淺談高校計算機實驗室網(wǎng)絡(luò)安全技術(shù)

吳杰

【摘要】本文介紹了在高校計算機實驗室管理中網(wǎng)絡(luò)安全技術(shù)是一項重要內(nèi)容，針對網(wǎng)絡(luò)安全問題并提出了解決方案，網(wǎng)絡(luò)安全技術(shù)的實現(xiàn)重要手段就是防火墻技術(shù)。

【關(guān)鍵詞】網(wǎng)絡(luò)；安全；防火墻

在高校計算機實驗室管理中網(wǎng)絡(luò)安全防范是一項重要內(nèi)容，網(wǎng)絡(luò)的開放和共享方便了教師和學(xué)生的使用，但計算機信息和資源很容易受到攻擊，在計算機實驗室管理中網(wǎng)絡(luò)安全也越來越受到重視，本文就高校網(wǎng)絡(luò)安全、防火墻技術(shù)、確保網(wǎng)絡(luò)安全的實現(xiàn)進行簡要的介紹。

一、高校計算機實驗室網(wǎng)絡(luò)安全漏洞

高校計算機實驗室網(wǎng)絡(luò)的開放使得網(wǎng)絡(luò)很容易受到攻擊，而且受到攻擊后的傷害是比較嚴(yán)重的，比如數(shù)據(jù)被人竊取，服務(wù)器不能正常提供服務(wù)等等，這是因為網(wǎng)絡(luò)存在著如下漏洞：

1、協(xié)議

計算機實驗室采用的互聯(lián)網(wǎng)的某些協(xié)議，如TCP/IP或UDP協(xié)議存在著許多安全方面的漏洞，為了使信息在網(wǎng)絡(luò)傳輸中不被竊取、替換、修改等，要求采取各種硬件及軟件措施，如網(wǎng)關(guān)、傳輸協(xié)議等來保護FTP或E-mail文件。再就是黑客捕獲目標(biāo)IP地址不是一件復(fù)雜的事情，黑客可利用IP和客戶軟件的漏洞使遠程用戶瞬間死機，為了保證互聯(lián)網(wǎng)上信息往來的安全，需要采用數(shù)字簽名的措施來保證數(shù)據(jù)發(fā)送和來源的可靠。

2、口令

計算機實驗室網(wǎng)絡(luò)的口令系統(tǒng)非常脆弱，常常會被破譯。破譯者常常通過對信道的監(jiān)測來截取口令或?qū)⒓用艿目诹罱饷?，獲得對系統(tǒng)的訪問權(quán)。特別是由于與內(nèi)部局域網(wǎng)相連的互聯(lián)網(wǎng)需要進行兩類認(rèn)證，一是需要用戶進行TCP/IP注冊認(rèn)證，由用戶輸入IP地址和口令；二是對業(yè)務(wù)往來和電子郵件信息需要進行來源認(rèn)證。這兩類認(rèn)證常常會受到攻擊。例如當(dāng)用戶通過TELNET或FTP與遠程主機聯(lián)系時，由于在互聯(lián)網(wǎng)上傳輸?shù)目诹顩]有加密，因而帶有口令和用戶名的IP包就有可能被攻擊者截獲，用此口令和用戶名在系統(tǒng)上進行注冊，并根據(jù)被竊取口令所具有的權(quán)限獲得對系統(tǒng)相應(yīng)的訪問控制權(quán)，進而竊取用戶的機密信息。

3、 操作系統(tǒng)和應(yīng)用軟件

在操作系統(tǒng)中發(fā)現(xiàn)了不少的漏洞，例如對可執(zhí)行文件的訪問控制不嚴(yán)就成為許多黑客攻擊成功的原因之一。許多應(yīng)用軟件也都有安全漏洞，容易被黑客侵入，瀏覽器中的超級鏈接也很容易被攻擊者利用而進入系統(tǒng)。為此，需要采取安全級別較高的操作系統(tǒng)并增加必要的軟、硬件防護措施。

4、互聯(lián)網(wǎng)

互聯(lián)網(wǎng)既龐大又復(fù)雜，系統(tǒng)邊界難以確定，用戶難以監(jiān)視，系統(tǒng)受到的威脅來自各方，許多訪問控制措施配置起來十分困難也不易驗證其正確性。為此，為確保安全，計算機實驗室內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的連接必須設(shè)立網(wǎng)關(guān)，以攔截和檢查每一條從互聯(lián)網(wǎng)來或去的信息，防止黑客、病毒之類的攻擊，還要使互聯(lián)網(wǎng)的網(wǎng)關(guān)成為防火墻的一部分。

二、防火墻技術(shù)

