防火墻在校園網(wǎng)中的應(yīng)用

劉　成

摘 要:隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)得到廣泛的普及和應(yīng)用,網(wǎng)絡(luò)正深刻影響人類的生活及工作的方式。與此同時,信息安全的重要性也在不斷提升。以校園網(wǎng)為對象,分析了防火墻等安全技術(shù)在校園網(wǎng)中的應(yīng)用現(xiàn)狀,指出防火墻與IDS結(jié)合,將使防御系統(tǒng)成為更加堅固的圍墻,將來會有更大的發(fā)展空間和市場。

關(guān)鍵詞:防火墻;校園網(wǎng);互聯(lián)網(wǎng)

中圖分類號: TD39

文獻(xiàn)標(biāo)識碼: A

文章編號:1005-569X(2009)06-0099-02

1 引言

目前,黑客入侵與病毒發(fā)作事件在全球范圍內(nèi)不斷增加。由于網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展,除以往熟知的病毒、垃圾郵,以及黑客惡意攻擊、網(wǎng)絡(luò)釣魚之外,也有來自企業(yè)內(nèi)部的安全隱患等,這些問題困擾著每一個企業(yè)。網(wǎng)絡(luò)安全已經(jīng)成為越來越多使用網(wǎng)絡(luò)的公司、個人需要考慮的問題,越來越多的企業(yè)將網(wǎng)絡(luò)的安全看作確保企業(yè)盈利能力的一項(xiàng)重要因素。

2 防火墻基礎(chǔ)簡介

2.1網(wǎng)絡(luò)安全問題

傳統(tǒng)的邊界安全設(shè)備——防火墻,成為整體安全策略中不可缺少的重要模塊。目前的防火墻產(chǎn)品的用戶主要是企業(yè)用戶。互聯(lián)網(wǎng)已經(jīng)改變了人們工作、聯(lián)絡(luò)、協(xié)作交流以及買賣的方式。網(wǎng)絡(luò)的安全程度究竟如何?這是許多IT管理人員每天都會考慮的問題?？梢韵胂?防火墻的應(yīng)用也越來越普及,這個普及不僅面向各個公司、企業(yè),也深入到家庭、個人,深入到每個網(wǎng)絡(luò)節(jié)點(diǎn)、終端。

2.2防火墻概述

2.2.1防火墻的作用

防火墻從本質(zhì)上說是一些設(shè)備,是外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的控制設(shè)備。它是用來保護(hù)內(nèi)部的數(shù)據(jù)、資源和用戶信息的工具,可以防止Internet上的危險(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。這樣的設(shè)備通常是單獨(dú)的計算機(jī)、路由器或防火墻盒(專用硬件設(shè)備)。它們充當(dāng)訪問網(wǎng)絡(luò)的惟一入口點(diǎn),并且判斷是否接收某個連接請求,只有來自授權(quán)主機(jī)的連接請求才會被處理,而剩于的連接請求將被丟棄。

通常,防火墻被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)與Internet的連接點(diǎn)上。被保護(hù)的網(wǎng)絡(luò)屬于內(nèi)部網(wǎng)絡(luò),所防止的網(wǎng)絡(luò)是不可信的外部網(wǎng)。保護(hù)網(wǎng)絡(luò)包括阻止非法授權(quán)用戶訪問敏感數(shù)據(jù)的同時,允許合法用戶無障礙地訪問網(wǎng)絡(luò)資源,如防火墻能夠確保電子郵件、文件傳輸、遠(yuǎn)程登錄或在特定系統(tǒng)間信息交換的安全。

總之,從網(wǎng)絡(luò)安全的角度來考慮,防火墻是兩個網(wǎng)絡(luò)之間的成分集合,它們的合作應(yīng)具有的性質(zhì)是:從里向外或外向里的流量都必須通過防火墻;只有符合本地安全策略放行流量才能通過防火墻;防火墻本身是不能穿透的。

2.2.2設(shè)置防火墻的必要性

(1)集中化的安全管理,強(qiáng)化安全策略。由于Internet上每天都有上百萬人在收集信息和交換信息,不可避免地會出現(xiàn)個別品德不良、違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過。

(2)網(wǎng)絡(luò)使用進(jìn)行統(tǒng)計。因?yàn)榉阑饓κ撬羞M(jìn)出信息必須的通路,所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的惟一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄,對網(wǎng)絡(luò)存取訪問進(jìn)行統(tǒng)計。

