徐健

摘? ?要：高職院校校園網(wǎng)絡(luò)安全建設(shè)是一項復(fù)雜、龐大的系統(tǒng)工程。防火墻作為校園網(wǎng)與外部網(wǎng)的唯一出入口，是校園網(wǎng)絡(luò)安全的關(guān)鍵控制環(huán)節(jié)。文章主要圍繞防火墻技術(shù)在高職院校校園網(wǎng)中的應(yīng)用進行分析，以供參考。

關(guān)鍵詞：高職院校;校園網(wǎng);防火墻技術(shù)

當(dāng)前，互聯(lián)網(wǎng)技術(shù)發(fā)展迅速，已然成為智慧校園建設(shè)中不可缺少的一部分，給學(xué)校運行帶來便利的同時，也造成了一些負面影響，計算機在使用過程中經(jīng)常會遭受黑客或病毒的惡意攻擊，給學(xué)校的正常運行造成了非常嚴重的干擾。對于高職校園網(wǎng)來說，想要避免校園內(nèi)網(wǎng)各種數(shù)據(jù)服務(wù)器的安全及信息被惡意篡改等情況，必須要建立安全的網(wǎng)絡(luò)體系，采取防火墻技術(shù)，增強校園網(wǎng)的防護能力，有效保障校園信息安全。

1? ? 防火墻技術(shù)

防火墻是外部網(wǎng)絡(luò)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)之間的安全防護系統(tǒng)，此種系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)包進行掃描和分析之后，能夠自動過濾網(wǎng)絡(luò)攻擊，阻止未經(jīng)授權(quán)的用戶進入內(nèi)部網(wǎng)絡(luò)系統(tǒng)，顯著提升內(nèi)部網(wǎng)絡(luò)安全防護等級。防火墻技術(shù)本質(zhì)上是一種應(yīng)用性安全技術(shù)，主要建立在信息安全技術(shù)及通信網(wǎng)絡(luò)技術(shù)的基礎(chǔ)之上，當(dāng)前被更多地用在公用網(wǎng)絡(luò)系統(tǒng)與專用網(wǎng)絡(luò)系統(tǒng)的互聯(lián)環(huán)境中。

從邏輯上來看，可將防火墻視為一種限制器，也可視為一種分離器或者分析器，應(yīng)用防火墻能夠有效監(jiān)控互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)的任何行為活動，保障內(nèi)部網(wǎng)絡(luò)系統(tǒng)的運行安全。從系統(tǒng)組成上來看，防火墻可以依賴軟件實現(xiàn)系統(tǒng)建立，可以依賴硬件實現(xiàn)系統(tǒng)建立，也可以同時借助硬件和軟件建立系統(tǒng)。從防火墻系統(tǒng)的部署來看，可以是主機防火墻模式、網(wǎng)絡(luò)邊界防火墻模式，也可以是終端設(shè)備防火墻模式。防火墻這道安全技術(shù)屏障，能夠有效預(yù)防破壞性或者難以預(yù)測的網(wǎng)絡(luò)入侵。

通常情況下，外部網(wǎng)絡(luò)和內(nèi)部系統(tǒng)之間的全部網(wǎng)絡(luò)信息數(shù)據(jù)的傳輸都需要通過防火墻系統(tǒng)，而只有符合網(wǎng)絡(luò)安全控制要求的信息數(shù)據(jù)才能在傳輸過程中通過防火墻系統(tǒng)，防火墻系統(tǒng)在運行過程中本身具有較強的攻擊防御能力，其系統(tǒng)中應(yīng)用了高新信息安全技術(shù)，例如現(xiàn)代密碼技術(shù)等。一般來說，防火墻系統(tǒng)的人機界面相對來說比較友善，便于用戶后續(xù)實施配置管理[1]。

2? ? 防火墻技術(shù)類型

2.1? 代理服務(wù)器型防火墻技術(shù)