由于高校計算機實驗室的網(wǎng)絡(luò)存在著以上漏洞，所以受到了種類繁多的攻擊，歸納起來主要有掃描類攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、DOS攻擊、碎片攻擊等等。為了防止計算機實驗室網(wǎng)絡(luò)受到攻擊，采取的有效手段是防火墻技術(shù)。防火墻是可在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間，或者內(nèi)部網(wǎng)的各部分之間實施安全防護的系統(tǒng)，通過防火墻可以在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立起安全的控制點，來實施對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問信息的審計和控制，以允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流的方式，防止不希望、未授權(quán)的數(shù)據(jù)流進出被保護的內(nèi)部網(wǎng)絡(luò)。因此，防火墻計算機實驗室是實現(xiàn)網(wǎng)絡(luò)安全防范的重要組成部分。

1、防火墻要解決的安全問題

（1）被保護系統(tǒng)的安全問題

在訪問控制安全方面，防火墻應(yīng)能保護內(nèi)部網(wǎng)絡(luò)的資源不被非授權(quán)使用。在通信安全方面，防火墻應(yīng)能提供數(shù)據(jù)保密性、完整性的認(rèn)證，以及各種通信端不可否認(rèn)的服務(wù)。

（2）自身的安全問題

在訪問控制安全方面，防火墻應(yīng)能保護防火墻自身與安全有關(guān)的數(shù)據(jù)不被非授權(quán)使用。在通信安全方面，在對防火墻進行管理時，包括遠程管理，應(yīng)能夠提供數(shù)據(jù)保密性、完整性的認(rèn)證，以及各種通信端不可否認(rèn)的服務(wù)。

2、防火墻的關(guān)鍵技術(shù)

（1）包過濾技術(shù)

包過濾技術(shù)主要是基于路由的技術(shù)，即依據(jù)靜態(tài)或動態(tài)的過濾邏輯，在對數(shù)據(jù)包進行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號對數(shù)據(jù)包進行過濾。包過濾不能對數(shù)據(jù)包中的用戶信息和文件信息進行識別，只能對整個網(wǎng)絡(luò)提供保護。一般說來，包過濾必須使用兩塊網(wǎng)卡，即一塊網(wǎng)卡連到公網(wǎng)，一塊網(wǎng)卡連到內(nèi)網(wǎng)，以實現(xiàn)對網(wǎng)上通信進行實時和雙向的控制。包過濾技術(shù)具有運行速度快和基本不依賴于應(yīng)用的優(yōu)點，但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進行操作，而無法對用戶在某些協(xié)議上進行各種不同要求服務(wù)的內(nèi)容分別處理，即只是機械地允許或拒絕某種類型的服務(wù)，而不能對服務(wù)中的某個具體操作進行控制。因此，對于有些來自不安全的服務(wù)器的服務(wù)，僅依靠包過濾就不能起到保護內(nèi)部網(wǎng)的作用了。

（2）代理服務(wù)技術(shù)

代理服務(wù)又稱為應(yīng)用級防火墻、代理防火墻或應(yīng)用網(wǎng)關(guān)，一般針對某一特定的應(yīng)用來使用特定的代理模塊。代理服務(wù)由用戶端的代理客戶和防火墻端的代理服務(wù)器兩部分組成，其不僅能理解數(shù)據(jù)包頭的信息，還能理解應(yīng)用信息本身的內(nèi)容。當(dāng)一個遠程用戶連接到某個運行代理服務(wù)的網(wǎng)絡(luò)時，防火墻端的代理服務(wù)器即進行連接，IP報文即不再向前轉(zhuǎn)發(fā)而進入內(nèi)網(wǎng)。代理服務(wù)通常被認(rèn)為是最安全的防火墻技術(shù)，因為代理服務(wù)有能力支持可靠的用戶認(rèn)證并提供詳細的注冊信息。代理服務(wù)的代理工作在客戶機和服務(wù)器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務(wù)器的配置可以隱藏內(nèi)網(wǎng)的IP地址，保護內(nèi)部主機免受外部的攻擊。此外，代理服務(wù)還可以過濾協(xié)議，以保證用戶不將文件寫到匿名的服務(wù)器上去。代理服務(wù)在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的方式與包過濾防火墻也不同，包過濾防火墻是在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，而代理服務(wù)則在應(yīng)用層轉(zhuǎn)發(fā)網(wǎng)絡(luò)訪問。

以上介紹了兩種防火墻技術(shù)。由于此項技術(shù)在網(wǎng)絡(luò)安全中具有不可替代的作用，因而在最近十多年里得到了較大的發(fā)展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻和第四代防火墻。

