基于校園網(wǎng)的防火墻技術(shù)應(yīng)用研究

王曉雨1,2

(1.武漢理工大學(xué) 計(jì)算機(jī)學(xué)院,湖北 武漢 430063;2.荊楚理工學(xué)院 計(jì)算機(jī)工程學(xué)院,湖北 荊門(mén) 448000)

摘要:防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的一項(xiàng)重要技術(shù),該文針對(duì)當(dāng)前校園網(wǎng)應(yīng)用中所遇到的問(wèn)題,提出了幾種解決的方法,并重點(diǎn)闡述了防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用。

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)34-9659-02

Based on Campus Net to Application and Research of Firewall Technology

WANG Xiao-yu1,2

(1.Computer School, Wuhan University of Technology, Wuhan 430063, China; 2.Computer Engineering College, Jingchu University of Technology, Jingmen 448000, China)

Abstract: The firewall technology is one of important technology in network safety field. This article proposed some methods to solve the safe problem in campus net,and elaborated with emphasis the firewall technology and its application in campus network safety.

Key words: campus net; network safety; firewall

隨著因特網(wǎng)的快速普及與高速發(fā)展,校園網(wǎng)已經(jīng)成為每個(gè)學(xué)校必備的信息基礎(chǔ)設(shè)施之一,但是在我們共享校園網(wǎng)帶來(lái)方便的同時(shí),一些不安全的因素嚴(yán)重影響校園網(wǎng)網(wǎng)絡(luò)的正常運(yùn)行, 因此如何保證校園網(wǎng)絡(luò)的正常運(yùn)行已經(jīng)成為當(dāng)前校園網(wǎng)建設(shè)中不可忽視的問(wèn)題。

1 校園網(wǎng)絡(luò)安全

1.1 校園網(wǎng)的安全隱患

目前的校園網(wǎng)絡(luò)大都是利用Internet技術(shù)構(gòu)建并與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇各類攻擊的風(fēng)險(xiǎn)。首先,Internet的共享性和開(kāi)放性使網(wǎng)上信息安全存在先天不足,因?yàn)槠滟囈陨娴腡CP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而Internet最初的設(shè)計(jì)基本沒(méi)有考慮安全問(wèn)題。此外,隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免地存在,比如我們常用的操作系統(tǒng),無(wú)論Windows還是Unix等幾乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才讓黑客有了可乘之機(jī)。另外,來(lái)自校園網(wǎng)絡(luò)內(nèi)部的安全隱患也不容忽視,且大多數(shù)校園網(wǎng)用戶的安全意識(shí)淡薄,具體表現(xiàn)在:密碼設(shè)置過(guò)于簡(jiǎn)單;不經(jīng)常用殺毒軟件掃描和刪除病毒;不對(duì)殺毒軟件和防火墻軟件進(jìn)行及時(shí)更新;不經(jīng)常掃描系統(tǒng)漏洞并打上補(bǔ)丁;使用移動(dòng)存儲(chǔ)介質(zhì)時(shí)不事先用殺毒軟件進(jìn)行掃描;運(yùn)行或打開(kāi)不明來(lái)歷的文件或郵件;經(jīng)常瀏覽帶有色情的網(wǎng)站或惡意網(wǎng)站等等。

1.2 校園網(wǎng)絡(luò)安全的解決方法

1.2.1 防火墻技術(shù)

利用防火墻,我們可以將校園網(wǎng)絡(luò)和Internet分開(kāi),在防火墻中設(shè)置網(wǎng)絡(luò)通信時(shí)的訪問(wèn)控制尺度,只有防火墻允許訪問(wèn)的用戶和數(shù)據(jù)能進(jìn)入校園網(wǎng)絡(luò)內(nèi)部,同時(shí)將不允許的用戶與數(shù)據(jù)拒之門(mén)外,最大限度地阻止黑客訪問(wèn)校園網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)的重要信息。同時(shí)配置智能信息過(guò)濾系統(tǒng),既過(guò)濾掉外部不良信息的訪問(wèn),又杜絕內(nèi)部不良信息的泛濫。

1.2.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)是防火墻的合理補(bǔ)充。防火墻屬于靜態(tài)的安全防御技術(shù),對(duì)于網(wǎng)絡(luò)日新月異的攻擊手段缺乏主動(dòng)的反應(yīng),而入侵檢測(cè)屬于動(dòng)態(tài)的安全技術(shù),能幫助系統(tǒng)主動(dòng)的對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等等,提高了校園網(wǎng)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)技術(shù)在不影響網(wǎng)絡(luò)的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)分析,從而對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)識(shí)別和響應(yīng),有效地監(jiān)視、審計(jì)、評(píng)估網(wǎng)絡(luò)系統(tǒng)。

