基于高校數據安全的防火墻關鍵技術應用研究

關鍵詞：數據；安全；規(guī)則

1 國內外高校網絡發(fā)展研究趨勢

1.1 國外高校網絡發(fā)展研究趨勢

在美國加州大學洛杉磯分校及各大學布置網絡連接點，通過連接與多個大學與不同的研究機構進行互相數據傳輸。在這種網絡快速發(fā)展的情形下，使得原本傳統(tǒng)的買賣以數字化的模式經過網絡技術解決以及傳遞，給人帶來許多的方便，但也隱藏著許多隱患，因為風險點敏感性的數據以及個體私密的數據在網絡上受到黑客的竊取、或許偽冒個人身份從而進行違法犯罪行為、電腦中病毒，易造成操作系統(tǒng)崩潰，無法正常使用。以及網絡服務器敏感數據丟失，導致造成大量的經濟損失，這些問題的發(fā)生，明顯是向網絡安全發(fā)起了挑戰(zhàn)。

1.2 國內高校網絡發(fā)展研究趨勢

隨著經濟快速發(fā)展，國內高校網絡安全建設管理勢在必行。據不完全統(tǒng)計，全國已有上千所高校與相關的國家教育科研網進行互連。由此，高校校園網的管理和教學管理所共享的教師資源及各種基礎信息建設、共享、管理，是我國高校信息發(fā)展及網絡安全頭等大事，一般高校會將管理、教學、科研、研究融為一體，過程離不開校園網絡健康發(fā)展建設?？傮w來說，校園網絡安全管理的各項工作與校園師生應用的網絡是否安全建設相輔相成。在學校實現網絡安全治理及應對教學管理任務，起到了很大的作用，為我國教學管理的科研和開展各種工作提供有力保障。而我國高校網絡安全管理，相比其他國家來說，比較靠后，主要是中國網絡發(fā)展起步比較慢，當時的相關研發(fā)人員也沒有得到足夠重視，因此安全問題也被忽視，依據高校運作的體系，需要對校園內部網絡及外部網絡環(huán)境等安全進一步研究。

2 高校網絡數據中心安全建設

目前，校園網絡安全性存在多方面原因。例如，校園內部通過互聯網下載帶有病毒的應用軟件、游戲軟件、聊天工具等，在使用過程中，垃圾廣告軟件會時而跳出，一不留意，就會造成病毒入侵。在這種情況下，需要師生共同努力，有預見性建設好校園網絡，針對存在的問題，進行細化預判，并對存在的安全隱患進行總結、歸類、分析。除了以上措施外，還需要把校園網建設中所需要的各種硬性條件全面梳理，降低風險度、有利于校園網建設技術方案的提高。以綜合的安全防護技術為基礎，解決建設過程中發(fā)生的各類突發(fā)性問題。有利于提高校園網的安全性和穩(wěn)定指數。

2.1 高校網絡數據中心防火墻安全技術

高校所有的信息數據都集中于網絡中心云平臺，包括門戶網站、網絡課程平臺、OA系統(tǒng)、各部門分網站等融為一體，網絡資源類別較多，這些網絡資源的數據信息非常重要，這些信息資源一旦被破壞，將會造成大量數據丟失，無法衡量它的價值所在。因此，針對網絡架構所采用的網絡硬件設備進行評估，首先要保障校園網信息的完整性，既要保證內部安全，又要防止外部的入侵攻擊，同時也要提高校園網內部的使用者審核機制，防止本校重要資源外泄，本研究通過防火墻技術在網絡數據中心起到關鍵作用。

2.2 防火墻安全功能體系

防火墻是與內部和外部網絡的一個整體，同時對高校內部網絡的數據安全提供強有力的保障，以防止SQL注入方式入侵、變異病毒傳播等，保護校園內部網絡數據安全性，通過防火墻規(guī)則優(yōu)化、設置，運用防火墻日志進行記載、剖析。劉忠祥[1]利用防火墻技術則是特征掃描與分析病毒代碼，隨后將其特征值提取出來。在數據瓶頸的基礎上，對原有的數據源及應用數據動態(tài)更新發(fā)生的變化進行對比，查找病毒傳染位置，確定病毒種類，對病毒進行分析，隨后進行對數據產生的破壞進行修復及病毒處理。

首先，以往研究是通過既有的防火墻規(guī)則進行優(yōu)化，由于管理者不斷地進行防火墻規(guī)則調整，長時間會造成規(guī)則之間的異?；蛉哂?，容易造成防火墻政策無法正常執(zhí)行與管理。因此，針對現有防火墻規(guī)則，專家學者們通過相關算法的設計與開發(fā)來自動化識別出異?；蛉哂嘁?guī)則。視防火墻規(guī)則為政策樹并定義其模型，將防火墻政策逐條通過政策樹的比對定義出錯誤偵測的異常狀態(tài)。

