防火墻技術原理及其在校園網(wǎng)中的應用方案設計

網(wǎng)絡與信息管理課程論文通信3G二班李項京2011年11月29號防火墻技術原理及其在校園網(wǎng)中的應用方案設計摘要：詳細介紹了防火墻的原理和實現(xiàn)方法，結合實際從校園防火墻的設計方案中論證防火墻在校園網(wǎng)中的應用的必要性。關鍵詞：防火墻，校園網(wǎng)防火墻設計一、引言：1、網(wǎng)絡安全分析互聯(lián)網(wǎng)的發(fā)展已經(jīng)深入到社會生活的各個方面。對個人而言，互聯(lián)網(wǎng)改變了人們的生活方式；對企業(yè)而言，互聯(lián)網(wǎng)改變了企業(yè)傳統(tǒng)的營銷方式及其內(nèi)部管理機制。雖然一切便利都源于互聯(lián)網(wǎng)，但是一切安全隱患也來自互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)設計之初，只考慮到相互的兼容和互通，并沒有考慮到隨之而來的一系列安全問題，伴隨互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡安全問題越來越嚴峻。計算機網(wǎng)絡犯罪所造成的經(jīng)濟損失令人吃驚。僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達150億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。1998年起，一連串的網(wǎng)絡非法入侵改變了中國網(wǎng)絡安全犯罪“一片空白”的歷史。據(jù)公安部的資料，近期每年中國破獲電腦黑客案件數(shù)百起，利用計算機網(wǎng)絡進行的各類違法行為在中國以每年30%的速度遞增。與計算機病毒相類似，黑客攻擊方法的種類不斷增加，總數(shù)已達近千種。那么，影響網(wǎng)絡安全的主要因素有哪些呢？從技術的角度歸納起來，主要有以下幾點：黑客的攻擊黑客技術不再是一種高深莫測的技術，并逐漸被越來越多的人掌握。目前，世界上有20多萬個免費的黑客網(wǎng)站，這些站點從系統(tǒng)漏洞入手，介紹網(wǎng)絡攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點遭受攻擊的可能性就變大了。加上現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力”強的特點，構成了網(wǎng)絡安全的主要威脅。網(wǎng)絡的缺陷因特網(wǎng)在設計之初對共享性和開放性的強調(diào)，使得其在安全性方面存在先天的不足。其賴以生存的TCP/IP協(xié)議族在設計理念上更多的是考慮該網(wǎng)絡不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏應有的安全機制。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網(wǎng)絡安全的重要隱患。軟件及系統(tǒng)的漏洞或“后門”隨著軟件及網(wǎng)絡系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的服務器、瀏覽器、桌面軟件等等都被發(fā)現(xiàn)存在很多安全隱患。任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽或設計中的一個缺陷等原因留下漏洞。這也成為網(wǎng)絡的不安全因素之一。正因為如此，針對以上的各種不安全因素，防火墻一一作為信息安全的門戶，就應運而生了。2、防火墻在網(wǎng)絡安全中的應用隨著計算機技術和通訊技術的迅速發(fā)展，網(wǎng)絡正逐步改變著人們的工作方式和生活方式，成為當今社會發(fā)展的一個主題。隨著網(wǎng)絡的開放性、互連性、共享性程度的擴大，特別是Internet的出現(xiàn)，使網(wǎng)絡的重要性和對社會的影響也越來越大，網(wǎng)絡安全問題也變得越來越重要。一般來說，保護網(wǎng)絡安全的主要技術有防火墻技術、加密技術、入侵檢測技術、身份認證技術等。通過這些技術的綜合使用，能夠有效地解決網(wǎng)絡所面臨的安全威脅。