1.2.3 建立網(wǎng)絡(luò)病毒防護(hù)體系

校園網(wǎng)絡(luò)中的病毒防護(hù)體系主要分為服務(wù)器的防護(hù)和工作站的防護(hù)。病毒防護(hù)體系中的服務(wù)器端產(chǎn)品,應(yīng)該具有實(shí)時(shí)病毒監(jiān)控功能,遠(yuǎn)程安裝、遠(yuǎn)程調(diào)用功能,病毒碼自動(dòng)更新功能以及病毒活動(dòng)日志、多種報(bào)警通知方式等功能。網(wǎng)絡(luò)工作站的病毒防護(hù)位于學(xué)校防毒體系中的最底層,對(duì)學(xué)校計(jì)算機(jī)用戶而言,也是最后一道防、殺病毒的要塞。

1.2.4 合理地劃分VLAN、綁定IP地址和MAC地址

根據(jù)學(xué)校各部門(mén)職能的不同將校園網(wǎng)劃分成不同的VLAN,把各部門(mén)或?qū)嶒?yàn)室有效地隔離開(kāi)。由于一個(gè)VLAN內(nèi)部的廣播和單播流量不會(huì)轉(zhuǎn)發(fā)到其它VLAN中,所以有助于控制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)的安全性。同時(shí),對(duì)學(xué)校內(nèi)使用靜態(tài)IP地址上網(wǎng)的機(jī)器進(jìn)行IP地址和MAC地址的綁定,這可以解決校園網(wǎng)內(nèi)IP地址盜用的問(wèn)題。

1.2.5 使用加密技術(shù)和虛擬專用網(wǎng)(VPN)技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?/p>

TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸,為了防止重要信息在網(wǎng)絡(luò)上被截獲、竊聽(tīng),應(yīng)該對(duì)網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密。VPN能夠在公共網(wǎng)絡(luò)中為兩臺(tái)通信的計(jì)算機(jī)建立一個(gè)邏輯上的安全通道,通過(guò)數(shù)據(jù)加密和身份認(rèn)證使得數(shù)據(jù)包即使被截獲也不容易被破譯,提供了很好的安全性。VPN可以在學(xué)校分校區(qū)、外出師生等與校園網(wǎng)之間建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

1.2.6 數(shù)據(jù)備份與用戶管理

為了維護(hù)校園網(wǎng)的安全,必須對(duì)重要資料進(jìn)行備份,以防止因各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而遭受重大損失。校園網(wǎng)安全除了先進(jìn)的技術(shù),還必須要有嚴(yán)格、合理和有效的安全管理來(lái)支持和補(bǔ)充。首先,必須要建立一套嚴(yán)格的安全管理制度;其次,加強(qiáng)對(duì)教師和學(xué)生網(wǎng)絡(luò)安全的教育和培訓(xùn),增強(qiáng)網(wǎng)絡(luò)安全意識(shí);再次,規(guī)范上網(wǎng)場(chǎng)所,過(guò)濾有害信息;最后,培養(yǎng)一支具有安全管理意識(shí)和管理技能的校園網(wǎng)管理隊(duì)伍。

2 防火墻技術(shù)

防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,能阻擋來(lái)自外部網(wǎng)絡(luò)的入侵,對(duì)校園網(wǎng)的安全具有特殊的意義。根據(jù)防火墻的功能及采用的機(jī)制的不同,可將防火墻分為以下幾種類型:包過(guò)濾防火墻、代理服務(wù)器防火墻、狀態(tài)檢測(cè)防火墻。

2.1 包過(guò)濾防火墻

包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯,被稱為訪問(wèn)控制列表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單,價(jià)格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。所以在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾防火墻。

2.2 代理服務(wù)器防火墻

代理服務(wù)器防火墻是工作在OSI的最高層,即應(yīng)用層, 掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。代理服務(wù)器防火墻是校園內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn),通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序,起著監(jiān)視和隔絕應(yīng)用層通信流的作用。代理服務(wù)器是一種基于用戶的身份認(rèn)證來(lái)控制流量進(jìn)出的技術(shù)。校園網(wǎng)絡(luò)內(nèi)部所有的主機(jī)向外的訪問(wèn)請(qǐng)求,都被代理服務(wù)器截獲,在請(qǐng)求主機(jī)的身份得到確認(rèn)后,代理服務(wù)器將代表內(nèi)部主機(jī)將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給外部的服務(wù)器,同時(shí),也將外部的服務(wù)器的應(yīng)答轉(zhuǎn)交給內(nèi)部的主機(jī)。在這種方式中,內(nèi)部主機(jī)被代理服務(wù)器保護(hù),不能與外部發(fā)生任何連接,將校園網(wǎng)絡(luò)與公用網(wǎng)絡(luò)完全隔離,增加了安全性。

代理服務(wù)器防火墻的優(yōu)點(diǎn)是安全性較高,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。但是也有其不足的地方,主要表現(xiàn)在以下三方面:1)容易成為校園網(wǎng)絡(luò)向外訪問(wèn)的瓶頸;2)對(duì)系統(tǒng)的整體性能有較大的影響,代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性;3)工作于應(yīng)用層,對(duì)DoS攻擊等基于底層協(xié)議漏洞的攻擊無(wú)抵抗。

