校園網絡安全中分布式防火墻的應用

◆吳 勇

(咸寧職業技術學院 湖北 437100)

校園網絡安全中分布式防火墻的應用

◆吳 勇

(咸寧職業技術學院 湖北 437100)

分布式防火墻技術是網絡安全領域當中的核心技術，可以對校園網絡起到良好的防護作用。本文首先分析了分布式防火墻的基本概念和優勢，然后提出了校園網絡安全中分布式防火墻的應用方法，以供管理人員參考。

校園網絡；網絡安全；分布式防火墻；應用方法

0 引言

現階段，互聯網技術飛速發展，各大學校的信息化程度也在持續加深，校園網絡安全問題成為了人們所關注的重點問題之一。面對當前頻頻發生的黑客入侵、計算機病毒等各種校園網絡安全事件，有關人員必須要針對這些問題展開研究，探索出分布式防火墻的科學應用方法。

1 分布式防火墻的基本概念和優勢

傳統的防火墻技術在應用過程中時常會出現一些問題，比如結構性限制、防外不防內、效率較低、故障頻發等。對此，在校園網絡中運用分布式防火墻，則具有極為重要的現實意義。美國研究員Steven M.Bellovin首次提出了有關分布式防火墻的概念，指出其系統構成包括如下三個部分：第一，網絡防火墻。這一部分具備和傳統防火墻相一致的功能，主要負責劃分出網絡之間不同的安全區域，此外還要進行對內部網絡當中各個子網絡的防護。第二，主機防火墻。為了要進一步拓展防火墻的運用范疇，人們于分布式防火墻的系統當中設計了主機防火墻。該部分長期安設于主機內部，會按照對應的安全策略對網絡當中的服務器和客戶端計算機展開安全防護。第三，中心管理服務器。該部分屬于總體分布式防火墻的管理中心，其主要負責制訂安全方案、搜集并分發日志、分析信息等。

分布式防火墻具有其獨特的工作模式。該防火墻主要是通過核心策略服務器統一擬定安全方案，之后再把這些擬定好的方案分發至每個有關節點。之后，由這些主機節點獨立施行安全方案，再把各個主機生成的安全日志全部存儲于核心管理服務器中。當前，分布式防火墻已經不必再完全依賴網絡拓撲結構而劃分各個安全區間，其內在網絡產生了一些概念上的轉變，從而由原先的傳統網絡形式發展成了邏輯網絡，突破了以往防火墻對拓撲結構的依賴。然而，各大主機節點在信息分析的過程中，也需要依靠核心策略服務器所發布的安全方案來確定某一個節點是否可以經過防火墻。

在現階段的新型安全結構中，分布式防火墻體現出了明顯的優勢，能夠在網絡的任意交界及節點部位安設屏障，進而構成多協議、多層次、內外兼顧的安全體系。首先，分布式防火墻可以提高針對于主機的入侵監測及安全保護功效，強化對內部攻擊的抵擋；其次，能夠解決結構性的瓶頸問題，優化系統性能；最后，分布式防火墻還可以跟隨系統的擴充而完善自我，具有安全防護無限拓展的功能。

2 校園網絡安全中分布式防火墻的應用

從目前情況看，各類網絡防護的軟硬件不斷涌現出來，但其中有許多都無法全面、系統地處理好校園網絡安全問題。比如瑞星、金山等，都只是針對其中一部分問題進行解決，并沒有制定出完善的處理方案。學校網絡具有特殊性，所以要維護校園網絡的安全，也需要結合校園網絡的相關需求和特點，構建科學的網絡體系。

2.1 建立入侵監測系統

利用分布式防火墻，可以建立起入侵監測系統，該系統能實時監測并找出網絡當中的反常現象。在整個監測過程中，除了運用審核記錄，檢查出各種不應當存在的活動之外，該系統還能夠實時保護來自IP Spoofing和Ping of Death及其余外界的襲擊，進而充分維護系統的安全。此外，一旦監測到襲擊行為，該系統還會自主生成電子郵件，將消息在第一時間報告給系統管理員。

2.2 設置用戶認證

分布式防火墻可以設置并完善校園網絡的用戶認證機制。當用戶訪問一些帶有安全隱患的網站時，防火墻就會通過內部建立的用戶資料庫以及IP/MAC資料等實施認證，然后確定是否可以給予用戶訪問權限。另外，分布式防火墻還可以限制授權，從而避免用戶經由防火墻實施一系列不安全的活動。

2.3 檢測及維護

當科學配置好分布式防火墻后，就需要針對防火墻實施定期檢測及維護，此外還需對檢測到的流量數據展開詳細分析，隨時關注反常流量的情形，同時做好日志記錄、備份等工作，便于將來的信息查詢。最后，針對分布式防火墻進行配置，也需要以網絡結構為標準，一旦網絡結構發生變化，防火墻也要隨之變化，以確保其能夠在校園網絡中發揮出最大效用。

2.4 漏洞掃描與彌補

要全面處理好校園網絡當中經常出現的安全問題，就必須要先弄清楚究竟存在一些怎樣的安全隱患。校園網絡的覆蓋面較廣，并且網絡性質也比較復雜，時常處在不斷變化的過程當中。假如只單純依賴網絡技術管理人員對漏洞進行查找，就會產生極大的工作量，加重管理人員的負擔，并且效率很低，難以實現。對此，需要設置出能夠代替人工進行漏洞掃描，并實時作出評估分析，制定出修改方案的工具，使其能夠在系統優化過程中及時彌補好網絡安全漏洞，降低安全風險。

2.5 維護子網絡的安全

不論是外在因素還是內在因素，都有可能威脅到校園網絡的安全。針對外在因素，可以安裝分布式防火墻，而對于內在因素，學校則需要在網絡監管部門當中設置專門監督并管理網絡運行狀況的子網絡程序。這種程序具有較好的審計功能，可以在監督子網的過程中，對系統不同服務器的審計文件進行備份，并在各個監督程序之間建立橋梁，確保互相連接的計算機在其余服務器未能收到聯系的情況下，能夠自主報警，發出提示。

3 結束語

防火墻技術對于當今社會人們的網絡安全而言極為重要，該技術也在不斷朝著分布式、智能化、嵌入式等方向發展，體現出越來越強大的安全需求。在校園網絡構建與管理中，也應當合理運用分布式防火墻，建立入侵監測系統，設置用戶認證，進行漏洞掃描與彌補，充分維護校園網絡的安全。

[1]張新剛,劉妍.防火墻技術及其在校園網絡安全中的應用[J].網絡安全技術與應用，2006.

[2]陳晶.防火墻在校園網絡安全中的應用研究[J].網絡安全技術與應用，2008.

[3]劉萍芬.分布式防火墻系統在網絡安全中的應用[J].鄭州輕工業學院學報(自然科學版)，2008.