论文部分内容阅读
近几年来,随着信息与计算机技术的飞速发展,校园网络作为学校重要的基础设施,为学校提供了教学、科研、管理和对外交流窗口等诸多重要平台。与此同时,网络社会与生俱来的不安全因素,如黑客、病毒、垃圾邮件、反动和色情等不健康信息,也无时无刻不在威胁着校园网络的健康发展,已成为教育信息化建设中不容忽视的问题。作为保护局域网的一种有效手段,硬件防火墙在校园网络安全建设中发挥了重要作用。
一、校园网防火墙的选购原则
由于黑客技术日益公开化、职业化,各种攻击日益频繁,病毒日益泛滥,中小学校所选用的路由器防火墙已经不能很好地防御网络黑客攻击,选择更好的专用硬件防火墙将成为防御网络黑客攻击的重要手段。目前市场上的硬件防火墙种类繁多、功能各异,如何选购适合于中小学校园网络的硬件防火墙呢?笔者认为可从以下几个方面考虑:
1.用户连接数多是校园防火墙必须具备的特点
随着各中小学校的扩建,在校人数的增加,教师队伍的壮大,办公用计算机的数量也相当可观,再加上学校的各类机房,中小学校的网络规模越来越大。所以,防火墙需要允许数量众多的计算机上网。现在市场上已经有很多无人数限制的防火墙,可从根本上解决这一问题。
2.适合于校园的防火墙必须具有快速连接能力
现在的校园网络一般都采用了百兆或者千兆以上的网络,所以我们需要选择高带宽的防火墙,否则就有可能成为网络出口的瓶颈。
3.适合于校园的防火墙必须具备很强的防攻击能力和入侵监控能力,这也是防火墙的基本特征
目前网络黑客攻击的主要手段有DOS攻击、IP地址欺骗、特洛伊木马、口令字攻击、邮件炸弹等。这些攻击方式不仅来自外部网络,也可能来自内部网络。适合于校园的防火墙必须有防止这些外网和内网攻击的能力。防火墙是由软件和硬件组成的,其中的软件提供了升级功能,这样就能帮助我们修补不断发现的漏洞。
4.由于校园网络内部有访问一些非法网站的事情发生,为了禁止访问非法网站,防火墙不仅需要防止内网访问非法网站的功能,还必须具有监控网络的功能,因为现在一些不良网站每天都有新的变化,只有通过监控,才能根据相关信息及时屏蔽这些非法网站。
5.适合于校园网络的防火墙要易于管理,毕竟学校并不会聘请专业管理员来管理硬件防火墙
这种易于管理表现在防火墙所搭配的软件上,目前市场上主要有搭配专业软件的防火墙和搭配Linux或Unix操作系统的防火墙,用户可根据自己的实际情况进行选择。
二、校园网防火墙的设置原则
校园网络与普通企业网络不同,因为普通企业网络主要是“防外”:防止互联网上的黑客对内部网络的攻击;而校园网络不仅要有“防外”的功能,还要有“防内”的功能。所谓“防内”是指由于学生中有不少网络爱好者,在好奇心的驱使下或为了满足某些单纯的心理需要,会从互联网上下载黑客工具,不顾后果地对校园网内部服务器进行攻击,特别是对学校内部某些可能存放着重要资料的服务器进行攻击,使学校的内部资料遭受到不必要的损失。
因此设置校园网防火墙一方面要建立合理有效的安全过滤原则,对网络数据包的协议、端口、源目的地址、流向进行审核,严格控制外网用户的非法访问。一旦获知某个IP地址的访问是非法的,立即通过更改路由器(以Cisco为例)中的存取控制表来过滤掉来自非法地址的所有IP包。
另一方面是要对校园网用户进行流量控制,依据时间安全规则变化策略,控制内网用户访问外网时间,并对其进行必要的管理。
三、校园网防火墙的安全机制
对校园网络内部人员访问Internet进行一定限制,在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,丢弃盗用IP地址的数据包并记录有关信息;在连接Internet端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃并记录有关信息。
(1)存取控制。存取控制可定义使用者或应用服务的对象进出校园网,以保护校园网内部资源。执行存取控制参数必须是简单且直接的,以一个明确的图形使用者接口(GUI)操作,最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机制,并可判断规则的冲突性。
(2)专机专用。专用主机只开专用功能。网管网段路由器中的访问控制应该限制在最小限度,研究清楚各进程必需的进程端口号,关闭不必要的端口,删除系统中不需要的服务。
(3)网络地址转移。地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。它隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络。
