【正文】 七 參考文獻(xiàn)[1] [M].北京:清華大學(xué)出版社,2000. 128130[2] [J].計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào),2003,15(3):307 312.[3] [J].軟件世界,2001,(1):92293,96. [4] 高峰,[J].計(jì)算機(jī)應(yīng)用研究,2003,20(1):77281.[5]熊桂喜,:清華大學(xué)出版社,1998. [6]李揚(yáng),李援南,閆慧娟,:Cisco :電子工業(yè)出版社,2000.[7]蔣義,2002,(15).[8] 網(wǎng)絡(luò)技術(shù)及應(yīng)用[M]北京:清華大學(xué)出版社,[9]張曄,[J].計(jì)算機(jī)系統(tǒng)應(yīng)用1999,(9).[10][J]微型機(jī)與應(yīng)用,2000,(1).29。也感謝老師和同學(xué)的幫助，讓我在以后的學(xué)習(xí)中有更大的信心去面對(duì)更多的挑戰(zhàn)，通過這次課設(shè)，覺得自己的動(dòng)手能力和接受新知識(shí)的書速度還有待提高。通過這次對(duì)校園網(wǎng)防火墻的設(shè)計(jì)，基本掌握了防火墻的工作原理，技術(shù)，類型，體系結(jié)構(gòu)，配置方法，網(wǎng)絡(luò)管理及安全策略。在設(shè)計(jì)的過程中，也遇到了很多問題，例如：根據(jù)我校的具體情況該如何設(shè)計(jì)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)，該選擇什么樣的防火墻，防火墻的經(jīng)費(fèi)預(yù)算等。由于網(wǎng)絡(luò)安全日益受到人們的關(guān)注，網(wǎng)上書上的資料也很豐富，雖然資料收集了很多，但有用的東西卻少之又少。在開始做課程設(shè)計(jì)時(shí)，感覺有點(diǎn)無從下手，雖然在課堂上老師也講解了題目中一些防火墻的知識(shí)，但以前只是用防火墻有個(gè)很模糊的概念，拿到題目之后，經(jīng)過一兩小時(shí)的分析，覺得現(xiàn)在網(wǎng)絡(luò)安全成為人們?nèi)粘＝?jīng)常碰到的問題，自己對(duì)防火墻的工作原理技術(shù)及配置也比較感興趣,所以就選擇做校園網(wǎng)防火墻。第三，設(shè)計(jì)防火墻的網(wǎng)絡(luò)管理和安全策略。顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限,實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。 下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡(jiǎn)單的估計(jì)。防火墻由于技術(shù)含量較高，人員技術(shù)儲(chǔ)備要求較高，防火墻核心部分的研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國(guó)內(nèi)真正能拿的出手的UNIX程序員數(shù)量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開發(fā)人員），人員成本很高。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬元：￥317,500 。其中，安全測(cè)試是整個(gè)測(cè)評(píng)認(rèn)證體系中一切測(cè)試活動(dòng)的核心內(nèi)容。3產(chǎn)品認(rèn)證階段的測(cè)試如果合格的防火墻產(chǎn)品希望進(jìn)行認(rèn)證，還要送交國(guó)家信息安全測(cè)評(píng)中心授權(quán)的部門進(jìn)行認(rèn) 證。自身完整性檢測(cè)主要用于檢驗(yàn)對(duì)象的完整性，即該對(duì)象是否被修改過。在防火墻運(yùn)行之前，每個(gè)模塊都要進(jìn)行初始化，即每個(gè)模塊都要進(jìn)行數(shù)字簽名，保證模塊沒被修改過。1防火墻開發(fā)階段的測(cè)試同其它軟件產(chǎn)品一樣，防火墻在設(shè)計(jì)過程中也要進(jìn)行單元測(cè)試、組裝測(cè)試、系統(tǒng)測(cè)試。先在路由器和校園網(wǎng)連接的以太口預(yù)設(shè)控制組 102 , 然后過濾掉來自非法地址的所有 IP包 , 實(shí)現(xiàn)對(duì)路由器進(jìn)行動(dòng)態(tài)配置 。