孟治強(qiáng)

摘要：隨著“互聯(lián)網(wǎng)+”教育的推進(jìn)，高校網(wǎng)絡(luò)安全日漸得到重視。然而作為多數(shù)高校網(wǎng)絡(luò)安全的第一道防線“防火墻”卻并沒有得到充分的利用，多數(shù)院校從初始化配置之后就再未管理過。該文介紹了高校網(wǎng)絡(luò)防火墻最常見的配置應(yīng)用，對(duì)如何更加高效的使用網(wǎng)絡(luò)防火墻進(jìn)行論述。

關(guān)鍵詞：網(wǎng)絡(luò)防火墻；配置；管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）25-0026-02

1 網(wǎng)絡(luò)防火墻的部署問題綜述

為保證內(nèi)網(wǎng)所有數(shù)據(jù)流量均通過防火墻過濾，從而保護(hù)內(nèi)網(wǎng)用戶的安全，一般情況下防火墻均部署在網(wǎng)絡(luò)出口位置，上接路由器或鏈路負(fù)載均衡設(shè)備，下接三層核心交換機(jī)。防火墻的接口一般分為三類：內(nèi)網(wǎng)口、外網(wǎng)口和DMZ口，校園網(wǎng)中網(wǎng)絡(luò)防火墻的部署如下圖所示：

內(nèi)網(wǎng)口用于連接內(nèi)網(wǎng)交換機(jī)，通常是核心交換，負(fù)責(zé)轉(zhuǎn)發(fā)內(nèi)網(wǎng)數(shù)據(jù)；外網(wǎng)口用于連接外網(wǎng)，或是路由設(shè)備的接口；DMZ口用于連接內(nèi)網(wǎng)服務(wù)器，這個(gè)區(qū)域的設(shè)備或服務(wù)對(duì)外網(wǎng)公開，但通過配置可以隱藏內(nèi)部地址。

防火墻的管理方式有兩種：命令行和WebGUI。通常情況下命令行管理模式的權(quán)限是最高的，防火墻廠商不對(duì)用戶公開；防火墻用戶采取分級(jí)管理，一般包含超級(jí)管理員、系統(tǒng)管理員和日志管理員。

2 網(wǎng)絡(luò)防火墻常用的配置

2.1策略配置

防火墻策略是網(wǎng)絡(luò)安全管理中最常用的方式。策略配置通常分為三個(gè)步驟：

（1） 定義對(duì)象

對(duì)象即需要控制的源地址和目的地址，通常代表用戶或訪問者，也可以代表某個(gè)城市或是主機(jī)，表示需要控制的范圍。

（2） 定義服務(wù)

服務(wù)通常是需要控制的時(shí)間段、或是某些特殊的端口，用于精確控制對(duì)象的某個(gè)方面，如在某個(gè)時(shí)間段不允許訪問某個(gè)固定地址等。

（3） 定義規(guī)則

規(guī)則即對(duì)象與策略的集合，將對(duì)象和服務(wù)結(jié)合在一起，定義允許和禁止某對(duì)象的特定服務(wù)，多個(gè)規(guī)則結(jié)合在一起構(gòu)成策略。

規(guī)則的執(zhí)行按照自上而下的順序，如兩條規(guī)則的所涉及的范圍有重復(fù)，則跳過下一條規(guī)則中所規(guī)定的，因此在日常防火墻的管理中，新定義的規(guī)則一般放在最上面，保證被優(yōu)先執(zhí)行，而制定新規(guī)則之后若原有服務(wù)出現(xiàn)異常，則應(yīng)該檢查是否是新規(guī)則在制定時(shí)是否對(duì)原有策略產(chǎn)生了影響。例如定義內(nèi)網(wǎng)中的網(wǎng)段10.0.1.1/24不能訪問某網(wǎng)站http：//www.hacker.cn需要兩條規(guī)則（不考慮其他規(guī)則的條件下），定義規(guī)則如下：

