基于校园网的防火墙技术应用研究

来源 :电脑知识与技术 | 被引量 : 0次 | 上传用户:zxzwo
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  基于校园网的防火墙技术应用研究
  王晓雨1,2
  (1.武汉理工大学 计算机学院,湖北 武汉 430063;2.荆楚理工学院 计算机工程学院,湖北 荆门 448000)
  摘要:防火墙技术是网络安全领域的一项重要技术,该文针对当前校园网应用中所遇到的问题,提出了几种解决的方法,并重点阐述了防火墙技术及其在校园网络安全中的应用。
  关键词:校园网;网络安全;防火墙
  中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)34-9659-02
  Based on Campus Net to Application and Research of Firewall Technology
  WANG Xiao-yu1,2
  (1.Computer School, Wuhan University of Technology, Wuhan 430063, China; 2.Computer Engineering College, Jingchu University of Technology, Jingmen 448000, China)
  Abstract: The firewall technology is one of important technology in network safety field. This article proposed some methods to solve the safe problem in campus net,and elaborated with emphasis the firewall technology and its application in campus network safety.
  Key words: campus net; network safety; firewall
  随着因特网的快速普及与高速发展,校园网已经成为每个学校必备的信息基础设施之一,但是在我们共享校园网带来方便的同时,一些不安全的因素严重影响校园网网络的正常运行, 因此如何保证校园网络的正常运行已经成为当前校园网建设中不可忽视的问题。
  1 校园网络安全
  1.1 校园网的安全隐患
  目前的校园网络大都是利用Internet技术构建并与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇各类攻击的风险。首先,Internet的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而Internet最初的设计基本没有考虑安全问题。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论Windows还是Unix等几乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才让黑客有了可乘之机。另外,来自校园网络内部的安全隐患也不容忽视,且大多数校园网用户的安全意识淡薄,具体表现在:密码设置过于简单;不经常用杀毒软件扫描和删除病毒;不对杀毒软件和防火墙软件进行及时更新;不经常扫描系统漏洞并打上补丁;使用移动存储介质时不事先用杀毒软件进行扫描;运行或打开不明来历的文件或邮件;经常浏览带有色情的网站或恶意网站等等。
  1.2 校园网络安全的解决方法
  1.2.1 防火墙技术
  利用防火墙,我们可以将校园网络和Internet分开,在防火墙中设置网络通信时的访问控制尺度,只有防火墙允许访问的用户和数据能进入校园网络内部,同时将不允许的用户与数据拒之门外,最大限度地阻止黑客访问校园网络,防止他们随意更改、移动甚至删除网络的重要信息。同时配置智能信息过滤系统,既过滤掉外部不良信息的访问,又杜绝内部不良信息的泛滥。
  1.2.2 入侵检测技术
  入侵检测是防火墙的合理补充。防火墙属于静态的安全防御技术,对于网络日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动的对付网络攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等等,提高了校园网信息安全基础结构的完整性。入侵检测技术在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。
  1.2.3 建立网络病毒防护体系
  校园网络中的病毒防护体系主要分为服务器的防护和工作站的防护。病毒防护体系中的服务器端产品,应该具有实时病毒监控功能,远程安装、远程调用功能,病毒码自动更新功能以及病毒活动日志、多种报警通知方式等功能。网络工作站的病毒防护位于学校防毒体系中的最底层,对学校计算机用户而言,也是最后一道防、杀病毒的要塞。
  1.2.4 合理地划分VLAN、绑定IP地址和MAC地址
  根据学校各部门职能的不同将校园网划分成不同的VLAN,把各部门或实验室有效地隔离开。由于一个VLAN内部的广播和单播流量不会转发到其它VLAN中,所以有助于控制网络流量,提高网络的安全性。同时,对学校内使用静态IP地址上网的机器进行IP地址和MAC地址的绑定,这可以解决校园网内IP地址盗用的问题。
  1.2.5 使用加密技术和虚拟专用网(VPN)技术来保证数据传输的安全性
  TCP/IP协议数据流采用明文传输,为了防止重要信息在网络上被截获、窃听,应该对网络中传输的重要数据进行加密。VPN能够在公共网络中为两台通信的计算机建立一个逻辑上的安全通道,通过数据加密和身份认证使得数据包即使被截获也不容易被破译,提供了很好的安全性。VPN可以在学校分校区、外出师生等与校园网之间建立可信的安全连接,并保证数据的安全传输。
