楊齊成

（安徽廣播電視大學(xué)滁州分校， 安徽 滁州 239000）

由于因特網(wǎng)的普及和計(jì)算機(jī)應(yīng)用的推廣，校園網(wǎng)絡(luò)成為學(xué)校重要的基礎(chǔ)設(shè)備，對(duì)于學(xué)校教學(xué)質(zhì)量的提高以及現(xiàn)代化建設(shè)都具有重要的意義。然而，縱觀校園網(wǎng)絡(luò)的建設(shè)和使用可以發(fā)現(xiàn)，其中存在著較多的安全隱患。學(xué)校在進(jìn)行校園網(wǎng)絡(luò)建設(shè)的過程中，應(yīng)注重防火墻技術(shù)的應(yīng)用，為校園內(nèi)的局域網(wǎng)使用提供更好的安全保障。

一、校園計(jì)算機(jī)網(wǎng)絡(luò)的面臨的主要危險(xiǎn)

對(duì)校園網(wǎng)絡(luò)來講，其面臨的主要有以下三個(gè)方面的威脅：

（一）病毒入侵

網(wǎng)絡(luò)病毒具有隱蔽性強(qiáng)、傳播范圍廣、傳播速度快等特點(diǎn)，一旦校園網(wǎng)絡(luò)聯(lián)機(jī)內(nèi)部的一臺(tái)計(jì)算機(jī)感染上電腦病毒，就會(huì)在短時(shí)間內(nèi)傳播到整個(gè)網(wǎng)絡(luò)系統(tǒng)中，嚴(yán)重時(shí)會(huì)造成整個(gè)網(wǎng)絡(luò)的系統(tǒng)癱瘓，如紅色代碼、冰河等病毒，都會(huì)在瞬時(shí)入侵到整個(gè)校園計(jì)算機(jī)網(wǎng)絡(luò)中，造成重大的安全問題。這些病毒常常以電子郵件、頁面鏈接等方式傳播，并利用用戶的好奇心，或者是在用戶瀏覽黃色淫穢網(wǎng)站時(shí)，不知不覺感染到用戶的計(jì)算機(jī)網(wǎng)絡(luò)上，并在短時(shí)間內(nèi)迅速傳播，導(dǎo)致系統(tǒng)崩盤、數(shù)據(jù)泄露或者是篡改等，嚴(yán)重威脅用戶的信息安全。

（二）網(wǎng)絡(luò)攻擊

中心服務(wù)器是校園計(jì)算機(jī)網(wǎng)絡(luò)的中心，是黑客的重要入侵目標(biāo)之一，一旦其受到黑客的控制，就意味著校園網(wǎng)絡(luò)的整個(gè)系統(tǒng)都處于黑客的控制之中，嚴(yán)重威脅著校園網(wǎng)絡(luò)的安全；此外，學(xué)校通過電子存檔的教學(xué)資料、試題庫、學(xué)生檔案以及招生信息等亦是容易遭受攻擊的重要目標(biāo)，一旦這些信息泄露會(huì)嚴(yán)重影響著學(xué)校的正常管理秩序、教學(xué)質(zhì)量以及信息安全等；校園網(wǎng)絡(luò)內(nèi)部的使用者，如自身擁有較高計(jì)算機(jī)水平的學(xué)生，其由于好奇心或者是不良引導(dǎo)、特殊興趣等也會(huì)嘗試攻擊校園網(wǎng)絡(luò)系統(tǒng)、入侵中心服務(wù)器、盜取教學(xué)資料等，嚴(yán)重影響了校園網(wǎng)絡(luò)的正常運(yùn)行以及信息安全。

（三）不良網(wǎng)絡(luò)信息干擾

很多學(xué)校的校園內(nèi)部局域網(wǎng)絡(luò)都處于相對(duì)開放的狀態(tài)，這就使得校園計(jì)算機(jī)網(wǎng)絡(luò)在正常運(yùn)行和使用的過程中會(huì)面臨形形色色、良莠不齊的網(wǎng)絡(luò)資源，若校園網(wǎng)絡(luò)缺乏相應(yīng)的識(shí)別、過濾及安全認(rèn)證手段，不僅會(huì)造成較多非法資源占用大量的校園網(wǎng)絡(luò)寬帶資源，亦有可能讓學(xué)生接觸到暴力、淫穢色情、反動(dòng)等方面的信息，極大威脅了學(xué)生的身心安全，不利于其健康人格的成長以及正確價(jià)值觀、人生觀、世界觀的形成。

