這裏,假定校園網通過Cisco路由器與intemet相連。校園內的IP地址範圍是確定的,且有明確的閉和邊界。它有一個c類的IP地址,有DNS,Email,wWW,FTP等服務器,可採用以下存取控制策略。
(1)對進入校園主幹網的存取控制
校園網有自己IP地址,應禁止IP地址從本校路由器訪問CERNET。可用下述命令設置與校園網連接的路由器:
InterfaCe EO
Decription campusNet
Ipadd 192.168.1.9
access. .1ist group 20 out
!
access—
list 20 permit ip 192.168.1.0 0.0.225
(2)對網絡中心資源主機的訪問控制
網絡中心的DNS,Email,FTP,www等服務器是重要的資源,要特別的保護,可對網絡中心所在子網禁止DNS,Email,WWW,FTP以外的一切服務。
. (3)防止IP地址欺騙和盜用
對校園網內人員訪問Intemet進行一定限制,在連接內部網絡的端口接收數據時進行IP地址和以太網地址檢查,盜用IP地址的數據包將被丟棄,並記錄有關信息;在連接Intemet接收數據時,如從
外部網絡收到一段假冒內部IP地址發出的報文,也應丟棄,並記錄有關信息。防止IP地址被盜用的徹底解決辦法是,網絡上全部採用交換式集線器提供用戶接入,設定每個端口的以太網地址和IP地址,但由於各種原因這種方法目前不可行。建議用下述方法解決:
a)代理服務器防火牆
用戶的對外通信通過代理服務器進行和IP地址沒很大關係,因此可以在一定程度上減少IP地址盜用給用戶帶來的損失。但它要求採用代理服務器方式的防火牆,因而限制了它的推廣。
b)捆綁IP地址和以太網地址
首先登記每個合法IP地址和對應的以太網地址,形成一個對應表。運行時通過定期掃描校園網內各個路由器中的ARP表,獲得當前IP和MAC的對應關係,和事先合法的IP和MAC地址進行比較,如不一致,則爲非法訪問。這種方法的出發點是每個網卡的以太網地址是固定不變而且是唯一的。但事實上用戶可以讓網卡使用任意的以太網地址。因此,這種方法的效果不是很好。可對其進行改進,由用戶自己動態地控制IP地址的訪問權限,當用戶不需要對外通信時,可以關掉自己的IP
地址對外的權限,這時即使有人盜用IP地址也不會對用戶造成直接的損失。
(4)對非法訪問的動態禁止
一旦獲知某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問,首先應在路由器和校園網的以太口預設控制組102,然後過濾掉來自非法地址的所有IP
包,插入以下命令:
access. .1ist 1.2 deny 0.0.0.0 255.255.255.255
A.B.C.D O.O.O.O
該命令的插入實際上是對路由器進行動態配置。可以通過Telnet Socket。編制針對Cisco的tel—net仿真程序,仿真所有的人工命令過程,從而實現對Cisco的動態配置。由於存取控制表不能隨意
插入控制項,因此仿真程序需要維持一個完整的和Cisco內控制表項一致的配置文件,即先將更改的控制項插入到配置文件中,然後將配置文件作爲一個整體,傳人路由器中,從而保證存取控制的完
整性。
(5)採用透明通道式防火牆
傳統防火牆的IP地址會給***提供***的線索,而透明通道式防火牆上的網絡接口沒有IP地址,可視爲一透明設備。外部人員無法知道防火牆的存在,而內部人員也無法訪問防火牆,從而增強
了網絡的安全性。此外,透明通道式防火牆在防止IP欺騙和盜用上也很靈活。它根據MAC地址選擇路由(類似透明網橋功能),可靜態設置MAC地址和IP地址對應的網絡端口。根據配置,它維持一張IP地址,MAC地址和網絡端口的對應表,該表可動態生成或由系統管理員手工配置。考慮到MAC地址的數值比較分散,接口表採用hash表將MAC排序,保證查詢時有較高的效率,不會因接口表查詢成爲網絡的瓶頸。
4 結束語
防火牆是一種綜合性的技術,涉及到計算機網絡技術、密碼技術、安全技術、軟件技術、安全協議、網絡標準化組織(ISO)的安全規範以及安全操作系統等多方面。校園網利用防火牆技術可以有效抵抗***及某些非法訪問。但是,目前防火牆在設計上仍然有一定的困難和缺陷,所以防火牆並不能保證萬無一失。需要不斷根據實際情況,改進控制的策略和規則,使之更加有效的抵禦來自網絡的***。另外,防火牆是在內部網安全的前提下進行設計的,所以要防止內部網的病毒及內部人員的惡意破壞