论高校网络防火墙的配置与管理

来源 :电脑知识与技术 | 被引量 : 0次 | 上传用户:zhaochunbo123
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:随着“互联网 ”教育的推进,高校网络安全日渐得到重视。然而作为多数高校网络安全的第一道防线“防火墙”却并没有得到充分的利用,多数院校从初始化配置之后就再未管理过。该文介绍了高校网络防火墙最常见的配置应用,对如何更加高效的使用网络防火墙进行论述。
  关键词:网络防火墙;配置;管理
  中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)25-0026-02
  1 网络防火墙的部署问题综述
  为保证内网所有数据流量均通过防火墙过滤,从而保护内网用户的安全,一般情况下防火墙均部署在网络出口位置,上接路由器或链路负载均衡设备,下接三层核心交换机。防火墙的接口一般分为三类:内网口、外网口和DMZ口,校园网中网络防火墙的部署如下图所示:
  内网口用于连接内网交换机,通常是核心交换,负责转发内网数据;外网口用于连接外网,或是路由设备的接口;DMZ口用于连接内网服务器,这个区域的设备或服务对外网公开,但通过配置可以隐藏内部地址。
  防火墙的管理方式有两种:命令行和WebGUI。通常情况下命令行管理模式的权限是最高的,防火墙厂商不对用户公开;防火墙用户采取分级管理,一般包含超级管理员、系统管理员和日志管理员。
  2 网络防火墙常用的配置
  2.1策略配置
  防火墙策略是网络安全管理中最常用的方式。策略配置通常分为三个步骤:
  (1) 定义对象
  对象即需要控制的源地址和目的地址,通常代表用户或访问者,也可以代表某个城市或是主机,表示需要控制的范围。
  (2) 定义服务
  服务通常是需要控制的时间段、或是某些特殊的端口,用于精确控制对象的某个方面,如在某个时间段不允许访问某个固定地址等。
  (3) 定义规则
  规则即对象与策略的集合,将对象和服务结合在一起,定义允许和禁止某对象的特定服务,多个规则结合在一起构成策略。
  规则的执行按照自上而下的顺序,如两条规则的所涉及的范围有重复,则跳过下一条规则中所规定的,因此在日常防火墙的管理中,新定义的规则一般放在最上面,保证被优先执行,而制定新规则之后若原有服务出现异常,则应该检查是否是新规则在制定时是否对原有策略产生了影响。例如定义内网中的网段10.0.1.1/24不能访问某网站http://www.hacker.cn需要两条规则(不考虑其他规则的条件下),定义规则如下:
  策略生效后,如10.0.0.0网段用户访问的是http://www.hacker.cn,则匹配第一条规则,禁止访问;而访问其他的地址的网站或其他服务,则匹配第二条规则,允许通过。两条规则相结合生成了这一策略。
  2.2网络地址转换配置
  网络地址转换配置在防火墙中主要有两个作用:首先是隐藏内部地址,主要作用于内网服务器对外公开,通过网络地址转换将内网地址隐藏起来,起到一定的保护作用;其次网络地址转换用于解决共有IP地址不足的问题,将内网私有地址转换成互联网中通用的IPV4地址,也就是源地址转换和目的地址。
  源地址转换一般用于内网用户访问外网时,防火墙统一将私有IP地址转换成指定的公网IP,例如学校的外网IP是218.95.46.65,则内网所有用户的访问Internet时都统一转换成该IP地址。目的地址转换则是当外网用户访问DMZ区中的某个服务器时,防火墙根据访问的服务请求,将数据包送至对应提供服务的主机。
  2.3 其他功能配置
  高校购买的防火墙通常都会有很多高级功能,如反垃圾邮件、内容过滤、入侵防御等,多数高校都只是应用了防火墙最基本的功能,而对这部分功能缺乏开发和应用的经验。实际上如果高校能够很好地配置使用这些功能,对整个校园网的安全提升会起到非常重要的作用。如利用反垃圾邮件系统过滤垃圾邮件、使用内容过滤屏蔽非法网站的关键字,进行入侵防御等都能大大提高校园网络安全。
  3 网络防火墙后期的管理与维护问题
  3.1 管理策略
  3.1.1 不断完善安全策略
  很多高校网络防火墙的安全策略都是产品购买时厂家工程师依据客户要求设置了,经过多年的使用,原有的策略已经不能满足安全的需要,对于最新发现的木马、蠕虫病毒也没有进一步的策略防护,因此需要管理员根据实际情况不断调整安全策略,及时封堵最新具有安全威胁的地址和端口。
  3.1.2 建立日志系统
  日志系统是安全防护的最后一道关卡,它在安全管理中占据十分重要的地位。但是很多高校并没有十分重视日志系统的建立,导致入侵发生后无据可查。实际上由于防火墙是整个网络的唯一出口,利用防火墙建立一个日志系统将会在管理工作中起到事半功倍的作用。具体的做法是指定一台专用的服务器,通过第三方软件在防火墙上采集相应的数据,通过局域网传送到日志服务器上。
  3.2 维护策略
  3.2.1 账号维护
