淺析在校園網絡環境下防火墻技術的應用

摘 要：本文現以本單位僅有的設備和資源為基礎，研究校園網絡管理中如何使用安全策略，配置防火墻以及入侵檢測等安全技術。

關鍵詞：校園網；網絡安全；防火墻技術

中圖分類號：G427 文獻標識碼：A文章編號：1992-7711（2012）05-080-1

校園網是一個重要網絡，它建立了一系列重要的應用系統，負責學校日常的信息管理工作。校園網又是一個教科研網絡。它往往承擔了省級甚至國家級的課題項目。同時，教工家屬區的PC 也連入校園網。對于這類終端，他們的特點是數量龐大，占用帶寬較高且不易管理。那么，在校園網絡環境下如何使用防火墻技術呢？

一、使用防火墻技術

防火墻是目前網絡安全的一個最常用的防護措施，廣泛用于對校園網共享上網的問題，還可以作為一種實用的防火墻方案，是一種非常適合網絡和系統的保護。

1．防火墻

防火墻（英文：firewall）是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信均要經過此防火墻。

2．分類

目前防火墻產品很多，基本上分為兩類：一類基于包過濾，另一類基于代理服務器。前者直接轉發報文，它工作在網絡的底層—IP層，是在網絡中適當的位置對數據包實施有選擇的過濾，它可以提供廉價、有效、具有一定網絡安全的環境，且它對用戶是全透明的，速度較快。Cisco的防火墻就是這種，它有兩種方法實現防火墻功能，一種是適用于某些接口上的流控制，用于過濾IP或指定TCP和UDP端口的IP數據包，另一種是適用于廣播信息，用于過濾廣播信息；而代理服務器一般工作在應用層，它可以屏蔽網絡內部結構，增強網絡內部的安全性，同時還可以用于實施數據流監控、過濾、記錄、報告等功能。但它對用戶不透明，工作量大，需要高性能服務器，通常要經代理服務器進行身份驗證和注冊，故速度較慢。

在設計防火墻時，除了安全策略以外，還要確定防火墻類型和拓撲結構。 一般來說，防火墻被設置在可信賴的內部網絡和不可信賴的外部網絡之間。 防火墻相當于一個控流器，可用來監視或拒絕應用層的通信業務，防火墻也可以在網絡層和傳輸層運行，在這種情況下，防火墻檢查進入和離去的報文分組的ICP和TCP頭部，根據預先設計的報文分組過濾規則來拒絕或允許報文分組通過。

3．代理服務器配置方案

前面說過，代理型防火墻的核心技術就是代理服務器(Proxy Server)技術， 從內部網絡發出的數據包經過這樣的防火墻處理后， 就如同是源于防火墻外部網卡一樣， 可以達到隱藏內部網結構的作用， 因此這種類型的防火墻被很多網絡安全專家和媒體認為是最安全的防火墻。所謂代理服務器， 是連接內部局域網和Internet的一種網關， 該網關是運行代理服務軟件的計算機， 能夠實現兩種不同的網絡互相通信。代理服務器在用戶與服務器之間協同工作， 因此它提供了一個透明的應用級網關。當客戶端向服務器發起請求， 該請求被代理服務器接收后，對其進行身份認證和訪問控制， 如果客戶端通過了代理服務器的身份認證和訪問控制， 就代替客戶端向該服務器發出請求。服務器響應以后， 代理服務器將響應的數據傳送給客戶端。

二、目前應用的防火墻存在的不足

防火墻雖然是目前使用最為廣泛的網絡安全新產品之一，但網絡攻擊技術不斷發展變化，并呈現出一些新的特點，所以也反襯出防火墻的一些弱點，主要體現在下面幾點：

1．原有的安全部署不能迅速地適應迅速發展的網絡黑客的攻擊，同時防火墻技術并不能防范來自內部或智能化的入侵攻擊，對于以夾帶方式通過的非法信息，防火墻無法檢測和過濾。尤其是病毒郵件，防火墻便無能為力，不能阻止其進入計算機硬盤。

2．一旦有病毒進入內網，入侵OA 服務器和應用服務器，防火墻沒有能力阻止，導致OA 報務器可能成為病毒轉發的中轉站，業內人士都知道，病毒在應用服務器上的擴散速度通常是普通機器的13 到20 倍。

3．增加系統的管理負擔，病毒一旦穿透防火墻后，計算機立即會遭到黑客的攻擊，由于防火墻的功能所限，加之網管界面均不太理想，勢必加重系統管理的負擔。網絡安全保障技術滯后于網絡攻擊技術和病毒開發技術，挑戰著防火墻的技術能力。

4．防火墻和其他病毒軟件一樣需要不斷更新和升級，才能有效地抵御新的攻擊。

現在的防火墻產品已經呈現出一種集成多種功能的設計趨勢，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產品中了，很多時候我們已經無法分辨這樣的產品到底是以防火墻為主，還是以某個功能為主了，即其已經逐漸向我們普遍稱之為IPS（入侵防御系統）的產品轉化了。雖然各種安全技術存在著一定程度的差異，但是不同技術的協同工作和在應用上的融合又是一個迫切的要求和必然趨勢，而產品的融合、協同、集中管理是網絡安全的發展方向。