◆吳 勇

(咸寧職業(yè)技術(shù)學(xué)院 湖北 437100)

校園網(wǎng)絡(luò)安全中分布式防火墻的應(yīng)用

◆吳 勇

(咸寧職業(yè)技術(shù)學(xué)院 湖北 437100)

分布式防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域當(dāng)中的核心技術(shù)，可以對(duì)校園網(wǎng)絡(luò)起到良好的防護(hù)作用。本文首先分析了分布式防火墻的基本概念和優(yōu)勢(shì)，然后提出了校園網(wǎng)絡(luò)安全中分布式防火墻的應(yīng)用方法，以供管理人員參考。

校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；分布式防火墻；應(yīng)用方法

0 引言

現(xiàn)階段，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，各大學(xué)校的信息化程度也在持續(xù)加深，校園網(wǎng)絡(luò)安全問題成為了人們所關(guān)注的重點(diǎn)問題之一。面對(duì)當(dāng)前頻頻發(fā)生的黑客入侵、計(jì)算機(jī)病毒等各種校園網(wǎng)絡(luò)安全事件，有關(guān)人員必須要針對(duì)這些問題展開研究，探索出分布式防火墻的科學(xué)應(yīng)用方法。

1 分布式防火墻的基本概念和優(yōu)勢(shì)

傳統(tǒng)的防火墻技術(shù)在應(yīng)用過程中時(shí)常會(huì)出現(xiàn)一些問題，比如結(jié)構(gòu)性限制、防外不防內(nèi)、效率較低、故障頻發(fā)等。對(duì)此，在校園網(wǎng)絡(luò)中運(yùn)用分布式防火墻，則具有極為重要的現(xiàn)實(shí)意義。美國(guó)研究員Steven M.Bellovin首次提出了有關(guān)分布式防火墻的概念，指出其系統(tǒng)構(gòu)成包括如下三個(gè)部分：第一，網(wǎng)絡(luò)防火墻。這一部分具備和傳統(tǒng)防火墻相一致的功能，主要負(fù)責(zé)劃分出網(wǎng)絡(luò)之間不同的安全區(qū)域，此外還要進(jìn)行對(duì)內(nèi)部網(wǎng)絡(luò)當(dāng)中各個(gè)子網(wǎng)絡(luò)的防護(hù)。第二，主機(jī)防火墻。為了要進(jìn)一步拓展防火墻的運(yùn)用范疇，人們于分布式防火墻的系統(tǒng)當(dāng)中設(shè)計(jì)了主機(jī)防火墻。該部分長(zhǎng)期安設(shè)于主機(jī)內(nèi)部，會(huì)按照對(duì)應(yīng)的安全策略對(duì)網(wǎng)絡(luò)當(dāng)中的服務(wù)器和客戶端計(jì)算機(jī)展開安全防護(hù)。第三，中心管理服務(wù)器。該部分屬于總體分布式防火墻的管理中心，其主要負(fù)責(zé)制訂安全方案、搜集并分發(fā)日志、分析信息等。

分布式防火墻具有其獨(dú)特的工作模式。該防火墻主要是通過核心策略服務(wù)器統(tǒng)一擬定安全方案，之后再把這些擬定好的方案分發(fā)至每個(gè)有關(guān)節(jié)點(diǎn)。之后，由這些主機(jī)節(jié)點(diǎn)獨(dú)立施行安全方案，再把各個(gè)主機(jī)生成的安全日志全部存儲(chǔ)于核心管理服務(wù)器中。當(dāng)前，分布式防火墻已經(jīng)不必再完全依賴網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)而劃分各個(gè)安全區(qū)間，其內(nèi)在網(wǎng)絡(luò)產(chǎn)生了一些概念上的轉(zhuǎn)變，從而由原先的傳統(tǒng)網(wǎng)絡(luò)形式發(fā)展成了邏輯網(wǎng)絡(luò)，突破了以往防火墻對(duì)拓?fù)浣Y(jié)構(gòu)的依賴。然而，各大主機(jī)節(jié)點(diǎn)在信息分析的過程中，也需要依靠核心策略服務(wù)器所發(fā)布的安全方案來確定某一個(gè)節(jié)點(diǎn)是否可以經(jīng)過防火墻。

在現(xiàn)階段的新型安全結(jié)構(gòu)中，分布式防火墻體現(xiàn)出了明顯的優(yōu)勢(shì)，能夠在網(wǎng)絡(luò)的任意交界及節(jié)點(diǎn)部位安設(shè)屏障，進(jìn)而構(gòu)成多協(xié)議、多層次、內(nèi)外兼顧的安全體系。首先，分布式防火墻可以提高針對(duì)于主機(jī)的入侵監(jiān)測(cè)及安全保護(hù)功效，強(qiáng)化對(duì)內(nèi)部攻擊的抵擋；其次，能夠解決結(jié)構(gòu)性的瓶頸問題，優(yōu)化系統(tǒng)性能；最后，分布式防火墻還可以跟隨系統(tǒng)的擴(kuò)充而完善自我，具有安全防護(hù)無限拓展的功能。

2 校園網(wǎng)絡(luò)安全中分布式防火墻的應(yīng)用

從目前情況看，各類網(wǎng)絡(luò)防護(hù)的軟硬件不斷涌現(xiàn)出來，但其中有許多都無法全面、系統(tǒng)地處理好校園網(wǎng)絡(luò)安全問題。比如瑞星、金山等，都只是針對(duì)其中一部分問題進(jìn)行解決，并沒有制定出完善的處理方案。學(xué)校網(wǎng)絡(luò)具有特殊性，所以要維護(hù)校園網(wǎng)絡(luò)的安全，也需要結(jié)合校園網(wǎng)絡(luò)的相關(guān)需求和特點(diǎn)，構(gòu)建科學(xué)的網(wǎng)絡(luò)體系。

