淺談防火墻在校園網中的應用
2011-12-31 00:00:00余振華
決策與信息·下旬刊 2011年8期
摘要 如今各院校的都組建了自己的校園網,而隨著網絡規模和應用的擴大,校園網的安全問題和管理問題日益突出,防火墻的出現和應用一定程度緩解了校園網的這兩個問題。 了解和使用防火墻對網絡管理人員非常重要。
關鍵詞 防火墻 校園網 網絡安全
中圖分類號:TP393.08 文獻標識碼:A
計算機網絡從出現到現在一直處于高速發展中,特別是Internet的發展使人類進入了一個高速信息化的時代,這是由于Internet的全球性、開放性、和共享性所決定的。隨著計算機網絡的發展校園網的發展也十分迅速,網絡規模逐漸擴大,網絡應用也從最初的web瀏覽的單一應用向辦公自動化、視頻會議、數字圖書館、遠程教育等綜合應用發展。校園網絡在高速發展的同時,網絡安全和網絡管理的難度也越來越大,黑客等不法分子往往以校園網這一相對比較脆弱的網絡為攻擊對象,來非法獲取數據,牟取利益。我們通過防火墻可以組建一個較安全的網絡環境,提高網絡攻擊的復雜性以確保網絡安全。
一、防火墻的基本功能
防火墻作為網絡安全設備,其主要功能還是阻隔網絡攻擊,為網絡提供較安全的網絡環境。防火墻通過設置可以阻隔來自Internet的不安全的訪問,如設置禁止NFS等不安全協議的進出,這樣外部的黑客就無法通過某些協議的漏洞進行攻擊。防火墻還可以禁止外部某一ip地址的攻擊,比如外部某一ip地址不斷的向內部網絡中的服務器發送身份驗證的數據包,我們可以通過防火墻來禁止這一ip的訪問。防火墻對組建DMZ隔離區也十分重要,通過防火墻可以使網管人員輕松組建DMZ,使我們的重要數據從內部和外部得到很好的保護。某些防火墻還具有防病毒的功能,其設備內設病毒庫,并可以實時更新病毒庫,對常見的病毒和木馬進行查殺。其次防火墻還具有日志審查和流量控制的功能。
二、防火墻在校園網的架構
防火墻作為一個安全設備應放在校園網的前端,使外部的訪問最先經過防火墻。防火墻處于整個校園網絡的最前端,由于如今的防火墻可以實現路由器的功能所以網絡中可以省去路由器,路由選擇和內、外網的ip轉換可以通過防火墻實現,防火墻在最前端可以使外網的訪問最先到達防火墻,通過防火墻的判斷是否安全再向內網轉發。而需要對外開放的服務器群通過交換機直接與防火墻連接,防火墻經過設置實現DMZ隔離區,不管是內網、還是外網訪問都必須經過防火墻,從而實現安全訪問。
三、防火墻在校園網的應用
防火墻架設好之后其主要應用還是通過與之配套的管理系統來實現的,下面我們以阿姆瑞特防火墻為例介紹防火墻的應用。如圖1在防火墻的管理主界面中顯示了當時防火墻和網絡運行的一些性能參數,在左邊的功能列表里可以設置防火墻的路由規則、定義對象、定義服務,在規則里可以定義哪些協議和什么樣的訪問可以通過防火墻,同時在功能列表里可以定義源地址、目標地址和協議的黑白名單。防火墻的管理方式有命令和圖形化兩種,圖形化的管理方式更簡單更直觀,而命令管理更準確更詳細,由于大多數的防火墻都采用UNIX為內核的操作系統,所以作為網絡管理人員圖形化的管理更方便快捷。
圖1
防火墻在校園網中還應把禁止訪問校外非法網站的應用打開,由于校園網絡服務的群體是廣大師生,所以必須嚴格禁止校外非法網站的訪問,我們可以通過非法網站的域名和ip地址兩種方式來實現屏蔽,在防火墻上可以通過黑名單中將非法網站的域名添加進去,也可以建立一條禁止訪問的規則,再建一個已知非法網站的ip地址的對象,用禁止訪問的規則調用新建對象即可完成禁止訪問的功能。
透明通道防火墻的建立,由于我們一般的把防火墻設置一個ip地址,這樣黑客就可以通過內部、外部根據這個ip地址進行攻擊,設置成透明通道防火墻之后,設備的網絡接口沒有ip地址,不管是網絡內部還是外部的黑客都無法察覺防火墻的存在,就像是一個透明的設備,所以就無法通過防火墻的ip地址攻擊校園網絡了。
在校園網中大多數的防火墻具有日志的審核功能可以配合公安部門對校園網內部的網絡動作進行審查,以阿姆瑞特防火墻為例,在一臺服務器上或頂一定的空間作為日志存放的空間,一般為一個半月到兩個月所產生的訪問量,再裝上日志查詢軟件,通過查詢軟件可以查出近兩個月任意時間段的網絡訪問情況,查詢功能主要是基于源地址和給予目標地址的查詢,比如說某一時間段有哪些內部主機訪問了某一網站,或者某一時間段內某一內部主機走了哪些網絡訪問和網絡動作。這些通過防火墻都可以方便的查詢。
校園網的快速發展在為廣大師生創造快速信息化通道和極大提高學習和工作效率的同時,網絡安全問題也日益突出,采用防火墻能有效降低校園網受攻擊的幾率,保障網絡的暢通。但是防火墻并能提供完全的網絡安全,只有合理的運用網絡安全設備,提高人的管理能力,少出差錯,才能使網絡更安全、更便捷。
(作者單位:湖南人文科技學院信息中心)
參考文獻:
[1]張國祥.基于校園網的FireWall的架構與實現.湖北師范學院學報,2000 第20卷 第3期.
[2]仇宇.Internet網絡安全與防火墻技術探討.綿陽師范學院學報,2004 第23卷 第5期.