防火墻技術是目前最為流行也是使用最為廣泛的一種網(wǎng)絡安全技術。在構建安全網(wǎng)絡環(huán)境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關注。公司和高校一般通過安裝防火墻來保護網(wǎng)絡安全，利用防火墻技術,經(jīng)過仔細、正確地配置,通常能夠在公司內(nèi)、外部網(wǎng)之間提供安全的網(wǎng)絡保護，降低網(wǎng)絡安全風險。從一定意義上講，防火墻實際上就是一種被動式防御的訪問控制技術?！胺阑饓Α被颉胺阑饓ο到y(tǒng)”是一類防范措施的總稱，是指在Intranet和Internet之間插入一個中介系統(tǒng)，阻斷來自外部通過網(wǎng)絡對內(nèi)部網(wǎng)的威脅和入侵，提供扼守本網(wǎng)絡的安全和審計的唯一關卡。在一個沒有防火墻的環(huán)境里，網(wǎng)絡的安全性只能體現(xiàn)為每一個主機的功能，在某種意義上，所有主機必須通力合作，才能達到較高程度、均勻一致的安全性。網(wǎng)絡越大，這種較高程度的安全性就越難管理。二、研究現(xiàn)狀及設計目標1、防火墻的基本類型和工作原理從技術上看，防火墻有四種基本類型。包過濾型防火墻PacketFilterFirewall)包過濾型防火墻，也稱網(wǎng)絡層防火墻，是在網(wǎng)絡層對數(shù)據(jù)進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制表(AccessControlTable)。該技術通過檢查數(shù)據(jù)流中的每個數(shù)據(jù)包的源地址、目標地址、源端口、目的端口及協(xié)議狀態(tài)，或它們的組合來確定是否允許該數(shù)據(jù)包通過。這種防火墻通常安裝在路由器上，其優(yōu)點是邏輯簡單、價格便宜、易于安裝和使用，網(wǎng)絡性能和透明性好，但它缺乏用戶日志(log)和審計信息(audit),缺乏用戶認證機制，不具備登錄和報告性能，不能進行審核管理，且過濾規(guī)則的完備性難以得到檢驗，復雜過濾規(guī)則的管理很困難，因此安全性較差。應用級網(wǎng)關防火墻(ApplicationLevelGatewaysFirewall)應用級網(wǎng)關是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。由于該技術工作于應用層，因此具有高層應用數(shù)據(jù)或協(xié)議的理解能力。然而由于它與包過濾技術一樣使用了過濾的機制，因此仍然保留了讓防火墻外部網(wǎng)絡直接了解內(nèi)部網(wǎng)絡結構和運行狀態(tài)的可能。代理服務器型防火墻(ProxyServiceFirewall)代理服務器型防火墻也稱應用層防火墻，作用于應用層。其核心是運行于防火墻主機上的代理服務器進程，它代替網(wǎng)絡用戶完成特定的TCP/IP功能。一個代理服務器上實際是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。對于每一種不同的應用服務，都必須有一個相應的代理。外部網(wǎng)絡和內(nèi)部網(wǎng)絡之間要建立連接，必須通過代理的中間轉(zhuǎn)換，內(nèi)部網(wǎng)絡只接受代理服務提出的服務請求，拒絕外部網(wǎng)絡的直接連接。這種防火墻的優(yōu)點是它能完全控制通信雙方的會話過程，具有用戶級的身份驗證、日志管理和帳號管理功能，提供了比過濾路由器更為嚴格的安全性，但可能影響網(wǎng)絡的性能，對用戶不透明，且對每一種服務器都要設計一個代理模塊，建立對應的網(wǎng)關層，實現(xiàn)起來比較復雜?；旌闲头阑饓?HybridFirewall)混合型防火墻把過濾和代理服務等功能結合起來，形成新的防火墻，所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻各有其優(yōu)缺點。當前的防火墻產(chǎn)品已不是單一的過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性。