關(guān)鍵詞：數(shù)據(jù)；安全；規(guī)則

1 國內(nèi)外高校網(wǎng)絡(luò)發(fā)展研究趨勢

1.1 國外高校網(wǎng)絡(luò)發(fā)展研究趨勢

在美國加州大學(xué)洛杉磯分校及各大學(xué)布置網(wǎng)絡(luò)連接點(diǎn)，通過連接與多個大學(xué)與不同的研究機(jī)構(gòu)進(jìn)行互相數(shù)據(jù)傳輸。在這種網(wǎng)絡(luò)快速發(fā)展的情形下，使得原本傳統(tǒng)的買賣以數(shù)字化的模式經(jīng)過網(wǎng)絡(luò)技術(shù)解決以及傳遞，給人帶來許多的方便，但也隱藏著許多隱患，因?yàn)轱L(fēng)險點(diǎn)敏感性的數(shù)據(jù)以及個體私密的數(shù)據(jù)在網(wǎng)絡(luò)上受到黑客的竊取、或許偽冒個人身份從而進(jìn)行違法犯罪行為、電腦中病毒，易造成操作系統(tǒng)崩潰，無法正常使用。以及網(wǎng)絡(luò)服務(wù)器敏感數(shù)據(jù)丟失，導(dǎo)致造成大量的經(jīng)濟(jì)損失，這些問題的發(fā)生，明顯是向網(wǎng)絡(luò)安全發(fā)起了挑戰(zhàn)。

1.2 國內(nèi)高校網(wǎng)絡(luò)發(fā)展研究趨勢

隨著經(jīng)濟(jì)快速發(fā)展，國內(nèi)高校網(wǎng)絡(luò)安全建設(shè)管理勢在必行。據(jù)不完全統(tǒng)計，全國已有上千所高校與相關(guān)的國家教育科研網(wǎng)進(jìn)行互連。由此，高校校園網(wǎng)的管理和教學(xué)管理所共享的教師資源及各種基礎(chǔ)信息建設(shè)、共享、管理，是我國高校信息發(fā)展及網(wǎng)絡(luò)安全頭等大事，一般高校會將管理、教學(xué)、科研、研究融為一體，過程離不開校園網(wǎng)絡(luò)健康發(fā)展建設(shè)?？傮w來說，校園網(wǎng)絡(luò)安全管理的各項(xiàng)工作與校園師生應(yīng)用的網(wǎng)絡(luò)是否安全建設(shè)相輔相成。在學(xué)校實(shí)現(xiàn)網(wǎng)絡(luò)安全治理及應(yīng)對教學(xué)管理任務(wù)，起到了很大的作用，為我國教學(xué)管理的科研和開展各種工作提供有力保障。而我國高校網(wǎng)絡(luò)安全管理，相比其他國家來說，比較靠后，主要是中國網(wǎng)絡(luò)發(fā)展起步比較慢，當(dāng)時的相關(guān)研發(fā)人員也沒有得到足夠重視，因此安全問題也被忽視，依據(jù)高校運(yùn)作的體系，需要對校園內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)環(huán)境等安全進(jìn)一步研究。

2 高校網(wǎng)絡(luò)數(shù)據(jù)中心安全建設(shè)

目前，校園網(wǎng)絡(luò)安全性存在多方面原因。例如，校園內(nèi)部通過互聯(lián)網(wǎng)下載帶有病毒的應(yīng)用軟件、游戲軟件、聊天工具等，在使用過程中，垃圾廣告軟件會時而跳出，一不留意，就會造成病毒入侵。在這種情況下，需要師生共同努力，有預(yù)見性建設(shè)好校園網(wǎng)絡(luò)，針對存在的問題，進(jìn)行細(xì)化預(yù)判，并對存在的安全隱患進(jìn)行總結(jié)、歸類、分析。除了以上措施外，還需要把校園網(wǎng)建設(shè)中所需要的各種硬性條件全面梳理，降低風(fēng)險度、有利于校園網(wǎng)建設(shè)技術(shù)方案的提高。以綜合的安全防護(hù)技術(shù)為基礎(chǔ)，解決建設(shè)過程中發(fā)生的各類突發(fā)性問題。有利于提高校園網(wǎng)的安全性和穩(wěn)定指數(shù)。

