李小慶

摘要：防火墻技術(shù)作為一種抵抗黑客非法入侵、防止未經(jīng)授權(quán)而非法訪問某些信息節(jié)點的有效手段被廣泛使用。文章主要論述校園網(wǎng)絡(luò)面對的常見安全威脅和基于校園網(wǎng)絡(luò)的常用防火墻技術(shù)方案優(yōu)劣及其演進路線。

關(guān)鍵詞：防火墻；校園網(wǎng)；網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展及社會信息化水平的不斷提高，各大高校也越發(fā)強調(diào)、重視校園網(wǎng)絡(luò)在日常教學(xué)、日常管理和信息共享方面發(fā)揮的作用。伴隨著高校各方面的高速發(fā)展，高校內(nèi)外部網(wǎng)絡(luò)環(huán)境也變得日趨復(fù)雜，校園網(wǎng)絡(luò)安全遭受的網(wǎng)絡(luò)攻擊給日趨依賴校園網(wǎng)絡(luò)的高校日常工作帶來了巨大的負面影響，因此如何采取措施盡可能地保證校園網(wǎng)絡(luò)高效、穩(wěn)定地正常運行已經(jīng)成為各大高校教師及管理者關(guān)心的問題，而防火墻技術(shù)的應(yīng)用在校園網(wǎng)絡(luò)安全方面起到了重要作用。

1校園網(wǎng)絡(luò)的安全威脅

與企業(yè)相比，目前高校相關(guān)人員對校園的安全觀念及知識較為淡薄，因此更容易遭受網(wǎng)絡(luò)安全威脅，同時給校園網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行帶來了更大的影響，在校園網(wǎng)絡(luò)安全威脅中，黑客攻擊、計算機病毒、應(yīng)用程序的安全隱患等成為主要且常見的威脅類型。

1.1黑客攻擊

黑客攻擊覆蓋了目前主流的各大操作系統(tǒng)如UNIX，LINUX或WINDOWS系列等，同時隨著網(wǎng)絡(luò)的高速發(fā)展，黑客攻擊的數(shù)量近年來也呈指數(shù)增長，現(xiàn)代黑客攻擊主要表現(xiàn)形式為網(wǎng)絡(luò)攻擊，從攻擊類型上分為主動攻擊和被動攻擊。主動攻擊主要是指通過篡改系統(tǒng)信息或者變更系統(tǒng)操作和狀態(tài)，從而達到破壞系統(tǒng)信息的有效性、完整性和真實性的目的。被動攻擊是在不影響系統(tǒng)正常運行的前提下，通過對系統(tǒng)信息的截獲、流量分析等手段分析出系統(tǒng)中所包含的高價值機密信息，被動攻擊并不改變系統(tǒng)信息狀態(tài)，系統(tǒng)操作和狀態(tài)也不會發(fā)生變更，對系統(tǒng)高價值信息造成了較大威脅。同時，按黑客所處位置可把黑客攻擊分為校園外部攻擊和校園內(nèi)部攻擊。校園外部攻擊主要通過防火墻技術(shù)進行防范，校園內(nèi)部攻擊由于目標性強且來自校園內(nèi)部人員，已經(jīng)成為主要的攻擊形式。

1.2計算機病毒

計算機病毒本質(zhì)是一段可執(zhí)行且?guī)茐男缘挠嬎銠C程序代碼，計算機病毒經(jīng)常造成校園網(wǎng)絡(luò)中系統(tǒng)數(shù)據(jù)無端被刪除、系統(tǒng)服務(wù)運行失敗、信息泄漏等現(xiàn)象。計算機病毒由于具有傳播快、隱蔽性強等特點，給網(wǎng)絡(luò)信息安全及系統(tǒng)穩(wěn)定帶來了巨大的挑戰(zhàn)，校園網(wǎng)絡(luò)一旦接入因特網(wǎng)之后，通過攜帶病毒的文件下載、電子郵件、網(wǎng)絡(luò)資源共享或網(wǎng)頁瀏覽等途徑可感染計算機病毒，校園網(wǎng)絡(luò)系統(tǒng)具備預(yù)防、檢查和清除病毒的能力是保障網(wǎng)絡(luò)正常、可靠運行的有力保障。

