户自己动态地控制IP地址的访问权限,当用户不需要对外通信时,可以关掉自己的IP地址对外的权限,这时即使有人盗用IP地址,也不会对用户造成直接的经济损失。

4 对非法访问的动态禁止

一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包,插入命令“access_list 1.2 deny 0.0.0.0 255.255.255.255 A.B.C.D 0.0.0.0”。该命令的插入实际上是对路由器进行动态配置。可以通过Telnet Socket,编制针对Cisco的telnet仿真程序,仿真所有的人工命令过程,从而实现对Cisco的动态配置。由于存取控制表不能随意插入控制项,因此仿真程序需要维持一个完整的和Cisco内控制表项一致的配置文件,即先将更改的控制项插入到配置文件中,然后将配置文件作为一个整体,传入路由器中,从而保证存取控制的完整性。

猜你喜欢
代理服务器IP地址校园网
拒绝改动锁定电脑的代理服务器设置
电脑爱好者(2022年3期)2022-05-30
数字化校园网建设及运行的几点思考
甘肃教育(2020年18期)2020-10-28
铁路远动系统几种组网方式IP地址的申请和设置
铁道通信信号(2020年11期)2020-02-07
试论最大匹配算法在校园网信息提取中的应用
电子制作(2019年10期)2019-06-17
地铁信号系统中代理服务器的设计与实现
铁道通信信号(2018年11期)2019-01-19
IP地址隐藏器
网络安全和信息化(2018年4期)2018-03-04
IP地址切换器(IPCFG)
网络安全和信息化(2018年3期)2018-03-03
NAT技术在校园网中的应用
电子制作(2017年8期)2017-06-05
基于SNMP的IP地址管理系统开发与应用
黑龙江电力(2017年1期)2017-05-17
公安网络中IP地址智能管理的研究与思考
科学中国人(2017年14期)2017-01-28

中国教育技术装备2009年9期

中国教育技术装备的其它文章
对当前高职学生素质教育问题的思考
温州教育装备的发展困境与优化策略
美国FutureMinds项目对我国教育信息化的启示
建构主义在高职英语口语教学中的应用探析
高校教师教育技术培训初探
做好农村初高中后人员技能培训为当地经济建设服务
杂志排行

  1. 1《合作经济与科技》2024年13期

  2. 2《婚育与健康》2024年10期

  3. 3《思维与智慧·上半月》2024年7期

  4. 4《陶瓷科学与艺术》2023年11期

  5. 5《中国商人》2024年7期

  6. 6《教师博览》2024年4期

  7. 7《师道·教研》2024年6期

  8. 8《中国对外贸易》2024年6期

  9. 9《伴侣》2024年6期

  10. 10《经济技术协作信息》2024年6期

关于参考网