2、防火墻技術的局限，性防火墻技術作為目前用來實現(xiàn)網(wǎng)絡安全的一種手段，主要是用來拒絕未經(jīng)授權的用戶訪問，阻止未經(jīng)授權的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡資源，如果使用得當，可以在很大程度上提高網(wǎng)絡安全性能，但是并不能百分之百解決網(wǎng)絡上的信息安全問題。正所謂“沒有絕對的安全，只有絕對的不安全”防火墻因其本身采取的安全策略而不可避免的局限性：由于防火墻是基于“允許”或“限制”數(shù)據(jù)流通，它的通信性能與其安全性之間是一對矛盾，要提其高安全性勢必降低防火墻的性能，反之,提高它的性能就一定會降低防火墻的安全性。防火墻主要作基于數(shù)據(jù)包的控制信息的檢測，不作基于內(nèi)容的檢測，因此各種防火墻都存在不同程度的安全脆弱點。現(xiàn)實網(wǎng)絡環(huán)境中存在著一些防火墻不能防范的安全威脅:如不能防范不經(jīng)過防火墻的攻擊，防火墻不能防范來自網(wǎng)絡內(nèi)部的攻擊行為；也不能防止因管理員配置不當或錯誤配置引起的安全威脅;無法防止繞過防火墻的攻擊;無法防止自然災害、意外事故、人為破壞的行為、及內(nèi)部泄密等;無法防止利用標準網(wǎng)絡協(xié)議中的缺陷、服務器系統(tǒng)漏洞等進行的攻擊。目前，防火墻對病毒的防范能力還比較低。另外，如果允許從受保護的網(wǎng)絡內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接，如果這些訪問中存在著非法連接和入侵訪問，防火墻對此無能為力?？傊?，防火墻有效地保證了內(nèi)部網(wǎng)絡的安全，但防火墻并不是絕對的安全防護手段，不同的防火墻系統(tǒng)在設計和實現(xiàn)上均存在安全漏洞。對防火墻的安全局限性分析，是為了更好地利用防火墻來保護網(wǎng)絡安全，要想獲得更高級別的網(wǎng)絡安全，我們必須全面分析防火墻自身的安全弱點。從防火墻的原理及體系結構上分析，代理防火墻的安全性較高，突破難度較大。3、設計目標：構建校園網(wǎng)防火墻在網(wǎng)絡信息技術高度發(fā)展的今天，隨著校園網(wǎng)絡內(nèi)部和外部互聯(lián)網(wǎng)應用環(huán)境的日趨復雜，學校對網(wǎng)絡安全的重視程度也早已今非昔比。目前校園網(wǎng)絡面臨的安全挑戰(zhàn)有：1）學生對網(wǎng)上的各類黑客攻擊軟件充滿好奇心，不時對自己的校園網(wǎng)絡發(fā)起試探性攻擊，從而造成網(wǎng)絡服務器經(jīng)常宕機網(wǎng)絡管理人員總在疲于應付系統(tǒng)的恢復工作。2）由于財務等敏感服務器上存有大量重要數(shù)據(jù)庫和文件因擔心安全性問題，不得不與校園網(wǎng)絡物理隔離，使得應用軟件不能發(fā)揮真正作用。3）主服務器上存有很多敏感文檔，用戶密碼又經(jīng)常泄露導致“泄密”事件時有發(fā)生。4）部分人員網(wǎng)上炒股、聊天、在線游戲，甚至經(jīng)常瀏覽黃色、法輪功站點。5）經(jīng)常有人大量下載網(wǎng)上數(shù)據(jù)，使得網(wǎng)速極慢。6）傳統(tǒng)的邊界防火墻無法保護每一臺服務器不被攻擊。三、系統(tǒng)實現(xiàn)和流程1、建立校園網(wǎng)拓撲結構我校有師生一萬多人，分本部、東、北三個校區(qū)，本部與北校區(qū)之間距離38KM，各校區(qū)以網(wǎng)絡中心為中心的從60米到1000米的地理范圍內(nèi)，包括成人教育學院、熱管系、機電系、藝術系、外國系、財經(jīng)系、圖書館、辦公樓等單位，各單位內(nèi)部形成局域網(wǎng)并接入校園網(wǎng)骨干網(wǎng)絡，通過校園網(wǎng)接入教育網(wǎng)和Internet，滿足教學、資料檢索、辦公自動化等要求。另外擬將學生宿舍組建成局域網(wǎng)，并通過鐵通寬帶網(wǎng)絡統(tǒng)一接入Internet，并建立學生網(wǎng)絡管理中心，對網(wǎng)絡進行管理。通過對以上信息及學校規(guī)模人力等各方面因素的綜合分析，整個校園網(wǎng)采用層次化網(wǎng)絡拓撲結構，校園網(wǎng)結構在邏輯上可分為三層，即核心層、匯聚層和接入層。