摘 要:针对日益泛滥的校园网络安全问题,深度剖析防火墙技术的主要技术特征,提出防火墙技术在网络安全保障方面的重要性。
关键词:防火墙;数据包;代理;认证
当今我们已经步入网络信息时代,校园中的教职工和学生在通过校园网络获取信息的便利时,又滋生出了新的网络安全问题。为了尽量避免资料被丢失、数据被篡改、密码被盗等恶性事件的发生,在校园网络中应建立起一套网络安全体系,特别是从制度和措施上建立起有自己特色的网络安全体系。其中“防火墙”是其必须要考虑的安全保障技术之一。
防火墙(硬件或软件)是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
根据其防范的方式和侧重点的不同,防火墙可分为三大类。
(1)数据包过滤:数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表。通过检查数据流中每个数据包的源地址、目标地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性和透明性好,它通常安装在路由器上,路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
(2)应用级网关:应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用级网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
(3)代理服务:代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接,由两个终止代理服务器上的链接来实现,外部计算机的网络链路只能达到代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
根据以上特点,校园网络在设置防火墙时应当从以下几个方面着手。
(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。
(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。
(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。
(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。
(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。
(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。
(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式,对于内部网络的安全又多了一层保障。
总之,要做到校园网络安全,防火墙技术是非常重要的网络安全屏障之一,但要确保网络安全仍必须要从全方位着手,重点还要从管理和安全意识上下功夫。否则即使技术上再先进,也有可能因为人为的疏忽大意而造成资料丢失、泄密等。
参考文献:
[1]唐正军, 李建华. 入侵检测技术[M]. 北京: 清华大学出版社, 2004.
[2]马晓春.防火墙技术在网络入侵检测系统中的应用研究[D].西安:西北工业大学,2005.
[3]杨智君,田地,马骏骁,等.入侵检测技术研究综述[J].计算机工程与设计,2006,27(12):2119-2123
[4]赵月爱,彭新光.高速网络环境下的入侵检测技术研究[J].计算机工程与设计,2006,27(16):2985-2987.