策略生效后，如10.0.0.0網(wǎng)段用戶訪問的是http：//www.hacker.cn，則匹配第一條規(guī)則，禁止訪問；而訪問其他的地址的網(wǎng)站或其他服務(wù)，則匹配第二條規(guī)則，允許通過。兩條規(guī)則相結(jié)合生成了這一策略。

2.2網(wǎng)絡(luò)地址轉(zhuǎn)換配置

網(wǎng)絡(luò)地址轉(zhuǎn)換配置在防火墻中主要有兩個(gè)作用：首先是隱藏內(nèi)部地址，主要作用于內(nèi)網(wǎng)服務(wù)器對(duì)外公開，通過網(wǎng)絡(luò)地址轉(zhuǎn)換將內(nèi)網(wǎng)地址隱藏起來，起到一定的保護(hù)作用；其次網(wǎng)絡(luò)地址轉(zhuǎn)換用于解決共有IP地址不足的問題，將內(nèi)網(wǎng)私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)中通用的IPV4地址，也就是源地址轉(zhuǎn)換和目的地址。

源地址轉(zhuǎn)換一般用于內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)，防火墻統(tǒng)一將私有IP地址轉(zhuǎn)換成指定的公網(wǎng)IP，例如學(xué)校的外網(wǎng)IP是218.95.46.65，則內(nèi)網(wǎng)所有用戶的訪問Internet時(shí)都統(tǒng)一轉(zhuǎn)換成該IP地址。目的地址轉(zhuǎn)換則是當(dāng)外網(wǎng)用戶訪問DMZ區(qū)中的某個(gè)服務(wù)器時(shí)，防火墻根據(jù)訪問的服務(wù)請(qǐng)求，將數(shù)據(jù)包送至對(duì)應(yīng)提供服務(wù)的主機(jī)。

2.3 其他功能配置

高校購買的防火墻通常都會(huì)有很多高級(jí)功能，如反垃圾郵件、內(nèi)容過濾、入侵防御等，多數(shù)高校都只是應(yīng)用了防火墻最基本的功能，而對(duì)這部分功能缺乏開發(fā)和應(yīng)用的經(jīng)驗(yàn)。實(shí)際上如果高校能夠很好地配置使用這些功能，對(duì)整個(gè)校園網(wǎng)的安全提升會(huì)起到非常重要的作用。如利用反垃圾郵件系統(tǒng)過濾垃圾郵件、使用內(nèi)容過濾屏蔽非法網(wǎng)站的關(guān)鍵字，進(jìn)行入侵防御等都能大大提高校園網(wǎng)絡(luò)安全。

3 網(wǎng)絡(luò)防火墻后期的管理與維護(hù)問題

3.1 管理策略

3.1.1 不斷完善安全策略

很多高校網(wǎng)絡(luò)防火墻的安全策略都是產(chǎn)品購買時(shí)廠家工程師依據(jù)客戶要求設(shè)置了，經(jīng)過多年的使用，原有的策略已經(jīng)不能滿足安全的需要，對(duì)于最新發(fā)現(xiàn)的木馬、蠕蟲病毒也沒有進(jìn)一步的策略防護(hù)，因此需要管理員根據(jù)實(shí)際情況不斷調(diào)整安全策略，及時(shí)封堵最新具有安全威脅的地址和端口。

3.1.2 建立日志系統(tǒng)

日志系統(tǒng)是安全防護(hù)的最后一道關(guān)卡，它在安全管理中占據(jù)十分重要的地位。但是很多高校并沒有十分重視日志系統(tǒng)的建立，導(dǎo)致入侵發(fā)生后無據(jù)可查。實(shí)際上由于防火墻是整個(gè)網(wǎng)絡(luò)的唯一出口，利用防火墻建立一個(gè)日志系統(tǒng)將會(huì)在管理工作中起到事半功倍的作用。具體的做法是指定一臺(tái)專用的服務(wù)器，通過第三方軟件在防火墻上采集相應(yīng)的數(shù)據(jù)，通過局域網(wǎng)傳送到日志服務(wù)器上。