  1.2.6 数据备份与用户管理
  为了维护校园网的安全,必须对重要资料进行备份,以防止因各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而遭受重大损失。校园网安全除了先进的技术,还必须要有严格、合理和有效的安全管理来支持和补充。首先,必须要建立一套严格的安全管理制度;其次,加强对教师和学生网络安全的教育和培训,增强网络安全意识;再次,规范上网场所,过滤有害信息;最后,培养一支具有安全管理意识和管理技能的校园网管理队伍。
  2 防火墙技术
  防火墙技术作为内部网络与外部网络之间的第一道安全屏障,能阻挡来自外部网络的入侵,对校园网的安全具有特殊的意义。根据防火墙的功能及采用的机制的不同,可将防火墙分为以下几种类型:包过滤防火墙、代理服务器防火墙、状态检测防火墙。
  2.1 包过滤防火墙
  包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。所以在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。有经验的黑客很容易伪造IP地址,骗过包过滤防火墙。
  2.2 代理服务器防火墙
  代理服务器防火墙是工作在OSI的最高层,即应用层, 掌握着应用系统中可用作安全决策的全部信息。代理服务器防火墙是校园内部网与外部网的隔离点,通过对每种应用服务编制专门的代理程序,起着监视和隔绝应用层通信流的作用。代理服务器是一种基于用户的身份认证来控制流量进出的技术。校园网络内部所有的主机向外的访问请求,都被代理服务器截获,在请求主机的身份得到确认后,代理服务器将代表内部主机将访问请求转发给外部的服务器,同时,也将外部的服务器的应答转交给内部的主机。在这种方式中,内部主机被代理服务器保护,不能与外部发生任何连接,将校园网络与公用网络完全隔离,增加了安全性。
  代理服务器防火墙的优点是安全性较高,对付基于应用层的侵入和病毒都十分有效。但是也有其不足的地方,主要表现在以下三方面:1)容易成为校园网络向外访问的瓶颈;2)对系统的整体性能有较大的影响,代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;3)工作于应用层,对DoS攻击等基于底层协议漏洞的攻击无抵抗。
  2.3 状态检测防火墙
  状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的优点。比包过滤防火墙更加安全,比代理服务器防火墙能提供更好的性能。现在的防火墙产品大多数都是状态检测防火墙。在状态检测防火墙中,维护着一个状态表,状态表中记录着所有的网络连接的会话信息。通过对状态表应用安全策略来控制通过防火墙的所有流量。当一个连接开始时,将该连接的会话信息记录在状态表中,如果安全策略允许该连接,则转发连接的流量,返回的流量要与状态表中已存在的会话信息进行比较,如果不匹配,则丢弃掉这个连接。连接的会话信息包括:源、目的TCP/UDP 端口号,TCP序列号,TCP标记,TCP会话状态,UDP流量跟踪等。包过滤防火墙对流量的控制是静态的,它只根据事先设定的访问控制列表,决定是允许或拒绝该流量,而不关心该流量以前的、今后的连接状态。而状态检测防火墙对流量的控制是动态的,是针对连接的,所以在状态检测防火墙中通过欺骗一个TCP会话获得访问权的现象几乎不可能发生。
  状态检测防火墙一般有几个接口,一个用来连接校园网络,称为内部接口;一个用来连接公用网络,称为外部接口;一个用来连接一些向公用网络提供服务的服务器,称为DMZ接口。内部接口的安全级别最高,外部接口的安全级别最低,DMZ接口的安全级别处在内部接口和外部接口之间。
  3 防火墙技术在校园网中的应用
  在比较几种防火墙性能的基础上并结合自身校园网的特点,我校采用福建锐捷公司提供的锐捷RG-WALL防火墙。该防火墙采用锐捷网络独创的分类算法设计支持扩展的状态检测技术,具备高性能的网络传输功能,不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
  具体实施是在Internet与校园网内网之间部署一台RG-WALL160A防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性:1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则;2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击;3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录;5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
  4 结束语
  防火墙作为校园网的第一道重要的安全屏障,也不是万能的,不能保证绝对安全,例如,防火墙不能防范人为攻击、误操作、口令泄露造成的安全问题;不能防止有安全隐患的软件或文件的传输;也不能防范不经由防火墙的攻击等。所以为了保障校园网的安全,还需要结合其他安全技术的使用,也不能忽视用户安全教育、提高管理人员技术素养等方面的工作。
  参考文献:
  [1] Hare C, Siyan K.防火墙与网络安全[M].刘成勇,刘明刚,译.北京:机械工业出版社,1998.
  [2] 曾湘黔.网络安全与防火墙技术[M].重庆:重庆大学出版社,2005.
  [3] 何武红.防火墙技术发展与应用[J].计算机安全,2005(5):23-25.
