校园网防火墙的配置与实现

管虎林

(江苏航空职业技术学院，江苏 镇江 212134)

1 引言

在计算机网络高速发展的同时，网络的安全也变得十分重要。特别是随着校园网建设的不断开展，目前网络安全已经成为校园中所关注的焦点。校园网络使用范围广泛，是高等院校校内外进行信息共享、信息交流、学生学习的重要平台，所以，在校园网的使用中，防火墙的应用变得尤为重要。

2 相关理论概述

2.1 防火墙的定义

防火墙实质是处于网络应用与计算机之间的系统，其作用是保护内外网之间数据的安全传递。防火墙对内外网数据的传输进行保护，对未经授权的数据进行过滤，避免在计算机上被执行。同时防火墙可以保护网络免受路由的攻击，提供一个单独的“阻拦点”，在“阻拦点”上设置安全与审计检查。

2.2 防火墙的实现平台

本次防火墙的实现平台系统是使用的Linux的FreeBSD，因为它具有很高的安全性以及稳定性，同时它的成本也相对较低。综合各方面，得以用于校园网防火墙的配置。IP Filter具有内核模式，这种内核模式有两种机制，一种是NAT机制，另外一种是防火墙机制。使用IP Filter，这些机制能够被用户通过接口程序来控制，这对于软件的使用是比较安全的。

3 防火墙的配置与实现

3.1 防火墙的配置

3.1.1 校园网身份认证访问的配置

校园网应用最重要的是安全问题，所以在对校园网防火墙中关于身份认证的设定尤为重要。为了能安全地访问内部资源，首先是需要对内部成员进行身份认证，避免受到网络的攻击。身份流程图如图1所示。

图1 身份认证流程

用户信息合法则可以进入使用校园网，不合法则不能。

3.1.2 校园网包过滤、内容过滤的配置

主机之间进行相互访问时，必须指明对方主机的IP地址以及TCP/UDP的端口。在接收返回数据时，需要打开一个临时的接口用来接收。包过滤是通过控制网络与网络之间、网络与站点之间、站点与站点之间的相互访问将数据内容传递。

数据包经过NAT处理后，该数据包的源地址将会被转换为防火墙出端口上的IP地址，这时防火墙会打开临时端口用来替换数据包中的源端口。当数据到达防火墙之后，该数据包所在的源地址将会重新覆盖防火墙出端口的IP地址，最终数据包得以传回校园网的内部网络中。其连接建立如表1所示，TC两端的接口由A和B来表示，防火墙用FW表示。

表1 连接建立表

表2 连接正常关闭时TCP包的状态

首先A端发送Fin包状态为FIN-WAIT-1—防火墙收到该包时将连接状态为FIN_WAIT—B端收到该包后发送Ack包，进入CLOSE-WAIT状态—A端收到Ack包后变为FINWAIT-2。然后B端发送Fin包状态为LAST_ACK—防火墙接收Fin包，连接状态为TIME_WAIT—A端接收Fin包后发送Ack报文—防火墙收到Ack包状态变为TIME-WAIT—定时器启动—两分钟后删除连接。使用Rst包关闭连接，A端发出Syn包给B端的禁止连接的端口，B端发送Rst包后断开连接。关闭连接时的状态如表3所示。

表3 以Rst包关闭连接时TCP包的状态

系统在数据包到达后按照Rst->Syn->Fin->Ack->other位置程序对其类进行检测。如果需要更换位置重新设定程序的话，需要对Ack进行处理。具体过程如图2所示。

图2 包过滤模块的操作过程

本次设计将内容过滤模块设计成可加载内核模块，分别为：Con_lter.o、Netfilter()实现模块的初始化和nf_register_hook(&Contentfilter)实现注册钩子处理函数；当我们要向NF_IP_FORWARD注册钩子函数时，通常都是实例化一个nf_hook_ops{}对象，然后通过nf_register_hook()接口将其注册到NF_IP_FORWARD中就可以了。其中filter模块也是通过这种常规方式来实现完成的。

3.1.3 校园网路由记录模块的配置

由于包过滤技术只能够保证部分传输的信息是安全的，本次防火墙的设计采取的是两层结构，通过设置两层防火墙保证校园网络的安全。在该防火墙设计中，改变RAM执行的设定，重新更改路由器的具体配置。其中记录路由选项首先生成一个IP地址的空列表，然后将处理过的数据包的地址添加到列表里，其实现过程关键程序如下所示：

3.1.4 校园网网络地址转换的配置

因为数据包中含有源地址和目标地址，所以在校园网络地址转换过程中，如果数据包从源地址传到目标地址时被拦截，就会关闭连接。并且为了不影响下次连接的使用，NAT地址会释放新的连接端口。

在校园网络地址转换过程中，主要是对NAT和ACL进行配置。NAT的功能是保证校园网的内网与外网能够成功访问。ACL的功能是用来设置内网计算机的访问权限，主要是访问控制。NAT是能够保证内网计算机成功访问外网，ACL是允许或者禁止内网计算机之间的相互访问以及内网访问外网。具体如图3所示。

图3 网络拓扑图

不过将校园网的IP地址转换成防火墙各有利弊。好处是校园网能够通过私有地址访问公共网址并且能够控制流入流出网络的流量。缺点是地址转换成防火墙具有一定的局限性，比如说数据包的处理，因为地址转换之后TCP或者是UDP两端的地址也发生了变化，那么两报头校验必须重新计算，所以会在这个过程中增加延迟的情况，并且不是所有应用的TCP协议都能支持地址转换的。

4 结语

本文针对校园网络的安全问题设计了校园网的防火墙系统。该系统运用IP Filter平台进行操作完成对防火墙配置和实现。系统比较清晰明了并且本次校园网防火墙的操作简单，也不需要太多的专业知识，实践证明，该系统能有效保护校园网络的安全。

[1]周铁．基于安全策略的校园网组建[D]．湖南：中南大学，2009．

[2]李幸．基于S P I和ND I S H OOK的包过滤型防火墙[D]．浙江：浙江大学，2007．

[3]钟平．校园网安全防范技术研究[D]．广东：广东工业大学，2007.

[4]韩禄．鞍山师院校园网络安全模型的设计与实现[D]．大连：大连理工大学，2008．

[5]董立顺．L I NU X下包过滤防火墙设计与实现[D]．山东：山东大学,2008．

[6]陆峰骅．校园网安全与防范研究[J]．科技资讯，2010（32）：71-71.

[7]张俊祥．高校校园网络安全现状分析与解决策略[J]．数字技术与应用，2011（9）：245-245．

[8]孙晓乐，高东怀.多维校园网安全模型研究[J]．现代电子技术，2011（21）：122-124．