（1）、核心層核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸，骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡的控制功能最好盡量少在骨干層上實施。兩臺核心路由交換機實現(xiàn)雙機熱備份，更好的保證了核心交換機系統(tǒng)的安全。為下兩層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干。采用L3層千兆以太網(wǎng)交換技術。骨干層由二個核心節(jié)點及其它骨干節(jié)點組成，在各骨干節(jié)點設置性能與之相適應的L3層以太網(wǎng)交換機作為校園網(wǎng)的骨干交換機。各骨干層節(jié)點之間通過“多模光纖”相連，相鄰兩點之間形成兩條全雙工千兆以太網(wǎng)鏈路。（2）、匯聚層利用L3層1000M快速以太網(wǎng)交換技術，在樓宇間通過“多模光纖”將網(wǎng)絡從各骨干層節(jié)點延伸至各教學樓、辦公樓、學生宿舍區(qū)和教工住宅區(qū)，或者在較大的樓宇內(nèi)通過超5類線纜將網(wǎng)絡從各骨干層節(jié)點延伸至同樓內(nèi)的各個部門，從而形成校園網(wǎng)絡的匯聚層。在匯聚層節(jié)點部署1000M或100M以太網(wǎng)交換機作為部門交換機。（3）、接入層接入層的主要功能是為最終用戶提供對園區(qū)網(wǎng)絡訪問的途徑。本層也可以提供進一步的調(diào)整，如訪問列表過濾等。在園區(qū)網(wǎng)絡環(huán)境中，接入層主要提供如下功能：帶寬共享，交換帶寬，MAC層過濾，網(wǎng)段微分。通過在樓宇間使用“多模光纖”或者在樓宇內(nèi)使用超5類線纜，將網(wǎng)絡從各分布層節(jié)點延伸全部署在樓宇、樓層或者單元的1000M或100M交換機，形成校園網(wǎng)絡的接入層。2、構建防火墻體系結構經(jīng)分析，校園網(wǎng)防火墻應構建屏蔽子網(wǎng)體系結構，屏蔽子網(wǎng)體系結構在屏蔽主機體系結構基礎上，添加了額外的一層保護體系周邊網(wǎng)絡。堡壘主機位于周邊網(wǎng)絡上，周邊網(wǎng)絡和內(nèi)部網(wǎng)絡被內(nèi)部路由器分開。這樣做是因為堡壘主機是用戶網(wǎng)絡上最容易受侵襲的機器。通過在周邊網(wǎng)絡上隔離堡壘主機，能減少在堡壘主機被侵入的影響。這種體系結構能限制來自外部的存取，對堡壘主機的攻擊不影響內(nèi)部網(wǎng)。堡壘主機與分組過濾路由組合成較強功能的防火墻（如圖6）。堡壘主機指的是企業(yè)中暴露給Internet從而受到Internet攻擊的機器，它容易受到攻擊,所以需要加強對它的安全保護措施來防止對它的攻擊。堡壘主機通常是防火墻的一個構件。這種體系結構的結構最復雜，功能也最為強大。防火墻網(wǎng)絡管理第一步：和客戶溝通了解客戶的網(wǎng)絡狀況，包括客戶端數(shù)量、服務器數(shù)量和種類、網(wǎng)絡骨干交換設備、網(wǎng)絡邊界設備、網(wǎng)絡接入情況等等。第二步：確定防火墻的工作模式：路由/NAT、透明、混合第三步：基礎配置，包括接口地址、默認路由、回指路由、對象定義、服務定義第四步：測試整個物理鏈路是分正常，就是內(nèi)網(wǎng)到外網(wǎng)的路由是否正常的第五步：開始配置安全策略，按照方向建一條策略：內(nèi)到外，將地址對象、服務對象和時間對象等等引用在這條策略里面，建議先將策略配置成全通，測試沒有問題以后再細化策略。第六步：默認策略的問題，一般的防火墻默認是全部禁止的，在此基礎上有限的開放部分策略。許多的客戶使用防火墻的時候就只有一條策略：anyanyany這樣其實防火墻是形同虛設的。第七步：防火墻策略配置時是遵循第一匹配原則的，就是在前面的策略先執(zhí)行，范圍大的對象包含范圍小的對象，這一點是最容易犯的錯誤。第八步：防火墻紀錄日志選項要打開，還需要配置一些附加功能，如防攻擊配置、流量管理配置等等。不要忘記將防火墻的配置保存下來。2.1防火墻安全策略在分布式防火墻系統(tǒng)中，一套合理完善的策略管理體系是先進的策略管理思想得以實現(xiàn)的關鍵。圖2列出了我們設計的策略管理系統(tǒng)的結構。圖7策略管理系統(tǒng)結構管理員用戶接口為管理員提供圖形化的策略管理界面，使管理員可以很方便的定義和配置策略，定義好的策略通過策略服務存儲在策略數(shù)據(jù)庫中，也可以通過策略服務瀏覽策略的相關屬性信息，對策略進行管理。