其次，相關的網絡技術人員利用防火墻日志記錄，對防火墻存在的問題去評測和分析，運用數據流存在的瓶頸，查找出對防火墻日志記錄產生大量的數據冗余與各種錯誤規(guī)則，網絡技術人員對網絡防火墻規(guī)則進行維護，有利于提高防火墻的工作效率。

最終，防火墻使用透明模式。在防火墻設置IP管理地址，并把配置好的IP端口與相關交換機互連，根據業(yè)務系統(tǒng)其他要求進行安全配置。

3 高校網絡數據中心防火墻分布

3.1 數據包過濾防火墻

數據包過濾防火墻在網絡層檢查數據包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內容，所以可能被黑客所攻破。防火墻工作模式的第一件事情就是讀取封包數字表內容，并對數據包進行篩選后再返回路由。

3.2 應用層網關

防火墻也稱為代理服務器，當內部設備和外部設備主機網絡進行連通時，防火墻代理服務器會和兩端主機設備進行工作。

3.3 線路網關

線路網關功能在運行過程對TCP連接起到隔離作用，內外部運行時都要經過線路網關轉接，也就是轉接點，工作過程不會對封包數據應用層檢視。

3.4 封裝包凈化原則

防火墻通過人工進行設置鏈，通常有輸入鏈、輸出鏈等，這些鏈起到允許和禁止的原則。防火墻對符合封包數據、規(guī)則設置有三點：一是通過；二是禁止通行，直接將封包丟棄；三是將封包退回。

其中，假如封包退回，也有可能造成嚴重后果。退回包傳出指令，網絡數據流量會大量增加，如部分不法分子通過黑客技術、WEB入侵、ODAY攻擊、釣魚攻擊等發(fā)動大量的封包攻擊，則可能遭受防火墻里的阻斷服務攻擊，網絡中心數據、系統(tǒng)等將造成威脅。而且回應的不正確封包可攜帶其計算機設施的信息反饋給非法分子來判斷目標主機安裝的應用系統(tǒng)，導致系統(tǒng)軟件信息出錯，黑客根據獲取路徑進行攻擊，運用Reject來對封包數據規(guī)則進行對比。

4 高校網絡數據中心網絡拓撲結構的設計

根據網絡中心需求分析得出結果，網絡的整體規(guī)劃以負載均衡為前提，主要針對網絡系統(tǒng)的核心路由器、核心交換機進行負載均衡設計。使用高性能網絡設備保證網絡高速運行。保證網絡可靠的同時，也充分考慮網絡日后擴展，為日后留有足夠空間，保證網絡擴展的便利性。根據網絡中心規(guī)劃，網絡拓撲結構圖設計，考慮到網絡形成環(huán)路問題，并結合本中心采用星型拓撲結構，同時，采用較高冗余設計以便于滿足負載均衡。

4.1 網絡拓撲結構的設計

當設備啟動時，設備會進行一系列初始化，在啟動上花費一定的啟動時間，初始化配置并啟動封包過濾規(guī)則控制程序、防火墻SNMP信息交換程序及防火墻監(jiān)控程序，最后將相關數據傳送至系統(tǒng)，顯示初始設置信息與初始運作狀態(tài)。當系統(tǒng)啟動后，規(guī)則控制程序會依據初始的設置進行封包過濾，達到防火墻的功能，防火墻之間會彼此進行異常監(jiān)控，當發(fā)生異常時就可以接替異常機器的網絡設置。當管理者對過濾規(guī)則做變更，封包過濾程序就會以新的規(guī)則加以過濾。

4.2 高校網絡數據中心的防火墻規(guī)則

防火墻規(guī)則設計都是以開放其所要開放的服務，阻擋未開放或不在開放清單內的服務為主要目標，稱為正向安全模型（Positive Security Model） 或正面列表（White-listing） 。從防火墻系統(tǒng)角色來說，也就是允許合法的網絡傳輸通過，拒絕所有不受允許的網絡傳輸封包。本項目依據防火墻運行所體現的特點，針對規(guī)則對比、過濾，再做出拒絕。而原先通過的記錄，則表明這些規(guī)則在防火墻規(guī)則表中已經存在，無須重復操作，通過對規(guī)則進行設置、增加或刪除、過濾，提高防火墻防護能力。防火墻策略調整，對某個時間節(jié)點，所產生的相關規(guī)則比對表進行綜合分析，如果符合對比表將會進行相關的操作。

