高校校園網(wǎng)絡環(huán)境下防火墻技術(shù)的應用

周秀芳

摘 要：分析當前高校資源篩選與信息反饋的需要，防火墻技術(shù)可借助對控制點、區(qū)域模塊以及傳輸主體的自主調(diào)控，防火墻的應用特性、安全性以及校園網(wǎng)選擇標準，應成為整個實踐過程的重要參考點。基于此，應重新審視當前校園網(wǎng)的信息泄露、數(shù)據(jù)丟失等現(xiàn)實問題，并著力從信息過濾、服務代理管控等維度出發(fā)，強化校內(nèi)外信息鏈的對接與修正。

關鍵詞：高校校園網(wǎng)絡 防火墻技術(shù) 網(wǎng)絡安全

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1672-3791（2018）06（a）-0005-02

防火墻技術(shù)作為一種切實有效的網(wǎng)絡安全技術(shù)，是為了阻止來自網(wǎng)絡的危險信息經(jīng)由網(wǎng)絡通道進行擴散傳播，在限制數(shù)據(jù)從特定“控制點”向另一“控制點”之間的進入、傳導以及間斷隔離，來有效保證數(shù)據(jù)信息的抗風險性以及可持續(xù)性。高校校園網(wǎng)絡需要保持數(shù)據(jù)系統(tǒng)的“干凈性”與“穩(wěn)定性”，在應用虛擬網(wǎng)絡技術(shù)常規(guī)功能特征的基礎上，努力實現(xiàn)教學工作、資源拓展和組網(wǎng)系統(tǒng)之間的多維對接。

1 高校建構(gòu)防火墻系統(tǒng)的必要性

防火墻大多被安置于受保護的內(nèi)部網(wǎng)絡系統(tǒng)的Internet聯(lián)結(jié)點中，以此來將內(nèi)外數(shù)據(jù)網(wǎng)絡系統(tǒng)分開，所有的傳輸數(shù)據(jù)均需要穿過多層篩選、整合、內(nèi)容轉(zhuǎn)化和有害信息截留系統(tǒng)，以此來確保每一個Internet點數(shù)據(jù)的安全性與可控性。當前教學發(fā)展背景下，大部分高校校園網(wǎng)具有較為可觀的區(qū)域覆蓋范圍，教師和學生群體參與在線培訓學習、任務建構(gòu)以及學科問題解決的幾率增加，在一定程度上推動了網(wǎng)絡資源和教學成效的綜合把控。教學過程的網(wǎng)絡化也重新改變了參與主體對資源調(diào)配的理性認知，網(wǎng)絡技術(shù)的廣泛應用有效提升了“教學任務容量”，關于“教育網(wǎng)絡帶寬”和遠程教學訪問系統(tǒng)的定位也進行了修正與調(diào)控，滿足日常教學模式的圖書館系統(tǒng)、教務管理系統(tǒng)、學生管理系統(tǒng)、用戶認證系統(tǒng)以及知識授權(quán)體系能夠從學術(shù)創(chuàng)造、知識共享以及成效安全監(jiān)控等層面發(fā)揮現(xiàn)實推進功能。然而，實際調(diào)查數(shù)據(jù)顯示，當前部分子網(wǎng)絡管理系統(tǒng)容易受到來自各種類型的攻擊，外校群體可通過校內(nèi)網(wǎng)站鏈接來進行以Internet為渠道的信息修正。

