楊秋葉 杜慧 劉清毅

摘要：高校作為我國科學(xué)研究的重要基地，對(duì)網(wǎng)絡(luò)信息的需求越來越迫切。我國各大高校都建立了自己的校園網(wǎng)，其規(guī)模在日益擴(kuò)大，校園網(wǎng)為教師和其他科研工作者帶來很多便利，同時(shí)很多教職員工也在擔(dān)心校園網(wǎng)安全所帶來的不利影響。本文在分析校園網(wǎng)安全隱患基礎(chǔ)上，介紹防火墻在校園網(wǎng)安全中的作用及技術(shù)原理，針對(duì)我校校園網(wǎng)的網(wǎng)絡(luò)拓?fù)涮攸c(diǎn)，提出相應(yīng)的校園網(wǎng)防火墻安全策略。

關(guān)鍵詞：防火墻技術(shù) 網(wǎng)絡(luò)安全 校園網(wǎng)

0 引言

21世紀(jì)是網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)的應(yīng)用已經(jīng)遍布到人類生活的各個(gè)角落，它改變?nèi)藗兊纳罘绞胶凸ぷ鞣绞?，極大的提高了人們的工作效率和社會(huì)生產(chǎn)力。網(wǎng)絡(luò)給人們的生活和工作帶來便利的同時(shí)，也給基于網(wǎng)絡(luò)為基礎(chǔ)的信息安全帶來隱患。網(wǎng)絡(luò)在設(shè)計(jì)之初注重了網(wǎng)絡(luò)設(shè)備之間以及網(wǎng)絡(luò)設(shè)備與終端設(shè)備之間的兼容和互通，強(qiáng)調(diào)信息在各種設(shè)備之間互通交流的便捷性，卻忽視了網(wǎng)絡(luò)本身所存在的一系列安全問題，隨著互聯(lián)網(wǎng)規(guī)模在全球迅速壯大，網(wǎng)絡(luò)的安全性能成為人們非常關(guān)注的一個(gè)問題。校園網(wǎng)作為互聯(lián)網(wǎng)的一個(gè)組成部分，它所采用的信息交換協(xié)議是開放的網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)之初只是突出了通訊功能，并沒有強(qiáng)調(diào)安全保障，因此，校園網(wǎng)中的安全問題也變得日益嚴(yán)峻。

相對(duì)于互聯(lián)網(wǎng)而言，校園網(wǎng)是一個(gè)局限于學(xué)校內(nèi)部的局域網(wǎng)，該局域網(wǎng)通過一個(gè)或多個(gè)網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)相連，從而實(shí)現(xiàn)校園網(wǎng)內(nèi)部與外部的信息交流。為了提高校園網(wǎng)的安全性能，現(xiàn)在應(yīng)用最為廣泛的網(wǎng)絡(luò)安全技術(shù)就是防火墻技術(shù)，防火墻是校園網(wǎng)內(nèi)部和外部分割的第一道安全防線，合理的劃分校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)，正確的設(shè)置防火墻設(shè)備，可以有效降低校園網(wǎng)的安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)的正常運(yùn)行。

1 校園網(wǎng)中存在的安全問題

1.1 硬件方面的安全隱患 網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)、傳輸和訪問離不開網(wǎng)絡(luò)物理設(shè)備的正常運(yùn)行，因此，網(wǎng)絡(luò)硬件的安全是整個(gè)校園網(wǎng)正常運(yùn)行的基礎(chǔ)。除了網(wǎng)絡(luò)硬件本身沒有故障外，我們還得關(guān)注網(wǎng)絡(luò)設(shè)備正常運(yùn)行的物理環(huán)境，比如物理隔離網(wǎng)絡(luò)設(shè)備、適宜的溫度、濕度環(huán)境、合適的電壓、電流，以及防火、防盜、防雷、防震等措施，都是網(wǎng)絡(luò)硬件方面安全所要考慮的內(nèi)容。

1.2 軟件方面的安全隱患 操作系統(tǒng)及網(wǎng)絡(luò)軟件本身的缺陷。操作系統(tǒng)是我們的系統(tǒng)軟件，它的規(guī)模隨著我們的應(yīng)用功能增加在急劇增大，導(dǎo)致操作系統(tǒng)本身不可避免地存在這樣或那樣的安全漏洞，同時(shí)，雖然大家已經(jīng)意識(shí)到網(wǎng)絡(luò)安全的重要性，在網(wǎng)絡(luò)軟件的設(shè)計(jì)和開發(fā)中增加了保障網(wǎng)絡(luò)安全的機(jī)制，但跟其他軟件一樣，網(wǎng)絡(luò)軟件也會(huì)因?yàn)殚_發(fā)者的疏忽遺留安全漏洞，這些是網(wǎng)絡(luò)不安全的重要因素。目前有很多黑客技術(shù)已被人們所熟知，有些黑客會(huì)專門研究并發(fā)現(xiàn)系統(tǒng)中的安全漏洞，通過黑客技術(shù)盜用或更改未經(jīng)授權(quán)的服務(wù)器上的資料，給企業(yè)或個(gè)人造成重大損失。由于黑客技術(shù)隱蔽性好，破壞性強(qiáng)，目前又缺乏強(qiáng)有力的跟蹤和監(jiān)管手段，黑客已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅之一。

