防火墻技術(shù)對(duì)校園網(wǎng)絡(luò)安全提升的作用探究

李海 葛紅梅

[摘 要] 校園網(wǎng)在提高學(xué)校的教學(xué)、工作和學(xué)習(xí)的同時(shí)，也帶來了網(wǎng)絡(luò)的不安全因素。本文通過探討校園網(wǎng)中存在的安全隱患，提出了在校園網(wǎng)絡(luò)管理中如何通過入侵檢測(cè)與防火墻配置等防火墻技術(shù)提高校園網(wǎng)絡(luò)安全的性能。

[關(guān)鍵詞] 計(jì)算機(jī)；校園網(wǎng)；網(wǎng)絡(luò)安全；防火墻

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 056

[中圖分類號(hào)] TP393 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）12- 0088- 04

0 引 言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)依靠其高度發(fā)達(dá)的發(fā)展技術(shù)，在國(guó)民經(jīng)濟(jì)各行業(yè)中均發(fā)揮著重要作用，目前，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛應(yīng)用在政府機(jī)構(gòu)、金融機(jī)構(gòu)、軍事指揮和控制系統(tǒng)、教育事業(yè)中，極大程度上提升了各單位的生產(chǎn)經(jīng)營(yíng)效率，在某種意義上，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)給人們的生活、工作、學(xué)習(xí)都帶了極大便利，構(gòu)建了一個(gè)共享、高效、智能的平臺(tái)。但是，不能忽視計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的弊端，由于自身建設(shè)因素、程序設(shè)定因素和操作失誤等諸多因素的存在，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不可避免地離不開病毒和漏洞，給一些別有用心之人以可乘之機(jī)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的弊端輕則給企事業(yè)單位的保密信息帶來安全風(fēng)險(xiǎn)，重則使國(guó)家的機(jī)密文件徹底損毀或丟失、個(gè)人的重要信息被竊取，造成不可估量的經(jīng)濟(jì)損失[1]。近年來，我國(guó)大中小學(xué)的校園里都基本普及了校園網(wǎng)絡(luò)，給學(xué)校的教學(xué)活動(dòng)和多媒體教學(xué)創(chuàng)造了便利條件，提高了校園教學(xué)效率，但網(wǎng)絡(luò)的脆弱性和不安全性也給校園網(wǎng)絡(luò)的應(yīng)用帶來了不利影響。

世界上沒有一種事物是唯一的，防火墻也一樣，為了更有效率地對(duì)付網(wǎng)絡(luò)上各種不同攻擊手段，防火墻也派分出幾種防御架構(gòu)。根據(jù)物理特性，防火墻分為兩大類，硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨(dú)立的個(gè)人計(jì)算機(jī)上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動(dòng)，通過運(yùn)行在Ring0級(jí)別的特殊驅(qū)動(dòng)模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動(dòng)之間，形成一種邏輯上的防御體系。

在沒有軟件防火墻之前，系統(tǒng)和網(wǎng)絡(luò)接口設(shè)備之間的通道是直接的，網(wǎng)絡(luò)接口設(shè)備通過網(wǎng)絡(luò)驅(qū)動(dòng)程序接口（Network Driver Interface Specification，NDIS）把網(wǎng)絡(luò)上傳來的各種報(bào)文都忠實(shí)地交給系統(tǒng)處理，例如一臺(tái)計(jì)算機(jī)接收到請(qǐng)求列出機(jī)器上所有共享資源的數(shù)據(jù)報(bào)文， NDIS直接把這個(gè)報(bào)文提交給系統(tǒng)，系統(tǒng)在處理后就會(huì)返回相應(yīng)數(shù)據(jù)，在某些情況下就會(huì)造成信息泄漏。而使用軟件防火墻后，盡管NDIS接收到的仍然是原封不動(dòng)的數(shù)據(jù)報(bào)文，但是在提交到系統(tǒng)的通道上多了一層防御機(jī)制，所有數(shù)據(jù)報(bào)文都要經(jīng)過這層機(jī)制根據(jù)一定的規(guī)則判斷處理，只有它認(rèn)為安全的數(shù)據(jù)才能到達(dá)系統(tǒng)，其他數(shù)據(jù)則被丟棄。因?yàn)橛幸?guī)則提到“列出共享資源的行為是危險(xiǎn)的”，因此在防火墻的判斷下，這個(gè)報(bào)文會(huì)被丟棄，這樣一來，系統(tǒng)接收不到報(bào)文，則認(rèn)為什么事情也沒發(fā)生過，也就不會(huì)把信息泄露出去了。

