基于校園網(wǎng)的防火墻技術(shù)應用研究

王曉雨1,2

(1.武漢理工大學 計算機學院,湖北 武漢 430063;2.荊楚理工學院 計算機工程學院,湖北 荊門 448000)

摘要:防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的一項重要技術(shù),該文針對當前校園網(wǎng)應用中所遇到的問題,提出了幾種解決的方法,并重點闡述了防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應用。

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)34-9659-02

Based on Campus Net to Application and Research of Firewall Technology

WANG Xiao-yu1,2

(1.Computer School, Wuhan University of Technology, Wuhan 430063, China; 2.Computer Engineering College, Jingchu University of Technology, Jingmen 448000, China)

Abstract: The firewall technology is one of important technology in network safety field. This article proposed some methods to solve the safe problem in campus net,and elaborated with emphasis the firewall technology and its application in campus network safety.

Key words: campus net; network safety; firewall

隨著因特網(wǎng)的快速普及與高速發(fā)展,校園網(wǎng)已經(jīng)成為每個學校必備的信息基礎(chǔ)設(shè)施之一,但是在我們共享校園網(wǎng)帶來方便的同時,一些不安全的因素嚴重影響校園網(wǎng)網(wǎng)絡(luò)的正常運行, 因此如何保證校園網(wǎng)絡(luò)的正常運行已經(jīng)成為當前校園網(wǎng)建設(shè)中不可忽視的問題。

1 校園網(wǎng)絡(luò)安全

1.1 校園網(wǎng)的安全隱患

目前的校園網(wǎng)絡(luò)大都是利用Internet技術(shù)構(gòu)建并與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇各類攻擊的風險。首先,Internet的共享性和開放性使網(wǎng)上信息安全存在先天不足,因為其賴以生存的TCP/IP協(xié)議,缺乏相應的安全機制,而Internet最初的設(shè)計基本沒有考慮安全問題。此外,隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門”也不可避免地存在,比如我們常用的操作系統(tǒng),無論Windows還是Unix等幾乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才讓黑客有了可乘之機。另外,來自校園網(wǎng)絡(luò)內(nèi)部的安全隱患也不容忽視,且大多數(shù)校園網(wǎng)用戶的安全意識淡薄,具體表現(xiàn)在:密碼設(shè)置過于簡單;不經(jīng)常用殺毒軟件掃描和刪除病毒;不對殺毒軟件和防火墻軟件進行及時更新;不經(jīng)常掃描系統(tǒng)漏洞并打上補丁;使用移動存儲介質(zhì)時不事先用殺毒軟件進行掃描;運行或打開不明來歷的文件或郵件;經(jīng)常瀏覽帶有色情的網(wǎng)站或惡意網(wǎng)站等等。

1.2 校園網(wǎng)絡(luò)安全的解決方法

1.2.1 防火墻技術(shù)

利用防火墻,我們可以將校園網(wǎng)絡(luò)和Internet分開,在防火墻中設(shè)置網(wǎng)絡(luò)通信時的訪問控制尺度,只有防火墻允許訪問的用戶和數(shù)據(jù)能進入校園網(wǎng)絡(luò)內(nèi)部,同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止黑客訪問校園網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)的重要信息。同時配置智能信息過濾系統(tǒng),既過濾掉外部不良信息的訪問,又杜絕內(nèi)部不良信息的泛濫。

1.2.2 入侵檢測技術(shù)

入侵檢測是防火墻的合理補充。防火墻屬于靜態(tài)的安全防御技術(shù),對于網(wǎng)絡(luò)日新月異的攻擊手段缺乏主動的反應,而入侵檢測屬于動態(tài)的安全技術(shù),能幫助系統(tǒng)主動的對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力,包括安全審計、監(jiān)視、進攻識別和響應等等,提高了校園網(wǎng)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測技術(shù)在不影響網(wǎng)絡(luò)的情況下能對網(wǎng)絡(luò)進行檢測分析,從而對內(nèi)部攻擊、外部攻擊和誤操作進行實時識別和響應,有效地監(jiān)視、審計、評估網(wǎng)絡(luò)系統(tǒng)。