  账号维护是防火墙维护中的一项重要任务,主要包括权限维护和密码维护两个方面的内容。权限维护是指管理员账户应该分级管理,出现不同分工时应该及时调整账号权限;而密码维护则是要求各管理员至少每三个月就应更换一次密码,密码应包含字母、数字和字符串并且保证8位以上。
  3.2.2 备份管理
  防火墙的备份管理也是维护工作中的重要一环,当发生系统故障时可以及时通过备份迅速恢复配置,保证网络的顺畅运行。备份的频率是至少保证每月1次,配置发生变动时应及时备份,并且应该将备份文件放置在异地服务器上,避免防火墙硬件发生损坏时能及时从服务器中找回原有配置。
  4 网络防火墙常见的故障及解决方案
  4.1OS故障
  网络防火墙的OS一般都比较稳定,出现故障的概率较小,但是系统升级时比较容易出现OS故障。笔者工作时使用的防火墙在系统升级时就曾经发生过系统故障,升级完成后不能正常工作,恢复原有系统后通讯正常,原因一般都是OS来源不当或是在传输过程中部分文件丢失,因此在升级时应该通过厂家进行并在升级前做好备份工作。
  4.2配置故障
  配置故障发生的主要原因是因为很多高校管理员将防火墙同路由器等同配置,虽然防火墙在某些功能上可以替代路由器,但其在转发效率上是远低于路由器的,并且很多配置也不尽相同,管理员只有充分掌握防火墙的原理和配置方法后才能在实际工作中尽量少失误。因此我们配置防火墙时如发生配置故障应迅速恢复原有配置保证网络通畅,再查找配置上的错误。
  5 小结
  本文从网络防火墙的部署、常用配置、管理与维护和常见故障与解决方案四个方面讨论了高校网络防火墙的配置与管理工作,网络管理员应充分掌握本校网络防火墙的管理方法,不断调整安全策略,尽量避免故障的发生,才能最大限度地保障校园网络安全的运行。
  参考文献:
  [1] 姚爽.计算机安全与防火墙技术[J].电子技术与软件工程,2016,(9)223.
  [2] 蒋远辉,闫保权.高校网络防火墙部署应用[J].信息通信,2016,(4)184-185.
  [3] 代晓黎.防火墙技术在维护校园网络应用分析[J].网络安全技术与应用,2016,(6)31-32.
其他文献
村级债务问题是当前农村普遍存在的突出问题,由于多种因素的影响,村级债务居高不下,并向多极发展成链状,严重地影响了农村经济发展和农村社会稳定。笔者通过对陕甘两地的实际调查
在大量并发访问时,如何选择网络IO模型将是提高服务器性能的关键。该文通过对Linux环境下几种网络I/O模型的详细分析和研究,提出了在不同场景下选择不同网络IO模型的方案。
<正> 现将我们辨证施治急性高热121例临床疗效观察,总结如下。临床资料1.一般资料:121例中,男59例,女62例;病程1天29例,2天38例,3天20例,4天11例,5天8例,6天3例,7天7例,1周以
摘要:云计算的不断发展和完善给信息世界带来了巨大的变革,与此同时,它也为移动学习的发展提供了新的动力。将云计算应用于移动学习,结合了两者的优势,让学习者最大限度地利用云上的资源进行高效便捷地学习。因此,这种新型的学习模式也会在一定程度上给传统教育模式造成冲击。  关键词:云计算;移动学习;学习模式  中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)28-0025-0
摘要:在教学活动中考试是一个很重要的环节,考试是为了考察学生对于知识的掌握程度,同时也是为了教师能够及时把握教学质量。但是随着互联网和大数据的发展,计算机网上测评系统被研发出来。计算机网上测评系统给学生和教师都带来了便利,具有强大的功能。该文首先分析了计算机网上测评系统的功能和特点,然后找到计算机网上测评系统的问题,并针对问题来具体分析计算机网上测评系统的发展对策,其目的是为了有效完善计算机网上测
经过改革开放多年的发展,我国目前的经济已从卖方市场转变为买方市场。买方市场的形成,意味着经济发展不仅受资源要素的约束,还要受到市场需求的约束,国际需求已成为制约经济发展
本文着重探讨慢性支气管炎(慢支)和慢性肺源性心脏病(肺心病)的舌象变化特点,获得脏腑病变信息,为诊断治疗提供依据。现将1981年6月—1989年1月收治观察记录的1033例慢支与肺
从分析国际金融监管体制的变革趋势入手,研究了我国金融业实行统一监管的动固,并在此基础上提出构建我国金融业统一监管的组织架构蓝图。
近年来,随着人工智能的飞速发展,深度学习领域也得到了极大关注。卷积神经网路是深度学习研究领域中的一个重要方向。然而现有的卷积神经网路模型在卷积核层面只能处理二维数据。鉴于此目的,该文提出四元数卷积神经网络模型(Quaternions Convolutional Neural Network,QCNN),目的是在卷积核层面可以处理三维数据,充分挖掘图像信息。该文首先介绍了四元数神经元模型,然后提出了
2001年以来,江苏省徐州市全面推行农村税费改革,改革的方案是"三个取消,一个逐步取消,两个调整,一个改革",即取消乡统筹,取消农村教育集资等专门向农民征收的行政事业性收费