軟件防火墻工作于系統(tǒng)接口與NDIS之間，用于檢查過濾由NDIS發(fā)送過來的數(shù)據(jù)，在無需改動(dòng)硬件的前提下便能實(shí)現(xiàn)一定強(qiáng)度的安全保障，但是由于軟件防火墻自身屬于運(yùn)行于系統(tǒng)上的程序，不可避免地需要占用一部分CPU資源維持工作，而且由于數(shù)據(jù)判斷處理需要一定的時(shí)間，在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里，軟件防火墻會(huì)使整個(gè)系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降，甚至有些軟件防火墻會(huì)存在漏洞，導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系，給數(shù)據(jù)安全帶來?yè)p失，因此，許多企業(yè)并不會(huì)考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施，而是使用看得見摸得著的硬件防火墻。

硬件防火墻是一種以物理形式存在的專用設(shè)備，通常架設(shè)于兩個(gè)網(wǎng)絡(luò)的駁接處，直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報(bào)文，位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對(duì)安全的數(shù)據(jù)，不必另外分出CPU資源去進(jìn)行基于軟件架構(gòu)的NDIS數(shù)據(jù)檢測(cè)，可以大大提高工作效率。

硬件防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備，這里又另外派分出兩種結(jié)構(gòu)，一種是普通硬件級(jí)別防火墻，它擁有標(biāo)準(zhǔn)計(jì)算機(jī)的硬件平臺(tái)和一些功能經(jīng)過簡(jiǎn)化處理的UNIX系列操作系統(tǒng)和防火墻軟件，這種防火墻措施相當(dāng)于專門拿出一臺(tái)計(jì)算機(jī)安裝了軟件防火墻，除了不需要處理其他事務(wù)以外，它畢竟還是一般的操作系統(tǒng)，因此有可能會(huì)存在漏洞和不穩(wěn)定因素，安全性并不能做到最好；另一種是所謂的“芯片”級(jí)硬件防火墻，它采用專門設(shè)計(jì)的硬件平臺(tái)，在上面搭建的軟件也是專門開發(fā)的，并非流行的操作系統(tǒng)，因而可以達(dá)到較好的安全性能保障。但無論是哪種硬件防火墻，管理員都可以通過計(jì)算機(jī)連接上去設(shè)置工作參數(shù)。由于硬件防火墻的主要作用是把傳入的數(shù)據(jù)報(bào)文進(jìn)行過濾處理后轉(zhuǎn)發(fā)到位于防火墻后面的網(wǎng)絡(luò)中，因此它自身的硬件規(guī)格也是分檔次的，盡管硬件防火墻已經(jīng)足以實(shí)現(xiàn)比較高的信息處理效率，但是在一些對(duì)數(shù)據(jù)吞吐量要求很高的網(wǎng)絡(luò)里，檔次低的防火墻仍然會(huì)形成瓶頸，所以對(duì)于一些大企業(yè)而言，芯片級(jí)的硬件防火墻才是他們的首選。