2 防火墻技術(shù)

2.1 防火墻的作用 防火墻是被設(shè)置在不同網(wǎng)絡(luò)連接處用以分割不同網(wǎng)絡(luò)安全的一組部件。它可以監(jiān)測(cè)、限制、更改通過防火墻的數(shù)據(jù)流，對(duì)外部網(wǎng)絡(luò)而言，防火墻盡可能的屏蔽網(wǎng)絡(luò)內(nèi)部的相關(guān)信息，以此來確保網(wǎng)絡(luò)內(nèi)部的信息安全。沒有防火墻的網(wǎng)絡(luò)，外網(wǎng)的非法用戶可以直達(dá)內(nèi)網(wǎng)的某臺(tái)計(jì)算機(jī)或服務(wù)器，網(wǎng)絡(luò)的安全性就只能依靠計(jì)算機(jī)或服務(wù)器本身的安全機(jī)制，在網(wǎng)絡(luò)中設(shè)置防火墻，就是在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置了一道關(guān)卡，增加非法用戶獲悉內(nèi)網(wǎng)結(jié)構(gòu)及運(yùn)行狀況的難度，從而提高內(nèi)網(wǎng)的安全性能。

2.2 防火墻技術(shù)原理 防火墻技術(shù)一般包括下列四種基本類型：

數(shù)據(jù)包過濾類型防火墻技術(shù)。這種防火墻技術(shù)被應(yīng)用在網(wǎng)絡(luò)層，在網(wǎng)絡(luò)層進(jìn)行數(shù)據(jù)包的選擇。在系統(tǒng)內(nèi)部設(shè)置包過濾邏輯，也就是訪問控制表，當(dāng)網(wǎng)絡(luò)中傳遞來一個(gè)數(shù)據(jù)包之后，首先檢查該數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等是否符合過濾邏輯，以此來判斷該數(shù)據(jù)包是否通過防火墻進(jìn)入內(nèi)網(wǎng)。這種防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用等優(yōu)點(diǎn)，但也存在缺乏安全認(rèn)證機(jī)制、數(shù)據(jù)加密機(jī)制的不足，非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊，同時(shí)數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

應(yīng)用級(jí)網(wǎng)關(guān)防火墻技術(shù)。該防火墻技術(shù)主要應(yīng)用在網(wǎng)絡(luò)體系結(jié)構(gòu)的應(yīng)用層，在應(yīng)用層建立協(xié)議，對(duì)數(shù)據(jù)包進(jìn)行過濾和轉(zhuǎn)發(fā)。針對(duì)不同的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用特定的數(shù)據(jù)過濾邏輯，同時(shí)對(duì)數(shù)據(jù)包進(jìn)行必要的分析、統(tǒng)計(jì)形成報(bào)告，以確定該數(shù)據(jù)包是否通過防火墻進(jìn)入到網(wǎng)絡(luò)內(nèi)部。應(yīng)用網(wǎng)關(guān)防火墻一般被安裝在專用的工作站上，它與數(shù)據(jù)包過濾防火墻都是通過邏輯判定來確定數(shù)據(jù)包是否進(jìn)入內(nèi)網(wǎng)，一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。

代理服務(wù)防火墻技術(shù)。該技術(shù)主要是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的不足而引入的新的防火墻技術(shù)。它是在防火墻上針對(duì)每一種應(yīng)用都建立兩個(gè)代理服務(wù)，外網(wǎng)的數(shù)據(jù)包先傳輸?shù)椒阑饓ι系耐饩W(wǎng)代理服務(wù)，然后通過設(shè)置的規(guī)則將該數(shù)據(jù)包從外網(wǎng)代理服務(wù)再傳輸?shù)絻?nèi)網(wǎng)的代理服務(wù)，通過內(nèi)網(wǎng)的代理服務(wù)再傳輸?shù)街付ǖ闹鳈C(jī)上，所以該防火墻技術(shù)其實(shí)將鏈路劃分成兩部分，內(nèi)網(wǎng)的數(shù)據(jù)包只與內(nèi)網(wǎng)的代理服務(wù)交互，外網(wǎng)的數(shù)據(jù)包只與外網(wǎng)代理服務(wù)交互，外網(wǎng)的數(shù)據(jù)包要進(jìn)入內(nèi)網(wǎng)或者內(nèi)網(wǎng)的數(shù)據(jù)包要到達(dá)外網(wǎng)，必須通過兩個(gè)代理服務(wù)來交互數(shù)據(jù)包，從而拒絕外部網(wǎng)絡(luò)直接與內(nèi)網(wǎng)連接。這種防火墻提供了比過濾路由器更為嚴(yán)格的安全性，但可能影響網(wǎng)絡(luò)的性能，實(shí)現(xiàn)起來比較復(fù)雜。