2.1 高校網(wǎng)絡(luò)數(shù)據(jù)中心防火墻安全技術(shù)

高校所有的信息數(shù)據(jù)都集中于網(wǎng)絡(luò)中心云平臺，包括門戶網(wǎng)站、網(wǎng)絡(luò)課程平臺、OA系統(tǒng)、各部門分網(wǎng)站等融為一體，網(wǎng)絡(luò)資源類別較多，這些網(wǎng)絡(luò)資源的數(shù)據(jù)信息非常重要，這些信息資源一旦被破壞，將會造成大量數(shù)據(jù)丟失，無法衡量它的價值所在。因此，針對網(wǎng)絡(luò)架構(gòu)所采用的網(wǎng)絡(luò)硬件設(shè)備進(jìn)行評估，首先要保障校園網(wǎng)信息的完整性，既要保證內(nèi)部安全，又要防止外部的入侵攻擊，同時也要提高校園網(wǎng)內(nèi)部的使用者審核機(jī)制，防止本校重要資源外泄，本研究通過防火墻技術(shù)在網(wǎng)絡(luò)數(shù)據(jù)中心起到關(guān)鍵作用。

2.2 防火墻安全功能體系

防火墻是與內(nèi)部和外部網(wǎng)絡(luò)的一個整體，同時對高校內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)安全提供強(qiáng)有力的保障，以防止SQL注入方式入侵、變異病毒傳播等，保護(hù)校園內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全性，通過防火墻規(guī)則優(yōu)化、設(shè)置，運(yùn)用防火墻日志進(jìn)行記載、剖析。劉忠祥[1]利用防火墻技術(shù)則是特征掃描與分析病毒代碼，隨后將其特征值提取出來。在數(shù)據(jù)瓶頸的基礎(chǔ)上，對原有的數(shù)據(jù)源及應(yīng)用數(shù)據(jù)動態(tài)更新發(fā)生的變化進(jìn)行對比，查找病毒傳染位置，確定病毒種類，對病毒進(jìn)行分析，隨后進(jìn)行對數(shù)據(jù)產(chǎn)生的破壞進(jìn)行修復(fù)及病毒處理。

首先，以往研究是通過既有的防火墻規(guī)則進(jìn)行優(yōu)化，由于管理者不斷地進(jìn)行防火墻規(guī)則調(diào)整，長時間會造成規(guī)則之間的異?；蛉哂啵菀自斐煞阑饓φ邿o法正常執(zhí)行與管理。因此，針對現(xiàn)有防火墻規(guī)則，專家學(xué)者們通過相關(guān)算法的設(shè)計與開發(fā)來自動化識別出異常或冗余規(guī)則。視防火墻規(guī)則為政策樹并定義其模型，將防火墻政策逐條通過政策樹的比對定義出錯誤偵測的異常狀態(tài)。

其次，相關(guān)的網(wǎng)絡(luò)技術(shù)人員利用防火墻日志記錄，對防火墻存在的問題去評測和分析，運(yùn)用數(shù)據(jù)流存在的瓶頸，查找出對防火墻日志記錄產(chǎn)生大量的數(shù)據(jù)冗余與各種錯誤規(guī)則，網(wǎng)絡(luò)技術(shù)人員對網(wǎng)絡(luò)防火墻規(guī)則進(jìn)行維護(hù)，有利于提高防火墻的工作效率。

最終，防火墻使用透明模式。在防火墻設(shè)置IP管理地址，并把配置好的IP端口與相關(guān)交換機(jī)互連，根據(jù)業(yè)務(wù)系統(tǒng)其他要求進(jìn)行安全配置。

3 高校網(wǎng)絡(luò)數(shù)據(jù)中心防火墻分布

3.1 數(shù)據(jù)包過濾防火墻

數(shù)據(jù)包過濾防火墻在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。防火墻工作模式的第一件事情就是讀取封包數(shù)字表內(nèi)容，并對數(shù)據(jù)包進(jìn)行篩選后再返回路由。

3.2 應(yīng)用層網(wǎng)關(guān)

防火墻也稱為代理服務(wù)器，當(dāng)內(nèi)部設(shè)備和外部設(shè)備主機(jī)網(wǎng)絡(luò)進(jìn)行連通時，防火墻代理服務(wù)器會和兩端主機(jī)設(shè)備進(jìn)行工作。