代理服務(wù)器型防火墻技術(shù)類型具有較強的網(wǎng)絡(luò)安全維護能力。系統(tǒng)借助服務(wù)器的運行，有效輔助網(wǎng)絡(luò)用戶完成各項任務(wù)，此種防火墻系統(tǒng)在應(yīng)用過程中要針對用戶的不同需求指出針對性代理，完成一對一指令模式。內(nèi)部網(wǎng)絡(luò)系統(tǒng)和外部網(wǎng)絡(luò)之間進行信息傳遞時必須要經(jīng)由代理審核管控，內(nèi)部網(wǎng)絡(luò)系統(tǒng)只接受代理的單方指令，防御模式相對來說比較嚴格，容易對內(nèi)部網(wǎng)絡(luò)的功能應(yīng)用造成干擾，防御過程比較復(fù)雜。

2.2? 包過濾型防火墻技術(shù)

包過濾型防火墻技術(shù)主要借助路由器裝置進行工作。此種防火墻系統(tǒng)可以根據(jù)不同的數(shù)據(jù)包實施自動分析，判斷數(shù)據(jù)的來源以及數(shù)據(jù)傳輸?shù)哪繕?biāo)地址是否符合安全標(biāo)準，最終做出允許通行或者禁止通行的判斷[2]。此類防火墻安裝難度較低，無需過多運營費用，但是該防火墻系統(tǒng)不存在系統(tǒng)登錄審核及用戶認證等功能，因此安全防御能力一般。

2.3? 應(yīng)用級網(wǎng)關(guān)防火墻技術(shù)

應(yīng)用級網(wǎng)關(guān)類型的防火墻系統(tǒng)能夠針對網(wǎng)絡(luò)中的資料、信息及數(shù)據(jù)進行核查，根據(jù)核查結(jié)果分析危險系數(shù)，從而防范和抵御潛在網(wǎng)絡(luò)風(fēng)險，減少系統(tǒng)中的安全隱患，但是此種防火墻技術(shù)與過濾型防火墻技術(shù)存在相似之處，因此在應(yīng)用過程中稍有不慎可能會出現(xiàn)信息泄露的情況。

3? ? 高職院校校園網(wǎng)絡(luò)安全當(dāng)前面臨的主要威脅

3.1? 共享資源信息泄露

高職院校的校園網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容主要包括校園一卡通、財務(wù)、科研、教學(xué)及辦公自動化（Office Automation，OA）辦公等。為便于師生間實現(xiàn)資源共享，校園網(wǎng)絡(luò)需要經(jīng)常進行網(wǎng)絡(luò)共享資源的部署，在此期間，部分高職院校由于缺少保密意識和嚴格的訪問控制措施，很容易出現(xiàn)重要信息泄露的情況。

3.2? 病毒入侵

對于高職院校校園網(wǎng)絡(luò)系統(tǒng)來說，計算機病毒入侵是影響其系統(tǒng)安全的重要因素之一，校內(nèi)師生日常進行的網(wǎng)絡(luò)下載、U盤使用、電子郵件的收發(fā)等都有可能成為病毒入侵的渠道。當(dāng)前一些不法人員受到利益的驅(qū)動，從事計算機黑色產(chǎn)業(yè)，制造病毒襲擊，盜竊校園網(wǎng)系統(tǒng)中的用戶賬號和密碼，進而獲取重要信息，造成系統(tǒng)中大量數(shù)據(jù)丟失、硬件受損、網(wǎng)絡(luò)運行受阻，嚴重情況下甚至造成整個校園網(wǎng)絡(luò)系統(tǒng)的癱瘓。

3.3? 黑客攻擊

高職院校的校園網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)相互連接，互聯(lián)網(wǎng)為廣大師生服務(wù)的同時，也面臨著潛在的安全隱患。當(dāng)前黑客攻擊技術(shù)也在不斷變化，越來越復(fù)雜，且破壞性不斷增強，此類網(wǎng)絡(luò)襲擊往往會造成較大損失，影響范圍廣，后續(xù)的技術(shù)修復(fù)難度較高，一旦遭受此種攻擊，技術(shù)人員需要付出大量精力進行防御和系統(tǒng)修復(fù)。