2 高校防火墻系統(tǒng)的建構(gòu)分析

防火墻技術(shù)作為一種特殊的數(shù)據(jù)訪問與調(diào)控系統(tǒng)，能夠通過建構(gòu)內(nèi)外部數(shù)據(jù)保護層，來保證外部網(wǎng)絡有效、科學地傳輸?shù)絻?nèi)部數(shù)據(jù)鏈中，讓所有參與主體更為快捷持續(xù)地訪問內(nèi)部網(wǎng)絡的同時，更好地防止外部數(shù)據(jù)的“非法入侵”。為提升高校校園網(wǎng)絡系統(tǒng)的穩(wěn)定性與資源延展性，相關管理群體應合理對現(xiàn)有的防火墻技術(shù)進行篩選與多項聯(lián)結(jié)，盡量避免使用單一類型防火墻技術(shù)，而應轉(zhuǎn)向用多種技術(shù)問題來快速解決校園網(wǎng)絡系統(tǒng)中的安全性問題，如統(tǒng)籌選取“包過濾技術(shù)”與“內(nèi)容核查技術(shù)”，來有效增強防火墻軟硬件系統(tǒng)的高效性。大體來看，高校校園網(wǎng)絡防火墻技術(shù)的應用主要體現(xiàn)在以下幾方面。

首先，以“包過濾技術(shù)”驗證教學資源。包過濾技術(shù)是一種含有特定篩濾模塊的、設置在特定內(nèi)部網(wǎng)絡Internet聯(lián)結(jié)點的技術(shù)類型，大多安裝在網(wǎng)關或無線路由器上，通過統(tǒng)籌控制系統(tǒng)層面的“傳輸控制協(xié)議”和“網(wǎng)際協(xié)議”等，來快速處理操作系統(tǒng)中協(xié)議包數(shù)據(jù)中的非合理性數(shù)據(jù)或相關模塊，并對“進出站”的教學數(shù)據(jù)資源進行篩查，以驗證內(nèi)部數(shù)據(jù)包是否滿足過濾原則與教學實踐需求。在一般情況下，“包過濾技術(shù)”前端的入侵檢測系統(tǒng)能夠?qū)θ肭中畔⑦M行篩選和預處理，借助中間信號轉(zhuǎn)化系統(tǒng)的檢測與調(diào)控功能，對模塊中建構(gòu)的規(guī)范語法進行遺漏檢查與二維核對，用特定的語法模塊系統(tǒng)對內(nèi)部網(wǎng)絡中的所有教學數(shù)據(jù)進行校內(nèi)外匹配，再次審視其中的“異常數(shù)據(jù)”，并對這些非合理性數(shù)據(jù)進行后期修復與刪除。同時，入侵檢測系統(tǒng)可根據(jù)不同教學階段的“資源內(nèi)需性”和信息延展性等相關特征，以相同層次校內(nèi)外教學模式為現(xiàn)實依托，借助“規(guī)則模塊”中字符信息的持續(xù)性與多向傳輸性，來將所有輸入教學信息進行特征數(shù)據(jù)庫內(nèi)容比對，當兩類信息的字符不同時，可進行攻擊性信息二次檢測和字符內(nèi)容匹配，以期有效縮短資源整合與傳輸報告建構(gòu)的持續(xù)性過程。

