基于校园网的防火墙技术应用研究
王晓雨1,2
(1.武汉理工大学 计算机学院,湖北 武汉 430063;2.荆楚理工学院 计算机工程学院,湖北 荆门 448000)
摘要:防火墙技术是网络安全领域的一项重要技术,该文针对当前校园网应用中所遇到的问题,提出了几种解决的方法,并重点阐述了防火墙技术及其在校园网络安全中的应用。
关键词:校园网;网络安全;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)34-9659-02
Based on Campus Net to Application and Research of Firewall Technology
WANG Xiao-yu1,2
(1.Computer School, Wuhan University of Technology, Wuhan 430063, China; 2.Computer Engineering College, Jingchu University of Technology, Jingmen 448000, China)
Abstract: The firewall technology is one of important technology in network safety field. This article proposed some methods to solve the safe problem in campus net,and elaborated with emphasis the firewall technology and its application in campus network safety.
Key words: campus net; network safety; firewall
随着因特网的快速普及与高速发展,校园网已经成为每个学校必备的信息基础设施之一,但是在我们共享校园网带来方便的同时,一些不安全的因素严重影响校园网网络的正常运行, 因此如何保证校园网络的正常运行已经成为当前校园网建设中不可忽视的问题。
1 校园网络安全
1.1 校园网的安全隐患
目前的校园网络大都是利用Internet技术构建并与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇各类攻击的风险。首先,Internet的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而Internet最初的设计基本没有考虑安全问题。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论Windows还是Unix等几乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才让黑客有了可乘之机。另外,来自校园网络内部的安全隐患也不容忽视,且大多数校园网用户的安全意识淡薄,具体表现在:密码设置过于简单;不经常用杀毒软件扫描和删除病毒;不对杀毒软件和防火墙软件进行及时更新;不经常扫描系统漏洞并打上补丁;使用移动存储介质时不事先用杀毒软件进行扫描;运行或打开不明来历的文件或邮件;经常浏览带有色情的网站或恶意网站等等。
1.2 校园网络安全的解决方法
1.2.1 防火墙技术
利用防火墙,我们可以将校园网络和Internet分开,在防火墙中设置网络通信时的访问控制尺度,只有防火墙允许访问的用户和数据能进入校园网络内部,同时将不允许的用户与数据拒之门外,最大限度地阻止黑客访问校园网络,防止他们随意更改、移动甚至删除网络的重要信息。同时配置智能信息过滤系统,既过滤掉外部不良信息的访问,又杜绝内部不良信息的泛滥。
1.2.2 入侵检测技术
入侵检测是防火墙的合理补充。防火墙属于静态的安全防御技术,对于网络日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动的对付网络攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等等,提高了校园网信息安全基础结构的完整性。入侵检测技术在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。
1.2.3 建立网络病毒防护体系
校园网络中的病毒防护体系主要分为服务器的防护和工作站的防护。病毒防护体系中的服务器端产品,应该具有实时病毒监控功能,远程安装、远程调用功能,病毒码自动更新功能以及病毒活动日志、多种报警通知方式等功能。网络工作站的病毒防护位于学校防毒体系中的最底层,对学校计算机用户而言,也是最后一道防、杀病毒的要塞。
1.2.4 合理地划分VLAN、绑定IP地址和MAC地址
根据学校各部门职能的不同将校园网划分成不同的VLAN,把各部门或实验室有效地隔离开。由于一个VLAN内部的广播和单播流量不会转发到其它VLAN中,所以有助于控制网络流量,提高网络的安全性。同时,对学校内使用静态IP地址上网的机器进行IP地址和MAC地址的绑定,这可以解决校园网内IP地址盗用的问题。
1.2.5 使用加密技术和虚拟专用网(VPN)技术来保证数据传输的安全性
TCP/IP协议数据流采用明文传输,为了防止重要信息在网络上被截获、窃听,应该对网络中传输的重要数据进行加密。VPN能够在公共网络中为两台通信的计算机建立一个逻辑上的安全通道,通过数据加密和身份认证使得数据包即使被截获也不容易被破译,提供了很好的安全性。VPN可以在学校分校区、外出师生等与校园网之间建立可信的安全连接,并保证数据的安全传输。