二、傳統(tǒng)防火墻技術(shù)

（一）防火墻的作用

防火墻是保障校園網(wǎng)絡(luò)安全的核心技術(shù)，其具有以下優(yōu)勢(shì)：一是過濾作用，即能防止黑客等非法用戶入侵校園內(nèi)部網(wǎng)絡(luò)、過濾網(wǎng)絡(luò)不安全的服務(wù)以及限制內(nèi)部用戶訪問非法站點(diǎn)；二是網(wǎng)絡(luò)地址變換作用，即能將網(wǎng)絡(luò)地址域映射到另外的網(wǎng)絡(luò)地址域，緩解因特網(wǎng)的IP地址短缺的局面，并對(duì)外隱藏校園內(nèi)部局域網(wǎng)絡(luò)對(duì)外的網(wǎng)絡(luò)結(jié)構(gòu)；三是網(wǎng)絡(luò)安全服務(wù)作用，即防火墻能夠使用特殊的策略對(duì)校園內(nèi)部的局域網(wǎng)絡(luò)的公開服務(wù)器進(jìn)行保護(hù)，將WWW、FTP等作為單獨(dú)的網(wǎng)絡(luò)進(jìn)行處理，將對(duì)外服務(wù)器與校園的內(nèi)部網(wǎng)絡(luò)隔離，這樣即使外部的網(wǎng)絡(luò)服務(wù)器遭受破壞，校園內(nèi)部的局域網(wǎng)絡(luò)亦處于防火墻的安全防護(hù)下；四是對(duì)內(nèi)部用戶實(shí)施口令認(rèn)證、用戶權(quán)限控制等，并對(duì)內(nèi)部網(wǎng)絡(luò)使用者的上網(wǎng)瀏覽情況進(jìn)行記錄。

（二）傳統(tǒng)防火墻技術(shù)

防火墻是校園內(nèi)外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)，其主要是通過將校園的內(nèi)部局域網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離來實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的安全控制。防火墻主要有兩種組成方式：一是由單獨(dú)的硬件構(gòu)成；二是由網(wǎng)絡(luò)路由器以及交換機(jī)中的軟件模塊構(gòu)成。

以進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)的處理辦法為依據(jù)，可以將防火墻分為兩大體系，具體如下：

1.包過濾防火墻

包過濾防火墻主要是基于路由器在網(wǎng)絡(luò)層進(jìn)行工作，其在進(jìn)行網(wǎng)絡(luò)過濾的過程中，主要是以IP分組的IP源地址以及目的地地址、TCP或者是IP的源端口以及目的地端口為過濾規(guī)則，并以此為依據(jù)允許或者是拒絕特定報(bào)文進(jìn)入到校園內(nèi)部的局域網(wǎng)中。例如外部網(wǎng)絡(luò)的用戶向校園內(nèi)部局域網(wǎng)絡(luò)的用戶發(fā)送電子郵件，首先接收電子郵件的是25號(hào)端口，而校園內(nèi)部網(wǎng)絡(luò)的用戶若想查看電子郵件就必須通過登錄23號(hào)端口，并進(jìn)入到中心服務(wù)器的80號(hào)端口，如果校園中心服務(wù)器的管理人員設(shè)定禁止登錄23號(hào)端口，那么關(guān)于電子郵件的數(shù)據(jù)包就會(huì)被攔截，有效防護(hù)了校園內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的使用安全。

這種模式并不使用專業(yè)性的防火墻產(chǎn)品，具有成本低、速度快以及操作方便等方面的特點(diǎn)，但是這種過濾防火墻的安全防御能力較差，很難實(shí)現(xiàn)對(duì)校園內(nèi)部網(wǎng)絡(luò)復(fù)雜的安全防護(hù)，若要提高其對(duì)校園網(wǎng)絡(luò)的防護(hù)功能，就必須在計(jì)算機(jī)的桌面系統(tǒng)配備相應(yīng)的防病毒軟件。