3.3 線路網(wǎng)關(guān)

線路網(wǎng)關(guān)功能在運(yùn)行過程對TCP連接起到隔離作用，內(nèi)外部運(yùn)行時都要經(jīng)過線路網(wǎng)關(guān)轉(zhuǎn)接，也就是轉(zhuǎn)接點(diǎn)，工作過程不會對封包數(shù)據(jù)應(yīng)用層檢視。

3.4 封裝包凈化原則

防火墻通過人工進(jìn)行設(shè)置鏈，通常有輸入鏈、輸出鏈等，這些鏈起到允許和禁止的原則。防火墻對符合封包數(shù)據(jù)、規(guī)則設(shè)置有三點(diǎn)：一是通過；二是禁止通行，直接將封包丟棄；三是將封包退回。

其中，假如封包退回，也有可能造成嚴(yán)重后果。退回包傳出指令，網(wǎng)絡(luò)數(shù)據(jù)流量會大量增加，如部分不法分子通過黑客技術(shù)、WEB入侵、ODAY攻擊、釣魚攻擊等發(fā)動大量的封包攻擊，則可能遭受防火墻里的阻斷服務(wù)攻擊，網(wǎng)絡(luò)中心數(shù)據(jù)、系統(tǒng)等將造成威脅。而且回應(yīng)的不正確封包可攜帶其計算機(jī)設(shè)施的信息反饋給非法分子來判斷目標(biāo)主機(jī)安裝的應(yīng)用系統(tǒng)，導(dǎo)致系統(tǒng)軟件信息出錯，黑客根據(jù)獲取路徑進(jìn)行攻擊，運(yùn)用Reject來對封包數(shù)據(jù)規(guī)則進(jìn)行對比。

4 高校網(wǎng)絡(luò)數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計

根據(jù)網(wǎng)絡(luò)中心需求分析得出結(jié)果，網(wǎng)絡(luò)的整體規(guī)劃以負(fù)載均衡為前提，主要針對網(wǎng)絡(luò)系統(tǒng)的核心路由器、核心交換機(jī)進(jìn)行負(fù)載均衡設(shè)計。使用高性能網(wǎng)絡(luò)設(shè)備保證網(wǎng)絡(luò)高速運(yùn)行。保證網(wǎng)絡(luò)可靠的同時，也充分考慮網(wǎng)絡(luò)日后擴(kuò)展，為日后留有足夠空間，保證網(wǎng)絡(luò)擴(kuò)展的便利性。根據(jù)網(wǎng)絡(luò)中心規(guī)劃，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖設(shè)計，考慮到網(wǎng)絡(luò)形成環(huán)路問題，并結(jié)合本中心采用星型拓?fù)浣Y(jié)構(gòu)，同時，采用較高冗余設(shè)計以便于滿足負(fù)載均衡。

4.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計

當(dāng)設(shè)備啟動時，設(shè)備會進(jìn)行一系列初始化，在啟動上花費(fèi)一定的啟動時間，初始化配置并啟動封包過濾規(guī)則控制程序、防火墻SNMP信息交換程序及防火墻監(jiān)控程序，最后將相關(guān)數(shù)據(jù)傳送至系統(tǒng)，顯示初始設(shè)置信息與初始運(yùn)作狀態(tài)。當(dāng)系統(tǒng)啟動后，規(guī)則控制程序會依據(jù)初始的設(shè)置進(jìn)行封包過濾，達(dá)到防火墻的功能，防火墻之間會彼此進(jìn)行異常監(jiān)控，當(dāng)發(fā)生異常時就可以接替異常機(jī)器的網(wǎng)絡(luò)設(shè)置。當(dāng)管理者對過濾規(guī)則做變更，封包過濾程序就會以新的規(guī)則加以過濾。