1 安全漏洞和病毒入侵給校園網(wǎng)絡(luò)帶來的安全隱患

網(wǎng)絡(luò)的安全漏洞通常指計(jì)算機(jī)系統(tǒng)中存在的可能導(dǎo)致計(jì)算機(jī)被別有用心的人入侵或攻擊的缺陷，同時(shí)安全漏洞也是可能因?yàn)榫W(wǎng)絡(luò)信息交換的過程中導(dǎo)致信息泄露等威脅的可能性。計(jì)算機(jī)軟件安全漏洞的存在，主要因?yàn)橛?jì)算機(jī)軟件的設(shè)計(jì)、編寫或研發(fā)人員在研究開發(fā)計(jì)算機(jī)軟件時(shí)，由于考慮不周或設(shè)計(jì)失誤，導(dǎo)致軟件或系統(tǒng)中存在弱點(diǎn)或漏洞，這些漏洞可能被黑客或病毒利用，成為入侵或攻擊的路徑。計(jì)算機(jī)軟件的漏洞通常分為功能缺陷和安全漏洞。計(jì)算機(jī)軟件的功能性缺陷通常會(huì)對(duì)計(jì)算機(jī)的軟件運(yùn)行和軟件功能的實(shí)現(xiàn)產(chǎn)生一定影響。而安全漏洞通常情況下對(duì)計(jì)算機(jī)系統(tǒng)或軟件的運(yùn)行與軟件功能不產(chǎn)生影響，但這些漏洞有被黑客利用的可能性，一旦被黑客利用，它造成的危害更大，可能會(huì)造成校園網(wǎng)絡(luò)系統(tǒng)癱瘓或網(wǎng)絡(luò)中自行執(zhí)行惡意代碼、中病毒，嚴(yán)重情況下可能會(huì)被黑客竊取計(jì)算機(jī)中或通信中的機(jī)密。

病毒入侵是利用病毒的自我復(fù)制特點(diǎn)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞和侵襲，竊取數(shù)據(jù)，破壞數(shù)據(jù)完整性和系統(tǒng)是正常服務(wù)功能，病毒入侵的突出特征變現(xiàn)為隱蔽性、傳播性、繁殖性、潛伏性與寄生性。計(jì)算機(jī)病毒入侵是計(jì)算機(jī)網(wǎng)絡(luò)中常見的信息被侵害的方式，利用病毒入侵技術(shù)可以通過對(duì)外部和內(nèi)部攻擊的入侵，從而獲取入侵的信息和資料。病毒入侵是對(duì)校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)漏洞、服務(wù)和管理權(quán)限進(jìn)行探測(cè)，然后利用一定的工具和網(wǎng)絡(luò)協(xié)議對(duì)網(wǎng)絡(luò)中用戶的各種信息進(jìn)行獲取與收集整理，同時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，從而突破系統(tǒng)的網(wǎng)絡(luò)安全防范措施。病毒入侵可能導(dǎo)致校園網(wǎng)絡(luò)癱瘓，甚至可能導(dǎo)致校園網(wǎng)絡(luò)終端中的計(jì)算機(jī)、多媒體設(shè)備損壞，此外病毒入侵可能使校園網(wǎng)被黑客利用后獲取學(xué)生或教師的基本信息，產(chǎn)生信息泄露的隱患。校園網(wǎng)絡(luò)中的考試信息等可能被黑客利用，從而導(dǎo)致試題泄露，被黑客利用成為其攬財(cái)?shù)氖侄巍?/p>

2 防火墻技術(shù)對(duì)校園網(wǎng)絡(luò)安全提升的策略

2.1 在校園網(wǎng)絡(luò)中構(gòu)建有效的防入侵防火墻

防火墻又叫安全防火墻，是應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的病毒入侵最廣泛的防范對(duì)策。防火墻在普通用戶和企業(yè)終端中應(yīng)用十分廣泛，它能夠有效防止一般、常見計(jì)算機(jī)病毒對(duì)系統(tǒng)的入侵和損壞，能夠有效保證系統(tǒng)的安全性能。防火墻作為隔離網(wǎng)絡(luò)、劃分網(wǎng)絡(luò)區(qū)域的有效保證計(jì)算機(jī)網(wǎng)絡(luò)安全的應(yīng)對(duì)措施，通過定制不同的區(qū)域訪問策略控制不同區(qū)域間的數(shù)據(jù)流，從而提高網(wǎng)絡(luò)的安全性能。防火墻入侵是一種較難的入侵方式，但是一旦實(shí)現(xiàn)入侵，用戶所遭受的損失也是最大的，可以造成用戶的系統(tǒng)癱瘓，甚至崩潰，損失不可估量。在我們通常使用的互聯(lián)網(wǎng)中，有些區(qū)域是可以信任的，有一些區(qū)域是不可信任的，通過區(qū)分高度信任區(qū)域和不可信任區(qū)域，能夠有效避免安全隱患較高的網(wǎng)絡(luò)通信，從而能夠有效保護(hù)網(wǎng)絡(luò)信息安全[2]。因此在校園網(wǎng)絡(luò)中構(gòu)建防火墻是保證校園網(wǎng)中相關(guān)信息存儲(chǔ)、信息傳輸安全性的重要保障，應(yīng)當(dāng)值得廣大學(xué)校和校園網(wǎng)網(wǎng)絡(luò)管理者的重視。