3.2 維護(hù)策略

3.2.1 賬號(hào)維護(hù)

賬號(hào)維護(hù)是防火墻維護(hù)中的一項(xiàng)重要任務(wù)，主要包括權(quán)限維護(hù)和密碼維護(hù)兩個(gè)方面的內(nèi)容。權(quán)限維護(hù)是指管理員賬戶應(yīng)該分級(jí)管理，出現(xiàn)不同分工時(shí)應(yīng)該及時(shí)調(diào)整賬號(hào)權(quán)限；而密碼維護(hù)則是要求各管理員至少每三個(gè)月就應(yīng)更換一次密碼，密碼應(yīng)包含字母、數(shù)字和字符串并且保證8位以上。

3.2.2 備份管理

防火墻的備份管理也是維護(hù)工作中的重要一環(huán)，當(dāng)發(fā)生系統(tǒng)故障時(shí)可以及時(shí)通過備份迅速恢復(fù)配置，保證網(wǎng)絡(luò)的順暢運(yùn)行。備份的頻率是至少保證每月1次，配置發(fā)生變動(dòng)時(shí)應(yīng)及時(shí)備份，并且應(yīng)該將備份文件放置在異地服務(wù)器上，避免防火墻硬件發(fā)生損壞時(shí)能及時(shí)從服務(wù)器中找回原有配置。

4 網(wǎng)絡(luò)防火墻常見的故障及解決方案

4.1OS故障

網(wǎng)絡(luò)防火墻的OS一般都比較穩(wěn)定，出現(xiàn)故障的概率較小，但是系統(tǒng)升級(jí)時(shí)比較容易出現(xiàn)OS故障。筆者工作時(shí)使用的防火墻在系統(tǒng)升級(jí)時(shí)就曾經(jīng)發(fā)生過系統(tǒng)故障，升級(jí)完成后不能正常工作，恢復(fù)原有系統(tǒng)后通訊正常，原因一般都是OS來源不當(dāng)或是在傳輸過程中部分文件丟失，因此在升級(jí)時(shí)應(yīng)該通過廠家進(jìn)行并在升級(jí)前做好備份工作。

4.2配置故障

配置故障發(fā)生的主要原因是因?yàn)楹芏喔咝９芾韱T將防火墻同路由器等同配置，雖然防火墻在某些功能上可以替代路由器，但其在轉(zhuǎn)發(fā)效率上是遠(yuǎn)低于路由器的，并且很多配置也不盡相同，管理員只有充分掌握防火墻的原理和配置方法后才能在實(shí)際工作中盡量少失誤。因此我們配置防火墻時(shí)如發(fā)生配置故障應(yīng)迅速恢復(fù)原有配置保證網(wǎng)絡(luò)通暢，再查找配置上的錯(cuò)誤。

5 小結(jié)

本文從網(wǎng)絡(luò)防火墻的部署、常用配置、管理與維護(hù)和常見故障與解決方案四個(gè)方面討論了高校網(wǎng)絡(luò)防火墻的配置與管理工作，網(wǎng)絡(luò)管理員應(yīng)充分掌握本校網(wǎng)絡(luò)防火墻的管理方法，不斷調(diào)整安全策略，盡量避免故障的發(fā)生，才能最大限度地保障校園網(wǎng)絡(luò)安全的運(yùn)行。

參考文獻(xiàn)：

[1] 姚爽.計(jì)算機(jī)安全與防火墻技術(shù)[J].電子技術(shù)與軟件工程，2016，（9）223.

[2] 蔣遠(yuǎn)輝，閆保權(quán).高校網(wǎng)絡(luò)防火墻部署應(yīng)用[J].信息通信，2016，（4）184-185.

[3] 代曉黎.防火墻技術(shù)在維護(hù)校園網(wǎng)絡(luò)應(yīng)用分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（6）31-32.