1防止 IP地址欺騙和盜用對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問 INTERNET進(jìn)行一定限制 , 在連續(xù)內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)包時(shí)進(jìn)行 IP地址和以太網(wǎng)物理地址檢查 , 盜用 IP地址的數(shù)據(jù)包將被丟棄 , 并記錄有關(guān)信息: 在連接 INTERNET端接收數(shù)據(jù)時(shí) , 如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部 IP地址發(fā)出的報(bào)文 , 也應(yīng)將其丟棄 , 并記錄有關(guān)信息。C1 在內(nèi)部名域服務(wù)器上為每一個(gè)A 記錄放入一條MX 記錄。3其他配置A1 內(nèi)部機(jī)器上配置電子郵件。(3)不管是否設(shè)定了ACK 位, 都能進(jìn)行過濾。2　包過濾規(guī)則的配置配置包過濾系統(tǒng)應(yīng)具有下面的能力:(1)能夠分開進(jìn)來的和外出的包。F1DNS: 假定堡壘主機(jī)上的DNS 服務(wù)器是我們的域中的備份服務(wù)(Secondary Server), 主服務(wù)器在一臺(tái)內(nèi)部主機(jī)上。D1NNTP: 允許NNTP 服務(wù)提供商能直接與內(nèi)部U senet 新聞主機(jī)交談。(2)配置內(nèi)部計(jì)算機(jī), 將外出郵件引導(dǎo)到堡壘主機(jī)。C1SM TP: 分三步建立SM TP。采用像T IS FW TK ftp gw 代理服務(wù)器, 這樣, 包過濾方式將允許如下的TCP 連接: 它們是來自堡壘主機(jī)的大于 1023 的端口, 并到達(dá)內(nèi)部主機(jī)的大于 1023 的端口。 完全關(guān)閉進(jìn)來的 Telnet(in ingTelnet)。由于這些不健康的站點(diǎn)主要在校園外 , 許多情況下這些站點(diǎn)的域名是已知的,或者是具有較為明顯的特征 , 因此可以通過計(jì)費(fèi)系統(tǒng)獲得最新的 IP訪問信息,利用域名查詢或字符匹配等方法確定來自某個(gè) IP的訪問。保證網(wǎng)絡(luò)中心在提供基本服務(wù)的前提下獲得最大的安全性。 CERNET進(jìn)入主干網(wǎng)的存取控制校園網(wǎng)有自己合法的地址應(yīng)禁止非法地址IP , IP用戶從本校路由器訪問 CERNET。校園內(nèi)的 IP地址范圍是確定的,且有明確的閉合邊界 因此較容易實(shí)現(xiàn)對(duì)校園網(wǎng)中系統(tǒng)的存取控制。主機(jī)端必須驗(yàn)證規(guī)則文件的完整性。當(dāng)策略管理中心改變策略后，它要把策略“推”給網(wǎng)絡(luò)防火墻和主機(jī)防火墻。 策略控制對(duì)象（PCO）可將一條激活的策略經(jīng)由安全信道分發(fā)給應(yīng)用此策略的所有防火墻。 層次化策略管理使策略的統(tǒng)一性得到實(shí)現(xiàn)，同時(shí)，減少了策略沖突的可能。 子域?qū)Ω赣虿呗缘拇朔N應(yīng)用方式是分布式防火墻策略管理系統(tǒng)中層次化策略管理的核心體現(xiàn)。 檢查策略的每一條規(guī)則的各種屬性值是否在限制條件的各對(duì)應(yīng)屬性值的范圍之內(nèi)，如果 全部都在其對(duì)應(yīng)范圍之內(nèi)，該規(guī)則就可獲檢查通過，只有策略的所有規(guī)則都檢查通過了，此策略才能配置給此域。 在應(yīng)用策略的過程中，防火墻只應(yīng)用與其相關(guān)的規(guī)則，再由主機(jī)規(guī)則形成規(guī)則文件。當(dāng)策略應(yīng)用到非域成員——主機(jī)防火墻和網(wǎng)絡(luò)防火墻時(shí)，策略轉(zhuǎn)變成防火墻具體執(zhí)行的規(guī)則，如果策略中的規(guī)則的 主體或客體是域，則必須通過檢索域成員數(shù)據(jù)庫，明確與此防火墻相關(guān)的規(guī)則，然后實(shí)例化。 域的限制條件是策略管理中心在為此域進(jìn)行策略配置時(shí)必須遵守的約束，由策略管理中心負(fù)責(zé)維護(hù)，它在形式上和策略規(guī)則的形式完全相同，它只能應(yīng)用于本域，約 束本級(jí)域的策略配置，不能像域的策略一樣應(yīng)用于它的子域。 層次化策略管理 域內(nèi)有兩種類型的成員，一種是非域成員，即主機(jī)防火墻或網(wǎng)絡(luò)防火墻；另一種就是子域成員，子域是對(duì)域內(nèi)成員進(jìn)行更精細(xì)的劃分，體現(xiàn)了域的層次性。 受防護(hù)主機(jī)基于域的管理針對(duì)由直接為防火墻配置策略所帶來的問題，我們采用這樣的方案：根據(jù)受防護(hù)主機(jī)的組織結(jié)構(gòu)將其劃分為不同的域，利用域的優(yōu)點(diǎn)來優(yōu)化系統(tǒng)的策略管理； 實(shí)施層次化的管理使上層域的策略在下層域中得到體現(xiàn)并得到下層域的遵守，從而使策略在作用過程中達(dá)到統(tǒng)一性，減少策略沖突的可能。 