教研论文

校园网上软件防火墙与IP伪装技术

福建师大附中　周成

【关键字】校园网，Linux防火墙，IP伪装

【论文摘要】
　　在当前，Internet在企业、学校中的使用越来越普遍，而安全问题也越来越得到重视，如何能让内部的用户使用INTERNET而又能保护内部服务器以及外部发布公共信息服务器的安全，这种需求使得防火墙在企业中得到广泛的使用。但是，这种类型的防火墙是需要大量的经费的，如CISCO的PIX， CHECK POINT的FIRWALL-I等。利用一个稳定内核的LINUX，同样也能做到一个功能齐备的防火墙，而它的费用只是其他同类防火墙的几十分之一。同时我们还可以使�"IP伪装"技术，所有计算机使用同一个IP真实的地址，这对于缓解IP地址的紧缺问题，又起到了很大的作用。

【正文】
一、防火墙及其作用
　　防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。防火墙是一个系统，主要用来执行两个网络之间的访问控制策略。它可为各类企业网络提供必要的访问控制，但又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业的关键资源。
　　在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常一个公司在购买网络安全设备时，总是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的网络安全产品之一。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢？
防火墙并不是真正的墙，它是一类防范措施的总称，是一种有效的网络安全模型，是机构总体安全策略的一部分。它阻挡的是对内、对外的非法访问和不安全数据的传递。在因特网上，通过它隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网）的连接，能够增强内部网络的安全性。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
　　防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。企业在把公司的局域网联入Internet时，肯定不希望让全世界的人随意翻阅公司内部的工资单、个人资料或客户数据库。即使在公司内部，同样也存在这种数据非法存取的可能性。例如一些对公司不满的员工可能会修改工资表和财务报告。而在设置了防火墙以后，就可以对网络数据的流动实现有效的管理：允许公司内部员工使用电子邮件、进行Web浏览以及文件传输等服务，但不允许外界随意访问公司内部的计算机，同样还可以限制公司中不同部门之间互相访问。将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。
　　防火墙负责管理风险区域和内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给风险区域上的其它主机，极易受到攻击。也就是说，内部网络的安全性要由每一个主机来决定，并且整个内部网络的安全性等于其中防护能力最弱的系统。由此可见，对于联接到因特网的内部网络，一定要选用适当的防火墙。
　　通常应用防火墙的目的有以下几方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近你的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。
二．本校园网的基本情况
　　我校于1999年下半年，着手建设校园网。学校的各多媒体教室、计算机机房、教师电子备课室、图书馆等各部门都配备了电脑，共计100台左右，形成校园网，并通过一路64K的DDN专线联入Internet。
　　由于建设的初期，资金紧缺，在校园网的网络中心，只配置了一个Cisco　2500　series路由器和一个3COM Switch1100交换机，各部门再通过集线器共享100M。这就使得校园网中的机器都暴露在Internet网上，存在不少的安全隐患，经常受到来自Internet上的一些恶意攻击。同时，学校一些内部资源也无法得到保护。另外，随着联入校园网的机器增加，出现严重的IP不足问题。鉴于以上几个方面的问题，在校园网中的设置防火墙、使用IP伪装技术解决校园网中的安全与IP不足问题，是一项刻不容缓的工作。

三．几个基本概念
　　在开始创建防火墙之前，我们有几个概念需要明白。
　　1．防火墙(Firewall)，它是利用网络层的ip包过滤程序以及一些规则来保护内部网的一种策略，有硬件实现，以及软件的实现。
　　2．停火区（非军事化区）,也称为DMZ，是一个公布信息的区域，外部INTERNET以及内部INTRANET可以自由的访问该区。
　　3．内部网(Intranet,or Private Network)，是企业或学校内部使用的网络，重要的不对外公开的服务器可能都在其中。
　　4．外部网，可以说是INTERNET，是一个不安全的网络，存在大量有用的信息以及一些可能有恶意攻击内部网的信息。
　　5．地址转换，内部网的任何机器通过防火墙时，源地址均被设置成防火墙的外部地址。即在外部看来，内部的机器均是一个地址。
　　下面是一个图例：

　　

注：以上IP的设置不是真实的，这需要结合您本地的需要来重新设置。
　　外部网侧的网卡是192.168.2.1
　　内部网侧的网卡是192.168.0.1
　　DMZ侧的网卡是:192.168.1.1
　　假定停火区中有一台机器(192.168.1.8)提供 80端口的WWW服务。
　　并假定内部网到外部需要进行NAT（地址转换的功能）

四．使用RedHat Linux配置防火墙系统
　　1．防火墙要实现的目标如下：
　　l 内部无限制的访问INTERNET以及DMZ（停火区）。
　　l 外部可以访问DMZ的机器的公开的端口。在本例中是80
　　l 外部不能访问到内部以及防火墙。
　　l DMZ不可以访问内部。