3 校園網(wǎng)防火墻設(shè)計(jì)

3.1 校園網(wǎng)拓?fù)浣Y(jié)構(gòu) 校園網(wǎng)是學(xué)校的內(nèi)部網(wǎng)絡(luò)，具有一個(gè)或多個(gè)出口與外網(wǎng)連接。我校包括兩個(gè)物理距離較遠(yuǎn)的校區(qū)，每個(gè)校區(qū)都設(shè)置了相應(yīng)的工作部門，每個(gè)工作部門所處的物理位置比較分散，比如教學(xué)樓、實(shí)驗(yàn)樓、培訓(xùn)樓、圖書館、學(xué)生宿舍、行政樓，每一棟樓內(nèi)部構(gòu)成一個(gè)小的局域網(wǎng)，樓與樓之間連接到校園網(wǎng)的骨干網(wǎng)上，兩個(gè)校區(qū)通過一條光纖相連接，在其中的一個(gè)校區(qū)通過中國電信和中國教育網(wǎng)連接到internet上（如圖1所示）。

■圖1 校園網(wǎng)圖譜結(jié)構(gòu)

整個(gè)校園網(wǎng)的物理拓?fù)浣Y(jié)構(gòu)采用樹形的層次結(jié)構(gòu)進(jìn)行設(shè)計(jì)，既滿足各部門的網(wǎng)絡(luò)需求，也便于我校網(wǎng)絡(luò)管理和故障的維護(hù)，降低校園網(wǎng)網(wǎng)絡(luò)設(shè)備成本，將防火墻設(shè)置在內(nèi)網(wǎng)與外網(wǎng)的連接處，可以提高校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全。在邏輯結(jié)構(gòu)上，我們將校園網(wǎng)劃分成核心層、匯聚層和接入層這三個(gè)層次。

①核心層。核心層的網(wǎng)絡(luò)設(shè)備是我校校園網(wǎng)正常運(yùn)行重要的基礎(chǔ)設(shè)備，它連接著各個(gè)匯聚設(shè)備，如兩個(gè)校區(qū)的核心交換機(jī)就是我校校園網(wǎng)核心層的網(wǎng)絡(luò)設(shè)備。核心層設(shè)備的穩(wěn)定性和數(shù)據(jù)的交換、轉(zhuǎn)發(fā)能力直接影響到整個(gè)校園網(wǎng)的網(wǎng)絡(luò)性能，因此我們?cè)趦蓚€(gè)校區(qū)核心交換機(jī)之間采用冗余的全雙工千兆光纖鏈路，保證各種數(shù)據(jù)在核心層設(shè)備之間高質(zhì)量的傳輸。

②匯聚層。匯聚層設(shè)備是網(wǎng)絡(luò)終端信息傳輸中的匯聚節(jié)點(diǎn)，擔(dān)負(fù)著網(wǎng)絡(luò)接入層和骨干設(shè)備的連接，有著承上啟下的重要任務(wù)，不但要完成接入層的鏈路匯聚和流量匯聚，還要完成本地?cái)?shù)據(jù)的交換以及接入和骨干之間的數(shù)據(jù)轉(zhuǎn)發(fā)，我們?cè)诿總€(gè)樓宇中都設(shè)置一個(gè)或多個(gè)匯聚交換機(jī)，匯聚交換機(jī)與核心交換機(jī)之間以及匯聚交換機(jī)之間都通過高速的光纖鏈路連接，而匯聚交換機(jī)與接入層交換機(jī)或網(wǎng)絡(luò)終端設(shè)備之間采用雙絞線連接，這樣既可以保證網(wǎng)絡(luò)性能，同時(shí)也可以降低網(wǎng)絡(luò)設(shè)備成本。

③接入層。接入層設(shè)備直接與網(wǎng)絡(luò)終端設(shè)備相連，是最終用戶訪問網(wǎng)絡(luò)的直接途徑。

3.2 校園網(wǎng)防火墻安全策略 網(wǎng)絡(luò)安全的原則是允許訪問明確許可的任何一種服務(wù)，拒絕除明確許可外的任何一種服務(wù)，也就是開放校園網(wǎng)提供的服務(wù)，并將未被許可的所有其他服務(wù)排斥在外，禁止訪問。防火墻將網(wǎng)絡(luò)劃分成內(nèi)網(wǎng)、外網(wǎng)和DMZ三個(gè)區(qū)域。