当然,任何一种防火墙只是为校园网通信或数据传输提供了更有保障的安全性,校园网络安全不能完全依赖于防火墙。在日常工作中除了靠防火墙来保障校园网络安全外,还要加强系统的安全性,提高自身的安全意识,并结合有效的管理措施,从而形成有层次的安全防御体系,为教学和管理提供可靠的保障。
一、校园网防火墙的选购原则
由于黑客技术日益公开化、职业化,各种攻击日益频繁,病毒日益泛滥,中小学校所选用的路由器防火墙已经不能很好地防御网络黑客攻击,选择更好的专用硬件防火墙将成为防御网络黑客攻击的重要手段。目前市场上的硬件防火墙种类繁多、功能各异,如何选购适合于中小学校园网络的硬件防火墙呢?笔者认为可从以下几个方面考虑:
1.用户连接数多是校园防火墙必须具备的特点
随着各中小学校的扩建,在校人数的增加,教师队伍的壮大,办公用计算机的数量也相当可观,再加上学校的各类机房,中小学校的网络规模越来越大。所以,防火墙需要允许数量众多的计算机上网。现在市场上已经有很多无人数限制的防火墙,可从根本上解决这一问题。
2.适合于校园的防火墙必须具有快速连接能力
现在的校园网络一般都采用了百兆或者千兆以上的网络,所以我们需要选择高带宽的防火墙,否则就有可能成为网络出口的瓶颈。
3.适合于校园的防火墙必须具备很强的防攻击能力和入侵监控能力,这也是防火墙的基本特征
目前网络黑客攻击的主要手段有DOS攻击、IP地址欺骗、特洛伊木马、口令字攻击、邮件炸弹等。这些攻击方式不仅来自外部网络,也可能来自内部网络。适合于校园的防火墙必须有防止这些外网和内网攻击的能力。防火墙是由软件和硬件组成的,其中的软件提供了升级功能,这样就能帮助我们修补不断发现的漏洞。
4.由于校园网络内部有访问一些非法网站的事情发生,为了禁止访问非法网站,防火墙不仅需要防止内网访问非法网站的功能,还必须具有监控网络的功能,因为现在一些不良网站每天都有新的变化,只有通过监控,才能根据相关信息及时屏蔽这些非法网站。
5.适合于校园网络的防火墙要易于管理,毕竟学校并不会聘请专业管理员来管理硬件防火墙
这种易于管理表现在防火墙所搭配的软件上,目前市场上主要有搭配专业软件的防火墙和搭配Linux或Unix操作系统的防火墙,用户可根据自己的实际情况进行选择。
二、校园网防火墙的设置原则
校园网络与普通企业网络不同,因为普通企业网络主要是“防外”:防止互联网上的黑客对内部网络的攻击;而校园网络不仅要有“防外”的功能,还要有“防内”的功能。所谓“防内”是指由于学生中有不少网络爱好者,在好奇心的驱使下或为了满足某些单纯的心理需要,会从互联网上下载黑客工具,不顾后果地对校园网内部服务器进行攻击,特别是对学校内部某些可能存放着重要资料的服务器进行攻击,使学校的内部资料遭受到不必要的损失。
因此设置校园网防火墙一方面要建立合理有效的安全过滤原则,对网络数据包的协议、端口、源目的地址、流向进行审核,严格控制外网用户的非法访问。一旦获知某个IP地址的访问是非法的,立即通过更改路由器(以Cisco为例)中的存取控制表来过滤掉来自非法地址的所有IP包。
另一方面是要对校园网用户进行流量控制,依据时间安全规则变化策略,控制内网用户访问外网时间,并对其进行必要的管理。
三、校园网防火墙的安全机制
对校园网络内部人员访问Internet进行一定限制,在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,丢弃盗用IP地址的数据包并记录有关信息;在连接Internet端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃并记录有关信息。
(1)存取控制。存取控制可定义使用者或应用服务的对象进出校园网,以保护校园网内部资源。执行存取控制参数必须是简单且直接的,以一个明确的图形使用者接口(GUI)操作,最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机制,并可判断规则的冲突性。
(2)专机专用。专用主机只开专用功能。网管网段路由器中的访问控制应该限制在最小限度,研究清楚各进程必需的进程端口号,关闭不必要的端口,删除系统中不需要的服务。
(3)网络地址转移。地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。它隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络。
当然,任何一种防火墙只是为校园网通信或数据传输提供了更有保障的安全性,校园网络安全不能完全依赖于防火墙。在日常工作中除了靠防火墙来保障校园网络安全外,还要加强系统的安全性,提高自身的安全意识,并结合有效的管理措施,从而形成有层次的安全防御体系,为教学和管理提供可靠的保障。