防火墻在校園網中的應用

劉　成

摘 要:隨著網絡與信息技術的發展,互聯網得到廣泛的普及和應用,網絡正深刻影響人類的生活及工作的方式。與此同時,信息安全的重要性也在不斷提升。以校園網為對象,分析了防火墻等安全技術在校園網中的應用現狀,指出防火墻與IDS結合,將使防御系統成為更加堅固的圍墻,將來會有更大的發展空間和市場。

關鍵詞:防火墻;校園網;互聯網

中圖分類號: TD39

文獻標識碼: A

文章編號:1005-569X(2009)06-0099-02

1 引言

目前,黑客入侵與病毒發作事件在全球范圍內不斷增加。由于網絡應用的迅速發展,除以往熟知的病毒、垃圾郵,以及黑客惡意攻擊、網絡釣魚之外,也有來自企業內部的安全隱患等,這些問題困擾著每一個企業。網絡安全已經成為越來越多使用網絡的公司、個人需要考慮的問題,越來越多的企業將網絡的安全看作確保企業盈利能力的一項重要因素。

2 防火墻基礎簡介

2.1網絡安全問題

傳統的邊界安全設備——防火墻,成為整體安全策略中不可缺少的重要模塊。目前的防火墻產品的用戶主要是企業用戶。互聯網已經改變了人們工作、聯絡、協作交流以及買賣的方式。網絡的安全程度究竟如何?這是許多IT管理人員每天都會考慮的問題。可以想象,防火墻的應用也越來越普及,這個普及不僅面向各個公司、企業,也深入到家庭、個人,深入到每個網絡節點、終端。

2.2防火墻概述

2.2.1防火墻的作用

防火墻從本質上說是一些設備,是外部網絡訪問內部網絡的控制設備。它是用來保護內部的數據、資源和用戶信息的工具,可以防止Internet上的危險(病毒、資源盜用等)傳播到網絡內部。這樣的設備通常是單獨的計算機、路由器或防火墻盒(專用硬件設備)。它們充當訪問網絡的惟一入口點,并且判斷是否接收某個連接請求,只有來自授權主機的連接請求才會被處理,而剩于的連接請求將被丟棄。

通常,防火墻被安裝在受保護的內部網絡與Internet的連接點上。被保護的網絡屬于內部網絡,所防止的網絡是不可信的外部網。保護網絡包括阻止非法授權用戶訪問敏感數據的同時,允許合法用戶無障礙地訪問網絡資源,如防火墻能夠確保電子郵件、文件傳輸、遠程登錄或在特定系統間信息交換的安全。

總之,從網絡安全的角度來考慮,防火墻是兩個網絡之間的成分集合,它們的合作應具有的性質是:從里向外或外向里的流量都必須通過防火墻;只有符合本地安全策略放行流量才能通過防火墻;防火墻本身是不能穿透的。

2.2.2設置防火墻的必要性

(1)集中化的安全管理,強化安全策略。由于Internet上每天都有上百萬人在收集信息和交換信息,不可避免地會出現個別品德不良、違反規則的人,防火墻是為了防止不良現象發生的“交通警察”,它執行站點的安全策略,僅僅容許“認可的”和符合規則的請求通過。

(2)網絡使用進行統計。因為防火墻是所有進出信息必須的通路,所以防火墻非常適用于收集關于系統和網絡使用和誤用的信息。作為訪問的惟一點,防火墻能在被保護的網絡和外部網絡之間進行記錄,對網絡存取訪問進行統計。

(3)保護那些易受攻擊的服務。防火墻能夠用來隔開網絡中一個網段與另一個網段的連接。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。

(4)實施安全策略。防火墻是一個安全策略的檢查站,控制對特殊站點的訪問。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕。

(5)增強保密性。用來屏蔽有關網站系統的DNS信息。因此,網站系統名字和IP地址都不要提供到Internet上。

3 防火墻在校園網中的應用

3.1校園網簡介

隨著因特網的發展,校園網已迅速的普及,不可避免的出現校園網的安全性問題,防火墻在校園網中也得到廣泛的應用。某所學校建立一校園網,校園網主要是給在校師生提供服務。其主要架構是:Internet網首先接入到華為交換機2403,然后通過Juniper NetScreen防火墻連入到Cisco路由器,最后分布到校園本部以及分校,同時連接Web與郵件兩服務器。在此校園網中日用戶訪問量最高峰達到幾十萬個連接,總出口300M,提供游戲、電影、課件下載,以及bbs論壇、Web訪問等服務。通過一臺Juniper NetScreen防火墻提供防護。

3.2防火墻的設置

要求Juniper NetScreen防火墻能夠實現的功能:①工作在防火墻透明模式;②實現MIP功能;③啟用IPSec VPN。

3.2.1防火墻透明模式配置

學校要求防火墻工作在透明模式下。當Juniper NetScreen防火墻接口處于“透明”模式時,防火墻將過濾通過的IP數據包,但不會修改IP數據包中任何信息。透明模式是一種保護內部網絡從不可信源接收信息流的方便手段。使用模式有以下優點:

(1)不需要修改現有網絡規劃及配置。

(2)不需要實施地址翻譯。

(3)可以允許動態路由協議、Vlan trunking的數據包通過。

3.2.2MIP功能的配置

為了實現互聯網用戶訪問對外提供網絡服務的服務器(服務器使用私有IP地址),可在Internet出口的防火墻上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),并通過策略實現對服務器所提供服務進行訪問控制。

3.2.3IPSec VPN配置

學校要求防火墻支持IPSec VPN,應用站點間(Site-to Site)的VPN,創建的站點兩端都具備靜態IP公網地址。

當創建站點兩端都具備靜態IP的VPN應用中,位于兩端的防火墻上的VIP配置基本相同,不同之處是在VPNgateway部分的VPN網關指向IP不同,其它部分相同。

4 結語

防火墻與IDS 結合是將動態安全技術的實時、快速、自適應的特點變成靜態技術的有效補充, 將靜態技術的包過濾、信任檢查、訪問控制成為動態技術的有力保障。二者結合使用可以很好的將對方的弱點淡化, 而將自己的優點補充上去, 使防御系統成為一個更加堅固的圍墻。在未來的網絡安全技術領域中, 將動態技術與靜態技術的互動使用, 將有很大的發展市場和空間。

參考文獻:

[1] 張興東, 胡華平, 況曉輝, 等.防火墻與入侵檢測系統聯動的研究與實現[ J] .計算機工程與科學,2004,26(4).

[2] 高光勇, 遲樂軍, 王艷春.聯動防火墻的主機入侵檢測系統的研究[J].微計算機信息,2005,21(7).

[3] 桂春梅,鐘求喜,王懷民. 基于UML 的防火墻和入侵檢測聯動模型的研究[ J] . 計算機工程與科學,004,26(11): 22~25.

[4] 楊瓊, 楊建華, 王習平, 等.基于防火墻與入侵檢測聯動技術的系統設計[J].武漢理工大學學報,2005,27(7).