內(nèi)網(wǎng)：是防火墻保護(hù)不被外網(wǎng)用戶非法訪問的區(qū)域，該區(qū)域是防火墻的可信區(qū)域，包括校園網(wǎng)中的所有終端主機(jī)和部分服務(wù)器。

外網(wǎng)：是防火墻需要防范的區(qū)域，對(duì)于內(nèi)網(wǎng)而言，外網(wǎng)是防火墻不可信區(qū)域，該區(qū)域的主機(jī)或其他設(shè)備發(fā)起的訪問都需要經(jīng)過防火墻進(jìn)行審核，審核通過后才能訪問內(nèi)網(wǎng)的資源，從而起到保護(hù)內(nèi)網(wǎng)資源的作用。

DMZ區(qū)域：該區(qū)域也稱為非軍事區(qū)，它是介于內(nèi)網(wǎng)與外網(wǎng)之間的一個(gè)特殊的網(wǎng)絡(luò)區(qū)域。內(nèi)網(wǎng)中的服務(wù)器連接在信任區(qū)端口上，不允許外網(wǎng)進(jìn)行任何訪問，在DMZ區(qū)域內(nèi)放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、Mail、FTP等，這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的機(jī)密數(shù)據(jù)，即使DMZ中服務(wù)器受到破壞，也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。

DMZ可以看做是內(nèi)網(wǎng)的一部分，但又跟內(nèi)網(wǎng)中其他區(qū)域不完全相同，它們的安全級(jí)別是不一樣的。在校園網(wǎng)中，我們將內(nèi)網(wǎng)中存放機(jī)密數(shù)據(jù)的服務(wù)器置于防火墻之后，提高內(nèi)網(wǎng)保護(hù)的安全級(jí)別，拒絕外網(wǎng)直接訪問內(nèi)網(wǎng)中的資源，而DMZ可以放置于路由器與防火墻之間的區(qū)域，利用路由器包過濾功能來保護(hù)DMZ區(qū)域中的服務(wù)器，也可以將DMZ區(qū)域中的服務(wù)器置于防火墻之后，降低該區(qū)域的安全級(jí)別，以便外網(wǎng)能夠訪問到該區(qū)域的公共服務(wù)器。

4 總結(jié)

網(wǎng)絡(luò)的應(yīng)用已經(jīng)涉及到人們生活的方方面面，網(wǎng)絡(luò)安全也越來越得到人們的重視。在校園網(wǎng)中，防火墻技術(shù)的應(yīng)用有效的保護(hù)了內(nèi)網(wǎng)資源不被非法訪問，但是，防火墻技術(shù)也有不盡完美之處，隨著信息技術(shù)的發(fā)展，防火墻技術(shù)和黑客技術(shù)也在不斷進(jìn)步，我們需要不斷根據(jù)實(shí)際情況，改進(jìn)控制策略和法規(guī)，使之更加有效地抵御來自網(wǎng)絡(luò)的攻擊[1]，同時(shí)也要建立健全內(nèi)網(wǎng)安全機(jī)制，避免內(nèi)網(wǎng)用戶惡意破壞網(wǎng)絡(luò)安全[2]，只有將各種安全技術(shù)、管理手段結(jié)合在一起，才能構(gòu)建一個(gè)更加高效、安全、穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]陶甲寅.校園網(wǎng)安全與防范技術(shù)[J].網(wǎng)絡(luò)通訊與安全，2007，100

（1）：64-65.

[2]杜秀娟.FWSM防火墻在校園網(wǎng)絡(luò)安全中的應(yīng)用設(shè)計(jì)[J].電子測(cè)量技術(shù)，2008.4：26-28.

[3]江文.淺議新一代防火墻技術(shù)的應(yīng)用與發(fā)展[J].科學(xué)之友， 2011（08）.

基金項(xiàng)目：陜西廣播電視大學(xué)校級(jí)課題項(xiàng)目，課題編號(hào)：13D-

08-B16。

作者簡(jiǎn)介：楊秋葉（1979-），湖南武岡市人，陜西廣播電視大學(xué)資源建設(shè)與現(xiàn)代教育技術(shù)中心科員，碩士，助理工程師；杜慧（1985-），陜西榆林人，陜西廣播電視大學(xué)資源建設(shè)與現(xiàn)代教育技術(shù)中心科員，碩士，助理工程師；劉清毅（1976-），陜西銅川人，陜西廣播電視大學(xué)資源建設(shè)與現(xiàn)代教育技術(shù)中心科員，工程師。