2.2 通過代理服務(wù)器配置方案提高防火墻對(duì)校園網(wǎng)的保護(hù)

代理服務(wù)器技術(shù)是代理型防火墻技術(shù)的核心，通過對(duì)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行防火墻處理后，校園網(wǎng)在整個(gè)因特網(wǎng)中運(yùn)行和數(shù)據(jù)傳輸時(shí)可以有效隱藏網(wǎng)絡(luò)內(nèi)部構(gòu)架，使黑客或入侵者入侵的難度增加，隱藏代理型防火墻通常被認(rèn)為是最安全的防火墻技術(shù)。代理型防火墻通過代理服務(wù)器連接校園網(wǎng)絡(luò)和因特網(wǎng)，這種網(wǎng)關(guān)能夠代理運(yùn)行計(jì)算機(jī)軟件，從而實(shí)現(xiàn)兩種網(wǎng)絡(luò)相互兼容和相互通訊。代理服務(wù)器技術(shù)能夠很好地隔離內(nèi)網(wǎng)與外網(wǎng)，使校園網(wǎng)和因特網(wǎng)之間既能有效交流，又能夠?qū)π@網(wǎng)的局域網(wǎng)進(jìn)行合理的保護(hù)，不受外部網(wǎng)絡(luò)的攻擊和入侵。代理服務(wù)器作為解決校園網(wǎng)通訊和共享的有效的保護(hù)措施，通過合理配置能夠極大程度上提高校園網(wǎng)的安全性能，是在校園網(wǎng)絡(luò)中十分實(shí)用和常用的防火墻技術(shù)。

2.3 通過防火墻入侵檢測(cè)技術(shù)提高校園網(wǎng)絡(luò)安全性能

防火墻入侵檢測(cè)技術(shù)又叫IDS，是英文Intrusion Detection System的縮寫，是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)對(duì)網(wǎng)絡(luò)中的非法入侵和黑客攻擊的預(yù)警和應(yīng)對(duì)系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)入侵通常是指入侵者利用已有的計(jì)算機(jī)程序調(diào)試和編寫技術(shù)，通過網(wǎng)絡(luò)非法訪問未經(jīng)授權(quán)的計(jì)算機(jī)文件，最終侵入該網(wǎng)絡(luò)中的非法行為[3]。在校園網(wǎng)中通過防火墻入侵檢測(cè)是校園網(wǎng)對(duì)網(wǎng)絡(luò)信息安全的必要保證，當(dāng)前較為先進(jìn)的防火墻入侵檢測(cè)技術(shù)能夠使防火墻與入侵檢測(cè)形成有機(jī)整體，入侵檢測(cè)發(fā)現(xiàn)有惡意入侵后，防火墻迅速加強(qiáng)對(duì)網(wǎng)絡(luò)的保護(hù)，使入侵者無計(jì)可施，從而避免了校園網(wǎng)受惡意攻擊或病毒入侵。

校園網(wǎng)及其信息系統(tǒng)所面臨的安全威協(xié)既可能來自校園內(nèi)部，又可能來自校園外部，主要有以下幾種情況：“黑客”、數(shù)據(jù)泄露、IP盜用、病毒攻擊、非法站點(diǎn)的訪問問題、E-mail問題。所有的入侵攻擊都是從用戶終端上發(fā)起的，往往利用被攻擊系統(tǒng)的漏洞肆意進(jìn)行破壞。