其他文献
摘要:该文在对EOS开发中存在的一些问题进行分析和对Barracuda架构深入研究的基础上,提出了一个基于Barracuda架构的SOA开发模型,以解决传统EOS开发中的效率问题,并对如何实现基于Barracuda架构的SOA开发模型进行了较详细的分析。  关键词:Barracuda;EOS;XMLC;SOA开发模型  中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)3
摘要:元数据在网络信息资源的管理、存储和检索中发挥着重大的作用。目前业界对于元数据的定义和管理都还没有统一的标准。在现有元数据标准的基础上进行扩展,并提出一种基于XML的元数据模型的设计方法,在元数据的层次上来定义和管理资源。  关键字:元数据;XML;XML Schema;元数据模型  中图分类号:TP30文献标识码:A 文章编号:1009-3044(2008)06-10ppp-0c  A Re
早在几年前一个研究生的四人展上就与廖小东相认,拜读过其作品,毕业后的这几年,廖小东也未曾停止对绘画的追求和思索,以至于我们在艺术生涯中既是朋友,更是知己。从他早期的作品到至今,可以梳理出一个清晰的探索脉络,从他的整个作品格局中,我们可以看出他传承南方山水油画家的特性和功底深厚的学院基础。在植入了个人语言特征的同时,还宣泄着内心深处对生活的情绪。  同时,他的作品里充满着诗性般的韵味,一种对山水的移
摘要:针对两款开发制作Flash作品的工具软件中的脚本语言,分别从两者的相同点、各自的独有的特点三个方面详细进行了分析比较,得出了两者在实际开发制作过程中各有优长的结论,提出了根据要开发制作的Flash作品的具体情况,灵活使用两种工具软件的思想,并且也给出具体的运用方法。  关键词:swish;flash;flash动画;脚本语言  中图分类号:TP312文献标识码:A文章编号:1009-3044
摘要:作为开发中小型网上数据库应用系统的优秀开发方案之一,Asp Access的开发模式也存在一些安全漏洞,文章分析了数据库的特点,并针对漏洞,提出了行之有效的解决方法。  关键词:Asp;Access;数据库;安全  中图法分类号:TP393.08文献标识码:A 文章编号:1009-3044(2008)11-20218-01    随着计算机的普及和计算机各方面技术的高速发展,计算机网络也更加深
摘要:通过对无线通信网络的体系结构,运营方式,切换技术实现细节等方面的分析和研究,研究和探讨异构网络之间的切换技术,最终提出一个面向下一代无线通信网络的新型的基于IP的综合切换(Integrated Handover,IH)框架。  IH技术的最终目标就是要解决移动通信网络中因网络异构、资源开销瓶颈等影响,成功地实现全球无线网络覆盖范围的低时延、高带宽、宽切换域、开销低和QoS保证的不同网络间顺畅
自我国实施新的语文统编教材制度以来,小学语文教材编写有一个引人注目的变化,就是阅读策略开始引入单元教学设计中。例如,教材中专门安排了复述、预测、推论、提问、快速阅读等几个重要的阅读策略。策略教学的提出并非始于今日,但当下语文教材这一新设计,对我们一线语文教师意味着什么呢?如果围绕这一举措的相关方面全面、系统、深入地思考,必将有助于我们更加自觉、积极稳妥地深化阅读教学改革。  一、阅读教学:从技能训
摘要:智能手机不仅仅可以用来打电话,还可以用来阅读从网上下载的书籍。现在网上的很多书籍采用的是txt格式。可是,有时会遇到在计算机中能正常显示的文本文件,在手机中却全是乱码,无法阅读。该文就针对这一问题用visual studio 2005编个简单的小程序,来帮助广大的手机用户解决txt格式的书籍出现乱码的问题。  关键词:Visual studio 2005;智能手机;编码;Unicode AN
摘要:该系统是为改变一个五金批发部以人工手写管理的现状,而设计的一个进销存管理系统。系统的主要功能是对商品的进货、销售和库存进行监控、调配和管理,以实现商品进销存管理的信息化、自动化和科学化。该系统的前台应用程序界面采PowerBuilder 9.0开发,后台数据库选用PowerBuilder自带的关系数据库Sybase SQL Anywhere。在系统设计中,详细的展现了系统的各个功能模块,所需
摘要:文章重点研究在自适应控制中间件支持下,Web服务组合执行引擎的QoS管理机制,设计了一个基于QoS的自适应控制中间件,并应用于Web服务组合执行引擎当中,以支持对服务请求的分级处理,实现了为不同等级用户提供区分服务的功能,为提高可变负载下单个执行引擎的高吞吐量和快速响应时间提供了一种有效的解决方案。  关键词:自适应控制;服务组合;执行引擎;服务质量;区分服务  中图分类号:TP301文献标