管理員還可以通過此用戶接口管理域成員，瀏覽域成員的信息，新增的域成員直接存儲在域成員數(shù)據(jù)庫中。策略服務管理所有對存儲在策略數(shù)據(jù)庫中的策略的訪問。另外，策略服務還要為每一條策略創(chuàng)建一個策略控制對象（PCO）。策略控制對象完成策略分發(fā)和策略生存期管理。它負責維護一張應用此策略的域成員列表，通過檢索策略數(shù)據(jù)庫和域成員數(shù)據(jù)庫把策略實例化，把策略轉(zhuǎn)變成防火墻可以直接實施的規(guī)則，形成規(guī)則文件，然后將其分發(fā)給所有應用此策略的防火墻。策略控制對象還可對防火墻中的策略進行生存期管理，執(zhí)行激活和停止操作，使防火墻中的策略有效和無效。主機防火墻和網(wǎng)絡防火墻就是上述策略管理模型中策略實施點的實現(xiàn)機制，它們負責實施策略管理中心為其配置的策略，對網(wǎng)絡中的主機進行安全防護。2.2.策略管理方案針對由直接為防火墻配置策略所帶來的問題，我們采用這樣的方案：根據(jù)受防護主機的組織結構將其劃分為不同的域，利用域的優(yōu)點來優(yōu)化系統(tǒng)的策略管理；實施層次化的管理使上層域的策略在下層域中得到體現(xiàn)并得到下層域的遵守，從而使策略在作用過程中達到統(tǒng)一性，減少策略沖突的可能。受防護主機基于域的管理根據(jù)現(xiàn)實應用中各部門之間的組織關系將網(wǎng)絡中受防護主機劃分為不同的域。域內(nèi)有兩種類型的成員，一種是非域成員，即主機防火墻或網(wǎng)絡防火墻；另一種就是子域成員，子域是對域內(nèi)成員進行更精細的劃分，體現(xiàn)了域的層次性?；谟虻姆椒ㄓ袃牲c好處：應用于一個域的策略會自動應用到域中的所有對象和子域，因此將應用到大量的對象上，提供可擴展性；當新對象從系統(tǒng)中添加或刪除時，他們能夠簡單的被相關的域添加或刪除，而不需要改變策略或人工管理策略與策略應用對象之間的關聯(lián)。層次化策略管理域的限制條件是策略管理中心在為此域進行策略配置時必須遵守的約束，由策略管理中心負責維護，它在形式上和策略規(guī)則的形式完全相同，它只能應用于本域，約束本級域的策略配置，不能像域的策略一樣應用于它的子域。將受保護主機劃分為不同的域，簡化了策略管理。當策略應用到非域成員一一主機防火墻和網(wǎng)絡防火墻時，策略轉(zhuǎn)變成防火墻具體執(zhí)行的規(guī)則，如果策略中的規(guī)則的主體或客體是域，則必須通過檢索域成員數(shù)據(jù)庫，明確與此防火墻相關的規(guī)則，然后實例化。這樣一條主體或客體是域的策略就可以實例化成一系列防火墻可以執(zhí)行的主機規(guī)則；如果策略中的規(guī)則是主機規(guī)則就直接應用。在應用策略的過程中，防火墻只應用與其相關的規(guī)則，再由主機規(guī)則形成規(guī)則文件。在為域配置策略時，策略管理中心負責檢查此策略是否符合限制條件的約束。檢查策略的每一條規(guī)則的各種屬性值是否在限制條件的各對應屬性值的范圍之內(nèi)，如果全部都在其對應范圍之內(nèi)，該規(guī)則就可獲檢查通過，只有策略的所有規(guī)則都檢查通過了，此策略才能配置給此域。頂層域配置的策略是全局性的策略，是整個企業(yè)網(wǎng)絡范圍內(nèi)必須遵守的基本的策略，反映了企業(yè)網(wǎng)基本的安全需求，它在配置的時候不受限制條件的約束。子域?qū)Ω赣虿呗缘拇朔N應用方式是分布式防火墻策略管理系統(tǒng)中層次化策略管理的核心體現(xiàn)。這樣也使策略管理中心為頂層域到底層域配置的一系列相關的策略從形式上都更加具體。層次化策略管理使策略的統(tǒng)一性得到實現(xiàn)，同時，減少了策略沖突的可能。策略的安全分發(fā)策略控制對象(PCO)可將一條激活的策略經(jīng)由安全信道分發(fā)給應用此策略的所有防火墻。為了使安全策略中心能主動實時控制策略，我們采“推”模式來分發(fā)策略。當策略管理中心改變策略后，它要把策略“推”給網(wǎng)絡防火墻和主機防火墻。