2.1 建立入侵監(jiān)測(cè)系統(tǒng)

利用分布式防火墻，可以建立起入侵監(jiān)測(cè)系統(tǒng)，該系統(tǒng)能實(shí)時(shí)監(jiān)測(cè)并找出網(wǎng)絡(luò)當(dāng)中的反常現(xiàn)象。在整個(gè)監(jiān)測(cè)過程中，除了運(yùn)用審核記錄，檢查出各種不應(yīng)當(dāng)存在的活動(dòng)之外，該系統(tǒng)還能夠?qū)崟r(shí)保護(hù)來自IP Spoofing和Ping of Death及其余外界的襲擊，進(jìn)而充分維護(hù)系統(tǒng)的安全。此外，一旦監(jiān)測(cè)到襲擊行為，該系統(tǒng)還會(huì)自主生成電子郵件，將消息在第一時(shí)間報(bào)告給系統(tǒng)管理員。

2.2 設(shè)置用戶認(rèn)證

分布式防火墻可以設(shè)置并完善校園網(wǎng)絡(luò)的用戶認(rèn)證機(jī)制。當(dāng)用戶訪問一些帶有安全隱患的網(wǎng)站時(shí)，防火墻就會(huì)通過內(nèi)部建立的用戶資料庫(kù)以及IP/MAC資料等實(shí)施認(rèn)證，然后確定是否可以給予用戶訪問權(quán)限。另外，分布式防火墻還可以限制授權(quán)，從而避免用戶經(jīng)由防火墻實(shí)施一系列不安全的活動(dòng)。

2.3 檢測(cè)及維護(hù)

當(dāng)科學(xué)配置好分布式防火墻后，就需要針對(duì)防火墻實(shí)施定期檢測(cè)及維護(hù)，此外還需對(duì)檢測(cè)到的流量數(shù)據(jù)展開詳細(xì)分析，隨時(shí)關(guān)注反常流量的情形，同時(shí)做好日志記錄、備份等工作，便于將來的信息查詢。最后，針對(duì)分布式防火墻進(jìn)行配置，也需要以網(wǎng)絡(luò)結(jié)構(gòu)為標(biāo)準(zhǔn)，一旦網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，防火墻也要隨之變化，以確保其能夠在校園網(wǎng)絡(luò)中發(fā)揮出最大效用。

2.4 漏洞掃描與彌補(bǔ)

要全面處理好校園網(wǎng)絡(luò)當(dāng)中經(jīng)常出現(xiàn)的安全問題，就必須要先弄清楚究竟存在一些怎樣的安全隱患。校園網(wǎng)絡(luò)的覆蓋面較廣，并且網(wǎng)絡(luò)性質(zhì)也比較復(fù)雜，時(shí)常處在不斷變化的過程當(dāng)中。假如只單純依賴網(wǎng)絡(luò)技術(shù)管理人員對(duì)漏洞進(jìn)行查找，就會(huì)產(chǎn)生極大的工作量，加重管理人員的負(fù)擔(dān)，并且效率很低，難以實(shí)現(xiàn)。對(duì)此，需要設(shè)置出能夠代替人工進(jìn)行漏洞掃描，并實(shí)時(shí)作出評(píng)估分析，制定出修改方案的工具，使其能夠在系統(tǒng)優(yōu)化過程中及時(shí)彌補(bǔ)好網(wǎng)絡(luò)安全漏洞，降低安全風(fēng)險(xiǎn)。

2.5 維護(hù)子網(wǎng)絡(luò)的安全

不論是外在因素還是內(nèi)在因素，都有可能威脅到校園網(wǎng)絡(luò)的安全。針對(duì)外在因素，可以安裝分布式防火墻，而對(duì)于內(nèi)在因素，學(xué)校則需要在網(wǎng)絡(luò)監(jiān)管部門當(dāng)中設(shè)置專門監(jiān)督并管理網(wǎng)絡(luò)運(yùn)行狀況的子網(wǎng)絡(luò)程序。這種程序具有較好的審計(jì)功能，可以在監(jiān)督子網(wǎng)的過程中，對(duì)系統(tǒng)不同服務(wù)器的審計(jì)文件進(jìn)行備份，并在各個(gè)監(jiān)督程序之間建立橋梁，確保互相連接的計(jì)算機(jī)在其余服務(wù)器未能收到聯(lián)系的情況下，能夠自主報(bào)警，發(fā)出提示。

3 結(jié)束語

防火墻技術(shù)對(duì)于當(dāng)今社會(huì)人們的網(wǎng)絡(luò)安全而言極為重要，該技術(shù)也在不斷朝著分布式、智能化、嵌入式等方向發(fā)展，體現(xiàn)出越來越強(qiáng)大的安全需求。在校園網(wǎng)絡(luò)構(gòu)建與管理中，也應(yīng)當(dāng)合理運(yùn)用分布式防火墻，建立入侵監(jiān)測(cè)系統(tǒng)，設(shè)置用戶認(rèn)證，進(jìn)行漏洞掃描與彌補(bǔ)，充分維護(hù)校園網(wǎng)絡(luò)的安全。

[1]張新剛,劉妍.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

[2]陳晶.防火墻在校園網(wǎng)絡(luò)安全中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008.

[3]劉萍芬.分布式防火墻系統(tǒng)在網(wǎng)絡(luò)安全中的應(yīng)用[J].鄭州輕工業(yè)學(xué)院學(xué)報(bào)(自然科學(xué)版)，2008.