基于防火墻的智慧校園網(wǎng)絡(luò)安全技術(shù)的研究

摘 要：隨著信息網(wǎng)絡(luò)技術(shù)的持續(xù)發(fā)展，我國網(wǎng)絡(luò)市場逐漸繁榮，網(wǎng)絡(luò)安全性問題也逐漸受到重視。高校是教育、科研、交流的重要基地，當(dāng)下對網(wǎng)絡(luò)有著較高的需求，為了方便于高校師生的日常工作學(xué)習(xí)，大多數(shù)高校都建立了校園網(wǎng)，并且網(wǎng)絡(luò)的規(guī)模與服務(wù)項(xiàng)目逐漸增多擴(kuò)大。校園網(wǎng)在給廣大師生帶來便利的同時，其自身的安全性問題也逐漸顯現(xiàn)出來。本文主要探討高校校園網(wǎng)網(wǎng)絡(luò)安全問題，在介紹防火墻技術(shù)原理的基礎(chǔ)上，探討一些校園網(wǎng)的防火墻安全策略。

關(guān)鍵詞：防火墻技術(shù)；智慧校園網(wǎng)絡(luò)安全；研究

中圖分類號：TP393.18

二十一世紀(jì)是信息網(wǎng)絡(luò)技術(shù)的世紀(jì)，網(wǎng)絡(luò)在給人們帶來諸多便利的同時，其自身存在著的安全隱患與風(fēng)險會對一些用戶帶來信息威脅。當(dāng)下，各個高校校園網(wǎng)的建立在為師生提供各種服務(wù)的同時，其網(wǎng)絡(luò)安全漏洞也給師生帶來一些信息安全的憂慮，因此將防火墻技術(shù)引進(jìn)校園網(wǎng)絡(luò)安全體制極有必要。筆者結(jié)合自己多年校園網(wǎng)絡(luò)建設(shè)與維護(hù)經(jīng)驗(yàn)，針對當(dāng)下校園網(wǎng)存在的一些安全問題，探討防火墻技術(shù)的科學(xué)運(yùn)用方式，以期為高校校園網(wǎng)安全建設(shè)提供一些有效經(jīng)驗(yàn)。

1 校園網(wǎng)建設(shè)與運(yùn)行中存在的主要安全問題

1.1 校園網(wǎng)硬件方面的安全隱患

硬件設(shè)備系統(tǒng)是校園網(wǎng)運(yùn)行的物質(zhì)基礎(chǔ)，硬件系統(tǒng)的主要組成部分包括網(wǎng)絡(luò)數(shù)據(jù)的存儲系統(tǒng)、傳輸系統(tǒng)以及網(wǎng)絡(luò)運(yùn)行系統(tǒng)等，如果校園網(wǎng)硬件系統(tǒng)出了問題會使校園網(wǎng)的整體運(yùn)行出現(xiàn)故障。在硬件系統(tǒng)基本設(shè)施以外，還有其他一些環(huán)境因素也會影響到校園網(wǎng)安全，比如網(wǎng)絡(luò)設(shè)備的物理隔離狀況、網(wǎng)絡(luò)設(shè)備所處環(huán)境的溫濕度條件、電流與電壓的穩(wěn)定性，另外還有一些防盜、防火、防震以及防雷電等基本設(shè)施建設(shè)的科學(xué)性等。

1.2 校園網(wǎng)軟件方面的安全隱患

校園網(wǎng)軟件方面的安全隱患主要來自于網(wǎng)絡(luò)以及軟件本身的缺陷以及各種網(wǎng)絡(luò)系統(tǒng)與軟件的錯誤操作等。由于研發(fā)技術(shù)的限制以及研發(fā)人員的個人技術(shù)因素，種種開發(fā)性的軟件容易存在一些安全漏洞。在軟件使用過程中，各種不規(guī)范不科學(xué)的操作會對軟件性能造成一定的影響，從而降低了其安全防護(hù)性能[1]。網(wǎng)絡(luò)黑客技術(shù)與網(wǎng)絡(luò)技術(shù)本身的發(fā)展基本同步，一些網(wǎng)絡(luò)黑客專門對網(wǎng)絡(luò)系統(tǒng)以及軟件的安全漏洞進(jìn)行研究，通過非程序化的手段更改或是盜用服務(wù)器上的資料，從而實(shí)現(xiàn)對個人或者群體網(wǎng)絡(luò)信息資料的破壞

1.3 網(wǎng)絡(luò)監(jiān)管力度不夠，致使網(wǎng)絡(luò)黑客猖獗

由于黑客技術(shù)隱蔽性好，破壞性強(qiáng)，目前又缺乏強(qiáng)有力的跟蹤和監(jiān)管手段，黑客已經(jīng)成為校園網(wǎng)絡(luò)安全的主要威脅之一。然而各種網(wǎng)絡(luò)監(jiān)督管理以及網(wǎng)絡(luò)警察制度建立不夠完善，反黑客系統(tǒng)缺乏追殺技術(shù)，致使網(wǎng)絡(luò)黑客頻繁活動，為校園網(wǎng)網(wǎng)絡(luò)安全與師生重要信息資源帶來較大的沖擊。