主機在登錄網(wǎng)絡啟動防火墻時，便向策略管理中心申請策略，完成認證后，策略管理中心查詢策略數(shù)據(jù)庫，實例化策略，把此防火墻的規(guī)則以文件形式“推”給它。主機端必須驗證規(guī)則文件的完整性。3、防火墻系統(tǒng)軟件的配置3.1服務的配置AlTelnet:外出的Telnet(outingTelnet)可通過包過濾來提供；完全關閉進來的Telnet(incomingTelnet)。B1FTP:我們使用包過濾和代理服務。采用像TISFWTKftp-gw代理服務器,這樣，包過濾方式將允許如下的TCP連接：它們是來自堡壘主機的大于1023的端口，并到達內(nèi)部主機的大于1023的端口；以及來自外部主機的端口20,到達堡壘主機的大于1023的端口。C1SMTP:分三步建立SMTP。發(fā)布DNSMX記錄，將站點的進入郵件引導到堡壘主機。配置內(nèi)部計算機，將外出郵件引導到堡壘主機。配置堡壘主機，將所有進入郵件傳遞到一臺單一的內(nèi)部郵件服務器上，并將外出郵件直接傳遞到目的地的計算機上。D1NNTP:允許NNTP服務提供商能直接與內(nèi)部Usenet新聞主機交談。E1HTTP:我們要通過運行在堡壘主機上的CERN代理服務器，來向內(nèi)部客戶提供HTTP服務。F1DNS:假定堡壘主機上的DNS服務器是我們的域中的備份服務(SecondaryServer),主服務器在一臺內(nèi)部主機上。不隱藏它的任何DNS信息。2包過濾規(guī)則的配置配置包過濾系統(tǒng)應具有下面的能力：能夠分開進來的和外出的包。能夠按照源地址、目的地址、包類型、源端口、目的端口進行過濾。不管是否設定了ACK位，都能進行過濾?？砂凑樟谐龅拇涡騺磉\用規(guī)則。3其他配置A1內(nèi)部機器上配置電子郵件。B1內(nèi)部郵件服務器上按裝來自TISFWTK的smap和smapd程序。C1在內(nèi)部名域服務器上為每一個A記錄放入一條MX記錄。D1在堡壘主機上做所有標準堡壘主機的配置工作。3.2防火墻系統(tǒng)軟件的管理1防止IP地址欺騙和盜用對網(wǎng)絡內(nèi)部人員訪問INTERNET進行一定限制，在連續(xù)內(nèi)部網(wǎng)絡的端口接收數(shù)據(jù)包時進行IP地址和以太網(wǎng)物理地址檢查，盜用IP地址的數(shù)據(jù)包將被丟棄，并記錄有關信息：在連接INTERNET端接收數(shù)據(jù)時，如從外部網(wǎng)絡收到一段假冒內(nèi)部IP地址發(fā)出的報文，也應將其丟棄，并記錄有關信息。2對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的，應立即更改路由器中的存取控制列表，禁止其對外的非法訪問。先在路由器和校園網(wǎng)連接的以太口預設控制組102,然后過濾掉來自非法地址的所有IP包，實現(xiàn)對路由器進行動態(tài)配置。3.3防火墻測試防火墻能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚全采用各種手段對防火墻進行模擬攻擊，以保證測試的全面性與有效性。1防火墻開發(fā)階段的測試同其它軟件產(chǎn)品一樣，防火墻在設計過程中也要進行單元測試、組裝測試、系統(tǒng)測試。由于防火墻是維護系統(tǒng)安全的產(chǎn)品，本身擔負著安全的重任，因此其自身的安全性至關重要。在防火墻運行之前，每個模塊都要進行初始化，即每個模塊都要進行數(shù)字簽名，保證模塊沒被修改過。模塊在調(diào)入內(nèi)存之后模塊還要進行自身完整性測試，保證在裝載過程中沒有被修改。自身完整性檢測主要用于檢驗對象的完整性，即該對象是否被修改過。2防火墻產(chǎn)品階段的測試防火墻產(chǎn)品的測試主要包括以下內(nèi)容：防火墻的功能測試、防火墻的性能測試、防火墻的抗攻擊能力測試、管理測試等。3產(chǎn)品認證階段的測試如果合格的防火墻產(chǎn)品希望進行認證，還要送交國家信息安全測評中心授權的部門進行認證。認證測試主要包括功能測試、性能測試、安全性測試、協(xié)議一致性測試、滲透性測試等，如果測試結果符合有關標準和規(guī)范的要求，則予以認證。其中，安全測試是整個測評認證體系中一切測試活動的核心內(nèi)容。四、結束語防火墻技術目前是使用最為廣泛的網(wǎng)絡安全產(chǎn)品之一，也是信息安全領域最成