1.3服務(wù)程序的安全隱患

校園網(wǎng)絡(luò)通常會向廣大師生提供基本的網(wǎng)絡(luò)服務(wù)，但是由于校園網(wǎng)絡(luò)管理者在經(jīng)費及相關(guān)維護知識上的欠缺，導(dǎo)致了一個服務(wù)器上承載了過多的網(wǎng)絡(luò)服務(wù)程序，如DNS服務(wù)器、FTP服務(wù)器、HTTP服務(wù)器和遠程登錄服務(wù)器等，這無疑增加了服務(wù)程序安全隱患，黑客也經(jīng)常利用服務(wù)程序自身的一些漏洞來達到攻擊校園網(wǎng)絡(luò)的目的，如FTP服務(wù)程序過于簡單的用戶口令認證及信息也是以明文進行傳輸，遠程登錄程序部分信息也明文進行傳輸，黑客利用這些缺陷獲取一定的服務(wù)權(quán)限后將會給系統(tǒng)帶來巨大的風(fēng)險。HTTP服務(wù)程序也經(jīng)常因為自身漏洞較多遭受了頻繁的攻擊，同時黑客也經(jīng)常針對服務(wù)程序發(fā)送大量訪問請求信息，造成服務(wù)軟件負載不高而崩潰，從而達到癱瘓服務(wù)程序的目的，也稱為拒絕服務(wù)。由于DNS服務(wù)器在傳輸層使用UDP協(xié)議，目前經(jīng)常遭受的攻擊有2大類：一類是緩存區(qū)中毒，另外一類為域劫持。

2防火墻技術(shù)概述

防火墻一般處于校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界處，通過設(shè)定一系列的訪問準則來限定不同類型的網(wǎng)絡(luò)通信。防火墻作為一種網(wǎng)絡(luò)訪問控制設(shè)備普遍應(yīng)用于校園網(wǎng)絡(luò)，防火墻的主要功能包括管理進出網(wǎng)絡(luò)的訪問行為，記錄通過防火墻的信息內(nèi)容和活動，監(jiān)測和反饋網(wǎng)絡(luò)攻擊行為，防止內(nèi)部信息的泄漏等。

2.1防火墻的功能

2.1.1管理進出網(wǎng)絡(luò)的訪問行為

由于防火墻介于校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)臨界處，可以對訪問校園網(wǎng)絡(luò)的信息和服務(wù)進行管理和控制，利用防火墻作為阻塞點，可以有效過濾掉存在風(fēng)險的信息和服務(wù)，只允許防火墻規(guī)則準許下的服務(wù)和信息進行訪問，可以有效降低校園網(wǎng)絡(luò)安全威脅。

2.1.2記錄通過防火墻的信息內(nèi)容和活動

防火墻對訪問校園網(wǎng)絡(luò)的信息和服務(wù)進行控制和管理的同時，也會記錄下其相關(guān)活動并生成日志文件，防火墻可以根據(jù)記錄信息統(tǒng)計出網(wǎng)絡(luò)使用情況或者監(jiān)測出網(wǎng)絡(luò)異常情況，并進行風(fēng)險預(yù)處理。

2.1.3監(jiān)測和反饋網(wǎng)絡(luò)攻擊行為

根據(jù)防火墻內(nèi)置的訪問限定規(guī)則，一旦發(fā)現(xiàn)有異常的訪問請求時，防火墻將會發(fā)出警報，生成相應(yīng)的異常報告并通過電子郵件的形式反饋給網(wǎng)絡(luò)維護者，提醒維護人員可能存在攻擊或者異常訪問行為需要注意。

2.1.4防止內(nèi)部信息的泄漏

防火墻可通過對網(wǎng)絡(luò)進行網(wǎng)段劃分，起到對重點或敏感網(wǎng)段進行保護的功能，網(wǎng)絡(luò)劃分后，局部網(wǎng)絡(luò)出現(xiàn)攻擊或者異常行為后并不會影響其他網(wǎng)段中的系統(tǒng)正常運行。

2.2傳統(tǒng)防火墻技術(shù)及其缺陷

2.2.1靜態(tài)包過濾防火墻技術(shù)

互聯(lián)網(wǎng)上傳輸?shù)幕緮?shù)據(jù)單元為IP數(shù)據(jù)包，靜態(tài)包過濾防火墻技術(shù)通過檢測IP數(shù)據(jù)包的包頭信息是否與防火墻內(nèi)置規(guī)則匹配，如果匹配的話，則按路由表進行下一步轉(zhuǎn)發(fā)，如果被規(guī)則拒絕則丟棄，一般數(shù)據(jù)包頭信息包括源/目的IP地址、端口號和協(xié)議類型等，該防火墻主要工作在網(wǎng)絡(luò)層，也存在較多缺陷：（1）由于主要工作在網(wǎng)絡(luò)層，無法有效應(yīng)對網(wǎng)絡(luò)應(yīng)用層或數(shù)據(jù)鏈路層威脅。（2）配置防火墻的內(nèi)置規(guī)則較為繁瑣，對網(wǎng)絡(luò)維護員要求較高。（3）雖能允許和拒絕特定服務(wù)內(nèi)容，但無法理解其上下文環(huán)境和數(shù)據(jù)。（4）不能對用戶級別進行過濾，無法鑒定不同的用戶和防止IP被盜用。

2.2.2狀態(tài)監(jiān)測防火墻技術(shù)

