【正文】 EQ DNSACCESS LIST 101 PERMIT TCP ANY HOST EGDNSACCESS LIST 101 PERMIT TCP ANY HOST EQ SMTPACCESS LIST 101 PERMIT TCP ANY HOST EQ WWWACCESS LIST 101 PERMIT TCP ANY HOST EQ FTP 　校園網(wǎng)外非法網(wǎng)址的訪問根據(jù)我國有關(guān)法律和規(guī)定 , 利用互連網(wǎng)訪問和傳播有關(guān)黃色或反動信息是非法的。由于這些不健康的站點主要在校園外 , 許多情況下這些站點的域名是已知的,或者是具有較為明顯的特征 , 因此可以通過計費系統(tǒng)獲得最新的 IP訪問信息,利用域名查詢或字符匹配等方法確定來自某個 IP的訪問。例如訪問某黃色或反動站點 , 首先檢查其 IP地址:NSLOOKUP. 站點網(wǎng)址205. 216. 146. 201再對 TCP為 80 , IP 地址為 205. 216. 146. 201 的信息流的控制:ACCESS LIST 101 DENY TCP EG801　服務(wù)的配置A1Telnet: 外出的Telnet(outing Telnet)可通過包過濾來提供。 完全關(guān)閉進來的 Telnet(in ingTelnet)。B1FTP: 我們使用包過濾和代理服務(wù)。采用像T IS FW TK ftp gw 代理服務(wù)器, 這樣, 包過濾方式將允許如下的TCP 連接: 它們是來自堡壘主機的大于 1023 的端口, 并到達內(nèi)部主機的大于 1023 的端口。 以及來自外部主機的端口20, 到達堡壘主機的大于1023 的端口。C1SM TP: 分三步建立SM TP。(1)發(fā)布DNSMX 記錄, 將站點的進入郵件引導(dǎo)到堡壘主機。(2)配置內(nèi)部計算機, 將外出郵件引導(dǎo)到堡壘主機。(3)配置堡壘主機, 將所有進入郵件傳遞到一臺單一的內(nèi)部郵件服務(wù)器上, 并將外出郵件直接傳遞到目的地的計算機上。D1NNTP: 允許NNTP 服務(wù)提供商能直接與內(nèi)部U senet 新聞主機交談。E1HTTP: 我們要通過運行在堡壘主機上的CERN 代理服務(wù)器, 來向內(nèi)部客戶提供HTTP 服務(wù)。F1DNS: 假定堡壘主機上的DNS 服務(wù)器是我們的域中的備份服務(wù)(Secondary Server), 主服務(wù)器在一臺內(nèi)部主機上。不隱藏它的任何DNS 信息。2　包過濾規(guī)則的配置配置包過濾系統(tǒng)應(yīng)具有下面的能力:(1)能夠分開進來的和外出的包。(2)能夠按照源地址、目的地址、包類型、源端口、目的端口進行過濾。(3)不管是否設(shè)定了ACK 位, 都能進行過濾。(4)可按照列出的次序來運用規(guī)則。3其他配置A1 內(nèi)部機器上配置電子郵件。B1 內(nèi)部郵件服務(wù)器上按裝來自T IS FW TK 的 smap 和 smapd 程序。C1 在內(nèi)部名域服務(wù)器上為每一個A 記錄放入一條MX 記錄。D1 在堡壘主機上做所有標準堡壘主機的配置工作。1防止 IP地址欺騙和盜用對網(wǎng)絡(luò)內(nèi)部人員訪問 INTERNET進行一定限制 , 在連續(xù)內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)包時進行 IP地址和以太網(wǎng)物理地址檢查 , 盜用 IP地址的數(shù)據(jù)包將被丟棄 , 并記錄有關(guān)信息: 在連接 INTERNET端接收數(shù)據(jù)時 , 如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部 IP地址發(fā)出的報文 , 也應(yīng)將其丟棄 , 并記錄有關(guān)信息。2對非法訪問的動態(tài)禁止一旦獲得某個 IP地址的訪問是非法的 , 應(yīng)立即更改路由器中的存取控制列表 , 禁止其對外的非法訪問。先在路由器和校園網(wǎng)連接的以太口預(yù)設(shè)控制組 102 , 然后過濾掉來自非法地址的所有 IP包 , 實現(xiàn)對路由器進行動態(tài)配置 。 防火墻測試防火墻能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚至采用各種手段對防火墻進行模擬攻擊，以保證測試的全面性與有效性。1防火墻開發(fā)階段的測試同其它軟件產(chǎn)品一樣，防火墻在設(shè)計過程中也要進行單元測試、組裝測試、系統(tǒng)測試。由于防火墻是維護系統(tǒng)安全的產(chǎn)品，本身擔(dān)負著安全的重任，因此其自身的安全性至關(guān)重要。在防火墻運行之前，每個模塊都要進行初始化，即每個模塊都要進行數(shù)字簽名，保證模塊沒被修改過。模塊在調(diào)入內(nèi)存之后模塊還要進行自身完整性測試，保證在裝載過程中沒有被修改。自身完整性檢測主要用于檢驗對象的完整性，即該對象是否被修改過。2防火墻產(chǎn)品階段的測試防火墻產(chǎn)品的測試主要包括以下內(nèi)容：防火墻的功能測試、防火墻的性能測試、防火墻的抗攻擊能力測試、管理測試等。3產(chǎn)品認證階段的測試如果合格的防火墻產(chǎn)品希望進行認證，還要送交國家信息安全測評中心授權(quán)的部門進行認 證。認證測試主要包括功能測試、性能測試、安全性測試、協(xié)議一致性測試、滲透性測試等，如果測試結(jié)果符合有關(guān)標準和規(guī)范的要求，則予以認證。其中，安全測試是整個測評認證體系中一切測試活動的核心內(nèi)容。 五 防火墻經(jīng)費預(yù)算 實施計劃總的來說，防火墻的價格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功能越多，價格就越貴。