針對(duì)校園網(wǎng)的各種安全隱患，深入分析產(chǎn)生這些安全問題的根源以及隨時(shí)出現(xiàn)的網(wǎng)絡(luò)安全需求，通過采取相應(yīng)的網(wǎng)絡(luò)安全策略，將安全技術(shù)與教育管理結(jié)合起來，就可以建成一個(gè)安全、通用、高效的校園網(wǎng)絡(luò)系統(tǒng)。

3 校園網(wǎng)安全監(jiān)測(cè)

在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

3.1 采用入侵檢測(cè)系統(tǒng)

在校園網(wǎng)中構(gòu)架成一套完整立體的主動(dòng)防御體系，需要同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。

首先，在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，如果數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)中的某些規(guī)則吻合，就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接。

其次，在重要的主機(jī)上（如WWW服務(wù)器，E-mail服務(wù)器，F(xiàn)TP服務(wù)器）安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷，如果其中主體活動(dòng)十分可疑，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。

3.2 Web、E-mail、BBS的安全監(jiān)測(cè)系統(tǒng)

在校園網(wǎng)的WWW服務(wù)器、E-mail服務(wù)器中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet上傳輸?shù)膬?nèi)容，并將其還原成完整的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，并向上級(jí)安全網(wǎng)管中心報(bào)告。

一般可以采取如下方法：用一臺(tái)PC機(jī)連接在網(wǎng)絡(luò)的關(guān)鍵網(wǎng)段上，修改網(wǎng)卡的接收方式，這樣就能接收到這個(gè)網(wǎng)段上傳輸?shù)乃行畔?，而且?duì)原有網(wǎng)絡(luò)的傳輸性能沒有影響。系統(tǒng)基本上通過兩部分組成： 一部分為監(jiān)控器，主要負(fù)責(zé)如實(shí)地記錄網(wǎng)絡(luò)上的傳輸數(shù)據(jù)，并將其保存為硬盤上的文件，交給第二部分后臺(tái)分析處理； 第二部分為后臺(tái)分析器，負(fù)責(zé)對(duì)前臺(tái)監(jiān)控器記錄下的數(shù)據(jù)進(jìn)行處理，將前臺(tái)監(jiān)控器截獲的數(shù)據(jù)拼裝、還原成應(yīng)用層的完整內(nèi)容，然后在數(shù)據(jù)庫(kù)中添加相應(yīng)的記錄。監(jiān)控器可以采用一臺(tái)裝有兩塊網(wǎng)卡的PC機(jī)，采用Linux操作系統(tǒng)。分析器可以由一臺(tái)安裝了Win 2000的PC機(jī)承擔(dān)，運(yùn)用SQL Server等軟件。這樣就可以對(duì)進(jìn)入網(wǎng)內(nèi)的各種信息進(jìn)行檢測(cè)，并對(duì)郵件中的病毒進(jìn)行檢測(cè)，從而阻止病毒進(jìn)入局域網(wǎng)。

3.3 漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)層安全問題的方法是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式，最大可能地彌補(bǔ)最新的安全漏洞并消除安全隱患。

3.4 IP盜用問題的解決

在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則禁行，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

3.5 利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全

要解決校園網(wǎng)內(nèi)部的侵襲問題，可以對(duì)各個(gè)子網(wǎng)做一個(gè)審計(jì)文件，為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽程序，其主要功能是長(zhǎng)期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

4 配置安全的系統(tǒng)服務(wù)器平臺(tái)

安全的系統(tǒng)服務(wù)器是網(wǎng)絡(luò)安全的基點(diǎn)，利用系統(tǒng)本地安全策略構(gòu)建一個(gè)相對(duì)安全的防護(hù)林對(duì)于校園網(wǎng)來說至關(guān)重要。

4.1 設(shè)置禁用，構(gòu)建第一道防線

Win 2000即使是裝上了最新的系統(tǒng)補(bǔ)丁，但在Internet的任何一臺(tái)PC上只要輸入“＼＼IP地址＼c■”，然后輸入用戶名Guest，密碼空，該機(jī)器的C盤就完全暴露了。解決的方法是禁用Guest賬號(hào)，為Administrator設(shè)置一個(gè)安全的密碼，將各驅(qū)動(dòng)器的共享設(shè)為不共享。同時(shí)關(guān)閉不需要的服務(wù)。在管理工具的服務(wù)中將它們?cè)O(shè)置為禁用，一般可以禁用的服務(wù)有Telnet、Task Scheduler（允許程序在指定時(shí)間運(yùn)行）、Remote Registry Service（允許遠(yuǎn)程注冊(cè)表操作）等。

