杨齐成
(安徽广播电视大学滁州分校, 安徽 滁州 239000)
由于因特网的普及和计算机应用的推广,校园网络成为学校重要的基础设备,对于学校教学质量的提高以及现代化建设都具有重要的意义。然而,纵观校园网络的建设和使用可以发现,其中存在着较多的安全隐患。学校在进行校园网络建设的过程中,应注重防火墙技术的应用,为校园内的局域网使用提供更好的安全保障。
对校园网络来讲,其面临的主要有以下三个方面的威胁:
网络病毒具有隐蔽性强、传播范围广、传播速度快等特点,一旦校园网络联机内部的一台计算机感染上电脑病毒,就会在短时间内传播到整个网络系统中,严重时会造成整个网络的系统瘫痪,如红色代码、冰河等病毒,都会在瞬时入侵到整个校园计算机网络中,造成重大的安全问题。这些病毒常常以电子邮件、页面链接等方式传播,并利用用户的好奇心,或者是在用户浏览黄色淫秽网站时,不知不觉感染到用户的计算机网络上,并在短时间内迅速传播,导致系统崩盘、数据泄露或者是篡改等,严重威胁用户的信息安全。
中心服务器是校园计算机网络的中心,是黑客的重要入侵目标之一,一旦其受到黑客的控制,就意味着校园网络的整个系统都处于黑客的控制之中,严重威胁着校园网络的安全;此外,学校通过电子存档的教学资料、试题库、学生档案以及招生信息等亦是容易遭受攻击的重要目标,一旦这些信息泄露会严重影响着学校的正常管理秩序、教学质量以及信息安全等;校园网络内部的使用者,如自身拥有较高计算机水平的学生,其由于好奇心或者是不良引导、特殊兴趣等也会尝试攻击校园网络系统、入侵中心服务器、盗取教学资料等,严重影响了校园网络的正常运行以及信息安全。
很多学校的校园内部局域网络都处于相对开放的状态,这就使得校园计算机网络在正常运行和使用的过程中会面临形形色色、良莠不齐的网络资源,若校园网络缺乏相应的识别、过滤及安全认证手段,不仅会造成较多非法资源占用大量的校园网络宽带资源,亦有可能让学生接触到暴力、淫秽色情、反动等方面的信息,极大威胁了学生的身心安全,不利于其健康人格的成长以及正确价值观、人生观、世界观的形成。
防火墙是保障校园网络安全的核心技术,其具有以下优势:一是过滤作用,即能防止黑客等非法用户入侵校园内部网络、过滤网络不安全的服务以及限制内部用户访问非法站点;二是网络地址变换作用,即能将网络地址域映射到另外的网络地址域,缓解因特网的IP地址短缺的局面,并对外隐藏校园内部局域网络对外的网络结构;三是网络安全服务作用,即防火墙能够使用特殊的策略对校园内部的局域网络的公开服务器进行保护,将WWW、FTP等作为单独的网络进行处理,将对外服务器与校园的内部网络隔离,这样即使外部的网络服务器遭受破坏,校园内部的局域网络亦处于防火墙的安全防护下;四是对内部用户实施口令认证、用户权限控制等,并对内部网络使用者的上网浏览情况进行记录。
防火墙是校园内外部网络之间的安全防范系统,其主要是通过将校园的内部局域网络与外部网络进行隔离来实现对内部网络的安全控制。防火墙主要有两种组成方式:一是由单独的硬件构成;二是由网络路由器以及交换机中的软件模块构成。
以进出网络数据的处理办法为依据,可以将防火墙分为两大体系,具体如下:
1.包过滤防火墙
包过滤防火墙主要是基于路由器在网络层进行工作,其在进行网络过滤的过程中,主要是以IP分组的IP源地址以及目的地地址、TCP或者是IP的源端口以及目的地端口为过滤规则,并以此为依据允许或者是拒绝特定报文进入到校园内部的局域网中。例如外部网络的用户向校园内部局域网络的用户发送电子邮件,首先接收电子邮件的是25号端口,而校园内部网络的用户若想查看电子邮件就必须通过登录23号端口,并进入到中心服务器的80号端口,如果校园中心服务器的管理人员设定禁止登录23号端口,那么关于电子邮件的数据包就会被拦截,有效防护了校园内部计算机网络的使用安全。
这种模式并不使用专业性的防火墙产品,具有成本低、速度快以及操作方便等方面的特点,但是这种过滤防火墙的安全防御能力较差,很难实现对校园内部网络复杂的安全防护,若要提高其对校园网络的防护功能,就必须在计算机的桌面系统配备相应的防病毒软件。