　　通过这个目标，您就可以实现了一个防火墙的需求：
　　l 保护内部网络。
　　l 保护DMZ中的某些存在BUG的端口。只公布它需要提供的端口。

　　2．构建步骤
　　①硬件：需要配好有3张网卡的机器。RAM越大越好。CPU越快越好。
　　②软件：RedHat Linux 5.2。
　　③内核：要打开ip-firewall，ip-masqurade(如果您想实现地址转换功能的话),具体可以看Firewall-HOWTO。
　　④配置网卡，网上有很多配置的方法。
　　一般是先配好一张网卡，如果剩下的两张是跟原来是不同型号的，需要配置一下/etc/conf.modules.加上网卡的类型模块。如果是同类型的网卡，就在lilo.conf中加入append="ether=irq,iobase,eth0 ether=irq,iobase,eth1,ether=irq,iobase,eth2。
　　⑤配置网卡的路由。
　　⑥配置规则。也就是ipfwadm的规则。Ipfwadm详细使用可以通过man ipfwadm or man ipfw查看。
#-----------------
ipfwadm -I -p deny
ipfwadm -O -p deny
ipfwadm -F -p deny
#------------------------------
# deny ip spoof.
ipfwadm -I -a deny -V 192.168.2.1 -S 192.168.0.0/24
ipfwadm -O -a deny -V 192.168.2.1 -D 192.168.0.0/24
# deny outside access intranet
ipfwadm -I -a deny -V 192.168.2.1 -D 192.168.0.0/24
ipfwadm -O -a deny -V 192.168.2.1 -S 192.168.0.0/24 -k
# allow firewall access outside
ipfwadm -I -a accept -V 192.168.2.1 -D 192.168.2.1 -k
ipfwadm -O -a accept -V 192.168.2.1 -S 192.168.2.1
# deny outside access firewall
ipfwadm -I -a deny -V 192.168.2.1 -D 192.168.1.1
ipfwadm -I -a deny -V 192.168.2.1 -D 192.168.2.1
# allow inside access outside.
ipfwadm -O -a accept -V 192.168.0.1 -D 192.168.0.0/24 -k
ipfwadm -I -a accept -V 192.168.0.1 -S 192.168.0.0/24
# allow outside access DMZ.
ipfwadm -O -a accept -P tcp -V 192.168.1.1 -D 192.168.1.8 80
ipfwadm -I -a accept -P tcp -V 192.168.1.1 -S 192.168.1.8 80 -k
# IP FORWARD
ipfwadm -F -a m -S 192.168.0.0/24
ipfwadm -F -a accept -S 192.168.1.0/24
ipfwadm -F -a accept -D 192.168.1.0/24

3．测试
　　现在，您可以通过测试来查看规则设置得是否正确。
　　u 从内部网访问外部INTERNET,以及DMZ。
　　u 从外部访问DMZ，看是否可以访问到80端口，以及是否可以访问其他端口。
　　u 从外部访问内部。看是否可以访问到。

4．结论
　　这是一种简单的防火墙的配置方法。还可以进行更复杂的配置限制内部用户对外部IP的访问等。
五．具体应用
　　本次研究在我校的计算机机房中进行，扩展到校园网原理是一样的。在计算机机房中有60台多媒体IBM PRO200学生机和一台K7 600教师机，另外用一台PII266电脑，将用于设置防火墙。由于不需要构建DMZ区，因此只需两张网卡。硬件配置如下：

PII 266/128M/6.4G
网卡：Intel 100M ，RTL 8139 100M
(一)网络构架：
　　1．内部网络
　　共有60台学生机，按机器编号为其分配从192.168.1.1到192.168.1.60的60个内部IP地址。为教师机分配一个IP地址。所有内部计算机的网关均指向192.168.1.254。
　　
　　2．外部网络
　　所有教师机和学生机均通过防火墙出去，因此共同占用一个IP地址210.34.33.60。

(二)使用效果
　　由于防火墙是透明的，因此学生机和教师机均不必安装任何附加软件，也无需进行专门的设置，与直接连上网络感觉没有任何区别。上网速度仅取决于整个网络的出口速度。
　　另外，由于我校有另外一条线路（光缆）与福建师大校园网相连，并联入中国教育科研网。目前，由于从163网上访问教育网速度比较慢，但教育网内访问速度还是比较快的。为了我校广大师生能快速地访问教育网上丰富的资源，只要在服务器上增加一块网卡，绑定一个教育网的IP即可。

六．结束语
　　多台计算机共用一个IP地址上网的方法有多种，例如可以安装WinGate、SyGate等代理软件，然而这些软件总是存在种种的缺陷。
　　使用Linux构建防火墙实际上是一种代理主机结构防火墙，与其它技术相比，其优势在于：价格便宜--免费的操作系统软件；技术成熟--从Linux很早期的版本开始就支持了；配置灵活--可以任意指定可以允许连入的网络功能和特定的学生机；使用方便--学生机无需作任何设置；速度极快--基本上与直接连入网络相同。而且还可以保护防火墙内部的计算机免受来自Internet的攻击。
因此使用Linux搭建有IP伪装功能的防火墙对学校的计算机房建设有着积极的作用。

【参考文献】
　　1．林晓东，杨义先网络防火墙技术.电信科学，1997
　　2．Karanjit S,Chris H.Internet Firewalls and Network Security.USA:New Riders publishing,1995