1.2.3 建立網(wǎng)絡(luò)病毒防護體系

校園網(wǎng)絡(luò)中的病毒防護體系主要分為服務器的防護和工作站的防護。病毒防護體系中的服務器端產(chǎn)品,應該具有實時病毒監(jiān)控功能,遠程安裝、遠程調(diào)用功能,病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等功能。網(wǎng)絡(luò)工作站的病毒防護位于學校防毒體系中的最底層,對學校計算機用戶而言,也是最后一道防、殺病毒的要塞。

1.2.4 合理地劃分VLAN、綁定IP地址和MAC地址

根據(jù)學校各部門職能的不同將校園網(wǎng)劃分成不同的VLAN,把各部門或?qū)嶒炇矣行У馗綦x開。由于一個VLAN內(nèi)部的廣播和單播流量不會轉(zhuǎn)發(fā)到其它VLAN中,所以有助于控制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)的安全性。同時,對學校內(nèi)使用靜態(tài)IP地址上網(wǎng)的機器進行IP地址和MAC地址的綁定,這可以解決校園網(wǎng)內(nèi)IP地址盜用的問題。

1.2.5 使用加密技術(shù)和虛擬專用網(wǎng)(VPN)技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩?/p>

TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸,為了防止重要信息在網(wǎng)絡(luò)上被截獲、竊聽,應該對網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)進行加密。VPN能夠在公共網(wǎng)絡(luò)中為兩臺通信的計算機建立一個邏輯上的安全通道,通過數(shù)據(jù)加密和身份認證使得數(shù)據(jù)包即使被截獲也不容易被破譯,提供了很好的安全性。VPN可以在學校分校區(qū)、外出師生等與校園網(wǎng)之間建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

1.2.6 數(shù)據(jù)備份與用戶管理

為了維護校園網(wǎng)的安全,必須對重要資料進行備份,以防止因各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進而遭受重大損失。校園網(wǎng)安全除了先進的技術(shù),還必須要有嚴格、合理和有效的安全管理來支持和補充。首先,必須要建立一套嚴格的安全管理制度;其次,加強對教師和學生網(wǎng)絡(luò)安全的教育和培訓,增強網(wǎng)絡(luò)安全意識;再次,規(guī)范上網(wǎng)場所,過濾有害信息;最后,培養(yǎng)一支具有安全管理意識和管理技能的校園網(wǎng)管理隊伍。

2 防火墻技術(shù)

防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,能阻擋來自外部網(wǎng)絡(luò)的入侵,對校園網(wǎng)的安全具有特殊的意義。根據(jù)防火墻的功能及采用的機制的不同,可將防火墻分為以下幾種類型:包過濾防火墻、代理服務器防火墻、狀態(tài)檢測防火墻。

2.1 包過濾防火墻

包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制列表。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費用。所以在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應用層的惡意侵入。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾防火墻。

2.2 代理服務器防火墻

代理服務器防火墻是工作在OSI的最高層,即應用層, 掌握著應用系統(tǒng)中可用作安全決策的全部信息。代理服務器防火墻是校園內(nèi)部網(wǎng)與外部網(wǎng)的隔離點,通過對每種應用服務編制專門的代理程序,起著監(jiān)視和隔絕應用層通信流的作用。代理服務器是一種基于用戶的身份認證來控制流量進出的技術(shù)。校園網(wǎng)絡(luò)內(nèi)部所有的主機向外的訪問請求,都被代理服務器截獲,在請求主機的身份得到確認后,代理服務器將代表內(nèi)部主機將訪問請求轉(zhuǎn)發(fā)給外部的服務器,同時,也將外部的服務器的應答轉(zhuǎn)交給內(nèi)部的主機。在這種方式中,內(nèi)部主機被代理服務器保護,不能與外部發(fā)生任何連接,將校園網(wǎng)絡(luò)與公用網(wǎng)絡(luò)完全隔離,增加了安全性。

代理服務器防火墻的優(yōu)點是安全性較高,對付基于應用層的侵入和病毒都十分有效。但是也有其不足的地方,主要表現(xiàn)在以下三方面:1)容易成為校園網(wǎng)絡(luò)向外訪問的瓶頸;2)對系統(tǒng)的整體性能有較大的影響,代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復雜性;3)工作于應用層,對DoS攻擊等基于底層協(xié)議漏洞的攻擊無抵抗。