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報價則高出5萬元：￥317,500 。如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲備要求較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù)量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高。 總的來說，防火墻的研發(fā)是一個大項目，而且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現(xiàn)，哪些功能不必實現(xiàn)、哪些功能可以在后期實現(xiàn)，一定要清楚，否則費用會遠遠超出預(yù)計。 下邊對一個中小型企業(yè)級防火墻的研發(fā)費用作個簡單的估計。研發(fā)時，防火墻可以細分為（當(dāng)然在具體操作時往往需要再具體劃分）： 內(nèi)核模塊防火墻模塊（含狀態(tài)檢測模塊） NAT模塊 帶寬管理模塊 通信協(xié)議模塊 管理模塊 圖形用戶界面模塊（或者Web界面模塊） 透明代理模塊（實質(zhì)屬于NAT模塊） 透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等） 各應(yīng)用代理模塊（包括URL過濾模塊） VPN模塊 流量統(tǒng)計與計費模塊 審計模塊 其他模塊（如MAC、IP地址綁定模塊、簡單的IDS、自我保護等等） 上邊把防火墻劃分為12個模塊，其中每一個模塊都有相當(dāng)?shù)墓ぷ髁恳?，除了彈性較大的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計目標不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當(dāng)大），兩個主模塊各按20人周計算，防火墻實現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守數(shù)字）集成、測試，前后總共需要約210人周。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運行費用、保險等費用攤分，個人工資應(yīng)遠低于這個數(shù)字），開發(fā)費用約需25萬。顯然，這個數(shù)字只是一個局外人估計的下限,實際的研發(fā)應(yīng)該超出這個數(shù)字很多。第一，根據(jù)防火墻選擇原則，選擇合適的防火墻第二，配置選擇好的防火墻，包括各種服務(wù)配置，軟件配置，通信配置等。第三，設(shè)計防火墻的網(wǎng)絡(luò)管理和安全策略。 六 設(shè)計小結(jié)在一個星期的網(wǎng)絡(luò)操作系統(tǒng)課程設(shè)計過程中，自己借閱了圖書館的相關(guān)資料，查看了網(wǎng)上校園網(wǎng)拓撲結(jié)構(gòu)及校園網(wǎng)防火墻設(shè)計的有關(guān)文章，學(xué)到了很多在書本上沒有的知識，并加深了對防火墻這部分理論知識的理解。在開始做課程設(shè)計時，感覺有點無從下手，雖然在課堂上老師也講解了題目中一些防火墻的知識，但以前只是用防火墻有個很模糊的概念，拿到題目之后，經(jīng)過一兩小時的分析，覺得現(xiàn)在網(wǎng)絡(luò)安全成為人們?nèi)粘＝?jīng)常碰到的問題，自己對防火墻的工作原理技術(shù)及配置也比較感興趣,所以就選擇做校園網(wǎng)防火墻。選好題目之后就在網(wǎng)上找資料并到圖書館借了幾本書，資料搜集了一大堆，就每天坐下來對這些資料進行消化，加工。由于網(wǎng)絡(luò)安全日益受到人們的關(guān)注，網(wǎng)上書上的資料也很豐富，雖然資料收集了很多，但有用的東西卻少之又少?；玖私夥阑饓Φ墓ぷ髟砗托@網(wǎng)的拓撲結(jié)構(gòu)之后，就動手設(shè)計校園網(wǎng)防火墻方案來。在設(shè)計的過程中，也遇到了很多問題，例如：根據(jù)我校的具體情況該如何設(shè)計校園網(wǎng)拓撲結(jié)構(gòu)，該選擇什么樣的防火墻，防火墻的經(jīng)費預(yù)算等。通過向老師請教和與同學(xué)的探討，解決了在防火墻設(shè)計過程出現(xiàn)的問題。通過這次對校園網(wǎng)防火墻的設(shè)計，基本掌握了防火墻的工作原理，技術(shù)，類型，體系結(jié)構(gòu)，配置方法，網(wǎng)絡(luò)管理及安全策略。感謝學(xué)校提供這次課程設(shè)計的機會，讓我所學(xué)到的理論知識得到一定鞏固和提高并加強了自己的動手能力。也感謝老師和同學(xué)的幫助，讓我在以后的學(xué)習(xí)中有更大的信心去面對更多的挑戰(zhàn)，通過這次課設(shè)，覺得自己的動手能力和接受新知識的書速度還有待提高。希望以后能多些動手的機會，使自己的理論和實踐相結(jié)合，從而更好的掌握知識并提高能力。七 參考文獻[1] [M].北京:清華大學(xué)出版社,2000. 128130[2] [J].計算機輔助設(shè)計與圖形學(xué)學(xué)報,2003,15(3):307 312.[3] [J].軟件世界,2001,(1):92293,96. [4] 高峰,[J].計算機應(yīng)用研究,2003,20(1):77281.[5]熊桂喜,:清華大學(xué)出版社,1998. [6]李揚,李援南,閆慧娟,:Cisco :電子工業(yè)出版社,2000.[7]蔣義,2002,(15).[8] 網(wǎng)絡(luò)技術(shù)及應(yīng)用[M]北京:清華大學(xué)出版社,[9]張曄,[J].計算機系統(tǒng)應(yīng)用1999,(9).[10][J]微型機與應(yīng)用,2000,(1).29