3.4? 內(nèi)部用戶攻擊

內(nèi)部用戶主要是高職院校內(nèi)的學(xué)生團體，由于其對于校園網(wǎng)的內(nèi)部結(jié)構(gòu)和運行模式相對來說比較了解，且對于網(wǎng)絡(luò)技術(shù)充滿好奇，部分學(xué)生為滿足好奇心，對校園網(wǎng)絡(luò)進行攻擊，不僅會造成校園資料信息泄露，還會影響校內(nèi)網(wǎng)絡(luò)運行秩序，降低了網(wǎng)絡(luò)的安全性，也加大了網(wǎng)絡(luò)安全維護的工作量，造成人力、物力資源浪費。

3.5? 網(wǎng)絡(luò)安全管理缺陷

高職院校校園網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜，有著相對龐大的用戶群體，因此系統(tǒng)管理難度較大，系統(tǒng)中信息數(shù)據(jù)量大、系統(tǒng)運行速度高，具有較強的階段性特征。部分院校對于校園網(wǎng)絡(luò)安全的管理工作并未給予充分重視，導(dǎo)致系統(tǒng)安全問題頻頻發(fā)生，嚴重影響校園網(wǎng)絡(luò)系統(tǒng)的正常使用，也使得院校承受了一定的經(jīng)濟損失。

4? ? 高職校校園網(wǎng)防火墻技術(shù)的應(yīng)用

4.1? 漏洞掃描技術(shù)的應(yīng)用

漏洞掃描技術(shù)是防火墻系統(tǒng)中的常見安全防御技術(shù)之一，利用此種技術(shù)，能夠?qū)⒏呗氃盒Ｐ@網(wǎng)絡(luò)系統(tǒng)的真實地址進行隱藏，這樣一來，一方面能夠更好地保存系統(tǒng)內(nèi)部的專用IP地址，另一方面還能有效抵御外網(wǎng)的惡意入侵。

4.2? IP地址保護技術(shù)的應(yīng)用

IP地址保護技術(shù)的應(yīng)用主要是為了對系統(tǒng)內(nèi)部用戶訪問非法網(wǎng)絡(luò)的行為實施限制，借助以太網(wǎng)地址和IP地址實施檢測，在內(nèi)部網(wǎng)絡(luò)系統(tǒng)的連續(xù)端口處接受數(shù)據(jù)信息。如果發(fā)現(xiàn)數(shù)據(jù)包應(yīng)用的IP地址存在異常，為盜用IP地址，那么此時會對該數(shù)據(jù)包實施自動攔截，阻止其進入到內(nèi)部系統(tǒng)的服務(wù)器當(dāng)中。與此同時，防火墻系統(tǒng)會對該數(shù)據(jù)包進行詳細記錄，如果校園網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)相連，內(nèi)部系統(tǒng)接收的信息存在IP地址盜用或者地址偽造的情況，防火墻系統(tǒng)也會立即實施攔截，并進行記錄。

為了避免內(nèi)部系統(tǒng)IP地址遭受盜用，可以在校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)中應(yīng)用交換式集線器裝置，在系統(tǒng)的各個端口中都設(shè)置好相應(yīng)的以太網(wǎng)地址以及相應(yīng)的規(guī)范IP地址[3]。該技術(shù)的應(yīng)用能夠有效保護內(nèi)部系統(tǒng)的IP地址，效果非常顯著，但是美中不足的是技術(shù)運營費用偏高，投入成本較大，因此部分高校尚難以普及應(yīng)用。此外，應(yīng)用代理服務(wù)器防火墻技術(shù)，或者對IP地址實施捆綁處理，也能起到保護校園內(nèi)部網(wǎng)絡(luò)IP地址的作用，這種方式投入成本較低，應(yīng)用范圍相對廣泛。