2 防火墻的基本作用

防火墻主要設(shè)置在不同網(wǎng)絡(luò)的連接處用來分割不同網(wǎng)絡(luò)安全的一組部件，對于一些經(jīng)過防火墻的數(shù)據(jù)流進(jìn)行監(jiān)測、限制以及更改。在整個網(wǎng)絡(luò)大環(huán)境中，防火墻的主要功能是屏蔽網(wǎng)絡(luò)內(nèi)部的相關(guān)信息，使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)環(huán)境形成一定程度上的隔絕，以此來保證內(nèi)部網(wǎng)絡(luò)的信息安全[2]。在沒有防火墻限制的情況下，網(wǎng)絡(luò)環(huán)境中的非法用戶可以直接達(dá)到網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)服務(wù)器或者任意一臺計(jì)算機(jī)，進(jìn)行各種破壞活動。因此，簡單來說，在網(wǎng)絡(luò)環(huán)境設(shè)置防火墻就是在內(nèi)網(wǎng)外網(wǎng)之間設(shè)置一道屏障，為外部網(wǎng)絡(luò)環(huán)境中的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)增加難度，從而保證內(nèi)部網(wǎng)絡(luò)的信息安全性。

3 基于防火墻技術(shù)的智慧校園網(wǎng)絡(luò)安全設(shè)計(jì)

3.1 防火墻的主要技術(shù)類型

防火墻技術(shù)的主要類型包括數(shù)據(jù)包過濾型防火墻技術(shù)、應(yīng)用級網(wǎng)關(guān)防火墻技術(shù)和代理服務(wù)防火墻技術(shù)。數(shù)據(jù)包過濾型防火墻技術(shù)主要運(yùn)用于網(wǎng)絡(luò)層的數(shù)據(jù)包選擇。在網(wǎng)絡(luò)系統(tǒng)內(nèi)部設(shè)置過濾邏輯，也就是訪問控制表，當(dāng)網(wǎng)絡(luò)中接收到傳輸來的數(shù)據(jù)包之后，便開始對數(shù)據(jù)包進(jìn)行源地址、目的地址、所用的端口號以及協(xié)議狀態(tài)等進(jìn)行邏輯過濾，將符合邏輯的數(shù)據(jù)包進(jìn)行放行處理。這種防火墻設(shè)計(jì)方式邏輯相對簡單，價格比較便宜，同時具有易于安裝和使用的優(yōu)點(diǎn)。應(yīng)用級網(wǎng)關(guān)防護(hù)墻技術(shù)主要應(yīng)用在網(wǎng)絡(luò)體系結(jié)構(gòu)的應(yīng)用層，在具體應(yīng)用過程中需要在應(yīng)用層建立協(xié)議，對數(shù)據(jù)包進(jìn)行過濾與轉(zhuǎn)發(fā)。這種技術(shù)可以有效防止防火墻外部的的用戶直接了解防火墻內(nèi)部的運(yùn)行狀態(tài)與網(wǎng)絡(luò)結(jié)構(gòu)，以利用幫助網(wǎng)絡(luò)內(nèi)環(huán)境應(yīng)對各種非法訪問和攻擊[3]。代理服務(wù)防火墻技術(shù)主要運(yùn)用于數(shù)據(jù)包過濾型防火墻技術(shù)與應(yīng)用級網(wǎng)關(guān)防火墻技術(shù)不夠有效解決的一些網(wǎng)絡(luò)防護(hù)問題。

3.2 校園網(wǎng)拓?fù)浣Y(jié)構(gòu)

校園網(wǎng)拓?fù)浣Y(jié)構(gòu)主要覆蓋學(xué)校的一些用網(wǎng)單位，因此整體結(jié)構(gòu)中通常具有一個與多個的出口與外網(wǎng)進(jìn)行連接。學(xué)校的主要用網(wǎng)單位包括教學(xué)樓、實(shí)驗(yàn)樓、報(bào)告廳、圖書館、培訓(xùn)樓、行政樓和學(xué)生宿舍等，各種用網(wǎng)單位的物理位置分布沒有特定的規(guī)律，而且每一個用網(wǎng)單位都會在本區(qū)域內(nèi)形成小型局域網(wǎng)。因此需要在各個用網(wǎng)單位之間設(shè)置校園網(wǎng)的骨干線，使樓之間的網(wǎng)絡(luò)線路形成一條光纖連接的形式[4]。校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)需要充分考慮學(xué)校的設(shè)計(jì)方式，還要充分滿足各個用網(wǎng)部門的基本網(wǎng)絡(luò)需求。在邏輯結(jié)構(gòu)上，可以將校園網(wǎng)劃分為核心層、匯聚層與接入層三個層次。核心層通過穩(wěn)定高效的數(shù)據(jù)交換與轉(zhuǎn)發(fā)能力統(tǒng)攝整個校園網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸。匯聚層主要負(fù)責(zé)校園網(wǎng)骨干設(shè)備以及網(wǎng)絡(luò)接入層的連接。接入層是用戶訪問網(wǎng)絡(luò)的直接途徑，接入層的基本設(shè)施要與網(wǎng)絡(luò)終端進(jìn)行連接。