4.2 設(shè)置IIS，構(gòu)建第二道防線

通過簡(jiǎn)單的設(shè)置，完全可以彌補(bǔ)校園網(wǎng)服務(wù)器的IIS漏洞。首先將IIS默認(rèn)的服務(wù)都停止，然后再新建一個(gè)Web站點(diǎn)。設(shè)置好常規(guī)內(nèi)容后，在“屬性→主目錄”的配置中對(duì)應(yīng)用程序映射進(jìn)行設(shè)置，刪除不需要的映射，這些映射是IIS受到攻擊的直接原因。

4.3 運(yùn)用掃描程序，堵住安全漏洞

要做到全面解決安全問題，需要掃描程序的幫助。掃描完成后，要看一下，是否存在口令漏洞，若存在，則馬上修改口令設(shè)置；再看一下是否存在IIS漏洞，若存在，須檢查IIS的設(shè)置。

4.4 封鎖端口，全面構(gòu)建防線

黑客大多通過端口進(jìn)行入侵，所以關(guān)閉那些不用的端口，完全可以阻止入侵者的攻擊。

首先，通過“管理工具→本地安全策略”進(jìn)入，右擊“IP安全策略——屬性”，創(chuàng)建一個(gè)安全策略。

接著，右擊“IP安全策略——屬性”，進(jìn)入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，添加要封鎖的端口，這里以關(guān)閉ICMP端口為例說明。關(guān)閉ICMP的具體操作如下：點(diǎn)“添加”，然后在名稱中輸入“關(guān)閉ICMP”，點(diǎn)右邊的“添加”；在源地址中選“任何IP地址”；在目標(biāo)地址中選擇“我的IP地址”；在協(xié)議中選擇“ICMP”。

然后，進(jìn)入設(shè)置管理篩選器操作，點(diǎn)“添加”，在名稱中輸入“拒絕”。選擇“阻止”關(guān)閉該屬性頁(yè)，右擊新建的IP安全策略，打開屬性頁(yè)。在規(guī)則中選擇“添加”，選擇“此規(guī)則不指定隧道”，在選擇網(wǎng)絡(luò)類型中選擇“所有網(wǎng)絡(luò)連接”，在IP篩選器列表中選擇“關(guān)閉ICMP”，在篩選器操作中選擇“拒絕”。這樣就將“關(guān)閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。

5 校園網(wǎng)的訪問控制策略

針對(duì)校園網(wǎng)絡(luò)系統(tǒng)的安全威脅，必須建立整體的、卓有成效的安全策略，尤其是在訪問控制的管理與技術(shù)方面需要制定相應(yīng)的策略，以保護(hù)系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞，維護(hù)校園網(wǎng)的安全。

5.1 建立并嚴(yán)格執(zhí)行規(guī)章制度

規(guī)章制度作為一項(xiàng)核心內(nèi)容，應(yīng)始終貫穿于系統(tǒng)的安全生命周期。校園網(wǎng)絡(luò)的安全管理制度應(yīng)包括：確定安全管理等級(jí)和安全管理范圍，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。任何規(guī)章制度的意義都在于實(shí)施，嚴(yán)格執(zhí)行安全管理制度是網(wǎng)絡(luò)可靠運(yùn)行的重要保障。

5.2 身份驗(yàn)證

身份驗(yàn)證技術(shù)可用于判斷對(duì)象身份的真實(shí)性，是校園網(wǎng)上信息安全的第一道屏障。除校園卡外，校園網(wǎng)上的身份驗(yàn)證技術(shù)主要是口令機(jī)制，如各種開機(jī)口令、登錄口令、共享權(quán)限口令等。對(duì)這些口令的保護(hù)除建立嚴(yán)格的保密機(jī)制外，口令的設(shè)置方法非常重要。

