基于校園網的防火墻技術應用研究

基于校園網的防火墻技術應用研究

王曉雨1,2

(1.武漢理工大學 計算機學院,湖北 武漢 430063;2.荊楚理工學院 計算機工程學院,湖北 荊門 448000)

摘要:防火墻技術是網絡安全領域的一項重要技術,該文針對當前校園網應用中所遇到的問題,提出了幾種解決的方法,并重點闡述了防火墻技術及其在校園網絡安全中的應用。

關鍵詞:校園網;網絡安全;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)34-9659-02

Based on Campus Net to Application and Research of Firewall Technology

WANG Xiao-yu1,2

(1.Computer School, Wuhan University of Technology, Wuhan 430063, China; 2.Computer Engineering College, Jingchu University of Technology, Jingmen 448000, China)

Abstract: The firewall technology is one of important technology in network safety field. This article proposed some methods to solve the safe problem in campus net,and elaborated with emphasis the firewall technology and its application in campus network safety.

Key words: campus net; network safety; firewall

隨著因特網的快速普及與高速發展,校園網已經成為每個學校必備的信息基礎設施之一,但是在我們共享校園網帶來方便的同時,一些不安全的因素嚴重影響校園網網絡的正常運行, 因此如何保證校園網絡的正常運行已經成為當前校園網建設中不可忽視的問題。

1 校園網絡安全

1.1 校園網的安全隱患

目前的校園網絡大都是利用Internet技術構建并與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇各類攻擊的風險。首先,Internet的共享性和開放性使網上信息安全存在先天不足,因為其賴以生存的TCP/IP協議,缺乏相應的安全機制,而Internet最初的設計基本沒有考慮安全問題。此外,隨著軟件系統規模的不斷增大,系統中的安全漏洞或“后門”也不可避免地存在,比如我們常用的操作系統,無論Windows還是Unix等幾乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才讓黑客有了可乘之機。另外,來自校園網絡內部的安全隱患也不容忽視,且大多數校園網用戶的安全意識淡薄,具體表現在:密碼設置過于簡單;不經常用殺毒軟件掃描和刪除病毒;不對殺毒軟件和防火墻軟件進行及時更新;不經常掃描系統漏洞并打上補丁;使用移動存儲介質時不事先用殺毒軟件進行掃描;運行或打開不明來歷的文件或郵件;經常瀏覽帶有色情的網站或惡意網站等等。

1.2 校園網絡安全的解決方法

1.2.1 防火墻技術

利用防火墻,我們可以將校園網絡和Internet分開,在防火墻中設置網絡通信時的訪問控制尺度,只有防火墻允許訪問的用戶和數據能進入校園網絡內部,同時將不允許的用戶與數據拒之門外,最大限度地阻止黑客訪問校園網絡,防止他們隨意更改、移動甚至刪除網絡的重要信息。同時配置智能信息過濾系統,既過濾掉外部不良信息的訪問,又杜絕內部不良信息的泛濫。

1.2.2 入侵檢測技術

入侵檢測是防火墻的合理補充。防火墻屬于靜態的安全防御技術,對于網絡日新月異的攻擊手段缺乏主動的反應,而入侵檢測屬于動態的安全技術,能幫助系統主動的對付網絡攻擊,擴展了系統管理員的安全管理能力,包括安全審計、監視、進攻識別和響應等等,提高了校園網信息安全基礎結構的完整性。入侵檢測技術在不影響網絡的情況下能對網絡進行檢測分析,從而對內部攻擊、外部攻擊和誤操作進行實時識別和響應,有效地監視、審計、評估網絡系統。

1.2.3 建立網絡病毒防護體系

校園網絡中的病毒防護體系主要分為服務器的防護和工作站的防護。病毒防護體系中的服務器端產品,應該具有實時病毒監控功能,遠程安裝、遠程調用功能,病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等功能。網絡工作站的病毒防護位于學校防毒體系中的最底層,對學校計算機用戶而言,也是最后一道防、殺病毒的要塞。

1.2.4 合理地劃分VLAN、綁定IP地址和MAC地址

根據學校各部門職能的不同將校園網劃分成不同的VLAN,把各部門或實驗室有效地隔離開。由于一個VLAN內部的廣播和單播流量不會轉發到其它VLAN中,所以有助于控制網絡流量,提高網絡的安全性。同時,對學校內使用靜態IP地址上網的機器進行IP地址和MAC地址的綁定,這可以解決校園網內IP地址盜用的問題。

1.2.5 使用加密技術和虛擬專用網(VPN)技術來保證數據傳輸的安全性

TCP/IP協議數據流采用明文傳輸,為了防止重要信息在網絡上被截獲、竊聽,應該對網絡中傳輸的重要數據進行加密。VPN能夠在公共網絡中為兩臺通信的計算機建立一個邏輯上的安全通道,通過數據加密和身份認證使得數據包即使被截獲也不容易被破譯,提供了很好的安全性。VPN可以在學校分校區、外出師生等與校園網之間建立可信的安全連接,并保證數據的安全傳輸。

1.2.6 數據備份與用戶管理

為了維護校園網的安全,必須對重要資料進行備份,以防止因各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而遭受重大損失。校園網安全除了先進的技術,還必須要有嚴格、合理和有效的安全管理來支持和補充。首先,必須要建立一套嚴格的安全管理制度;其次,加強對教師和學生網絡安全的教育和培訓,增強網絡安全意識;再次,規范上網場所,過濾有害信息;最后,培養一支具有安全管理意識和管理技能的校園網管理隊伍。