1.2.6 数据备份与用户管理
为了维护校园网的安全,必须对重要资料进行备份,以防止因各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而遭受重大损失。校园网安全除了先进的技术,还必须要有严格、合理和有效的安全管理来支持和补充。首先,必须要建立一套严格的安全管理制度;其次,加强对教师和学生网络安全的教育和培训,增强网络安全意识;再次,规范上网场所,过滤有害信息;最后,培养一支具有安全管理意识和管理技能的校园网管理队伍。
2 防火墙技术
防火墙技术作为内部网络与外部网络之间的第一道安全屏障,能阻挡来自外部网络的入侵,对校园网的安全具有特殊的意义。根据防火墙的功能及采用的机制的不同,可将防火墙分为以下几种类型:包过滤防火墙、代理服务器防火墙、状态检测防火墙。
2.1 包过滤防火墙
包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。所以在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。有经验的黑客很容易伪造IP地址,骗过包过滤防火墙。
2.2 代理服务器防火墙
代理服务器防火墙是工作在OSI的最高层,即应用层, 掌握着应用系统中可用作安全决策的全部信息。代理服务器防火墙是校园内部网与外部网的隔离点,通过对每种应用服务编制专门的代理程序,起着监视和隔绝应用层通信流的作用。代理服务器是一种基于用户的身份认证来控制流量进出的技术。校园网络内部所有的主机向外的访问请求,都被代理服务器截获,在请求主机的身份得到确认后,代理服务器将代表内部主机将访问请求转发给外部的服务器,同时,也将外部的服务器的应答转交给内部的主机。在这种方式中,内部主机被代理服务器保护,不能与外部发生任何连接,将校园网络与公用网络完全隔离,增加了安全性。
代理服务器防火墙的优点是安全性较高,对付基于应用层的侵入和病毒都十分有效。但是也有其不足的地方,主要表现在以下三方面:1)容易成为校园网络向外访问的瓶颈;2)对系统的整体性能有较大的影响,代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;3)工作于应用层,对DoS攻击等基于底层协议漏洞的攻击无抵抗。
2.3 状态检测防火墙
状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的优点。比包过滤防火墙更加安全,比代理服务器防火墙能提供更好的性能。现在的防火墙产品大多数都是状态检测防火墙。在状态检测防火墙中,维护着一个状态表,状态表中记录着所有的网络连接的会话信息。通过对状态表应用安全策略来控制通过防火墙的所有流量。当一个连接开始时,将该连接的会话信息记录在状态表中,如果安全策略允许该连接,则转发连接的流量,返回的流量要与状态表中已存在的会话信息进行比较,如果不匹配,则丢弃掉这个连接。连接的会话信息包括:源、目的TCP/UDP 端口号,TCP序列号,TCP标记,TCP会话状态,UDP流量跟踪等。包过滤防火墙对流量的控制是静态的,它只根据事先设定的访问控制列表,决定是允许或拒绝该流量,而不关心该流量以前的、今后的连接状态。而状态检测防火墙对流量的控制是动态的,是针对连接的,所以在状态检测防火墙中通过欺骗一个TCP会话获得访问权的现象几乎不可能发生。
状态检测防火墙一般有几个接口,一个用来连接校园网络,称为内部接口;一个用来连接公用网络,称为外部接口;一个用来连接一些向公用网络提供服务的服务器,称为DMZ接口。内部接口的安全级别最高,外部接口的安全级别最低,DMZ接口的安全级别处在内部接口和外部接口之间。
3 防火墙技术在校园网中的应用
在比较几种防火墙性能的基础上并结合自身校园网的特点,我校采用福建锐捷公司提供的锐捷RG-WALL防火墙。该防火墙采用锐捷网络独创的分类算法设计支持扩展的状态检测技术,具备高性能的网络传输功能,不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
具体实施是在Internet与校园网内网之间部署一台RG-WALL160A防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性:1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则;2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击;3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录;5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
4 结束语
防火墙作为校园网的第一道重要的安全屏障,也不是万能的,不能保证绝对安全,例如,防火墙不能防范人为攻击、误操作、口令泄露造成的安全问题;不能防止有安全隐患的软件或文件的传输;也不能防范不经由防火墙的攻击等。所以为了保障校园网的安全,还需要结合其他安全技术的使用,也不能忽视用户安全教育、提高管理人员技术素养等方面的工作。
参考文献:
[1] Hare C, Siyan K.防火墙与网络安全[M].刘成勇,刘明刚,译.北京:机械工业出版社,1998.
[2] 曾湘黔.网络安全与防火墙技术[M].重庆:重庆大学出版社,2005.
[3] 何武红.防火墙技术发展与应用[J].计算机安全,2005(5):23-25.