一般而言，安全的口令有以下特點(diǎn)：

（1）至少7位字符，系統(tǒng)用戶一定要用8位字符的口令；

（2）大小寫字母混合，把數(shù)字無序地插在字母中；

（3）口令中包含“～ ！# $ % * ？ { } ”等符號(hào)；

（4）不使用英語(yǔ)單詞，不使用個(gè)人信息（如生日、姓名等）；

（5）不要在不同系統(tǒng)上使用同一口令。

5.3 病毒防護(hù)

校園網(wǎng)絡(luò)防病毒工作主要包括預(yù)防計(jì)算機(jī)病毒侵入、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系，特別是針對(duì)重要的網(wǎng)段和服務(wù)器，要進(jìn)行徹底堵截。

選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。它應(yīng)具有以下一些特征：①能夠支持所有的主流平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理； ②要能保護(hù)校園網(wǎng)所有可能的病毒入口，也就是說要支持所有可能用到的Internet協(xié)議及郵件系統(tǒng)；③具有較強(qiáng)的防護(hù)功能，可以對(duì)數(shù)據(jù)、程序進(jìn)行有效的保護(hù)。

5.4 防火墻技術(shù)

防火墻在校園網(wǎng)與Internet之間執(zhí)行訪問控制策略，決定哪些內(nèi)部站點(diǎn)允許外界訪問和允許訪問外界，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵。

5.4.1 防火墻設(shè)置原則

目前，防火墻主要有如下幾類： ①包過濾型防火墻，這類防火墻是必須的，尤其是對(duì)于使用靜態(tài)IP地址的校園網(wǎng)；②應(yīng)用代理型防火墻，對(duì)用戶身份進(jìn)行鑒別，并提供比較詳細(xì)的日志和審計(jì)信息；③復(fù)合型防火墻，即前兩類的結(jié)合。

建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問。對(duì)校園網(wǎng)用戶進(jìn)行流量控制，依據(jù)時(shí)間安全規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)間。定期查看防火墻訪問日志，對(duì)防火墻的管理員權(quán)限嚴(yán)格控制。

5.4.2 選擇與配置安全有效的應(yīng)用層防火墻

網(wǎng)絡(luò)管理員要在安全機(jī)制需要和系統(tǒng)的易用性方面做出平衡，一般可以采用如下的防火墻配置方案。

在系統(tǒng)中使用兩個(gè)包過濾防火墻，在內(nèi)部網(wǎng)絡(luò)和外界Internet之間隔離出一個(gè)受屏蔽的子網(wǎng)，包括代理服務(wù)器、E-mail服務(wù)器、各種信息服務(wù)器（包括Web服務(wù)器、FTP服務(wù)器等）等。

在外部路由器上設(shè)置一個(gè)包過濾防火墻，它只讓與屏蔽子網(wǎng)中的代理服務(wù)器、E-mail服務(wù)器、信息服務(wù)器有關(guān)的數(shù)據(jù)包通過，其他所有類型的數(shù)據(jù)包都被丟棄，從而把外界Internet對(duì)屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi)。

防火墻在很多方面存在弱點(diǎn)，要警惕來自防火墻的缺陷，防火墻擅長(zhǎng)于保護(hù)設(shè)備，而不擅長(zhǎng)保護(hù)數(shù)據(jù)， 防火墻不是解決所有網(wǎng)絡(luò)安全問題的靈丹妙藥，一般有70%的攻擊是來自校園網(wǎng)的內(nèi)部，防火墻對(duì)此束手無策。

5.5 應(yīng)急處理和數(shù)據(jù)備份

應(yīng)急響應(yīng)是校園網(wǎng)整體安全構(gòu)架中不可分割的重要組成部分。校園網(wǎng)絡(luò)管理中心在發(fā)現(xiàn)新病毒或因系統(tǒng)安全漏洞威脅網(wǎng)絡(luò)安全時(shí)，應(yīng)及時(shí)向用戶發(fā)出安全通告，并提供各種補(bǔ)丁程序以便下載。

