【正文】 墻―――――路由器（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級(jí)網(wǎng)絡(luò)的實(shí)現(xiàn)方式）內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時(shí) 由于事實(shí)上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個(gè)ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。目前透明模式的實(shí)現(xiàn)上可采用ARP代理和路由技術(shù)實(shí)現(xiàn)。透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無需做任何改動(dòng)，這就方便了很多客戶，再者，從透明 模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺(tái)路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置 （IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。4．透明性防火墻的透明性指防火墻對(duì)于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。以前的防火墻在訪問方式上主要是要求用戶登錄進(jìn)系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應(yīng)用）。目前對(duì)于這種探測(cè)（攻擊）手段，尚無有效的預(yù)防措施，因?yàn)榉阑饓Ρ旧硎且粋€(gè)被動(dòng)的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來對(duì) 抗這些攻擊。一種是分析防火墻 功能和探測(cè)防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險(xiǎn)仍然存在，其解決辦法一個(gè)是內(nèi)網(wǎng)主機(jī)本身采取措施防止郵件詐騙，另一個(gè)是在防火墻上做過濾。e．郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。嗅探指監(jiān)測(cè)網(wǎng)絡(luò)截獲管理主機(jī)給防火墻的口令字，如果口令字已加密，則解密得到口令字。（在管理主機(jī)與防火墻通過單獨(dú)接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測(cè)防火墻管理的口令字，這個(gè)很容易解決，只要不把管理部分提供給外部接口即可。內(nèi)網(wǎng)主機(jī)的在預(yù)防木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能 在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。一個(gè)需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機(jī) 也能防止木馬攻擊。IP假冒主要來自外部，對(duì)內(nèi)網(wǎng)無需考慮此問題（其實(shí)同時(shí)內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。實(shí)際實(shí)現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。b．IP假冒（IP spoofing）IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。在Linux內(nèi)核中有一個(gè)防止Syn flooding攻擊的選項(xiàng)：CONFIG_SYN_COOKIES，它是通過為每一個(gè)Syn建立一個(gè)緩沖（cookie）來分辨可信請(qǐng)求和不可信請(qǐng)求。B．對(duì)來自外部（和內(nèi)部）攻擊的反應(yīng)能力目前常見的來自外部的攻擊方式主要有：a．DOS（DDOS）攻擊（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。然而這樣做，我們需要單獨(dú)設(shè)置一臺(tái)管理主機(jī)，顯然太過浪費(fèi)，而且這樣管理起來的靈活性也不好。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。目前有兩種方案。3．自我保護(hù)能力（安全性）由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計(jì)過程中應(yīng)該放在首要的位置。這一點(diǎn)是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對(duì)國內(nèi)廠家來說似乎不太現(xiàn)實(shí)。而且netfilter是一個(gè)設(shè)計(jì)很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)， 如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實(shí)現(xiàn)的）。對(duì)于防火墻部分。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險(xiǎn)的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功能；檢查每個(gè)分組的接口；采用隨機(jī)連接序號(hào)；駐留分組過濾模塊；取消動(dòng)態(tài)路由功能；采用多個(gè)安全內(nèi)核（這個(gè)只見有人提出，但未見到實(shí)例，對(duì)此不是很清楚）。在此我們僅針對(duì)以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。而且我們?cè)诜治龈鲝S家產(chǎn)品時(shí)可以注意這一點(diǎn)，如果哪個(gè)廠家對(duì)系統(tǒng)本身做了什么大的改動(dòng)，它肯定會(huì)把這個(gè)視為一個(gè)重要的賣點(diǎn)，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個(gè)類似于checkpoint的功能：開放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。事實(shí)上，Linux只是一個(gè)通用操作系統(tǒng)，它并沒有針對(duì)防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認(rèn)為，在這一點(diǎn)上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外?，F(xiàn)在國內(nèi)防火墻的一個(gè)典型結(jié)構(gòu)就是：工業(yè)主板+x86+128 （256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個(gè)日志服務(wù)器）+百兆網(wǎng)卡這樣一個(gè)工業(yè)PC結(jié)構(gòu)。硬件防火墻需要在硬 件和軟件兩方面同時(shí)下功夫，國外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)行平臺(tái)本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火 墻的主要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。目前國內(nèi)絕大多數(shù)防火墻都屬于這種類型。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專門的ASIC集成電路。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個(gè)人”防火墻，而且功能及其有限，故不在此討論范圍。