分布式防火墻在數字化校園信息安全中的部署

楊年中

摘要：隨著國家大力推進數字校園建設發展，校園網絡環境中的信息安全問題日益凸顯，如果不能解決信息安全問題，會嚴重制約互聯網技術和計算機技術的應用發展。目前，在各種網絡環境中，防火墻技術作為安全屏障可以有效實現網絡信息安全，在網絡安全防護中的應用越來越廣泛。防火墻技術屬于基于傳統網絡安全技術的一種新型安全防護手段，由于運行安全穩定、防護性能良好，已經普遍應用于私人網絡與公共網絡之間。本文在分析了傳統防火墻技術存在的安全漏洞問題基礎上，提出了分布式代理防火墻在校園網絡中的部署設計方案，具有一定的理論指導意義。

關鍵詞：分布式防火墻 數字校園 信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）05-0000-00

1引言

隨著我國各大高校數字校園的發展建設，網絡信息安全問題已經成為了校園信息化建設中不可忽視的重點問題。為了解決校園網絡信息安全問題，越來越多的現代信息安全技術被廣泛應用于數字校園建設中，防火墻技術在網絡安全防護建設中應用得最為普遍。但是，傳統的邊界防火墻技術存在性能較差和單點失效等明顯弊端，更需要基于網絡拓撲結構來實現防火墻安全策略。因此，分布式防火墻技術在這種背景下應運而生，分布式防火墻技術通過在某些受保護的主機上進行部署，以解決傳統防火墻技術的瓶頸問題。本文主要對分布式代理防火墻在數字校園中的部署進行了方案設計。

2傳統防火墻中存在的問題

（1）內部安全問題。傳統的防火墻技術無法對內部數據進行安全監控，更無法實現出現在網絡內部攻擊的安全防護。（2）性能瓶頸問題。傳統防火墻技術的性能較差，數據處理速度較慢，防護惡意攻擊的安全功能不夠完善。（3）單點失效問題。整個網絡的安全防護全部依賴防火墻技術，一旦惡意攻擊者翻越防火墻，或者防火墻配置出現問題，內部網絡將完全暴露于攻擊人員面前。（4）授權訪問問題。由于網絡環境非常復雜，很容易造成惡意攻擊人員繞過防火墻設置直接與內部網絡進行連接，給網絡安全防護帶來極大威脅。（5）端對端加密威脅。當基于新型網絡協議進行數據加密時，傳統防火墻技術經常會由于沒有密鑰而無法識別合計檢查通過的數據包內容。（6）安全模式簡單。傳統防火墻技術的安全防護策略主要針對的是內部網絡，內部網絡中部署的主機全部采用相同的安全模式，很容易造成信息安全威脅。

3分布式代理防火墻的部署設計

3.1體系結構設計

本文主要基于Linux系統環境下，通過代理服務器部署防火墻策略，在代理防火墻基礎上進行安全策略協商，以確保各個代理防火墻可以協同工作，對整個網絡系統進行安全防護，構建分布式防火墻系統的原型。分布式代理防火墻系統結構如圖1所示，采用對話控制方式的協調機制，具有典型分散型防火墻系統的部署結構。

3.2控制中心結構設計

控制中心主要負責實現資料收集、相互對話、日志管理和證書簽發功能?？刂浦行牡母鱾€節點處都配置了防火墻的安全策略庫、數字密鑰庫和數字證書等內容?？刂浦行牡谋举|是CA認證中心，CA認證中心是分布式防火墻系統唯一授權和承認的數字證書簽發機構?？刂浦行慕Y構主要包括策略模塊、日志模塊、策略分析模塊和策略協商模塊。

3.3代理防火墻結構設計

代理防火墻的設計主要采用了分布式結構，以分擔網絡數據流量的方法減少每個網絡節點承擔的數據處理量。分布式防火墻的部署能夠有效避免某個網絡節點感染木馬病毒而導致整個網絡受到嚴重的安全威脅，每個網絡節點必須針對需要經過的數據進行識別和檢查。代理防火墻系統的體系結構包括通用層接口、IP過濾模塊、代理服務程序、聯動接口、沖突檢測、網絡解析、策略協商和日志管理等。接口層主要為用戶使用管理進行支持，IP過濾模塊負責對生成的日志信息進行保存，以記錄網絡訪問地址。沖突檢測模塊負責檢查各個數據輸入接口與防火墻連接的位置是否存在異常情況。安全解析模塊負責解析安全版圖，將其轉換成為系統可以識別和執行的形式。策略協商模塊負責利用控制中心實現其他代理防火墻的安全防護策略的協同運行。

4結語

綜上所述，由于各大高校校園網絡建設規模非常龐大，網絡結構也十分復雜，本文提出了代理防火墻的部署方案，主要利用控制中心對安全防護策略進行協商，但這也可能會造成系統性能降低等問題，在下一步的設計研究中應該增加多個控制中心，由每個控制中心負責承擔部分代理防火墻安全策略的協商任務，再通過完善的數據通信機制使各個控制中心之間實現協商策略的交換。同時，還可以將控制中心的各項功能與代理防火墻功能結合，防止由于過于依賴策略中心給系統代理安全漏洞和威脅。

參考文獻

[1]楊帆.防火墻技術及其在校園網絡安全中的應用研究[J].科技展望，2015，35：10.

[2]向征.基于WEB防火墻的校園網絡安全解決策略[J].科技展望，2015，11：7.