數(shù)據(jù)是整個(gè)網(wǎng)絡(luò)的核心，做一套完整的數(shù)據(jù)備份和恢復(fù)措施是校園網(wǎng)迫切需要的。對(duì)易受到攻擊的Web服務(wù)器，配置網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng)，一旦主頁(yè)被篡改，能夠及時(shí)恢復(fù)。針對(duì)網(wǎng)絡(luò)安全而言，備份既包括網(wǎng)絡(luò)通信參數(shù)、配置的備份，又包括設(shè)備和線路的備份。網(wǎng)絡(luò)中心應(yīng)定期將重要數(shù)據(jù)打包，并將副本存放在專用的服務(wù)器中，還可采用RAID技術(shù)對(duì)重要磁盤做鏡像。

5.6 運(yùn)用VLAN技術(shù)

采用交換式局域網(wǎng)技術(shù)（ATM或以太交換）的校園網(wǎng)絡(luò)，可以運(yùn)用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。在實(shí)際應(yīng)用過程中，通常采用二者相結(jié)合的方法。

5.7 遵循“最小授權(quán)”原則和采用“信息加密”技術(shù)

從網(wǎng)絡(luò)安全的角度考慮問題，打開的服務(wù)越多，可能出現(xiàn)的安全漏洞就會(huì)越多?！白钚∈跈?quán)”原則是指網(wǎng)絡(luò)中的賬號(hào)設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等都應(yīng)為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度，這可以將系統(tǒng)的危險(xiǎn)性大大降低。如：關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)，將用戶的權(quán)限配置為策略定義的最小限度，及時(shí)刪除不必要的賬號(hào)等。

“信息加密“是包括算法、協(xié)議、管理在內(nèi)的龐大體系，加密算法是基礎(chǔ)，密碼協(xié)議是關(guān)鍵，密鑰管理是保障。其核心及相關(guān)程序，如登錄系統(tǒng)、用戶管理系統(tǒng)等在可能的情況下應(yīng)自行開發(fā)。 5.8 用戶教育

加強(qiáng)對(duì)校園網(wǎng)用戶的安全意識(shí)教育和安全技術(shù)培訓(xùn)，提高遵守相關(guān)的安全制度的自覺性，增強(qiáng)整體安全防范能力。對(duì)于非法訪問和黑客攻擊事件，一旦發(fā)現(xiàn)要嚴(yán)肅處理。

加強(qiáng)對(duì)校園網(wǎng)安全技術(shù)和管理人員的培訓(xùn)，使他們從技術(shù)上提高應(yīng)對(duì)各種攻擊的能力。培養(yǎng)一支具有安全管理意識(shí)的網(wǎng)管隊(duì)伍。網(wǎng)絡(luò)管理人員通過對(duì)所有用戶設(shè)置資源使用權(quán)限與口令，對(duì)用戶名和口令進(jìn)行加密存儲(chǔ)、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。

6 結(jié) 語(yǔ)

總之，在網(wǎng)絡(luò)信息時(shí)代，校園網(wǎng)絡(luò)的安全是學(xué)校教學(xué)質(zhì)量的重要保證，防火墻技術(shù)作為最常用、最實(shí)用的網(wǎng)絡(luò)安全保障，在保護(hù)效益網(wǎng)絡(luò)安全中起到十分重要的作用。在構(gòu)建校園網(wǎng)絡(luò)系統(tǒng)和管理校園網(wǎng)絡(luò)系統(tǒng)時(shí)，應(yīng)當(dāng)充分認(rèn)識(shí)到校園網(wǎng)絡(luò)安全性的重要性，要科學(xué)合理地利用防火墻技術(shù)提高校園網(wǎng)絡(luò)的安全。

主要參考文獻(xiàn)

[1]閻慧，王偉.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2010.

[2]任月鷗，高文舉，李秋菊. 在校園網(wǎng)絡(luò)環(huán)境下防火墻技術(shù)的應(yīng)用研究[J].硅谷，2011（1）：122-123.

[3]曹秀娟. 防火墻技術(shù)在校園網(wǎng)絡(luò)安全管理中的應(yīng)用[J].計(jì)算機(jī)安全，2010（12）∶73-74.