校园网防火墙的开发应用

【作者】 张吉赞；

【导师】 王恩波；

【作者基本信息】 北方工业大学 ， 计算机应用， 2003， 硕士

【摘要】 本次校园网防火墙的设计是通过对现有防火墙技术进行综合分析后提出的。在充分利用现有防火墙技术优点的基础上，实现对防火墙技术的改进和完善。 首先从TCP／IP协议的角度分析了加强网络安全的必要性，包括传输的数据和各类应用服务的安全性；其次从网络安全的角度分析了各类网络攻击的原理和攻击者常用的手段；再次，具体地介绍了防火墙设计的一般规则和具体过程以及Red hat Linux下ipchains防火墙工具的工作原理和使用方法；最后，在前面理论分析的基础上并从校园网本身的特点出发，提出了校园网防火墙设计的策略和采取的设计开发方法：在借鉴前人成果的基础上，完善并实现防火墙的功能。 本次校园网防火墙的设计主要包括两个方面：一方面是校园网防火墙系统的体系设计，主要采用了堡垒主机的防火墙技术，实现对子网的完全屏蔽，在这方面，是在借鉴前人的基础上完成防火墙总体体系的设计；另一方面是校园网防火墙的功能设计，在这方面主要是在完善和改良以往防火墙的功能，提出了日志分析和数据包首部字段组合处理，在对数据包处理方面采用不同的处理方法：日志、阻拦、重定向。 校园网防火墙实现了如下几个方面的功能： (1)、对子网的屏蔽 本次设计采用堡垒主机的技术，利用三个网络接口分别是：外部网络接口、公共服务接口、内部网络接口。这样三者中任何两者之间的通信都可以被控制，从而实现对子网的安全保护。 (2)、对同一用户在一定时间内访问次数的控制 本次设计在防火墙系统上，对用户的访问次数进行了限制，有效地控制了用户可能发动的拒绝服务之类的攻击，此功能是通过限制同一IP源地址在一定时间内访问同一服务端口的次数来实现的。 (3)、对数据包首部的组合分析 在本次设计中，增加了对数据包首部字段数的处理，将数据包首部中能确定攻击的字段组合起来加以考虑。通过对常用攻击工具的分析将它们的首部字段值记录下来形成规则，每通过一个数据包就和记录下来的规则比较，看是否为可疑的或危险数据，再进一步进行处理。 (4)、对防火墙日志的分析处理 本次设计通过对信息分析技术的分析研究，采用了人工神经网络(BP算法)的技术，此种技术智能性好，通过对历史数据进行学习后，就可以判断每一条日志记录，是否已经出现过，与先前的日志信息是否是同一类信息，能及时有效的发现日志中的攻击信息或可疑信息。 本次校园网防火墙的设计，在借鉴前人的基础上，利用它们的优点，并扩展、完善它们的功能。在设计过程中，充分考虑了防火墙系统的灵活性和可扩展性。本次设计的防火墙系统在北方工业大学校园网上测试成功。更多还原

【Abstract】 The design of firewall of campus network is a kind of special design of firewall. In the course of designing, it needs the support of the general firewall theory on one hand, On the other hand, has special designing requirement.At first ,in theory, have analysed the necessity of strengthenning the safety of network in terms of TCP/IP, including data wrap up and all kinds of security of application service ; Secondly have analysed the principles and the commonly methods of network attack; Moreover, have concretely introduced the general rule and concrete course of design of firewall and the principles and methods of IPCHAINS, a kind firewall tool under the Linux; Finally, put forward the intercepting strategy of campus network firewall and the design development approach adopted in this design.The design of campus network firewall includes two respects mainly: On one hand is the system design of campus network firewall, mainly adopting the technology of Bashion Host; Another, the design of function of campus network firewall, mainly perfect and improve the function of firewall in the past, in this respect, put forward log analysis with artificial neural network and packet head association deal with.Campus network fire wall realized the following several functions :(1)The group analyse of packet head the whole analysis of packet head can find net attack correctly;(2)AnaIyzing and processing to log of firewall Adopt artificial neural network that can effectively find information of log;(3)The control of the same user’s access at a fixed period of time Block the attacks of denial of service, effectively.At the designing and realizing of campus network firewall, fully considers the flexibility and the extension of system.更多还原