其次，以“代理技術(shù)”推進內(nèi)部網(wǎng)關的信息轉(zhuǎn)接功能。代理技術(shù)主要通過對特定應用聯(lián)結(jié)點進行狀態(tài)控制與服務申請，來科學調(diào)控可接受代理請求的服務器數(shù)量和實踐規(guī)模，因服務代理請求的多向調(diào)控性與處理延時性，其可根據(jù)實際教學需求與編排程序來直接或間接地拒絕來源未知的中間“節(jié)點”的信息轉(zhuǎn)換請求，以“雙宿網(wǎng)關”和“多向主機”來對整體或部分的數(shù)據(jù)信息傳輸狀態(tài)進行確認與修正。此外，“代理技術(shù)”可作為檢查運行狀態(tài)與網(wǎng)關資源更新的安全策略軟件，即在不影響網(wǎng)絡系統(tǒng)正常運行的狀態(tài)下，通過對不同教學網(wǎng)絡通訊層進行信息抽取與實踐狀態(tài)監(jiān)測，來為多種服務協(xié)議與應用模塊提供科學支撐，此種內(nèi)容檢查技術(shù)能夠通過對“高層服務數(shù)據(jù)”進行數(shù)據(jù)流監(jiān)管與智能組合，來避免教學內(nèi)外部信息系統(tǒng)受到軟件威脅。從網(wǎng)絡構(gòu)型層面上看，為滿足不同階段受教群體的資源訴求與實踐技術(shù)水準，高校領域可通過“拓撲型”網(wǎng)絡結(jié)構(gòu)來統(tǒng)一調(diào)控內(nèi)部網(wǎng)絡系統(tǒng)中的辦公室模塊、學生管理模塊、教務管理模塊以及社會服務模塊，每個模塊均設置差異化的聯(lián)結(jié)網(wǎng)段，通過建構(gòu)核心信息交換機，來努力實現(xiàn)內(nèi)外部子系統(tǒng)之間的交互訪問和數(shù)據(jù)防火墻的科學設計。根據(jù)教學時段安排，受教群體大多在課堂內(nèi)上網(wǎng)，在一定程度上影響了教學秩序的規(guī)范開展和成效反饋，但因上課過程中的部分群體有相應的校園內(nèi)部教學資源聯(lián)結(jié)訴求，需要相關教學管理人員對Internet系統(tǒng)進行調(diào)控與資源整合。為有效解決此矛盾，校內(nèi)網(wǎng)絡系統(tǒng)管理員可通過對防火墻上的“時間表”進行合理配置，如控制課堂時間內(nèi)的上網(wǎng)時段，允許受教群體在特定時間段內(nèi)連接到外部網(wǎng)絡并查詢、篩選有益資源信息，此種技術(shù)在避免學生“無效上網(wǎng)”的同時，有效防止了外網(wǎng)的負面數(shù)據(jù)入侵和攻擊。

最后，使用狀態(tài)檢測防火墻。狀態(tài)監(jiān)視防火墻安全性較高，它將包過濾防火墻和代理服務器防火墻的優(yōu)點相結(jié)合。狀態(tài)監(jiān)視防火墻比包過濾防火墻更加安全，比代理服務器防火墻能提供更好的性能。在狀態(tài)檢測防火墻中，建立一個狀態(tài)表，所有的網(wǎng)絡連接的會話信息都在狀態(tài)表中記錄著。通過對狀態(tài)表應用安全策略來控制通過防火墻的流量。當一個連接開始時，將該連接的會話信息記錄在狀態(tài)表中，如果安全策略允許該連接，則轉(zhuǎn)發(fā)連接的數(shù)據(jù)流量，返回的數(shù)據(jù)流量要與狀態(tài)表中已存在的會話信息進行比較，如果不匹配，則丟棄掉這個連接。狀態(tài)檢測防火墻一般有幾個接口，一個用來連接校園網(wǎng)絡，稱為內(nèi)部接口；一個用來連接公用網(wǎng)絡，稱為外部接口；一個用來連接一些向公用網(wǎng)絡提供服務的服務器，稱為 DMZ 接口。內(nèi)部接口的安全級別最高，外部接口的安全級別最低，DMZ 接口的安全級別處在內(nèi)部接口和外部接口之間。

3 結(jié)語

防火墻作為網(wǎng)絡安全體系的基礎和核心設備，在網(wǎng)絡安全中具有舉足輕重的地位。為了保障校園網(wǎng)絡的安全，還需要結(jié)合其他網(wǎng)絡安全技術(shù)，同時還要加強用戶安全教育、提高管理人員技術(shù)素養(yǎng)等方面的工作.這是長期不斷完善的過程。

參考文獻

[1] 季云.以防火墻為基礎的高校信息系統(tǒng)安全設計[J].信息通信，2016（8）：186-187.

[2] 張文輝，祁富燕.基于防火墻技術(shù)對高校網(wǎng)絡建設的研究[J].信息安全與技術(shù)，2011（8）：33-35.