争辩与设计电ELECTRONIC子测量技术MEASUREMENTTECHNOLOGY第31卷第4期2021年4月防火墙在校园网络安全中的应用设计杜秀娟金志刚黄科军(1.天津大学计算机学院天津300720;2.青海师范大学网络信息中心西宁810008)摘要:随着校园网的不断进展和应用,网络安全性对校园网运行的影响日益增加。本文基于CiscoFWSM模块,分析了防火墙强大的NAT功能,针对校园网络特点,提出了使用多安全级别的设计方案和配置策略,并结合静态及动态等同NAT和NAT排解等旁路NAT技术、实现了对不同子网进展区分保护的设计目标,在此根底上,进一步提出访用TCP干预实现传输层半连接数的限制,有效地防止了拒绝效劳攻击,并结合逆向地址检查和内容过滤等其他阻挡网络攻击技术,在很大程度上保障了校园网的安全。关键词防火墙;NATControl;旁路NAT;逆向路径检查TP393.04文献标识码ADuXiujuan1,2激nZhigang1HuangKejun2(1.CollegeofComputerScience,Tian激nUniversity,Tian激n300720;2workInfoCenter,QinghaiNormalUniversity,Xining810008)Withthedevelopmentandapplicationofcampusnetworks,thesecurityhasmuchgreatereffectontheoperationofnetworks.BasedonCiscoFWSMmodule,thepaperanalyzesthepowerfulNATcharacteristicsofFWSMandprovidesthemultleveldesignandconfigurationpolicyaimingatthecampusnetworks.ItrealizesthetargetofprotectingdistinguishinglydifferentsubnetworkscombinedwithbypassNATofstatic,dynamicidentifyNATandNATexempt.Furthermore,thepaperprovidesTCPinterferencetolimittheembryoconnectionnumberandavoidtheDos,andcombineswithothertechnologyofpreventingnetworkattackssuchasUPFandapplicationcontextfilteretctosafeguardthesecurityofcampusnetworks.firewall;NATcontrol;bypassNAT;UPF引言随着计算机网络的不断进展,校园网规模日益壮大。而普遍存在的计算机系统的漏洞、计算机蠕虫病毒的泛滥、外来的系统入侵以及攻击等恶意破坏行为严峻影响了校园网的正常应用,校园网络安全问题急需解决,而承受防火墙技术能够有效抵抗黑客及某些非法访问,保护内部网络的安全。简洁的说,防火墙具有以下功能:(1)保护内部网络不会被外部网络中非授权用户的访问、阻挡内部网络之间的非授权访问。(2)应用过滤效劳:可过滤掉对内部主机有潜在危急和攻击行为的ActiveX、javaapplet等不安康、担忧全的url地址。(3)保护内部主机不会受到某些网络攻击:限制连接数量、超时时间、拒绝不想要的连接、限制分片的大小,防止IP欺诈。(4)实施应用层的保护审查。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---(5)在接口上应用各种效劳策略,例如限制外网到某些内部效劳器的连接数目等保护策略。防火墙工作模式选取及接口安全级别的设置工作模式的选取Firewallservicesmodule(简称FWSM)是CiscoCatalyst6500交换机和Cisco7600系列路由器上高速的、集成化的防火墙效劳模块。图1为使用CiscoFWSM防火墙模块的校园网示意图。通过VLAN设置6509的MSFC置于FWSM的outside口。防火墙有2种工作模式:路由模式和透亮模式。虽然透明模式对于外界是不行见的,好似较路由模式安全一些,但一个中等规模的校园网包含成千上万个信息点,少那么也有几十个VLAN,而单个CONTEXT透亮模式防火墙最多支持8个桥接组,而每个桥接组只能透传一个VLAN,这显然是不行取的,且工作在透亮模式的防火墙不支持NAT、动态路由协议、组播协议及远程访问VPN等一些功能[1]。25---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---电子测量技术图1校园网示意图鉴于此,对于中、大型规模的校园网,通过以下命令设计防火墙工作在路由模式(防火墙缺省工作在路由模式):hostname(config)nofirewalltransparent设计接口安全级别FWSM防火墙可为每一个VLAN接口设置范围为0~100安全级别,从而供给不同的安全保护。其中0的安全级别最低,100最高。连接外部网络的outside口的安全级别应设置为0。此外,校园网通常为外界和内网供给WWW、FTP、MAIL及DNS等效劳,要求用户能够随时访问到这些效劳器,因此效劳器VLAN接口的安全级别应设置...