3.3 校園網(wǎng)防火墻安全策略

校園網(wǎng)網(wǎng)絡(luò)安全的原則是允許訪問明確許可的任何一種服務(wù)，并且明確許可以外的其他服務(wù)拒絕在外面，因此其主要服務(wù)功能是針對校園內(nèi)的。校園網(wǎng)的防火墻主要劃分為內(nèi)網(wǎng)、外網(wǎng)和DMZ三個主要的構(gòu)成區(qū)域。防火墻的外網(wǎng)是防火墻的不可信區(qū)域，在本區(qū)域內(nèi)，無論是區(qū)域內(nèi)的主機(jī)還是其他設(shè)備的訪問經(jīng)過防火墻時都必須進(jìn)行審核，通過后才可進(jìn)入內(nèi)網(wǎng)資源。內(nèi)網(wǎng)主要保護(hù)不被外網(wǎng)用戶非法訪問的區(qū)域，內(nèi)網(wǎng)主要由校園網(wǎng)中的全部終端主機(jī)和一部分的服務(wù)器組成，屬于防火墻可信區(qū)域[5]。DMZ區(qū)域是介于內(nèi)網(wǎng)與外網(wǎng)之間的一個特殊的網(wǎng)絡(luò)區(qū)域，DMZ處在內(nèi)網(wǎng)之中，但與內(nèi)網(wǎng)中其他區(qū)域存在較大差異，主要體現(xiàn)在安全級別不一樣。校園網(wǎng)設(shè)計(jì)中，可以內(nèi)網(wǎng)中存放機(jī)密數(shù)據(jù)的服務(wù)器置于防火墻之后，提高內(nèi)網(wǎng)保護(hù)的安全級別，拒絕外網(wǎng)直接訪問內(nèi)網(wǎng)中的資源。

4 結(jié)束語

校園網(wǎng)運(yùn)行過程中會涉及到大量的教師與學(xué)生的各種重要信息資料，如不對校園網(wǎng)的運(yùn)行安全性進(jìn)行科學(xué)維護(hù)，就會加大信息資料遭到竊取破壞的可能。將防火墻技術(shù)運(yùn)用于校園網(wǎng)的建設(shè)與運(yùn)行，能夠在很大程度上保證校園網(wǎng)中各種信息資源的安全。但是，防火墻技術(shù)也存在著一些不盡完善之處，在防火墻技術(shù)與網(wǎng)絡(luò)黑客技術(shù)的程序發(fā)展中，它并不能夠完全避免一些網(wǎng)絡(luò)安全問題。因此通過各種網(wǎng)絡(luò)監(jiān)管法規(guī)的建立、網(wǎng)絡(luò)攻擊處罰制度的實(shí)施和不斷提高防火墻技術(shù)的安全防護(hù)性能，建立安全穩(wěn)定、高效率的校園網(wǎng)絡(luò)安全防護(hù)體系，才可保障校園網(wǎng)的良好運(yùn)行。

參考文獻(xiàn)：

[1]楊秋葉，杜慧，劉清毅.基于防火墻的智慧校園網(wǎng)絡(luò)安全技術(shù)的研究[J].中小企業(yè)管理與科技（中旬刊）：信息技術(shù)，2014（09）：311-312.

[2]張立峰.基于防火墻和三層交換機(jī)的校園網(wǎng)絡(luò)安全策略研究[D].電子科技大學(xué)，2011.

[3]董鈺.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究與設(shè)計(jì)[D].山東大學(xué)，2010.

[4]劉自方.基于防火墻的網(wǎng)絡(luò)安全技術(shù)探討[J].網(wǎng)友世界：互聯(lián)網(wǎng)研究，2014（09）：22-23.

[5]楊旭.烏蘭察布市中等職業(yè)技術(shù)學(xué)校校園網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)[D].內(nèi)蒙古大學(xué)，2012.

作者簡介：胡春（1982-），男，高校講師，研究生，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)；張?zhí)伊郑?982-），男，高校講師，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

作者單位：云南能源職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息與工程系，云南曲靖 655001