2.3 狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻結(jié)合了包過(guò)濾防火墻和代理服務(wù)器防火墻的優(yōu)點(diǎn)。比包過(guò)濾防火墻更加安全,比代理服務(wù)器防火墻能提供更好的性能?，F(xiàn)在的防火墻產(chǎn)品大多數(shù)都是狀態(tài)檢測(cè)防火墻。在狀態(tài)檢測(cè)防火墻中,維護(hù)著一個(gè)狀態(tài)表,狀態(tài)表中記錄著所有的網(wǎng)絡(luò)連接的會(huì)話信息。通過(guò)對(duì)狀態(tài)表應(yīng)用安全策略來(lái)控制通過(guò)防火墻的所有流量。當(dāng)一個(gè)連接開(kāi)始時(shí),將該連接的會(huì)話信息記錄在狀態(tài)表中,如果安全策略允許該連接,則轉(zhuǎn)發(fā)連接的流量,返回的流量要與狀態(tài)表中已存在的會(huì)話信息進(jìn)行比較,如果不匹配,則丟棄掉這個(gè)連接。連接的會(huì)話信息包括:源、目的TCP/UDP 端口號(hào),TCP序列號(hào),TCP標(biāo)記,TCP會(huì)話狀態(tài),UDP流量跟蹤等。包過(guò)濾防火墻對(duì)流量的控制是靜態(tài)的,它只根據(jù)事先設(shè)定的訪問(wèn)控制列表,決定是允許或拒絕該流量,而不關(guān)心該流量以前的、今后的連接狀態(tài)。而狀態(tài)檢測(cè)防火墻對(duì)流量的控制是動(dòng)態(tài)的,是針對(duì)連接的,所以在狀態(tài)檢測(cè)防火墻中通過(guò)欺騙一個(gè)TCP會(huì)話獲得訪問(wèn)權(quán)的現(xiàn)象幾乎不可能發(fā)生。

狀態(tài)檢測(cè)防火墻一般有幾個(gè)接口,一個(gè)用來(lái)連接校園網(wǎng)絡(luò),稱為內(nèi)部接口;一個(gè)用來(lái)連接公用網(wǎng)絡(luò),稱為外部接口;一個(gè)用來(lái)連接一些向公用網(wǎng)絡(luò)提供服務(wù)的服務(wù)器,稱為DMZ接口。內(nèi)部接口的安全級(jí)別最高,外部接口的安全級(jí)別最低,DMZ接口的安全級(jí)別處在內(nèi)部接口和外部接口之間。

3 防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

在比較幾種防火墻性能的基礎(chǔ)上并結(jié)合自身校園網(wǎng)的特點(diǎn),我校采用福建銳捷公司提供的銳捷RG-WALL防火墻。該防火墻采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法設(shè)計(jì)支持?jǐn)U展的狀態(tài)檢測(cè)技術(shù),具備高性能的網(wǎng)絡(luò)傳輸功能,不受策略數(shù)和會(huì)話數(shù)多少的影響,產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度;同時(shí)在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作,因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外,RG-WALL具有入侵監(jiān)測(cè)功能,可判斷攻擊并且提供解決措施,且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。

具體實(shí)施是在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺(tái)RG-WALL160A防火墻,成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS對(duì)外服務(wù)器連接在防火墻的DMZ區(qū),與內(nèi)、外網(wǎng)間進(jìn)行隔離,內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外網(wǎng)口通過(guò)路由器與Internet連接。這樣,通過(guò)Internet進(jìn)來(lái)的公眾用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)(如WWW、MAIL、FTP、DNS等),既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用,并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。在防火墻設(shè)置上我們按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性:1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則;2)將防火墻配置成過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過(guò)濾掉以非法IP地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊;3)在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表,防止IP地址被盜用;4)定期查看防火墻訪問(wèn)日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄;5)允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置,提高防火墻管理安全性。

4 結(jié)束語(yǔ)

防火墻作為校園網(wǎng)的第一道重要的安全屏障,也不是萬(wàn)能的,不能保證絕對(duì)安全,例如,防火墻不能防范人為攻擊、誤操作、口令泄露造成的安全問(wèn)題;不能防止有安全隱患的軟件或文件的傳輸;也不能防范不經(jīng)由防火墻的攻擊等。所以為了保障校園網(wǎng)的安全,還需要結(jié)合其他安全技術(shù)的使用,也不能忽視用戶安全教育、提高管理人員技術(shù)素養(yǎng)等方面的工作。

參考文獻(xiàn):

[1] Hare C, Siyan K.防火墻與網(wǎng)絡(luò)安全[M].劉成勇,劉明剛,譯.北京:機(jī)械工業(yè)出版社,1998.

[2] 曾湘黔.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].重慶:重慶大學(xué)出版社,2005.

[3] 何武紅.防火墻技術(shù)發(fā)展與應(yīng)用[J].計(jì)算機(jī)安全,2005(5):23-25.