摘 要:在分析计算机网络及大学校园网安全因素的基础上,介绍了防火墙的特性、功能、实现方式、分类等,重点讨论了大学校园网安全的相关内容,以及校园网络环境下如何利用防火墙技术保障校园网络的安全。
关键词:防火墙;计算机网络;校园网;网络安全;网络策咯
随着计算机网络技术的发展,威胁网络安全的因素也越来越多,技术也越来越先进,越来越复杂,相应地网络安全理论、相关产品也在不断进步。目前计算机网络安全主要依靠采取保密措施、使用安全的网络协议、实施访问控制等手段来保障。
1 网络安全与大学校园网安全
1.1 网络安全
网络安全是指确保网络上的信息和服务不被未经授权的用户使用。分析对计算机网络造成威胁的各种因素,可将分为:
(1)外因——主要是指来自外界的威胁计算机网络安全的因素,包括破坏数据链路的行为、非授权或冒充使用、恶意信号干扰、计算机病毒、搭线窃听、物理环境的安全性差、地震、战争等不可抗争的因素等。
(2)内因——主要是指计算机网络系统自身的安全漏洞等因素,包括网络系统自身的缺陷、访问控制中的安全隐患、安全漏洞、通信协议中的安全漏洞、缓冲区溢出等应用软件的安全漏洞、WWW、FTP服务的安全漏洞以及网络操作系统的安全缺陷等。
1.2 大学校园网的安全。
大学是特殊的环境,大学校园网的安全除了要保证网络不受外界的破坏,使之安全正常的运行之外,还包括网络信息的健康、正确等方面的内容,还需要防范别有用心的人利用计算机网络传播色情、淫秽、暴力、敌对、散布谣言等内容。另外,大学校园网网络用户水平较高,网络运行中也经常会有有特殊兴趣的同学尝试利用各种可能的手段试图攻击、侵入各种服务器。通过分析大学校园网运行过程中存在的安全因素,认为大学校园网的安全工作应该从以下方面着手:
(1) 采用安全的操作系统,防范未经授权的访问者非法进入。
(2)防范信息暴露,敏感数据被访问,例如学生成绩信息被非法篡改等。
(3)防范系统被破坏,因非法进入而导致系统数据或系统功能受到影响。
(4)重要数据加密,保证内容完整性等,要求在传输重要数据时,采取加密手段保证数据的安全、内容的完整。
(5)制定并实施访问安全,身份认证,访问控制策略。
(6)确保运行安全基础设施的可靠性及安全监测手段的有效性。
(7)必要时对网络图文聊天、BBS、语音聊天等实施监控等。
(8)在人员集中的网络实验室、电子阅览室等场地的计算机上安装软件防火墙,防止非法访问敌对、黄色、淫秽、暴力等站点。
(9)制定安全政策、并在边界建立符合安全政策的防火墙体系、划分内部的安全政策域、对特定的主机节点进行防护加固处理、并要考虑采用合适的操作系统、应用系统、安全系统,确保网络中心机房安全,实施严格的门禁制度。
(10)网络中心应设立安全管理机构,负责网络安全规划、安全系统管理、安全管理教育等方面的内容,必要时要与当地公安机关的计算机监察部门取得联系。
2 防火墙技术
应用相关的安全产品保障网络安全是非常有效的,尤其是网络防火墙已经成为网络时代不可或缺的安全产品,尤其在大学校园的计算机网络中,防火墙对校园网的网络安全、信息的安全更具备特殊的意义。
2.1防火墙的基本特性
防火墙是在内部网与外部网之间实施安全的一道防御系统。防火墙可以由单独的硬件组成,也可由路由器、交换机中的软件模块组成。防火墙作为一种安置在两个网络之间的一组组件,具备下列特性;
(1) 网络间的双向通信必须通过防火墙;
(2) 只有符合本地安全策略授权的信息可以出入;
(3) 防火墙本身不应影响信息的流通。
2.2 防火墙的实现手段。
目前,防火墙的主要实现手段有:
(1) 分组过滤,可以过滤未经证实的主机的TCP/IP分组,并防止内部用户使用未经安全授权的服务以及与其建立连接。
(2) IP伪装,这种方式是利用一个IP地址代替内部主机的IP地址,可以躲避来自外部的监视。
(3) 代理服务:通过在高层建立代理功能,断绝内外网之间的连接。