(3)保護(hù)那些易受攻擊的服務(wù)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段的連接。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

(4)實(shí)施安全策略。防火墻是一個安全策略的檢查站,控制對特殊站點(diǎn)的訪問。所有進(jìn)出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕。

(5)增強(qiáng)保密性。用來屏蔽有關(guān)網(wǎng)站系統(tǒng)的DNS信息。因此,網(wǎng)站系統(tǒng)名字和IP地址都不要提供到Internet上。

3 防火墻在校園網(wǎng)中的應(yīng)用

3.1校園網(wǎng)簡介

隨著因特網(wǎng)的發(fā)展,校園網(wǎng)已迅速的普及,不可避免的出現(xiàn)校園網(wǎng)的安全性問題,防火墻在校園網(wǎng)中也得到廣泛的應(yīng)用。某所學(xué)校建立一校園網(wǎng),校園網(wǎng)主要是給在校師生提供服務(wù)。其主要架構(gòu)是:Internet網(wǎng)首先接入到華為交換機(jī)2403,然后通過Juniper NetScreen防火墻連入到Cisco路由器,最后分布到校園本部以及分校,同時連接Web與郵件兩服務(wù)器。在此校園網(wǎng)中日用戶訪問量最高峰達(dá)到幾十萬個連接,總出口300M,提供游戲、電影、課件下載,以及bbs論壇、Web訪問等服務(wù)。通過一臺Juniper NetScreen防火墻提供防護(hù)。

3.2防火墻的設(shè)置

要求Juniper NetScreen防火墻能夠?qū)崿F(xiàn)的功能:①工作在防火墻透明模式;②實(shí)現(xiàn)MIP功能;③啟用IPSec VPN。

3.2.1防火墻透明模式配置

學(xué)校要求防火墻工作在透明模式下。當(dāng)Juniper NetScreen防火墻接口處于“透明”模式時,防火墻將過濾通過的IP數(shù)據(jù)包,但不會修改IP數(shù)據(jù)包中任何信息。透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。使用模式有以下優(yōu)點(diǎn):

(1)不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置。

(2)不需要實(shí)施地址翻譯。

(3)可以允許動態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過。

3.2.2MIP功能的配置

為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器(服務(wù)器使用私有IP地址),可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對一映射(MIP),并通過策略實(shí)現(xiàn)對服務(wù)器所提供服務(wù)進(jìn)行訪問控制。

3.2.3IPSec VPN配置

學(xué)校要求防火墻支持IPSec VPN,應(yīng)用站點(diǎn)間(Site-to Site)的VPN,創(chuàng)建的站點(diǎn)兩端都具備靜態(tài)IP公網(wǎng)地址。

當(dāng)創(chuàng)建站點(diǎn)兩端都具備靜態(tài)IP的VPN應(yīng)用中,位于兩端的防火墻上的VIP配置基本相同,不同之處是在VPNgateway部分的VPN網(wǎng)關(guān)指向IP不同,其它部分相同。

4 結(jié)語

防火墻與IDS 結(jié)合是將動態(tài)安全技術(shù)的實(shí)時、快速、自適應(yīng)的特點(diǎn)變成靜態(tài)技術(shù)的有效補(bǔ)充, 將靜態(tài)技術(shù)的包過濾、信任檢查、訪問控制成為動態(tài)技術(shù)的有力保障。二者結(jié)合使用可以很好的將對方的弱點(diǎn)淡化, 而將自己的優(yōu)點(diǎn)補(bǔ)充上去, 使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中, 將動態(tài)技術(shù)與靜態(tài)技術(shù)的互動使用, 將有很大的發(fā)展市場和空間。

參考文獻(xiàn):

[1] 張興東, 胡華平, 況曉輝, 等.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實(shí)現(xiàn)[ J] .計算機(jī)工程與科學(xué),2004,26(4).

[2] 高光勇, 遲樂軍, 王艷春.聯(lián)動防火墻的主機(jī)入侵檢測系統(tǒng)的研究[J].微計算機(jī)信息,2005,21(7).

[3] 桂春梅,鐘求喜,王懷民. 基于UML 的防火墻和入侵檢測聯(lián)動模型的研究[ J] . 計算機(jī)工程與科學(xué),004,26(11): 22~25.

[4] 楊瓊, 楊建華, 王習(xí)平, 等.基于防火墻與入侵檢測聯(lián)動技術(shù)的系統(tǒng)設(shè)計[J].武漢理工大學(xué)學(xué)報,2005,27(7).