5 利用防火墻技術進行安全配置數據過濾

陳躍龍[2]對現有的網絡提出解決思路， 將網絡安全配置作為頭等大事，因此，對防火墻技術進行合理設置、操作，防火墻硬件設備作為一道防線，對內外網絡能起到保護作用， 主要是防火墻的內部相互獨立，與外界隔斷，變成獨立的區(qū)域， 這個區(qū)域的主要作用是對內部數據進行保護，對來訪者進行驗證、隔離，防火墻對內外數據信息會進行監(jiān)視和分析，一旦遭受黑客惡意攻擊，防火墻會主動做出響應， 阻斷外來入侵者對內網的IP地址層進行過濾、解析， 同時對IP地址層起到隱匿作用，入侵者如果無法正常獲取客戶端用戶的IP段， 對于入侵者無法控制客戶端的設備，內部網絡數據信息安全就未受到破壞，內部網絡數據信息安全將得到保護。更為特殊的情況下，入侵者通過SQL注入技術手段，完成對內網獲取用戶信息，如賬號和密碼，進入登錄用戶進行操控，但防火墻對入侵者有效阻止入侵， 所以采用防火墻技術對內部網絡的數據信息防護將不會受到影響。

6 數據中心的防火墻關鍵核心技術的應用

防火墻是保護局域網絡受外部網絡攻擊與設備兼容軟件受到的損壞，它能將內部網絡隱形，阻止外部入侵，避免未經授權的信息外流。防火墻分為硬件與軟件兩種，防火墻的防護措施針對網絡界來說是最好的選擇，同時使用防火墻廠商設計的帶有特殊技術防護的操作系統(tǒng)，相較于日常常見的操作系統(tǒng)在安全漏洞上會比較少。軟件防火墻是可以提供較高的彈性和擴充性，可以將購買的軟件防火墻安裝在現有的網關服務器上，網關服務器則不需要變更網絡架構。例如，與防火墻搭配的VPN、內容過濾、加解密工具、防毒工具等。一套完整的防火墻至少需要有使用者認證、過濾封包、LOG分析工具、在線監(jiān)控等相關功能。因此，防火墻的搭建是保護網絡安全的根本要求。

黃景堅[3]提出了防火墻入侵防御功能，能夠有效地為網絡內部數據信息提供安全防護；同時在防火墻內部啟動APT檢測模塊，能夠實時對目標進行定位跟蹤，對內部網絡數據安全進行保護；對防火墻功能模塊24小時啟動掃描功能，對網絡數據層產生的流量進行對比分析，對數據信息受到威脅進行提高防范意識，以防內部網絡數據信息受到竊取或損壞，維護校園內部網絡數據信息安全。

本次實驗所實施的網絡防火墻為深信服，布置在交換機與路由設備之間。深信服防火墻的使用訪問策略如下：

1） 在網絡交換機、防火墻等設備上配置細粒度的訪問控制策略，在流量管理模塊，建立虛擬線路規(guī)則、流量管理系統(tǒng)配置，對進入流量實行細粒度的白名單配置管理，防止攻擊者在行業(yè)業(yè)務專網上隨意漫游[5]。

2） 黃景堅[3]提出采用數據脫敏、數據加密等措施，強化數據庫安全防護。對重要信息系統(tǒng)數據庫應采用禁止遠程登錄，并設置超級管理員賬號及復雜的密碼。采用WEB應用防火墻、WEB應用漏洞掃描，強化網站安全防護，可檢查應用層掛木馬、敏感詞、可用性等[4]。

3） 根據業(yè)務的應用需求只允許特定端口通過，深信服防火墻默認業(yè)務數據端口是全部關閉的。王冉[4]提出，由于防火墻的存在，對數據過濾及實現數據轉換，捕捉到更為安全的數據信息。

7 結束語

依據高校網絡布局為出發(fā)點，以防攻擊者通過外部網絡入侵，并有效、有針對性地研究網絡數據中心帶來的各種問題，采取高效、高速的千變萬化的病毒及黑客采用的各種手段，提高網絡安全認知、提高警惕性，有效地降低網絡數據中心安全性帶來的各種風險，有效提高網絡數據安全、防護資源平臺及人性化的防護機制。高校網絡數據中心健康發(fā)展，有利于國家經濟的健康發(fā)展，網絡的構建與網絡法制是環(huán)環(huán)相連，不能有怠慢，要引起重視。假如網絡受攻擊，網絡攻擊者通過查找數據中心中的漏洞，比如，用戶賬號、用戶密碼等最脆弱的環(huán)節(jié)，就可以攻擊網絡的保護機制，因此，作為網絡中心的技術人員，應以嚴謹工作態(tài)度、應對網絡中心各種信息安全的防護，不要因為工作上的疏忽，造成網絡安全漏洞或成為黑客攻擊的跳板。在面對千變萬化的病毒及黑客等威脅，只有主動積極做好網絡安全防護，才能保護好網絡中心數據安全。張大鵬[5]提出，加強網絡安全防護措施及網絡中心數據的安全性，防火墻充當著安全守衛(wèi)的角色，能對內部網絡的數據信息有效檢測和識別，能夠有效地對入侵者及病毒傳播攔截。