2.3 防火墙功能
(1) 过滤进出网络的数据包。
(2) 管理进出口网络的访问行为。
(3) 封堵某此禁止的访问行为。
(4) 记录通过防火墙的信息内容和活动。
(5) 对网络攻击进行检测和告警。
2.4防火墙的类型
传统防火墙从基本原理上可以分包过滤型和代理型。包过滤型防火墙,它基于包过滤技术,以单个的数据包为处理对象,根据源、宿主机的IP地址和端口号等信息,对网络连接以及网络数据包进行限制,实现数据包的过滤功能。包过滤防火墙,可以被方便的嵌入到路由器或交换机等产品中。应用网关和线路网关(也称代理服务器,代理式防火墙等),应用网关或代理服务器在应用层或传输层进行报文的过滤和转发。通过运行专用应用程序的安全工作站,内网联入外部网络。用户通过代理器与安全系统进行通信,用户访问外部资源时,访问请求先被转交给防火墙的代理程序,再由代理程序和外界的服务器通信,代理得到获得返回信息后,先进行安全检查,符合安全规则后转交给用户。代理程序工作在应用层,可以提供较高的安全性,防止遭受攻击。
3 防火墙技术在大学校园网中的应用
在大学校园网中,可以利用防火墙在内部网和Internet之间设置“路卡”,监视所有的出入信息流,并根据网络安全人员制定的网络安全策略以及黑、白名单,决定哪些信息是可以通过的,哪些是不允许通过的,但这需要巨大的人力不断检查世界上的各种WEB服务器并修改相应的黑白名单,所以采用防火墙需要付出巨大的代价。下面给出几种常见的防火墙设立方式。
3.1 数据包过滤目前多数路由器、交换机等都内嵌数据包过滤功能,管理员可在其中设置访问列表来实现包过滤功能。在Internet网关处安装一个含有数据包过滤功能的路由器,即可实现数据包过滤防火墙。这种应用模式不必使用专业的防火墙产品,具备成本低,速度快,实现方便等特点。但容易出现配置不当错误也无法处理应用层发起的攻击,数据包过滤防火墙的安全防御能力较差,难以实现复杂的安全策略。实用中还有必要在桌面系统中配备防病毒软件。
3.2 建立边界防火墙体系由于大学校园网络应用环境的特殊性,需要制定特殊的安全策略。并在边界建立
符合安全政策的防火墙体系。在边界建立符合安全政策的防火墙体系。
在WWW服务器、SMTP服务器与Internet之间设置了路由器、包过滤防火墙、代理服务器。这种设置具有较好的灵活性,可以禁止访问没有得到特别允许的所有设备。外部用户可以通过路由器、包过滤防火墙、代理服务器、WWW服务器、发送邮件访问,但可以防止其访问没经过许可的内部资源。内部用户可以有限制的访问Internet资源,可以有效堵截色情、暴力、反动、敌对信息的闯入。是一种较理想的防火墙配置方案。
3.3 防火墙用于服务器保护在大学校园网中,各种服务器是最容易受到攻击的,为了保证服务器的安全,需要在服务器与路由器之间设置防火墙,并设置合理的安全策略,有效防范来自公网的攻击。
4结束语
网络安全不是目的,只是一种保障。防火墙是一类防范措施的总称,是一种非常有效的网络安全模型。目前网络技术的普及虽然提高了网络应用水平,但也使网络攻击更加频繁,攻击手段更加高明,因此防火墙技术有待于进一步的改进与提高。防火墙的发展趋势主要体现为与其他技术的结合,从而出现智能化、集成化、与操作系统相结合、系统更灵活、可扩展性更好等特色,与分布式技术相结合,出现了分布式防火墙,使单一防护,变成多点结合的集群防护。综上所述,为了保障校园网的安全,要使用先进的防火墙技术但不能迷信防火墙,也不能忽视安全教育、提高管理人员技术素养等方面的工作。
参考文献:
[1]戚文静。网络安全与管理[M]。北就;中国水利水电出版社,2004。
[2]何莉等。计算机网络概论[M]。北京:高等教育出版社,2002。
[3]张尧学,王晓春,赵艳标。计算机网络与Internet教程[M]。北京:清华大学出版社,1999。