策略控制對(duì)象還可對(duì)防火墻中的策略進(jìn)行生存期管理，執(zhí)行激活和停止操作，使防火墻中的策略有效和無效。策略控制對(duì)象完成策略分發(fā)和策略生 存期管理。 策略服務(wù)管理所有對(duì)存儲(chǔ)在策略數(shù)據(jù)庫中的策略的訪問。 管理員用戶接口為管理員提供圖形化的策略管理界面，使管理員可以很方便的定義和配置策略，定義好的策略通過策略服務(wù)存儲(chǔ)在策略數(shù)據(jù)庫中，也可以通過策略服務(wù)瀏覽策略的相關(guān)屬性信息，對(duì)策略進(jìn)行管理。策略管理系統(tǒng)結(jié)構(gòu) 圖2列出了我們?cè)O(shè)計(jì)的策略管理系統(tǒng)的結(jié)構(gòu)。 不要忘記將防火墻的配置保存下來。第七步：防火墻策略配置時(shí)是遵循第一匹配原則的，就是在前面的策略先執(zhí)行，范圍大的對(duì)象包含范圍小的對(duì)象，這一點(diǎn)是最容易犯的錯(cuò)誤。第六步：默認(rèn)策略的問題，一般的防火墻默認(rèn)是全部禁止的，在此基礎(chǔ)上有限的開放部分策略。 圖61．防火墻網(wǎng)絡(luò)管理第一步：和客戶溝通了解客戶的網(wǎng)絡(luò)狀況，包括客戶端數(shù)量、服務(wù)器數(shù)量和種類、網(wǎng)絡(luò)骨干交換設(shè)備、網(wǎng)絡(luò)邊界設(shè)備、網(wǎng)絡(luò)接入情況等等。堡壘主機(jī)通常是防火墻的一個(gè)構(gòu)件。堡壘主機(jī)與分組過濾路由組合成較強(qiáng)功能的防火墻(如圖 6) 。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī) ,能減少在堡壘主機(jī)被侵入的影響。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上 ,周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。所以,在設(shè)計(jì)防火墻時(shí),結(jié)合我院的實(shí)際情況,將邊界防火墻和分布式防火墻結(jié)合起來使用,形成混合式防火墻。在安全性方面,考慮三個(gè)方面:與Internet 連接的安全性、校園網(wǎng)絡(luò)的安全性、安全認(rèn)證。網(wǎng)絡(luò)設(shè)計(jì)必須能夠抵御來自網(wǎng)絡(luò)外部和網(wǎng)絡(luò)內(nèi)部的各種攻擊行為。4．防火墻產(chǎn)品選型對(duì)信息安全產(chǎn)生威脅的原因歸納起來有兩點(diǎn): ①外部原因,如黑客的侵襲。這種方法使原本可直接通信的雙方必須繞經(jīng)防火墻,不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。系統(tǒng)的擴(kuò)展性 其實(shí)分布式防火墻最重要的優(yōu)勢(shì)在于,它能夠保護(hù)物理拓?fù)渖喜粚儆趦?nèi)部網(wǎng)絡(luò)、但位于邏輯上的“內(nèi)部”網(wǎng)絡(luò)的那些主機(jī),這種需求隨著VPN的發(fā)展越來越多。分布式防火墻則從根本上去除了單一的接入點(diǎn),而使此問題迎刃而解。雖然目前也有這方面的研究并提出了一些相應(yīng)的解決方案,如自適應(yīng)防火墻技術(shù),但是從網(wǎng)絡(luò)性能角度來說,自適應(yīng)防火墻只不過是一種在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全之間尋求平衡的方案。分布式防火墻由主機(jī)來實(shí)施策略控制,毫無疑問主機(jī)對(duì)自己的意圖有足夠的了解, 所以分布式防火墻依賴主機(jī)做出合適的決定就能很自然地解決這一問題。在沒有上下文的情況下, 防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的, 因而也就無法實(shí)施過濾。圖5　分布式防火墻的工作原理和結(jié)構(gòu)示意圖另一方面?zhèn)鹘y(tǒng)的邊界防火墻大多缺乏對(duì)主機(jī)意圖的了解, 通常只能根據(jù)數(shù)據(jù)包的外在特性來進(jìn)行過濾控制。對(duì)于傳統(tǒng)的邊界防火墻,所有內(nèi)部主機(jī)在某種意義上是平等的,也就是說如果其中的一臺(tái)被侵入,攻擊者很容易地就能以此為基點(diǎn)發(fā)起對(duì)其它內(nèi)部主機(jī)的攻擊。系統(tǒng)的安全性 由于分布式防