摘 要:随着Internet在高校图书馆的普及,发挥的作用也越来越明显,但是网络安全问题也日益紧迫。本文概述了防火墙的概念,剖析了防火墙的工作机制。同时结合图书馆网络应用实例,具体介绍了防火墙技术在图书馆网络中的应用。
关键词:防火墙;图书馆;网络
随着计算机网络技术的发展,图书馆的系统建立和规模不断扩大,这就使得图书馆网络的安全问题越来越突出,图书馆的网络安全是一个复杂的系统工程,图书馆有大量的服务器、网络设备和工作站,如果直接与外部网络相连,则有可能造成图书馆内信息资源的泄露。如何采用切实有效的安全防护措施为教学和科研服务提供重要保障是计算机工作者面临的问题。而安装防火墙就是一个很好的解决办法。下面就进行一下简单的介绍。
1. 防火墙的概念
防火墙是一个位于内部局域网与外部网络、专用网和公用网之间的计算机或网络设备中的一个功能模块,为一种高级访问控制设备,是按照一定安全策略建立起来的硬件和软件有机组成体,可以是一台专属的硬件,也可以是一套软件。是一种计算机硬件和软件的组合,负责不同网络安全域之间的一系列部件的组合,主要用于控制、允许、拒绝、监测出入两个网络之间的数据流,高级一些还能提供如视频流的服务,且本身有较强的抗攻击能力,可以提供身份认证和访问控制,有效地监控了两个网络之间的任何活动,保证了内部网络的安全。其主要技术有:包过滤技术、双穴主机、堡垒主机、代理服务、网络地址转换、状态检测技术。
2. 案例介绍
2.1 要求
防火墙应由一系列的软件和硬件组成,形成一个有一定冗余度的保护屏障,应能抵抗木马侵扰和“黑客”的攻击,监控和审计网络通信;一旦失去防护作用,防火墙应能隔开网络中不同的网段,完全阻断内、外部网络站点的连接;还要有强大的反病毒、杀木马的功能,使这些病毒和木马在将要侵入时时引起防火墙的报警。
2.2 思路
首先是要确定安全策略,在图书馆出口处部署千兆防火墙一台。按照职能的不同划分成四个安全区域:服务器区域、阅览室区域、办公区域以及其它区域。针对不同区域的特点和需求设定相应的安全访问控制策略。为防止蠕虫病毒发作,限制单台主机发起连接的数量。将原来使用的固定IP地址、IP段停止使用或限制使用,设置新的、内部私有的IP 地址。通过防火墙的NAT 与反向NAT 技术将内部主机的IP 地址完全隐藏,从而不被外界发现。
为了适应图书馆先进设备和技术的应用,应采用灵活的模块化结构,密度端口适中的网络设备,具备三层路由功能,使其具备平滑升级能力。同时还应对不同用户的需求进行量身定做,防火墙和网络设备能够灵活提供各种常用网络接口,为满足用户的不同需求对网络模块进行合理搭配。
2.3 实例分析
我校图书馆网络安全主要是为了保护web服务器和数字资源数据库服务器,主要采取了硬件防火墙和linux 代理防火墙两种形式,采用了一种称为netfilter架构的防火墙,有效的防止了外部网络用户、病毒和木马以各种手段试图进入图书馆的内部网络。网络拓扑图见图1:
图1.图书馆网络拓扑图
硬件防火墙采用了Juniper 公司的NS50标准方案建议,它采用的是已知的一种动态数据包过滤的状态检测方法,收集各种部分的包头信息。NS50 防火墙产品可连接信任端口(Trusted )和不信任端口(Untrusted),如果一个应答数据包到达时,防火墙会对其进行对比检验,如果匹配则允许通过,如果不匹配,则丢弃该数据包,并提供了跨Internet 来实现远程管理能力。
当工作状态的防火墙失效时,备份防火墙会在短时间内自动切换到工作状态。为了使防火墙在失效时仍能够维护网络的安全,实现网络的高可用性,防火墙设计必须应用到专门的双机容错技,互为备份的链路需要有相同的配置。在这样的设计中,防火墙跨接在路由器和交换机之间,两个防火墙都同时在工作,互为备用防火墙。两个防火墙通过1 条心跳线连接实现状态的同步,当其中一个防火墙失去保护屏障的作用时,另一个防火墙将立即被启用,此时链路带宽下降到原有的50%,1 条链路完成2条链路的工作(见图2) 。通过这种双机热备份功能, 当单台主机失效时, 网络仍然可以工作,同时网络的双防火墙设计也保证了信息的高安全性。
图2.双机热备份系统结构
2.4 防火墙对流量控制的策略
为防止用户对网络资源的滥用,例如采用专业下载软件如BT、电驴、P2P等软件进行网络资源的过度下载,避免占用大量的网络带宽,阻碍正常工作的开展,对网络流量进行捕捉、分类,对网络流量进行监视,定期查看防火墙流量监测和流量控制策略,定期查看防火墙的网路日志和分析网络带宽资源的使用情况。
2.5 防火墙对入侵检测策略
凡是选中的协议都将被探测,如果匹配则允许通过,如果不匹配,则都将被过滤。通过定义过滤规则,可以减少网络探测引擎分析的数据包的数量。在大流量的环境下,通过减少数据包的数量,可以减轻网络探测引擎的负担,降低事件的漏报,从而使防火墙能有效地保护内部网络免受攻击。
2.6 硬件的选择
在硬件选择方面,首先应按照自己需求进行选择,目前市场上的防火墙种类很多,国外和国内都有技术和知名度过硬的产品,如思科、checkpoint、netscreen、东软、网御神州、联想等,但是不管选用哪个品牌、哪种类型的防火墙,必须确保它自身是安全的,并且经过第三方可信部门的认证。在选购防火墙时,不能只考虑吞吐量,而应要全面考虑防火墙的安全性、实用性和经济性。若流量大或不断变化,则应首要考虑防火墙的吞吐能力,吞吐能力差会使防火墙成为网络瓶颈;若涉及语音和实时图像传输,则要考虑防火墙的延迟;中小图书馆要根据网络规模和性价比来选择防火墙,切合实际,避免资源浪费。
3. 总结
防火墙作为目前用来实现网络安全的一种手段,已经得到了广泛的运用,可以有效防止外部网络的非法入侵和恶意攻击,监控网络通信和流量,便于图书馆系统管理和维护,保障图书馆自身的利益。正确认识防火墙的失效状态在维护网络安全中是相当重要的,但其它的防护措施也是必不可少的。
参考文献:
[1] 费宗莲.UTM引领安全行业潮流--UTM统一威胁安全管理系统综述[J].计算机安全,2006(3).
[2] 马林山.L roux防火墙技术在图书馆的应用研究[J].合肥学院学报,2007(2).
[3] 王琪.入侵检测的原理及其在网络信息系统中的应用[J].情报科学,2004,22(10):1273- 1276.
[4] 李文静,王福生.防火墙在图书馆网络中的安全策略[J].现代情报,2008,(6):72- 73.
[5] 李晓峰,张玉清.Linux2.4 内核防火墙底层结构分析.[J].计算机工程与应用.2002.
.2002.
作者简介:秦岚(1973-),女,湖南省宁乡人,湖南化工职业技术学院一级实习指导教师。