2 防火墻技術

防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障,能阻擋來自外部網絡的入侵,對校園網的安全具有特殊的意義。根據防火墻的功能及采用的機制的不同,可將防火墻分為以下幾種類型:包過濾防火墻、代理服務器防火墻、狀態檢測防火墻。

2.1 包過濾防火墻

包過濾技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯,被稱為訪問控制列表。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素,或它們的組合來確定是否允許該數據包通過。數據包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用,網絡性能和透明性好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備,因此在原有網絡上增加這樣的防火墻幾乎不需要任何額外的費用。所以在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入。有經驗的黑客很容易偽造IP地址,騙過包過濾防火墻。

2.2 代理服務器防火墻

代理服務器防火墻是工作在OSI的最高層,即應用層, 掌握著應用系統中可用作安全決策的全部信息。代理服務器防火墻是校園內部網與外部網的隔離點,通過對每種應用服務編制專門的代理程序,起著監視和隔絕應用層通信流的作用。代理服務器是一種基于用戶的身份認證來控制流量進出的技術。校園網絡內部所有的主機向外的訪問請求,都被代理服務器截獲,在請求主機的身份得到確認后,代理服務器將代表內部主機將訪問請求轉發給外部的服務器,同時,也將外部的服務器的應答轉交給內部的主機。在這種方式中,內部主機被代理服務器保護,不能與外部發生任何連接,將校園網絡與公用網絡完全隔離,增加了安全性。

代理服務器防火墻的優點是安全性較高,對付基于應用層的侵入和病毒都十分有效。但是也有其不足的地方,主要表現在以下三方面:1)容易成為校園網絡向外訪問的瓶頸;2)對系統的整體性能有較大的影響,代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性;3)工作于應用層,對DoS攻擊等基于底層協議漏洞的攻擊無抵抗。

2.3 狀態檢測防火墻

狀態檢測防火墻結合了包過濾防火墻和代理服務器防火墻的優點。比包過濾防火墻更加安全,比代理服務器防火墻能提供更好的性能。現在的防火墻產品大多數都是狀態檢測防火墻。在狀態檢測防火墻中,維護著一個狀態表,狀態表中記錄著所有的網絡連接的會話信息。通過對狀態表應用安全策略來控制通過防火墻的所有流量。當一個連接開始時,將該連接的會話信息記錄在狀態表中,如果安全策略允許該連接,則轉發連接的流量,返回的流量要與狀態表中已存在的會話信息進行比較,如果不匹配,則丟棄掉這個連接。連接的會話信息包括:源、目的TCP/UDP 端口號,TCP序列號,TCP標記,TCP會話狀態,UDP流量跟蹤等。包過濾防火墻對流量的控制是靜態的,它只根據事先設定的訪問控制列表,決定是允許或拒絕該流量,而不關心該流量以前的、今后的連接狀態。而狀態檢測防火墻對流量的控制是動態的,是針對連接的,所以在狀態檢測防火墻中通過欺騙一個TCP會話獲得訪問權的現象幾乎不可能發生。

狀態檢測防火墻一般有幾個接口,一個用來連接校園網絡,稱為內部接口;一個用來連接公用網絡,稱為外部接口;一個用來連接一些向公用網絡提供服務的服務器,稱為DMZ接口。內部接口的安全級別最高,外部接口的安全級別最低,DMZ接口的安全級別處在內部接口和外部接口之間。

3 防火墻技術在校園網中的應用

在比較幾種防火墻性能的基礎上并結合自身校園網的特點,我校采用福建銳捷公司提供的銳捷RG-WALL防火墻。該防火墻采用銳捷網絡獨創的分類算法設計支持擴展的狀態檢測技術,具備高性能的網絡傳輸功能,不受策略數和會話數多少的影響,產品安裝前后絲毫不會影響網絡速度;同時在內核層處理所有數據包的接收、分類、轉發工作,因此不會成為網絡流量的瓶頸。另外,RG-WALL具有入侵監測功能,可判斷攻擊并且提供解決措施,且入侵監測功能不會影響防火墻的性能。

具體實施是在Internet與校園網內網之間部署一臺RG-WALL160A防火墻,成為內外網之間一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS對外服務器連接在防火墻的DMZ區,與內、外網間進行隔離,內網口連接校園網內網交換機,外網口通過路由器與Internet連接。這樣,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等),既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,并能夠對發生在網絡中的安全事件進行跟蹤和審計。在防火墻設置上我們按照以下原則配置來提高網絡安全性:1)根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則;2)將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包,防止內部網絡發起的對外攻擊;3)在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用;4)定期查看防火墻訪問日志,及時發現攻擊行為和不良上網記錄;5)允許通過配置網卡對防火墻設置,提高防火墻管理安全性。

4 結束語

防火墻作為校園網的第一道重要的安全屏障,也不是萬能的,不能保證絕對安全,例如,防火墻不能防范人為攻擊、誤操作、口令泄露造成的安全問題;不能防止有安全隱患的軟件或文件的傳輸;也不能防范不經由防火墻的攻擊等。所以為了保障校園網的安全,還需要結合其他安全技術的使用,也不能忽視用戶安全教育、提高管理人員技術素養等方面的工作。

參考文獻:

[1] Hare C, Siyan K.防火墻與網絡安全[M].劉成勇,劉明剛,譯.北京:機械工業出版社,1998.

[2] 曾湘黔.網絡安全與防火墻技術[M].重慶:重慶大學出版社,2005.

[3] 何武紅.防火墻技術發展與應用[J].計算機安全,2005(5):23-25.