孙文乾
【摘 要】随着高校校园网络的规模普及和应用,校园信息化水平迅速提高,应用平台为师生学习、学校管理提供了极大的便利,但是校园网络安全也已经成为影响校园信息化发展的重要问题。本文根据笔者多年的校园网络安全管理实践经验,基于Linux设计了一种多用途防火墙,可以针对不同的应用采用不同的出口,有效降低了防火墙的设计费用,提高了防火墙的效用。
【关键词】Linux;防火墙;多出口;校园网
一、引言
随着Internet技术的迅速发展,计算机网络已经在远程教育、教务管理、学籍管理、学校行政工作管理等校园网领域得到了广泛的应用和发展,取得了良好的效果[1]。网络的高速发展为学校行政管理人员、学生和教师带来了极大的便利,但是也存在巨大的安全威胁,网络安全已经引起了许多专家和学者的研究[2]。傳统的网络安全防御策略采用的手段包括许多种,比如访问控制、身份认证、数据加密等,以防御系统入侵,阻止病毒、木马等入侵,但是随着校园网应用平台的增多,网络入侵技术也迅速发展,因此必须针对不同的应用设置不同的防御规则,防火墙在这一方面具有先天的优势[3]。
目前,校园网络接入到互联网或者教育网时,在网络出口边界部署多出口防火墙,能够有效提升防火墙的利用价值,但是多出口防火墙造价非常昂贵,并且许多核心技术掌握在部分大公司里,比如思科、迈普等,导致各个学校的网络建设需要承担较大的资金压力,阻碍了学校信息化水平的发展[4]。为了解决上述问题,本文基于笔者多年的校园网络安全防御管理实践经验,基于Linux内置防火墙和路由器等,设计了一种校园网多用途防火墙,能够实现不同的应用连接,价格低,配置灵活,具有较好的普及意义。
二、多用途防火墙功能分析
Linux操作系统作为一个开放式的网络操作系统,其具有较好的稳定性、健壮性,并且价格低廉[5]。Linux操作系统自身拥有强大的防火墙,并且随着互联网技术发展,Linux防火墙也得到了广泛的研究,因此利用Linux防火墙开发、设计多用途防火墙,适应现代校园网络的需求,已经成为校园网络防护的理想选择。
目前,Linux防火墙使用iptables实现防火墙的包过滤功能,可以使用netfilter内核构建的过滤表进行配置实现多出口,其中默认表Filter配置了三个规则链,可以管理外界流入校园网接口数据的INPUT链、负责对网络接口输出的数据进行过滤的OUTPUT链和负责在网络接口之间转发数据过滤的FORWARD链。这些链都可以进行自由灵活的配置,比如连接互联网网卡S1和S2上流入的数据的分析判断工作,可以在INPUT链上完成,发现数据的目标地址是否属于服务器区域网段、内部网络网段等。
另外,多用途防火墙可以配置有效的包过滤规则,实现内网可以访问外网(中国电信或教育网)和服务器区网;外网只能访问服务器区网而不能访问内网;而服务器区网不能访问外网也不能访问内网等功能,同时通过上述防火墙技术,可以隐藏真实的IP,防止IP欺骗现象的发生,能够限制其他网络的用户对网络内主机的访问。
三、多用途防火墙架构设计
防火墙可以阻挡网络的非法访问,主要利用发给内部网的匹配安全规则、指定IP地址段以及数据包过滤等。校园网络多出口防火墙上,可以仅仅开放80、110等必要端口,外网只能对EMAIL服务以及WWW服务进行访问。内部用户对因特网的访问以及对Intemet的服务都有一定的限制。
另外,多出口防火墙主要包括网络层防火墙、应用层防火墙以及数据库防火墙等。网络层防火墙主要运营在底层TCP/IP协议堆栈上,它只允许符合规则的封包通过。应用层防火墙能够阻挡外部的数据流进入到受保护的网络中。通过数据库防火墙,能够实现对数据库的访问控制。
本文设计的多用途防火墙实现架构如图1所示。
本文在进行设计多多用途防火墙的过程中,基于Linux内置防火墙设置了多条规则,主要包括以下5类:
(1)校园网络的内部用户在对教育网内容进行访问时,优先从1000M通道(教育网)通过;
(2)校园网络的内部用户在对国际网络和国内的其它网络进行访问时,全部优先从1000M通道(电信)通过;
(3)外部教育网用户在对校园网络进行访问时,优先从1000M通道(教育网)通过;
(4)国际网络用户以及国内其它网络用户在对教育服务器进行访问时,优先从1000M通道(电信)通过;
(5)做到了电信和教育网两个通道的热机备份,保证了链路的不间断,使网络可以正常运行。
四、结束语
随着校园网信息化应用平台的增加,智能手机、PC、笔记本等固定、移动终端访问校园网的频次大大地增加,已经呈现出规模化上升。因此,基于Linux技术实现多出口、多用途防火墙可以有效地设置灵活的包过滤规则,加强校园网应用平台的使用,保证校园网络的安全性,确保校园网利用率达到100%。
参考文献:
[1]安子强.基于蜜罐技术的校园网安全防护系统的设计与实现[J].新乡学院学报(自然科学版).2011,27(1):11-14.
[2]张盛,不详.Linux系统中最实用的十大开源防火墙[J].计算机与网络,2014, 24(2):44-44.
[3]吴勇杰.Linux内核防火墙Netfilter架构实现与应用研究[J].电脑编程技巧与维护, 2013,31(14):21-24.
基金项目:广西教育厅科研项目,桂教科研[2010]10号,项目编号:201010LX477