4.3? 非法訪問攔截技術(shù)的應(yīng)用

一般來說，如果網(wǎng)絡(luò)系統(tǒng)用戶進行非法訪問，有很大概率會夾帶計算機病毒，為此，如果實現(xiàn)了系統(tǒng)中對于非法網(wǎng)絡(luò)地址的攔截，要立即對校園網(wǎng)絡(luò)路由器的存取列表實施調(diào)整，并立即攔截所有非法訪問。在此過程中，可在校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)和以太網(wǎng)連接的路由器裝置中設(shè)置相應(yīng)的控制組，然后引入相關(guān)指令符，用于非法網(wǎng)絡(luò)細致的篩選。插入的指令本質(zhì)上是用于實現(xiàn)路由器裝置的動態(tài)控制，該指令通過控制系統(tǒng)登錄到路由器裝置之后，能夠?qū)β酚善餮b置進行合理配置調(diào)整，在最短時間內(nèi)完成人工配置。由此可見，應(yīng)用TEHETSOCKE指令能夠成功編制出仿真程序，這種程序相當(dāng)于專門針對CISCO的人工仿真指令類型。插入存取控制表主要依賴DENY，因此在實施仿真程序編制的時候必須要應(yīng)用同樣的CISCO控制表項文件，將控制目標(biāo)放置到既定配置文件之后，才能實現(xiàn)路由器裝置的配置傳輸。

4.4? 透明防火墻技術(shù)的應(yīng)用

計算機病毒發(fā)展和傳播十分迅速，傳統(tǒng)的防火墻已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要，很多傳統(tǒng)的防火墻對于普通病毒和黑客攻擊無法做到有效預(yù)防。所以，采取透明防火墻技術(shù)，可以在沒有IP的情況下有效防止黑客對校園網(wǎng)的入侵和攻擊[4]。透明防火墻可以根據(jù)MAG地址選擇路由器，實現(xiàn)對IP地址以及MAC地址對應(yīng)網(wǎng)絡(luò)端口的靜態(tài)設(shè)置，配置對應(yīng)表，由管理員配置，降低IP被盜用的風(fēng)險。

4.5? 入侵檢測技術(shù)的應(yīng)用

要確保校園網(wǎng)絡(luò)安全，保護校園內(nèi)部資料和信息安全，可以采取入侵檢測技術(shù)，將該技術(shù)在防火墻系統(tǒng)中設(shè)定，做好信息和數(shù)據(jù)隔離，限制校園內(nèi)網(wǎng)中不同部門互訪，維護重要信息數(shù)據(jù)安全，防止信息泄露。同時，應(yīng)將重要資料數(shù)據(jù)的存儲與校園網(wǎng)斷開，從根本上做好防護工作，避免被黑客盜取，造成信息外泄。

5? ? 結(jié)語

為了保證校園內(nèi)網(wǎng)的安全，需要繼續(xù)不斷探索創(chuàng)新，通過培訓(xùn)學(xué)習(xí)加強高職院校校園網(wǎng)絡(luò)運維人員的技術(shù)水平，熟練運用防火墻技術(shù)的應(yīng)用，在今后的網(wǎng)絡(luò)安全工作中將積極探索防火墻技術(shù)的應(yīng)用，充分對防火墻技術(shù)進行詳細分析與改進，使防火墻的安全防護優(yōu)勢得以充分發(fā)揮，從而提高高職校園網(wǎng)絡(luò)安全性。

[參考文獻]

[1]翟麗.現(xiàn)代網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用[J].電腦知識與技術(shù)，2018（12）：28-29.

[2]尹文皓.基于高校校園網(wǎng)絡(luò)安全技術(shù)及相關(guān)應(yīng)用探索[J].網(wǎng)絡(luò)安全，2018（26）：80，90.

[3]郭俊葳.校園計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（7）：15-16.

[4]周靈，伍曉平.芻議校園計算機常見網(wǎng)絡(luò)安全問題及其解決方法[J].現(xiàn)代信息科技，2018（5）：150-151.

Application of firewall technology in campus network of higher vocational college

Xu Jian

（Lianyungang TCM Branch of Jiangsu Union Technical Institute， Lianyungang 222007， China）

Abstract：The campus network security construction of higher vocational college is a complex and huge system engineering. As the only access of campus network and external network， firewall is the key control link of campus network security. This paper mainly analyzes the application of firewall technology in campus network of higher vocational colleges for reference.

Key words：higher vocational colleges; campus network; firewall technology