2.代理防護(hù)墻

代理防火墻的工作程序?yàn)?，首先?duì)外來網(wǎng)絡(luò)進(jìn)行安全檢查，待確定安全之后再將其與校園內(nèi)部網(wǎng)絡(luò)的服務(wù)器相連接，以達(dá)到保障校園內(nèi)部網(wǎng)絡(luò)使用安全的目的，而從內(nèi)部網(wǎng)絡(luò)連接到外部網(wǎng)絡(luò)也會(huì)受到相應(yīng)類似的監(jiān)控。

代理防火墻雖然具有較好的內(nèi)部網(wǎng)絡(luò)防護(hù)功能，但仍存在較多不足之處：一是基于代理防護(hù)墻保護(hù)下的校園內(nèi)部網(wǎng)絡(luò)的每次連接都必須要首先經(jīng)過應(yīng)用層，導(dǎo)致應(yīng)用層的數(shù)據(jù)處理較為繁忙，從而引起校園網(wǎng)絡(luò)的訪問速度過慢，影響校園網(wǎng)絡(luò)內(nèi)部用戶的正常使用；二是使用校園內(nèi)部網(wǎng)絡(luò)的使用者并不能直接對(duì)外部網(wǎng)絡(luò)進(jìn)行訪問，而必須通過代理防火墻進(jìn)行出入口的通信處理，這就意味著每增加一種新的應(yīng)用服務(wù)，就必須對(duì)校園網(wǎng)絡(luò)重新設(shè)置相應(yīng)的代理，給校園網(wǎng)絡(luò)的管理帶來了很大的不便。

（三）基于傳統(tǒng)防火墻的校園網(wǎng)絡(luò)安全系統(tǒng)的不足之處

1.不能防范病毒的攻擊

防火墻技術(shù)既不能防止感染病毒的文件進(jìn)行傳輸，亦不能消除計(jì)算機(jī)中潛存的網(wǎng)絡(luò)病毒，因此要在計(jì)算機(jī)上安裝相應(yīng)的殺毒軟件，并及時(shí)更新病毒庫，以保持其具有較強(qiáng)的殺毒能力，增強(qiáng)計(jì)算機(jī)防護(hù)的安全性。

2.不能防范數(shù)據(jù)驅(qū)動(dòng)式攻擊

數(shù)據(jù)驅(qū)動(dòng)式攻擊是指通過拷貝、附件郵寄等形式入侵到校園網(wǎng)絡(luò)主機(jī)并被執(zhí)行時(shí)所發(fā)生的攻擊行為。防火墻對(duì)于這種形式產(chǎn)生的校園網(wǎng)絡(luò)內(nèi)部攻擊行為是無能為力的，不能對(duì)其進(jìn)行有效的防護(hù)。

3.不能防范繞過防火墻的攻擊

在校園內(nèi)部網(wǎng)絡(luò)的使用中，防火墻能夠?qū)νㄟ^其進(jìn)行信息傳輸或者是網(wǎng)絡(luò)鏈接的行為進(jìn)行有效阻止，但是不能對(duì)繞過它進(jìn)行信息傳輸?shù)男袨檫M(jìn)行阻止。

4.只能防備已知的威脅

大多數(shù)的防火墻在對(duì)外部網(wǎng)絡(luò)的防范上，只能對(duì)已知的安全漏洞、攻擊手段以及入侵方式進(jìn)行有效的防護(hù)，而對(duì)于未知的新型攻擊是無法進(jìn)行正確辨別以及有效防護(hù)。因此，在防火墻的使用中，要注重防火墻版本的更新，以增強(qiáng)防火墻的安全防護(hù)能力。

三、基于端點(diǎn)式防火墻校園網(wǎng)安全模型

（一）端點(diǎn)式防火墻

端點(diǎn)式防火墻是指將防火強(qiáng)安裝到計(jì)算機(jī)網(wǎng)絡(luò)的端點(diǎn)處，使其與邊界防火墻一起共同保障內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的安全性，其主要由三部分構(gòu)成，分別為邊界防火墻、端點(diǎn)防火墻以及管理中心，其中管理中心主要用來制定防護(hù)策略，并將其分發(fā)到每個(gè)端點(diǎn)處執(zhí)行。

