□陳 瑞

( 山西廣播電視大學(xué)，山西 太原 030027)

防火墻技術(shù)在校園網(wǎng)安全中的應(yīng)用

□陳 瑞

(山西廣播電視大學(xué)，山西太原030027)

隨著數(shù)字化校園的建設(shè)和發(fā)展，網(wǎng)絡(luò)信息的安全問題日益突出，為了保證校園網(wǎng)絡(luò)的安全，防火墻技術(shù)作為目前維護計算機網(wǎng)絡(luò)安全、抵御網(wǎng)絡(luò)攻擊的主要手段被廣泛應(yīng)用。通過對校園網(wǎng)絡(luò)安全問題的分析，詳細闡述了防火墻的相關(guān)技術(shù)，以及在網(wǎng)絡(luò)中防火墻安全部署提出了一些意見和看法。

校園網(wǎng)；防火墻；網(wǎng)絡(luò)安全

網(wǎng)絡(luò)信息化時代下，校園網(wǎng)的應(yīng)用已經(jīng)滲透到學(xué)校的教學(xué)、管理和科研當(dāng)中，已成為學(xué)校發(fā)展建設(shè)必不可少的一部分；在其給師生帶來極大方便的同時，網(wǎng)絡(luò)安全問題也相對日益突出；因此，構(gòu)建校園網(wǎng)絡(luò)安全體系，改善網(wǎng)絡(luò)應(yīng)用環(huán)境刻不容緩，而防火墻技術(shù)是目前維護計算機網(wǎng)絡(luò)安全，抵御網(wǎng)絡(luò)攻擊的主要手段，在建立網(wǎng)絡(luò)安全體系過程中被廣泛應(yīng)用。

一、校園網(wǎng)絡(luò)安全存在的威脅

校園網(wǎng)絡(luò)的安全問題日益突出，常見的安全威脅主要集中在以下幾個方面：

系統(tǒng)漏洞、病毒和木馬。Windows操作系統(tǒng)作為常用的操作系統(tǒng)，其漏洞很多，針對其漏洞的攻擊也時有發(fā)生，輕則盜取數(shù)據(jù)信息，重則使系統(tǒng)癱瘓；病毒和木馬等一些惡意代碼常寄生于合法軟件下破壞數(shù)據(jù)、盜取信息等，讓人防不勝防。

校園網(wǎng)內(nèi)外的攻擊。由于網(wǎng)絡(luò)攻擊技術(shù)手段門檻降低，校外用戶通過黑客攻擊工具對網(wǎng)絡(luò)進行拒絕服務(wù)攻擊、Ddos攻擊、系統(tǒng)代理攻擊等或者通過系統(tǒng)漏洞傳播病毒、木馬，對網(wǎng)絡(luò)設(shè)備和系統(tǒng)進行破壞。而校內(nèi)用戶則利用其授權(quán)的便利，通過嘗試訪問、攻擊探測等手段對內(nèi)部網(wǎng)絡(luò)越權(quán)訪問，攻擊校園網(wǎng)系統(tǒng),干擾校園網(wǎng)的安全運行。

網(wǎng)絡(luò)訪問速度。即流量分配不均，在校園網(wǎng)內(nèi)，學(xué)生和教師在不同時間段使用，應(yīng)用的服務(wù)不同，服務(wù)所占用的帶寬不同，比如學(xué)生文件共享、傳統(tǒng)FTP服務(wù)、HTTP服務(wù)、遠程教育、視頻點播、在線語音、網(wǎng)絡(luò)游戲、P2P應(yīng)用等都占用了大量的網(wǎng)絡(luò)帶寬，如果沒有對用戶分類、分時段、分應(yīng)用進行管控，將嚴重影響著一些正常的使用。

技術(shù)管理與制度建設(shè)。由于網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全技術(shù)在不斷升級，有些高校重運行、輕管理，對技術(shù)人員培養(yǎng)缺乏足夠的重視和培養(yǎng)，導(dǎo)致技術(shù)人員操作不規(guī)范，管理不當(dāng)?shù)仍斐刹《緜鞑シ簽E、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等網(wǎng)絡(luò)安全故障。

新的網(wǎng)絡(luò)安全威脅。隨著大數(shù)據(jù)、云計算等新技術(shù)的廣泛應(yīng)用和無線校園網(wǎng)絡(luò)的全面覆蓋，校園網(wǎng)又面臨著新的安全威脅，比如：云主機資源共享將導(dǎo)致資源被搶占和數(shù)據(jù)的丟失，無線網(wǎng)絡(luò)安全面臨著無線密碼篡改、網(wǎng)絡(luò)竊聽等威脅。