2.3 狀態(tài)檢測防火墻

狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務器防火墻的優(yōu)點。比包過濾防火墻更加安全,比代理服務器防火墻能提供更好的性能?，F(xiàn)在的防火墻產(chǎn)品大多數(shù)都是狀態(tài)檢測防火墻。在狀態(tài)檢測防火墻中,維護著一個狀態(tài)表,狀態(tài)表中記錄著所有的網(wǎng)絡(luò)連接的會話信息。通過對狀態(tài)表應用安全策略來控制通過防火墻的所有流量。當一個連接開始時,將該連接的會話信息記錄在狀態(tài)表中,如果安全策略允許該連接,則轉(zhuǎn)發(fā)連接的流量,返回的流量要與狀態(tài)表中已存在的會話信息進行比較,如果不匹配,則丟棄掉這個連接。連接的會話信息包括:源、目的TCP/UDP 端口號,TCP序列號,TCP標記,TCP會話狀態(tài),UDP流量跟蹤等。包過濾防火墻對流量的控制是靜態(tài)的,它只根據(jù)事先設(shè)定的訪問控制列表,決定是允許或拒絕該流量,而不關(guān)心該流量以前的、今后的連接狀態(tài)。而狀態(tài)檢測防火墻對流量的控制是動態(tài)的,是針對連接的,所以在狀態(tài)檢測防火墻中通過欺騙一個TCP會話獲得訪問權(quán)的現(xiàn)象幾乎不可能發(fā)生。

狀態(tài)檢測防火墻一般有幾個接口,一個用來連接校園網(wǎng)絡(luò),稱為內(nèi)部接口;一個用來連接公用網(wǎng)絡(luò),稱為外部接口;一個用來連接一些向公用網(wǎng)絡(luò)提供服務的服務器,稱為DMZ接口。內(nèi)部接口的安全級別最高,外部接口的安全級別最低,DMZ接口的安全級別處在內(nèi)部接口和外部接口之間。

3 防火墻技術(shù)在校園網(wǎng)中的應用

在比較幾種防火墻性能的基礎(chǔ)上并結(jié)合自身校園網(wǎng)的特點,我校采用福建銳捷公司提供的銳捷RG-WALL防火墻。該防火墻采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法設(shè)計支持擴展的狀態(tài)檢測技術(shù),具備高性能的網(wǎng)絡(luò)傳輸功能,不受策略數(shù)和會話數(shù)多少的影響,產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度;同時在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作,因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外,RG-WALL具有入侵監(jiān)測功能,可判斷攻擊并且提供解決措施,且入侵監(jiān)測功能不會影響防火墻的性能。

具體實施是在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺RG-WALL160A防火墻,成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS對外服務器連接在防火墻的DMZ區(qū),與內(nèi)、外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機,外網(wǎng)口通過路由器與Internet連接。這樣,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等),既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對外部不良資源的濫用,并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性:1)根據(jù)校園網(wǎng)安全策略和安全目標,規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則;2)將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊;3)在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表,防止IP地址被盜用;4)定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄;5)允許通過配置網(wǎng)卡對防火墻設(shè)置,提高防火墻管理安全性。

4 結(jié)束語

防火墻作為校園網(wǎng)的第一道重要的安全屏障,也不是萬能的,不能保證絕對安全,例如,防火墻不能防范人為攻擊、誤操作、口令泄露造成的安全問題;不能防止有安全隱患的軟件或文件的傳輸;也不能防范不經(jīng)由防火墻的攻擊等。所以為了保障校園網(wǎng)的安全,還需要結(jié)合其他安全技術(shù)的使用,也不能忽視用戶安全教育、提高管理人員技術(shù)素養(yǎng)等方面的工作。

參考文獻:

[1] Hare C, Siyan K.防火墻與網(wǎng)絡(luò)安全[M].劉成勇,劉明剛,譯.北京:機械工業(yè)出版社,1998.

[2] 曾湘黔.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].重慶:重慶大學出版社,2005.

[3] 何武紅.防火墻技術(shù)發(fā)展與應用[J].計算機安全,2005(5):23-25.