（二）基于端點(diǎn)式防火墻（PWF）的校園網(wǎng)絡(luò)安全系統(tǒng)

基于端點(diǎn)式防火墻的校園網(wǎng)絡(luò)安全系統(tǒng)主要有三部分共同作用，構(gòu)成校園網(wǎng)絡(luò)內(nèi)部的安全保障體系：一是部門端點(diǎn)式防火墻，主要是對(duì)校園網(wǎng)絡(luò)內(nèi)部的圖書館、各院系、行政辦公樓等局域網(wǎng)絡(luò)使用者的服務(wù)器和主機(jī)進(jìn)行相應(yīng)的安全防護(hù)；二是部門邊界防火墻，主要設(shè)置在各部門的內(nèi)網(wǎng)與外網(wǎng)之間以及內(nèi)網(wǎng)的各子網(wǎng)之間，以有效防止來自校園網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的攻擊；三是網(wǎng)絡(luò)管理中心，它是整個(gè)端點(diǎn)式防火墻的核心，主要用來發(fā)布各項(xiàng)安全策略指令、安全策略的統(tǒng)一規(guī)劃和管理、日志的匯總等。其體系結(jié)構(gòu)如圖1所示。

（三）基于端點(diǎn)式防火墻校園網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)勢(shì)

1.校園網(wǎng)絡(luò)安全的統(tǒng)一管理

基于端點(diǎn)式防火墻的校園網(wǎng)絡(luò)安全系統(tǒng)可以由網(wǎng)絡(luò)管理中心對(duì)校園網(wǎng)絡(luò)的安全進(jìn)行統(tǒng)一的規(guī)劃和管理，制定并實(shí)施相應(yīng)的網(wǎng)絡(luò)安全管理制度、對(duì)管理人員進(jìn)行專業(yè)技能培訓(xùn)等。

2.有效保障校園網(wǎng)絡(luò)的安全性

端點(diǎn)式防火墻不僅能對(duì)校園網(wǎng)絡(luò)內(nèi)部各主機(jī)之間的通信進(jìn)行安全防護(hù)，有效抵制內(nèi)部的網(wǎng)絡(luò)攻擊，亦可以對(duì)外部網(wǎng)絡(luò)的入侵進(jìn)行全面的檢測(cè)和防護(hù)，進(jìn)而抵御各項(xiàng)主、被動(dòng)攻擊，為校園網(wǎng)絡(luò)的安全提供多層次、全方位的防護(hù)。

3.提高校園網(wǎng)的系統(tǒng)

端點(diǎn)式網(wǎng)絡(luò)則是多控制點(diǎn)接入，防止了傳統(tǒng)的邊界防火墻都是單一的接入這一弊端，亦消除了應(yīng)用層因繁復(fù)處理連接而帶來的結(jié)構(gòu)瓶頸問題，提高了校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)的運(yùn)行性能。

四、結(jié)語

綜上所述可知，在校園網(wǎng)絡(luò)的日常使用過程中面臨著來自病毒入侵、黑客攻擊等方面的安全隱患問題，嚴(yán)重影響著校園網(wǎng)絡(luò)系統(tǒng)的運(yùn)行以及數(shù)據(jù)的安全。而防火墻技術(shù)作為校園計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的核心技術(shù)，各學(xué)校在校園計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)過程中，均注重該技術(shù)的應(yīng)用，并使其與殺毒軟件等相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)軟件配套使用，為校園計(jì)算機(jī)網(wǎng)絡(luò)提供多層次、全面化的安全保障。

[1]侯亞輝.網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究[J].科技風(fēng)，2011，（12）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計(jì)算機(jī),2007,（1）.

[3]李海玲.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].烏魯木齊成人教育學(xué)院學(xué)報(bào).2006,（2）.

[4]劉 勇.試論加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全的主要措施[J].科教文匯（上旬刊）,2009,（10）.