4.2 高校網(wǎng)絡(luò)數(shù)據(jù)中心的防火墻規(guī)則

防火墻規(guī)則設(shè)計都是以開放其所要開放的服務(wù)，阻擋未開放或不在開放清單內(nèi)的服務(wù)為主要目標(biāo)，稱為正向安全模型（Positive Security Model） 或正面列表（White-listing） 。從防火墻系統(tǒng)角色來說，也就是允許合法的網(wǎng)絡(luò)傳輸通過，拒絕所有不受允許的網(wǎng)絡(luò)傳輸封包。本項(xiàng)目依據(jù)防火墻運(yùn)行所體現(xiàn)的特點(diǎn)，針對規(guī)則對比、過濾，再做出拒絕。而原先通過的記錄，則表明這些規(guī)則在防火墻規(guī)則表中已經(jīng)存在，無須重復(fù)操作，通過對規(guī)則進(jìn)行設(shè)置、增加或刪除、過濾，提高防火墻防護(hù)能力。防火墻策略調(diào)整，對某個時間節(jié)點(diǎn)，所產(chǎn)生的相關(guān)規(guī)則比對表進(jìn)行綜合分析，如果符合對比表將會進(jìn)行相關(guān)的操作。

5 利用防火墻技術(shù)進(jìn)行安全配置數(shù)據(jù)過濾

陳躍龍[2]對現(xiàn)有的網(wǎng)絡(luò)提出解決思路， 將網(wǎng)絡(luò)安全配置作為頭等大事，因此，對防火墻技術(shù)進(jìn)行合理設(shè)置、操作，防火墻硬件設(shè)備作為一道防線，對內(nèi)外網(wǎng)絡(luò)能起到保護(hù)作用， 主要是防火墻的內(nèi)部相互獨(dú)立，與外界隔斷，變成獨(dú)立的區(qū)域， 這個區(qū)域的主要作用是對內(nèi)部數(shù)據(jù)進(jìn)行保護(hù)，對來訪者進(jìn)行驗(yàn)證、隔離，防火墻對內(nèi)外數(shù)據(jù)信息會進(jìn)行監(jiān)視和分析，一旦遭受黑客惡意攻擊，防火墻會主動做出響應(yīng)， 阻斷外來入侵者對內(nèi)網(wǎng)的IP地址層進(jìn)行過濾、解析， 同時對IP地址層起到隱匿作用，入侵者如果無法正常獲取客戶端用戶的IP段， 對于入侵者無法控制客戶端的設(shè)備，內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息安全就未受到破壞，內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息安全將得到保護(hù)。更為特殊的情況下，入侵者通過SQL注入技術(shù)手段，完成對內(nèi)網(wǎng)獲取用戶信息，如賬號和密碼，進(jìn)入登錄用戶進(jìn)行操控，但防火墻對入侵者有效阻止入侵， 所以采用防火墻技術(shù)對內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息防護(hù)將不會受到影響。

6 數(shù)據(jù)中心的防火墻關(guān)鍵核心技術(shù)的應(yīng)用

防火墻是保護(hù)局域網(wǎng)絡(luò)受外部網(wǎng)絡(luò)攻擊與設(shè)備兼容軟件受到的損壞，它能將內(nèi)部網(wǎng)絡(luò)隱形，阻止外部入侵，避免未經(jīng)授權(quán)的信息外流。防火墻分為硬件與軟件兩種，防火墻的防護(hù)措施針對網(wǎng)絡(luò)界來說是最好的選擇，同時使用防火墻廠商設(shè)計的帶有特殊技術(shù)防護(hù)的操作系統(tǒng)，相較于日常常見的操作系統(tǒng)在安全漏洞上會比較少。軟件防火墻是可以提供較高的彈性和擴(kuò)充性，可以將購買的軟件防火墻安裝在現(xiàn)有的網(wǎng)關(guān)服務(wù)器上，網(wǎng)關(guān)服務(wù)器則不需要變更網(wǎng)絡(luò)架構(gòu)。例如，與防火墻搭配的VPN、內(nèi)容過濾、加解密工具、防毒工具等。一套完整的防火墻至少需要有使用者認(rèn)證、過濾封包、LOG分析工具、在線監(jiān)控等相關(guān)功能。因此，防火墻的搭建是保護(hù)網(wǎng)絡(luò)安全的根本要求。