防火墻是特定的計算機硬件和軟件的組合，它在兩個計算機網(wǎng)絡(luò)之間實施相應(yīng)的訪問控制策略，使得內(nèi)部網(wǎng)絡(luò)與Internet或其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，禁止外部網(wǎng)絡(luò)的客戶直接進入內(nèi)部網(wǎng)絡(luò)進行訪問，內(nèi)部網(wǎng)絡(luò)用戶也必須經(jīng)過授權(quán)才能訪問外部網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，必須安裝防火墻。內(nèi)部網(wǎng)絡(luò)規(guī)模較大且設(shè)置有VLAN時，則應(yīng)該在各個VLAN之間設(shè)置防火墻。通過公共網(wǎng)絡(luò)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻，并將總部與各分支機構(gòu)組成VPN。

三、確保高校網(wǎng)絡(luò)安全技術(shù)實現(xiàn)

1、安全策略

我們都需要一個安全策略，不要等到發(fā)生入侵之后才想起來制定這個策略；現(xiàn)在就開始制定一個，才能防患于未然。

2、防火墻必不可少

令人吃驚的是，現(xiàn)在大多數(shù)學(xué)校都在運行著沒有防火墻保護的公共網(wǎng)絡(luò)，讓我們姑且忽略有關(guān)“硬件防火墻好，還是軟件防火墻好”的爭論，無論采用哪一種防火墻，總比沒有防火墻好。使連接到Internet的每一個人都需要在其網(wǎng)絡(luò)入口處采取一定的措施來阻止和丟棄惡意的網(wǎng)絡(luò)通信。雖然Windows XP SP2自帶的防火墻也勉強可用，但為了滿足您的特殊需要，市場上還存在著大量產(chǎn)品可供挑選，最主要的事情就是去使用它們。

3、補丁策略必不可少

從一個新的漏洞被發(fā)現(xiàn)開始，到新的大規(guī)模攻擊工具問世為止，兩者間隔時間已經(jīng)縮短了許多。在廠商發(fā)布安全補丁的時候，我們需要做出快速響應(yīng)，訪問和安裝那些補丁應(yīng)該成為工作內(nèi)容和計劃任務(wù)的一部分，不要事后才采取行動。

4、強化服務(wù)器

“強化”涉及兩個簡單的實踐法則：購買商業(yè)軟件時，刪除您不需要的所有東西；如果不能刪除，就把它禁用?？梢酝ㄟ^強化來刪除的典型對象包括示例文件、使用向?qū)а菔?、先用后付費的捆綁軟件以及在可以預(yù)見的將來不準(zhǔn)備使用的高級特性。安裝越復(fù)雜，越有可能留下安全隱患，所以將您的安裝精簡到不能再精簡的程度。除此之外，設(shè)備和軟件通常配置了默認(rèn)用戶名/密碼訪問、來賓和匿名帳戶以及默認(rèn)共享，刪除不需要的，并修改所有身份驗證憑據(jù)的默認(rèn)值。

5、隨時更新防病毒系統(tǒng)

原來我們鼓勵用戶“每周”檢查一次防病毒更新，如今都提供了自動的簽名更新。只要一直都連在Internet上，它們就能在一個新的安全威脅被發(fā)現(xiàn)后的數(shù)小時內(nèi)下載到您的機器上。良好的安全性要求你在每個桌面都配備防病毒功能，并隨時更新它。雖然在一個網(wǎng)絡(luò)的網(wǎng)關(guān)那里建立防病毒機制能解決一部分問題，但在整個防病毒戰(zhàn)線中，您只能把網(wǎng)關(guān)防病毒視為一道附加的防線，而不能把它視為桌面防病毒的一個替代品。

總之，高校計算機實驗室網(wǎng)絡(luò)安全的問題已成為計算機實驗室管理者必須重視的工作，必須隨時做好網(wǎng)絡(luò)安全準(zhǔn)備工作，尤其要對重要的文件或機密信息采取安全防護措施。同時，要引入國際先進的計算機病毒防治的方法及標(biāo)準(zhǔn)，使用防火墻及殺毒軟件等，防止網(wǎng)絡(luò)黑客及網(wǎng)絡(luò)計算機病毒的入侵，保證計算機實驗室正常教學(xué)秩序，另外，還要進行安全意識及安全措施方面的培訓(xùn)，并在法律規(guī)范等諸多方面加強管理。

參考文獻：

[1]李艇.《網(wǎng)絡(luò)安全與認(rèn)證》出版社：重慶大學(xué)出版社

[2]楊守君.《黑客技術(shù)與網(wǎng)絡(luò)安全》中國對外翻譯出版公司

[3]楊富國等 《網(wǎng)絡(luò)設(shè)備安全與防火墻》出版社：北方交通大學(xué)出版社

[4]楊紹蘭.《信息安全防范的現(xiàn)狀分析》 四川圖書館學(xué)報