狀態(tài)監(jiān)測防火墻是對傳統(tǒng)防火墻的擴展，基于網(wǎng)絡(luò)的連接狀態(tài)及信息進行網(wǎng)絡(luò)監(jiān)測，把屬于同一連接的數(shù)據(jù)包看作一個整體數(shù)據(jù)流，構(gòu)成連接狀態(tài)表，再與定義好的規(guī)則表配合，對表中的各個連接狀態(tài)加以識別，不僅能監(jiān)測網(wǎng)絡(luò)外部攻擊，同時也能檢測較強的內(nèi)部惡意攻擊，主要缺陷是由于配置過于復(fù)雜，對網(wǎng)絡(luò)速率造成較大影響。

2.2.3應(yīng)用級防火墻

應(yīng)用級防火墻對校園內(nèi)外部網(wǎng)絡(luò)應(yīng)用連接請求先進行監(jiān)測，然后幫助其連接相關(guān)服務(wù)器，使成功連接上服務(wù)器。同時具備日志功能，可以記錄安全漏洞的信息并進行檢查，應(yīng)用級防火墻具備對訪問信息進行強認證技術(shù)，保證數(shù)據(jù)內(nèi)容的安全，防止惡意病毒的攻擊，安全性能較高，但也有相關(guān)缺陷存在：（1）由于防火強要經(jīng)過應(yīng)用層進行連接，導(dǎo)致應(yīng)用層負載增加，使網(wǎng)絡(luò)的處理速度下降。（2）由于防火墻需要管理訪問的連接請求，所以每當(dāng)出現(xiàn)新的服務(wù)內(nèi)容，需要重新設(shè)置防火墻配置，維護較為繁瑣。

2.3基于分布式防火墻技術(shù)及其應(yīng)用

2.3.1分布式防火墻技術(shù)概述

分布式防火墻是一種新型防火墻技術(shù)，構(gòu)成分布式防火墻的物理上多個實體形成一個邏輯防火墻，主要包括網(wǎng)絡(luò)防火墻、主機防火墻和中心管理服務(wù)器3個部分，分布式防火墻通過管理中心制定接入控制策略，然后把接入控制策略語言編譯成內(nèi)部格式策略文件，通過系統(tǒng)管理工具分發(fā)各個物理防火墻實體，各個物理防火墻實體根據(jù)這些防火策略對各個系統(tǒng)進行保護。

2.3.2基于校園網(wǎng)絡(luò)的分布式防火墻結(jié)構(gòu)及特點

基于校園網(wǎng)的分布式防火墻由幾部分構(gòu)成：（1）校園網(wǎng)部門網(wǎng)絡(luò)防火墻主要負責(zé)校園內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的防護，同時也兼具內(nèi)部網(wǎng)絡(luò)之間的防護，防止來自內(nèi)部網(wǎng)絡(luò)的惡意攻擊。（2）校園網(wǎng)部門主機防火墻主要是指安裝在服務(wù)器或者主機系統(tǒng)內(nèi)部的防火墻，用于其系統(tǒng)的監(jiān)測防護。（3）校園分布式防火墻的網(wǎng)絡(luò)管理中心是校園分布式防火墻的核心，雖然分布式防火墻的各個實體可能在不同的位置發(fā)揮防護作用，但是其防護策略還是統(tǒng)一由網(wǎng)絡(luò)管理中心制定和管理。

相對于傳統(tǒng)防火墻，基于分布式防火墻的校園網(wǎng)絡(luò)的特點是：

（1）保障了校園網(wǎng)絡(luò)的統(tǒng)一管理，通過網(wǎng)絡(luò)中心制定統(tǒng)一的安全制度和策略，并對相關(guān)管理人員進行統(tǒng)一培訓(xùn)。

（2）由于傳統(tǒng)防火墻技術(shù)單一的接入控制點，造成了網(wǎng)絡(luò)安全和可靠性較低，而分布防火墻不存在此類問題，并且消除了結(jié)構(gòu)性瓶頸問題，提高了網(wǎng)絡(luò)速率。

（3）分布式防火墻的擴展性能較好，由于是通過多個物理分離的實體構(gòu)成一個邏輯防火墻，這樣對于學(xué)校網(wǎng)絡(luò)合并變更來說有較好的適應(yīng)性。

3結(jié)語

本文首先分析校園網(wǎng)絡(luò)面對的常用安全風(fēng)險，然后綜述應(yīng)對這些風(fēng)險的防火墻技術(shù)的原理及其技術(shù)演進。防火墻技術(shù)在應(yīng)對校園網(wǎng)絡(luò)安全方面將發(fā)揮越來越重要的作用，并且隨著網(wǎng)絡(luò)的逐步發(fā)展，防火墻技術(shù)也在不斷變革以適應(yīng)其變化及帶來的挑戰(zhàn)。