二、防火墻關(guān)鍵技術(shù)

訪問控制技術(shù)。主要包括入網(wǎng)訪問控制、權(quán)限控制、目錄級安全控制、屬性安全控制和服務(wù)器安全控制等。入網(wǎng)訪問控制主要是針對用戶名的識別和驗證、用戶口令的識別和驗證、用戶賬號的默認限制檢查；權(quán)限控制是給用戶分組進行用戶管理的控制；目錄級安全控制和屬性安全控制是目錄的讀寫權(quán)限和具體文件復(fù)制、刪除、執(zhí)行等權(quán)限；服務(wù)器安全控制是設(shè)定服務(wù)器登錄時間限制、設(shè)置口令鎖定服務(wù)器控制臺、非法訪問檢測和關(guān)閉的時間間隔等控制。

NAT技術(shù)。即地址轉(zhuǎn)換技術(shù)，是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，可以解決公網(wǎng)地址不足的問題，還可以起到隱藏真實地址的目的，為網(wǎng)絡(luò)訪問提供安全防護。NAT有靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換和端口多路復(fù)用這三種類型。靜態(tài)地址轉(zhuǎn)換是將私有IP地址一對一地轉(zhuǎn)換成公有IP地址，來實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問；動態(tài)地址轉(zhuǎn)換是將私有IP地址轉(zhuǎn)換為公有IP地址，這個公有IP地址是不確定的，隨機的，私有IP地址可隨機轉(zhuǎn)換為任何指定的公有IP地址；而端口多路復(fù)用即端口地址轉(zhuǎn)換，采用端口多路復(fù)用方式改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，內(nèi)部所有IP地址可共享一個外部IP地址實現(xiàn)對Internet的訪問。

VPN技術(shù)。即虛擬專用網(wǎng)絡(luò)，綜合隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)為用戶建立VPN專網(wǎng)。其功能是可以在充分利用已有公共網(wǎng)絡(luò)資源、降低網(wǎng)絡(luò)建設(shè)成本的基礎(chǔ)上建立安全、有保障的通信通道，滿足安全傳輸、保護業(yè)務(wù)數(shù)據(jù)等需求。

Web應(yīng)用防火墻技術(shù)。Web應(yīng)用防火墻技術(shù)是集Web防護、網(wǎng)頁保護、負載均衡、應(yīng)用交付于一體的Web整體防火墻技術(shù)，能夠事前風(fēng)險管理、實時攻擊防護、事后數(shù)據(jù)保護以及應(yīng)用交付。事前可以對網(wǎng)頁通過漏洞掃描、掛馬掃描、網(wǎng)頁篡改掃描和違法信息掃描等技術(shù)手段進行預(yù)警；事中針對Web攻擊、Ddos攻擊、病毒木馬、網(wǎng)頁篡改等進行防護；事后生成攻擊統(tǒng)計報表、漏洞統(tǒng)計報表、病毒統(tǒng)計報表、掛馬統(tǒng)計報表、頁面篡改統(tǒng)計報表、違法信息統(tǒng)計報表、訪問行為統(tǒng)計報表等，然后進行審計。還可以進行網(wǎng)站優(yōu)化，比如網(wǎng)頁加速、負載均衡、訪問行為分析、網(wǎng)站故障監(jiān)控。

虛擬防火墻技術(shù)。防火墻以虛擬機形式部署在虛擬化平臺上，采用在虛擬化網(wǎng)絡(luò)中部署虛擬化防火墻的方式來解決網(wǎng)絡(luò)內(nèi)部通信及內(nèi)部與外部通信的安全防護問題。具有傳統(tǒng)硬件防火墻的身份認證與授權(quán)、訪問控制、應(yīng)用層內(nèi)容檢測、網(wǎng)絡(luò)攻擊監(jiān)測與防護、病毒防護、日志與報警等安全防護功能。包括防火墻虛擬化、虛擬化防火墻和虛擬化接入技術(shù)等三種類型。

防火墻虛擬化。將一臺防火墻設(shè)備在邏輯上劃分成多臺虛擬防火墻，每臺虛擬防火墻都可以被看成是一臺完全獨立的防火墻設(shè)備，有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證、數(shù)據(jù)庫等。

