北京联合大学是一所以本科教育为主，兼有多学科的市属综合性大学，学校现有13所学院，分设在北京市5个城近郊区。鉴于联大的这种地理分布特点，联大的校园网是基于各学院局域网基础上的广域网，基本相当于覆盖整个北京市的主要城区。联合大学网络结构如图1所示。

　　　　　　　　　　　　　　　图1 北京联合大学校园骨干网拓扑图

　　校园网的建设是北京联合大学发展重要基础设施，是提高教学和科研水平，以及办公效率不可缺少的支撑环境。在联合大学校园骨干网建设的基础上，如何充分发挥校园网的作用是一个急待解决的重要问题。校内有很多机关单位，如教务处、设备处、人事处、学生处、财务处等等，同时，北京联合大学又是以发展高等职业教育为主的综合性大学，职业教育就需要有大量的实验设备，为此，联合大学设立了大量计算机配置的实验室。如何将这些单位和计算机安全地接入到校园网中，是联合大学面临的难点。学校的经费有限也是联合大学所要面对的事实。为此，他们找到了中国软件技术与服务总公司，并采用了中软Linux安全且相对价廉的防火墙技术，连接方法如图2。

　　1. 包过滤技术

　　基于中软Linux的防火墙可配置包过滤功能，提供内部网络的安全性。

　　中软Linux包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上，所有信息都是以包的形式传输的，信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。

　　2. 代理技术

　　中软Linux同时提供基于代理技术的防火墙。代理服务器接收客户请求后会验证其合法性。如其合法，代理服务器像一台客户机一样取回所需的信息再转发给客户，它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全被封锁住。这一点对系统安全是很重要的，只有那些被认为“可信赖的”服务才允许通过防火墙。另外，代理服务还可以过滤协议，如可以过滤FTP连接、拒绝使用FTP put(放置)命令，以保证用户不能将文件写到匿名服务器。

　　　　　　　　　　　　　　　图2 中软Linux防火墙与校园网的连接示意图

　　在此案例中，内部网使用内部地址，可经中软Linux防火墙完成对校园网的地址转换，再加上中软Linux提供的包过滤技术，具有较高的安全性，而且防火墙对用户透明，用户不会感到防火墙的存在，使用方便。

　　3. 状态监视技术

　　这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行监测，并作安全决策的依据。监视模块支持多种网络协议和应用协议，可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息。

　　目前联合大学将此防火墙系统用于实验室系统中，通过该防火墙连接30台PC机，经过数月运行，工作稳定，效果良好，从未发生非法侵权的问题。

　　由于该防火墙系统是基于中软Linux2.0系统的，价格便宜并且性能稳定，运作情况十分稳定。