黃景堅[3]提出了防火墻入侵防御功能，能夠有效地為網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)信息提供安全防護(hù)；同時在防火墻內(nèi)部啟動APT檢測模塊，能夠?qū)崟r對目標(biāo)進(jìn)行定位跟蹤，對內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全進(jìn)行保護(hù)；對防火墻功能模塊24小時啟動掃描功能，對網(wǎng)絡(luò)數(shù)據(jù)層產(chǎn)生的流量進(jìn)行對比分析，對數(shù)據(jù)信息受到威脅進(jìn)行提高防范意識，以防內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息受到竊取或損壞，維護(hù)校園內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息安全。

本次實(shí)驗(yàn)所實(shí)施的網(wǎng)絡(luò)防火墻為深信服，布置在交換機(jī)與路由設(shè)備之間。深信服防火墻的使用訪問策略如下：

1） 在網(wǎng)絡(luò)交換機(jī)、防火墻等設(shè)備上配置細(xì)粒度的訪問控制策略，在流量管理模塊，建立虛擬線路規(guī)則、流量管理系統(tǒng)配置，對進(jìn)入流量實(shí)行細(xì)粒度的白名單配置管理，防止攻擊者在行業(yè)業(yè)務(wù)專網(wǎng)上隨意漫游[5]。

2） 黃景堅[3]提出采用數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，強(qiáng)化數(shù)據(jù)庫安全防護(hù)。對重要信息系統(tǒng)數(shù)據(jù)庫應(yīng)采用禁止遠(yuǎn)程登錄，并設(shè)置超級管理員賬號及復(fù)雜的密碼。采用WEB應(yīng)用防火墻、WEB應(yīng)用漏洞掃描，強(qiáng)化網(wǎng)站安全防護(hù)，可檢查應(yīng)用層掛木馬、敏感詞、可用性等[4]。

3） 根據(jù)業(yè)務(wù)的應(yīng)用需求只允許特定端口通過，深信服防火墻默認(rèn)業(yè)務(wù)數(shù)據(jù)端口是全部關(guān)閉的。王冉[4]提出，由于防火墻的存在，對數(shù)據(jù)過濾及實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)換，捕捉到更為安全的數(shù)據(jù)信息。

7 結(jié)束語

依據(jù)高校網(wǎng)絡(luò)布局為出發(fā)點(diǎn)，以防攻擊者通過外部網(wǎng)絡(luò)入侵，并有效、有針對性地研究網(wǎng)絡(luò)數(shù)據(jù)中心帶來的各種問題，采取高效、高速的千變?nèi)f化的病毒及黑客采用的各種手段，提高網(wǎng)絡(luò)安全認(rèn)知、提高警惕性，有效地降低網(wǎng)絡(luò)數(shù)據(jù)中心安全性帶來的各種風(fēng)險，有效提高網(wǎng)絡(luò)數(shù)據(jù)安全、防護(hù)資源平臺及人性化的防護(hù)機(jī)制。高校網(wǎng)絡(luò)數(shù)據(jù)中心健康發(fā)展，有利于國家經(jīng)濟(jì)的健康發(fā)展，網(wǎng)絡(luò)的構(gòu)建與網(wǎng)絡(luò)法制是環(huán)環(huán)相連，不能有怠慢，要引起重視。假如網(wǎng)絡(luò)受攻擊，網(wǎng)絡(luò)攻擊者通過查找數(shù)據(jù)中心中的漏洞，比如，用戶賬號、用戶密碼等最脆弱的環(huán)節(jié)，就可以攻擊網(wǎng)絡(luò)的保護(hù)機(jī)制，因此，作為網(wǎng)絡(luò)中心的技術(shù)人員，應(yīng)以嚴(yán)謹(jǐn)工作態(tài)度、應(yīng)對網(wǎng)絡(luò)中心各種信息安全的防護(hù)，不要因?yàn)楣ぷ魃系氖韬?，造成網(wǎng)絡(luò)安全漏洞或成為黑客攻擊的跳板。在面對千變?nèi)f化的病毒及黑客等威脅，只有主動積極做好網(wǎng)絡(luò)安全防護(hù)，才能保護(hù)好網(wǎng)絡(luò)中心數(shù)據(jù)安全。張大鵬[5]提出，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施及網(wǎng)絡(luò)中心數(shù)據(jù)的安全性，防火墻充當(dāng)著安全守衛(wèi)的角色，能對內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息有效檢測和識別，能夠有效地對入侵者及病毒傳播攔截。