虛擬化防火墻。防火墻以虛擬機的形式部署在虛擬化平臺上，并通過虛擬化平臺接入引擎獲得虛擬化平臺的網(wǎng)絡(luò)通信數(shù)據(jù)，從而對所有虛擬化之間及虛擬化平臺本身的網(wǎng)絡(luò)通信進行防護。虛擬防火墻關(guān)聯(lián)到相應(yīng)的VLAN中提供和在網(wǎng)絡(luò)中的物理防火墻一樣的功能。

虛擬化接入技術(shù)。在傳統(tǒng)VPN接入的應(yīng)用形式中，通過虛擬化技術(shù)與遠程接入技術(shù)相融合，遠程終端與應(yīng)用服務(wù)器之間完成隧道建立，為遠程接入終端提供虛擬應(yīng)用與虛擬桌面功能。

下一代防火墻技術(shù)。下一代防火墻技術(shù)其實就是各種安全技術(shù)的融合，集成身份認證、流量管理、上網(wǎng)行為管理DOS防護、反垃圾郵件及負載均衡等功能，內(nèi)置URL分類庫、病毒檢測、攻擊檢測智能過濾引擎，集成了安全準(zhǔn)入控制功能，能夠全面應(yīng)對應(yīng)用層面高性能防火墻的威脅，全方位應(yīng)用層洞察與控制、一體化應(yīng)用層威脅防護、一體化安全策略、智能化主動防御、完備的基礎(chǔ)防火墻特性、應(yīng)用層數(shù)據(jù)防泄漏、高性能單路徑異構(gòu)并行引擎、全網(wǎng)設(shè)備集中管理以及鏈路的負載均衡等，有靈活、豐富的高可用性。

三、防火墻技術(shù)的應(yīng)用

網(wǎng)絡(luò)中部署防火墻，在考慮設(shè)備選型、接入位置、接入方式等的同時，通過NAT、應(yīng)用層控制、入侵檢測與防護、病毒防護等策略，為用戶提供有效的安全保障，通過日志、流量統(tǒng)計等為用戶提供安全審計信息。

(一)設(shè)備選型

主要根據(jù)日常數(shù)據(jù)并發(fā)數(shù)和吞吐量來選擇適合校園網(wǎng)絡(luò)環(huán)境的防火墻，還應(yīng)該具備支持多種接入方式、同時支持IPV4、IPV6功能，以滿足不同網(wǎng)絡(luò)環(huán)境接入的需求。

(二)部署防火墻

通常是將防火墻放置在被保護網(wǎng)絡(luò)資源的前方，將防火墻放置在能夠發(fā)揮其效率并符合整體網(wǎng)絡(luò)策略的位置，能夠?qū)崟r的監(jiān)控和管理。基于校園網(wǎng)具體應(yīng)用，一般情況防火墻部署在出口路由和核心交換機之間，對外可以過濾，對內(nèi)可以防護。當(dāng)然也可以選擇旁路部署或者在線部署。

(三)工作模式的選擇

工作模式大致可分為路由模式、透明模式和混合模式。假設(shè)其他設(shè)備已配置完成，用戶通過防火墻—路由器訪問互聯(lián)網(wǎng)，防火墻需設(shè)置相應(yīng)的NAT規(guī)則及相關(guān)路由，防火墻模式為路由模式；假設(shè)其他設(shè)備都已配置完成，用戶通過路由器—防火墻—路由器訪問互聯(lián)網(wǎng)，防火墻在整個網(wǎng)絡(luò)環(huán)境的位置是不改變原先拓撲結(jié)構(gòu), 則防火墻模式設(shè)置為透明模式，且安全規(guī)則設(shè)置為包過濾規(guī)則；假設(shè)其它設(shè)備都已配置完成，用戶通過路由器—防火墻—路由器訪問互聯(lián)網(wǎng)，防火墻需設(shè)置相應(yīng)的包過濾和NAT規(guī)則，且防火墻模式為混合模式。根據(jù)校園網(wǎng)實際網(wǎng)絡(luò)拓撲結(jié)構(gòu)、實際需求選擇合適的模式進行接入。

(四)訪問控制策略

設(shè)置DMZ。DMZ即隔離區(qū)，可以解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。針對DMZ做策略可以有效地起到其它有權(quán)限用戶在外網(wǎng)情況下能訪問內(nèi)網(wǎng)資源，也適應(yīng)于移動辦公的網(wǎng)絡(luò)環(huán)境。

