刘 成
摘 要:随着网络与信息技术的发展,互联网得到广泛的普及和应用,网络正深刻影响人类的生活及工作的方式。与此同时,信息安全的重要性也在不断提升。以校园网为对象,分析了防火墙等安全技术在校园网中的应用现状,指出防火墙与IDS结合,将使防御系统成为更加坚固的围墙,将来会有更大的发展空间和市场。
关键词:防火墙;校园网;互联网
中图分类号: TD39
文献标识码: A
文章编号:1005-569X(2009)06-0099-02
1 引言
目前,黑客入侵与病毒发作事件在全球范围内不断增加。由于网络应用的迅速发展,除以往熟知的病毒、垃圾邮,以及黑客恶意攻击、网络钓鱼之外,也有来自企业内部的安全隐患等,这些问题困扰着每一个企业。网络安全已经成为越来越多使用网络的公司、个人需要考虑的问题,越来越多的企业将网络的安全看作确保企业盈利能力的一项重要因素。
2 防火墙基础简介
2.1网络安全问题
传统的边界安全设备——防火墙,成为整体安全策略中不可缺少的重要模块。目前的防火墙产品的用户主要是企业用户。互联网已经改变了人们工作、联络、协作交流以及买卖的方式。网络的安全程度究竟如何?这是许多IT管理人员每天都会考虑的问题。可以想象,防火墙的应用也越来越普及,这个普及不仅面向各个公司、企业,也深入到家庭、个人,深入到每个网络节点、终端。
2.2防火墙概述
2.2.1防火墙的作用
防火墙从本质上说是一些设备,是外部网络访问内部网络的控制设备。它是用来保护内部的数据、资源和用户信息的工具,可以防止Internet上的危险(病毒、资源盗用等)传播到网络内部。这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。它们充当访问网络的惟一入口点,并且判断是否接收某个连接请求,只有来自授权主机的连接请求才会被处理,而剩于的连接请求将被丢弃。
通常,防火墙被安装在受保护的内部网络与Internet的连接点上。被保护的网络属于内部网络,所防止的网络是不可信的外部网。保护网络包括阻止非法授权用户访问敏感数据的同时,允许合法用户无障碍地访问网络资源,如防火墙能够确保电子邮件、文件传输、远程登录或在特定系统间信息交换的安全。
总之,从网络安全的角度来考虑,防火墙是两个网络之间的成分集合,它们的合作应具有的性质是:从里向外或外向里的流量都必须通过防火墙;只有符合本地安全策略放行流量才能通过防火墙;防火墙本身是不能穿透的。
2.2.2设置防火墙的必要性
(1)集中化的安全管理,强化安全策略。由于Internet上每天都有上百万人在收集信息和交换信息,不可避免地会出现个别品德不良、违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
(2)网络使用进行统计。因为防火墙是所有进出信息必须的通路,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的惟一点,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问进行统计。
(3)保护那些易受攻击的服务。防火墙能够用来隔开网络中一个网段与另一个网段的连接。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)实施安全策略。防火墙是一个安全策略的检查站,控制对特殊站点的访问。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝。
(5)增强保密性。用来屏蔽有关网站系统的DNS信息。因此,网站系统名字和IP地址都不要提供到Internet上。
3 防火墙在校园网中的应用
3.1校园网简介
随着因特网的发展,校园网已迅速的普及,不可避免的出现校园网的安全性问题,防火墙在校园网中也得到广泛的应用。某所学校建立一校园网,校园网主要是给在校师生提供服务。其主要架构是:Internet网首先接入到华为交换机2403,然后通过Juniper NetScreen防火墙连入到Cisco路由器,最后分布到校园本部以及分校,同时连接Web与邮件两服务器。在此校园网中日用户访问量最高峰达到几十万个连接,总出口300M,提供游戏、电影、课件下载,以及bbs论坛、Web访问等服务。通过一台Juniper NetScreen防火墙提供防护。
3.2防火墙的设置
要求Juniper NetScreen防火墙能够实现的功能:①工作在防火墙透明模式;②实现MIP功能;③启用IPSec VPN。
3.2.1防火墙透明模式配置
学校要求防火墙工作在透明模式下。当Juniper NetScreen防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包中任何信息。透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用模式有以下优点:
(1)不需要修改现有网络规划及配置。
(2)不需要实施地址翻译。
(3)可以允许动态路由协议、Vlan trunking的数据包通过。
3.2.2MIP功能的配置
为了实现互联网用户访问对外提供网络服务的服务器(服务器使用私有IP地址),可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
3.2.3IPSec VPN配置
学校要求防火墙支持IPSec VPN,应用站点间(Site-to Site)的VPN,创建的站点两端都具备静态IP公网地址。
当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VIP配置基本相同,不同之处是在VPNgateway部分的VPN网关指向IP不同,其它部分相同。
4 结语
防火墙与IDS 结合是将动态安全技术的实时、快速、自适应的特点变成静态技术的有效补充, 将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。二者结合使用可以很好的将对方的弱点淡化, 而将自己的优点补充上去, 使防御系统成为一个更加坚固的围墙。在未来的网络安全技术领域中, 将动态技术与静态技术的互动使用, 将有很大的发展市场和空间。
参考文献:
[1] 张兴东, 胡华平, 况晓辉, 等.防火墙与入侵检测系统联动的研究与实现[ J] .计算机工程与科学,2004,26(4).
[2] 高光勇, 迟乐军, 王艳春.联动防火墙的主机入侵检测系统的研究[J].微计算机信息,2005,21(7).
[3] 桂春梅,钟求喜,王怀民. 基于UML 的防火墙和入侵检测联动模型的研究[ J] . 计算机工程与科学,004,26(11): 22~25.
[4] 杨琼, 杨建华, 王习平, 等.基于防火墙与入侵检测联动技术的系统设计[J].武汉理工大学学报,2005,27(7).