校园网安全与防火墙设计.doc

xxxx 大 学 课程设计 题目：校园网安全与防火墙设计 姓名：坏坏 学号：2007xxx 学院：基础与信息工程学院 专业：计算机科学与技术 班级：2007级计科班 教师：杨xx 2010年6月17日校园网安全与防火墙设计 ( xx大学,2007级计算机科学与技术系，云南xx) 摘要：本文讨论了日益突出的校园网安全问题，介绍了经济实用的基于包过滤和代理的复合型屏蔽子网防火墙系统的设计及其安全规则的实现。还提出了“校园网安全系统”的概念以及需要考虑的一系列问题。 关键词：校园网；防火墙；安全系统 引言 随着校园网的广泛应用，极大的方便了广大师生，大家可以很方便的在网上办公、网上讨论、网上答疑等，可以很好的利用网上的资源。校园网是以教育网为出口，虽然没有直接连到 Internet，但仍然存在很多威胁。比如 IP地址盗用，恶意攻击校园网主页，非法进入管理系统等等。因此，校园网的安全问题已经提到日程上来，采用防火墙技术能有效抵抗黑客及某些非法访问。 1．校园网安全问题校园网的建设近年来随着因特网的迅速扩张而日益普及，从而校园网的安全问题也日益突出。校园网安全问题可以分为网络本身的安全与所传信息的安全两个方面，主要包括： (1)硬件安全问题。硬件包括网络设备及布线，硬件安全主要包括防盗窃、防破坏、防雷击、防静电、防电磁干扰、防窃听等。 (2)防病毒问题。校园网给病毒的传播创造了条件，可能使病毒成为灾难。因此，既要防通过常规途径传播病毒，更要防通过FTP下载文件和电子邮件等传播病毒、特洛伊木马、蠕虫、一些恶意_的JAVA和ActiveX小程序等。 (3)黑客攻击问题。黑客利用网络软件的漏洞和“后门”以及网络安全管理的失误进行攻击：一是破坏信息的有效性和完整性，造成网络工作不正常甚至瘫痪；二是进行截获、窃取、破译，以获取机密信息。 (4)防止黄色、反动信息传播问题。目前因特网上各种信息良莠不齐，其中有些不良信息违反人类的道德标准和有关法律法规，对世界观和人生观正在形成中的学生危害非常大。如果不采取安全措施，会导致这些信息在校园内传播，侵蚀学生的心灵。 (5)内部攻击问题。最危险的攻击往往并非来自于外部黑客，而是来自于内部。例如具有较高权限的账号被非法盗用并在权限内进行信息读取和更改，网络滥用甚至误操作等。校园网是一个比较特殊的网络环境，自律意识不强的学生也是校园网安全问题的重要来源之一。 那么，怎样才能保证校园网的安全呢?首先，建立一个高效安全的防火墙是保证校园网安全的重要和必要的措施。 2．校园网防火墙设计(1)防火墙的安全策略：a、所有从内到外和从外到内的数据包都必须经过防火墙；b、只有被安全策略允许的数据包才能通过防火墙；c、防火墙本身要有预防入侵的功能；d、默认禁止所有服务，除非是必须的服务才被允许。 (2)防火墙的构成： a、由双端口主机组成防火墙，其中一个端口连接因特网，另一个端口连接内部网； b、由被屏蔽主机(Screened—host)组成防火墙，包括一个路由器连接一个堡垒主机，其中过滤路由器连接因特网，堡垒主机连接内部网； C、由被屏蔽子网(Screened—subnet)组成防火墙，它由一个外部路由器连接一个包含堡垒主机的子网，再连接一个内部路由器构成，其中外部路由器连接因特网，内部路由器连接内部网；这三种结构的防火墙中，被屏蔽子网防火墙的安全性最高。(3)校园网防火墙设计要求：a、保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网；b、只向外部用户提供HTTP、SMTP和POP等有限的服务；C、向内部网一般用户提供HTTP、FTP、SMTP、BBS、News及其他Intranet服务，以及内部网的多媒体教学和音像服务；d、向内部记帐用户提供所有Internet服务，但一律通过代理服务器；e、禁止访问黄色、反动网站．f、要求具备防IP地址欺骗和IP地址盗用功能；g、要求具备记帐和审计功能，能有效记录校园网的一切活动。 (4)校园网防火墙的设计。本校园网及防火墙如图1所示。 图1校园网防火墙结构示意图 防火墙采用安全性最好的被屏蔽子网结构，由外部路由器、周边网(又叫参数网或非军事区DMZ)和内部路由器组成，由以下做法来满足设计要求： a、外部路由器起到保护周边网的作用。它把入站的数据包路由到代理服务器(堡垒主机)，由包过滤原则，过滤黄色、反动网站信息； b、内部网采用内部IP地址并以此划分子网。外部路由器禁止源地址为内部地址的入站包，由此防止IP欺骗攻击； C、对外部网用户的服务请求，由代理服务器进行认证后转接到周边网相应的服务器上