配置NAT。通過一對一或者一對多的內(nèi)網(wǎng)地址與公網(wǎng)地址的轉(zhuǎn)換，解決公網(wǎng)地址不足的問題，還可以起到隱藏真實地址的目的，為網(wǎng)絡(luò)訪問提供相應(yīng)的安全防護。有效地將一臺內(nèi)部網(wǎng)絡(luò)主機通過NAT訪問互聯(lián)，而該主機本身暴露在一個未實施過濾的區(qū)域中。提供的是一個簡單的、無安全機制的環(huán)境，但是能保證其中的主機能被因特網(wǎng)完全訪問，可以更加有效的保護內(nèi)部網(wǎng)絡(luò)。

攻擊檢測與防護。抵擋來自外部網(wǎng)絡(luò)的漏洞掃描、拒絕服務(wù)攻擊、SQL注入攻擊、木馬攻擊、惡意代碼植入等攻擊，協(xié)議分析、模式識別、統(tǒng)計閾值和流量異常監(jiān)視等綜合技術(shù)手段來判斷入侵行為，發(fā)現(xiàn)并阻斷并匯總網(wǎng)絡(luò)惡意攻擊，包括溢出攻擊、RPC攻擊、CGI攻擊、拒絕服務(wù)、木馬、蠕蟲、系統(tǒng)漏洞等網(wǎng)絡(luò)攻擊行為。并提供相應(yīng)的報警功能，提醒技術(shù)人員及時發(fā)現(xiàn)，及時處理。

網(wǎng)絡(luò)訪問控制。針對端口過濾、過濾審計、URL攔截、Ddos攻擊等，針對不同應(yīng)用服務(wù)區(qū)的管控，VLAN的設(shè)置與管控等。通過包過濾技術(shù)、會話狀態(tài)監(jiān)測、基于內(nèi)容的過濾等監(jiān)測報文的網(wǎng)絡(luò)層和傳輸層信息，監(jiān)測報文的應(yīng)用層內(nèi)容。結(jié)合時間對象、區(qū)域?qū)ο?、地址對象、服?wù)對象、訪問URL、長連接等，實現(xiàn)全方位控制。

應(yīng)用層控制。針對網(wǎng)站、郵件服務(wù)器等其他應(yīng)用服務(wù)對應(yīng)用內(nèi)容進行分析、過濾，比如Web過濾、郵件過濾、反垃圾郵件等。針對具體應(yīng)用的識別和控制，同時設(shè)置相應(yīng)的病毒防護、入侵防護、應(yīng)用軟件過濾、URL過濾及協(xié)議控制。

病毒防護。通過防火墻的相應(yīng)配置，依托專業(yè)的病毒特征庫等可以隔離病毒，預(yù)防病毒的入侵。采用流過濾、透明代理等方式，為常見網(wǎng)絡(luò)協(xié)議如：HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議和POP3協(xié)議等提供病毒防護。

安全報警。設(shè)置安全報警策略，比如：郵件報警、NETBIOS報警、聲音報警、短信報警、控制臺報警等。當(dāng)設(shè)備本身發(fā)生故障、或者管理員預(yù)定義的安全事件發(fā)生時觸發(fā)報警，管理員就能及時處理。

身份認證與授權(quán)。防火墻可以作為認證服務(wù)器，為用戶提供認證服務(wù)，也可以作為中轉(zhuǎn)，與第三方認證服務(wù)器協(xié)作，完成用戶名口令、動態(tài)口令、證書、生物特征等用戶認證。結(jié)合其它訪問控制策略，對用戶的網(wǎng)絡(luò)行為進行管控。

對認證用戶的特征進行標(biāo)識，對其網(wǎng)絡(luò)訪問資源進行明確、清晰的授權(quán)，并進行后期管控。比如：部署身份認證與授權(quán)以后，結(jié)合其他訪問控制策略，僅有認證成功、獲得訪問權(quán)限的用戶方可訪問后臺數(shù)據(jù)庫區(qū)域，且有詳細的日志記錄，其他來訪均會被防火墻拒絕，從而在一定程度上起到保護后臺數(shù)據(jù)庫的作用。