2.代理防护墙
代理防火墙的工作程序为,首先对外来网络进行安全检查,待确定安全之后再将其与校园内部网络的服务器相连接,以达到保障校园内部网络使用安全的目的,而从内部网络连接到外部网络也会受到相应类似的监控。
代理防火墙虽然具有较好的内部网络防护功能,但仍存在较多不足之处:一是基于代理防护墙保护下的校园内部网络的每次连接都必须要首先经过应用层,导致应用层的数据处理较为繁忙,从而引起校园网络的访问速度过慢,影响校园网络内部用户的正常使用;二是使用校园内部网络的使用者并不能直接对外部网络进行访问,而必须通过代理防火墙进行出入口的通信处理,这就意味着每增加一种新的应用服务,就必须对校园网络重新设置相应的代理,给校园网络的管理带来了很大的不便。
1.不能防范病毒的攻击
防火墙技术既不能防止感染病毒的文件进行传输,亦不能消除计算机中潜存的网络病毒,因此要在计算机上安装相应的杀毒软件,并及时更新病毒库,以保持其具有较强的杀毒能力,增强计算机防护的安全性。
2.不能防范数据驱动式攻击
数据驱动式攻击是指通过拷贝、附件邮寄等形式入侵到校园网络主机并被执行时所发生的攻击行为。防火墙对于这种形式产生的校园网络内部攻击行为是无能为力的,不能对其进行有效的防护。
3.不能防范绕过防火墙的攻击
在校园内部网络的使用中,防火墙能够对通过其进行信息传输或者是网络链接的行为进行有效阻止,但是不能对绕过它进行信息传输的行为进行阻止。
4.只能防备已知的威胁
大多数的防火墙在对外部网络的防范上,只能对已知的安全漏洞、攻击手段以及入侵方式进行有效的防护,而对于未知的新型攻击是无法进行正确辨别以及有效防护。因此,在防火墙的使用中,要注重防火墙版本的更新,以增强防火墙的安全防护能力。
端点式防火墙是指将防火强安装到计算机网络的端点处,使其与边界防火墙一起共同保障内部计算机网络的安全性,其主要由三部分构成,分别为边界防火墙、端点防火墙以及管理中心,其中管理中心主要用来制定防护策略,并将其分发到每个端点处执行。
基于端点式防火墙的校园网络安全系统主要有三部分共同作用,构成校园网络内部的安全保障体系:一是部门端点式防火墙,主要是对校园网络内部的图书馆、各院系、行政办公楼等局域网络使用者的服务器和主机进行相应的安全防护;二是部门边界防火墙,主要设置在各部门的内网与外网之间以及内网的各子网之间,以有效防止来自校园网络内部网络的攻击;三是网络管理中心,它是整个端点式防火墙的核心,主要用来发布各项安全策略指令、安全策略的统一规划和管理、日志的汇总等。其体系结构如图1所示。
1.校园网络安全的统一管理
基于端点式防火墙的校园网络安全系统可以由网络管理中心对校园网络的安全进行统一的规划和管理,制定并实施相应的网络安全管理制度、对管理人员进行专业技能培训等。
2.有效保障校园网络的安全性
端点式防火墙不仅能对校园网络内部各主机之间的通信进行安全防护,有效抵制内部的网络攻击,亦可以对外部网络的入侵进行全面的检测和防护,进而抵御各项主、被动攻击,为校园网络的安全提供多层次、全方位的防护。
3.提高校园网的系统
端点式网络则是多控制点接入,防止了传统的边界防火墙都是单一的接入这一弊端,亦消除了应用层因繁复处理连接而带来的结构瓶颈问题,提高了校园内部网络系统的运行性能。
综上所述可知,在校园网络的日常使用过程中面临着来自病毒入侵、黑客攻击等方面的安全隐患问题,严重影响着校园网络系统的运行以及数据的安全。而防火墙技术作为校园计算机网络安全防护系统的核心技术,各学校在校园计算机网络的建设过程中,均注重该技术的应用,并使其与杀毒软件等相关的计算机网络安全防护软件配套使用,为校园计算机网络提供多层次、全面化的安全保障。
[1]侯亚辉.网络安全技术及其在校园网中的应用与研究[J].科技风,2011,(12).
[2]陈志平.校园网络安全与防火墙技术[J].现代计算机,2007,(1).
[3]李海玲.校园网络安全与防火墙技术[J].乌鲁木齐成人教育学院学报.2006,(2).
[4]刘 勇.试论加强校园网网络安全的主要措施[J].科教文汇(上旬刊),2009,(10).