防火墻從實(shí)現(xiàn)上可以分為軟件防火墻和硬件防火墻?？傮w來說，流量控制和管理和日志系統(tǒng)的整體解決方案對(duì)于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。216。216。該功能能滿足不同消費(fèi)層次的用戶對(duì)帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶的滿意度。NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi)，銳捷的流量管理方案有三大功能：216。 第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動(dòng)的局面，顯然不能從根本上解決這個(gè)問題。216。：傳統(tǒng)的流量管理方案?jìng)鹘y(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達(dá)到控制流量的目的，這有三大弊端，216。RGNOS操作系統(tǒng)的批量升級(jí)校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。對(duì)于網(wǎng)絡(luò)中的異常故障，比如某臺(tái)交換機(jī)的CPU利用率過高，某條鏈路上的流量負(fù)載過大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。如果安全事故發(fā)生，可以通過查詢?cè)撊罩?，來唯一的確定該用戶的身份，便于了事情的處理。 對(duì)DOS攻擊，掃描攻擊的屏蔽 通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個(gè)命令就可以實(shí)現(xiàn)）。未知網(wǎng)絡(luò)病毒的防范對(duì)于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。 只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。 當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)確定位到該用戶，便于事情的處理。事前的身份認(rèn)證對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過以上信息的綁定，可以達(dá)到如下的效果：216。對(duì)著每一個(gè)階段，都應(yīng)該有嚴(yán)格的安全控制措施。全局安全的設(shè)計(jì)思想銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。 各種網(wǎng)絡(luò)攻擊的有效屏蔽 校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，降低了校園網(wǎng)的效率。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長期發(fā)展是及其不利的。 用戶上網(wǎng)時(shí)間的控制 無法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng)，會(huì)曠課。 校園網(wǎng)正常運(yùn)行的需求：如果說不能準(zhǔn)確的定位到用戶，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴(yán)重的是，如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的言論，這時(shí)候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候，我們無法處理，學(xué)校或者說網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。 國家的要求：2002年，朱镕基簽署了282號(hào)令，要求各大INTERNET運(yùn)營機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。如果用戶有意無意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。 病毒對(duì)校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。 身份認(rèn)證 216。 用戶網(wǎng)絡(luò)權(quán)限的控制 216。 安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響216。 防止 IP、MAC 地址的盜用 IP、MAC 地址的盜用 216。 整合型好當(dāng)前采用企業(yè)級(jí)的域控制管理模式，方便對(duì)所有學(xué)校內(nèi)所有終端用戶的管理，同時(shí)又可以將學(xué)校里計(jì)算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！第3章 需求分析216。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國家造成巨大損失。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊； u 可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。 u 可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。 u 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。同時(shí)考慮整個(gè)平臺(tái)的統(tǒng)一管理，監(jiān)控，降低管理成本 安全性與可維護(hù)性隨著應(yīng)用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長，并且將涉及到各類的關(guān)鍵性應(yīng)用，系統(tǒng)的穩(wěn)定性和安全性要求都相對(duì)較高，任意時(shí)刻系統(tǒng)的安全隱患都可能給用戶帶來不可估量的損失。 擴(kuò)展性與兼容性系統(tǒng)設(shè)計(jì)除了可以適應(yīng)目前的應(yīng)用需要以外，應(yīng)充分考慮日后的應(yīng)用發(fā)展需要，隨著數(shù)據(jù)量的擴(kuò)大，用戶數(shù)的增加以及應(yīng)用范圍的拓展，只要相應(yīng)的調(diào)整硬件設(shè)備即可滿足需求。第2章 設(shè)計(jì)原則 實(shí)用性與經(jīng)濟(jì)性實(shí)用性就是能夠最大限度地滿足實(shí)際工作的要求，是每個(gè)系統(tǒng)平臺(tái)在搭建過程中必須考慮的一種系統(tǒng)性能，它是對(duì)用戶最基本的承諾。網(wǎng)絡(luò)中相同安全級(jí)別的保密強(qiáng)度要一致。 綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，因此建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。所以校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，一旦被遭受黑客攻擊病毒的侵襲，將會(huì)給該學(xué)校正常的教學(xué)及業(yè)務(wù)帶來嚴(yán)重的影響。校園網(wǎng)內(nèi)部網(wǎng)運(yùn)行著辦公業(yè)務(wù)系統(tǒng)、多媒體教學(xué)等等多種業(yè)務(wù)系統(tǒng)。同時(shí)三層核心交換機(jī)提供連接到教育網(wǎng)的WAN（10/100M）鏈路，作為校園網(wǎng)的外網(wǎng)出口。 校園網(wǎng)的內(nèi)部網(wǎng)一般由辦公網(wǎng)、機(jī)房、教室等多個(gè)網(wǎng)絡(luò)組成。 3 2：校園網(wǎng)網(wǎng)絡(luò)安全需求 3第2章 設(shè)計(jì)原則 4 實(shí)用性與經(jīng)濟(jì)性 4 擴(kuò)展性與兼容性 4 安全性與可維護(hù)性 5 整合型好 6