流量控制。在網(wǎng)絡(luò)資源有限的情況下，各類應(yīng)用搶奪網(wǎng)絡(luò)帶寬，因此需要通過一定的策略來保證網(wǎng)絡(luò)服務(wù)質(zhì)量，即QOS，可以通過保證傳輸帶寬、降低傳輸延時、降低丟包率及延時抖動等措施來提高網(wǎng)絡(luò)服務(wù)質(zhì)量。針對具體的校園網(wǎng)應(yīng)用情況部署QOS策略，比如：對于一些P2P應(yīng)用、在線視頻和網(wǎng)絡(luò)游戲等較低的應(yīng)用，可以限制其網(wǎng)絡(luò)帶寬與優(yōu)先級。為正常教學(xué)、科研等重要活動提供帶寬保證，保障其網(wǎng)絡(luò)通信順暢。

雙機熱備。當(dāng)主防火墻發(fā)生Down機、硬件故障、網(wǎng)絡(luò)鏈路故障時，從防火墻替代主防火墻，自動切換成工作狀態(tài)。采用VRRP協(xié)議完成主從狀態(tài)的協(xié)商及心跳維護。及時提供備用方案，避免數(shù)據(jù)通信中斷發(fā)生，有效增強網(wǎng)絡(luò)連接的穩(wěn)定性、可靠性。

(五)下一代防火墻的應(yīng)用

在硬件層面，下一代防火墻基于高性能多核架構(gòu)，通過與安全操作系統(tǒng)平臺的有機融合，在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)、應(yīng)用層處理及數(shù)據(jù)加解密等。將流量按會話的方式動態(tài)均衡到CPU的各個核心，從而確保整個CPU執(zhí)行效率最大化。在軟件層面，下一代防火墻使各種安全技術(shù)相融合，內(nèi)置URL分類庫、病毒檢測、攻擊檢測對網(wǎng)絡(luò)進行全面防御；集成身份認證、流量管理、上網(wǎng)行為管理DOS防護、反垃圾郵件及負載均衡等功能，借助一體化智能過濾引擎，通過將用戶身份認證、應(yīng)用指紋識別與內(nèi)容特征檢測同意整合到訪問控制策略中，對網(wǎng)絡(luò)環(huán)境進行全面防護。在網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)中，下一代防火墻還可以與以前舊的網(wǎng)絡(luò)安全設(shè)備相融合，舊網(wǎng)絡(luò)安全設(shè)備可以作為下一代防火墻的熱備設(shè)備，還可以通過其具有的特殊功能作為下一代防火墻的技術(shù)補充。

當(dāng)然，在設(shè)備的選型、安裝以及配置策略方面，應(yīng)從校園實際應(yīng)用出發(fā)，結(jié)合校園網(wǎng)絡(luò)建設(shè)具體情況，選擇配制防火墻，抵御來自外部網(wǎng)絡(luò)黑客攻擊與不法入侵，保證校園網(wǎng)絡(luò)的安全穩(wěn)定運行。

四、結(jié)語

綜上所述，防火墻技術(shù)作為目前網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最常用的安全技術(shù)，在保障計算機網(wǎng)絡(luò)安全、維護校園網(wǎng)正常運行起到很大作用。但防火墻也有很多不足，比如：可以阻斷攻擊，但不能消滅攻擊源；不能預(yù)防及處理新的攻擊漏洞；防火墻內(nèi)部攻擊等。通過防火墻技術(shù)的不斷發(fā)展和建立完善的安全管理制度可以使網(wǎng)絡(luò)更安全。

[1] 張志超.網(wǎng)絡(luò)防火墻技術(shù)淺析 [J]. 黑龍江科技信息,2015(18).

[2] 本刊編輯部.信息安全[J].中國計算機報,2016(4).

[3] 甘露，余清.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實際應(yīng)用[J].科技展望,2016(18).

TheApplicationofFirewallTechnologyinCampusNetworkSecurity

ChenRui
(ShanxiTVUniversity,Taiyuan,Shanxi, 030027)

With the construction and development of digital campus, the security problems of network information have become increasingly prominent. In order to ensure the safety of the campus network, firewall technology, as a main method, is widely used to maintain the computer network security and defend the network attack. Through analyzing the problems of campus network security, this paper expounds the related technologies of firewall, and puts forward some opinions and views on firewall security deployment in network.

campus network; firewall; network security

2017—09—05

山西廣播電視大學(xué)2016年度科研課題“山西廣播電視大學(xué)校園網(wǎng)安全系統(tǒng)改造方案”(SXKT201609)階段性成果

陳 瑞(1981—)，男，山西朔州人，山西廣播電視大學(xué)，碩士，講師。

TP393.08

B

1008—8350(2017)04—0100—04

本文責(zé)編：趙鳳媛