防火墻技術(shù)在校園網(wǎng)絡(luò)安全的應(yīng)用

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了防火墻技術(shù)在校園網(wǎng)絡(luò)安全的應(yīng)用范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：選擇更好的專用硬件防火墻將成為各大高校防御網(wǎng)絡(luò)黑客攻擊的重要手段。本文主要從防火墻技術(shù)的概述、功能、分類以及校園網(wǎng)絡(luò)安全的防火墻必須要具備的特征進(jìn)行了探討，供網(wǎng)絡(luò)安全管理相關(guān)人員參考。

關(guān)鍵詞：防火墻；校園網(wǎng)絡(luò)安全；內(nèi)部網(wǎng)絡(luò)

0引言

隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)得到了快速的發(fā)展，已成為我們生活中不可或缺的一部分，然而這些年Internet也給我們帶來(lái)了大量的負(fù)面的影響——計(jì)算機(jī)受到各種病毒感染和黑客的惡意攻擊，嚴(yán)重的威脅了我們計(jì)算機(jī)的安全，造成巨大的損失。在校園網(wǎng)絡(luò)中，為了盡量避免廣大師生的教學(xué)資料被丟失、信息被惡意篡改等惡性事件的發(fā)生，在校園網(wǎng)絡(luò)中應(yīng)建立起一套網(wǎng)絡(luò)安全體系，選擇更好的專用防火墻將成為各大高校防御網(wǎng)絡(luò)黑客攻擊的重要手段。目前市場(chǎng)上的硬件防火墻可謂種類繁多，功能各異，而如何選擇合適的防火墻對(duì)校園網(wǎng)絡(luò)安全來(lái)說(shuō)至關(guān)重要。

1防火墻技術(shù)的概述

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間由軟件和硬件設(shè)備共同組成的[1]，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)之間架設(shè)起的一道屏障。防火墻可以監(jiān)測(cè)、限制、控制網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)，最大可能的將內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)、信息以及運(yùn)行狀況對(duì)外部網(wǎng)絡(luò)進(jìn)行屏蔽、隱藏，防止發(fā)生不可預(yù)測(cè)、破壞性的入侵，從而保護(hù)了自己網(wǎng)絡(luò)的安全。從邏輯上來(lái)闡述,防火墻是一個(gè)分離器、限制器、分析器[2]，它最大化地監(jiān)控了兩個(gè)不同網(wǎng)絡(luò)之間的數(shù)據(jù)通信，確保了自己所處一方網(wǎng)絡(luò)的安全。其最基本的功能是隔離不同的網(wǎng)絡(luò)，采用規(guī)則集來(lái)增強(qiáng)網(wǎng)絡(luò)安全，有以下幾個(gè)基本特性：（1）自主操作主機(jī)的所有數(shù)據(jù)輸入、輸出的通信連接，通過(guò)自己建立的規(guī)則集過(guò)濾相關(guān)的數(shù)據(jù)然后選擇是否放行。（2）“認(rèn)證”管理員和應(yīng)用程序，以保證他們能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。（3）有安全審計(jì)功能并相應(yīng)的能記錄下來(lái)以文件形式保存,在命中可疑數(shù)據(jù)時(shí)能及時(shí)發(fā)出告警。

2防火墻的功能

從本質(zhì)而言，防火墻是分隔兩個(gè)不同的網(wǎng)絡(luò)，防火墻只允許它所認(rèn)可的規(guī)則而進(jìn)行不同網(wǎng)絡(luò)之間的通信。防火墻還有另外一個(gè)特點(diǎn)，就是防火墻本身就應(yīng)該具有較為強(qiáng)大的抵抗外部攻擊的能力。防火墻應(yīng)不易被入侵者攻破，因?yàn)橐坏┍蝗肭终咔秩肽敲慈肭终呔湍茉趦?nèi)部網(wǎng)絡(luò)之間操作，竊取有價(jià)值的信息或者破壞內(nèi)部網(wǎng)絡(luò)，從而造成不可預(yù)計(jì)的損失。所以考慮到這些方面的要求，理想的防火墻應(yīng)支持這些方面的功能：（1）能夠檢測(cè)何時(shí)有通信數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)；（2）能夠檢測(cè)何時(shí)有通信數(shù)據(jù)流入外部網(wǎng)絡(luò)；（3）能夠?qū)ξ丛试S的規(guī)則的數(shù)據(jù)進(jìn)行攔截，禁止其進(jìn)入內(nèi)部網(wǎng)絡(luò)；（4）能夠?qū)W(wǎng)絡(luò)間的數(shù)據(jù)進(jìn)出采取相應(yīng)規(guī)則的控制措施；（5）能夠?qū)W(wǎng)絡(luò)通信內(nèi)容審計(jì)跟蹤；（6）能夠?qū)Ω唢L(fēng)險(xiǎn)行為、入侵行為進(jìn)行檢測(cè)以及預(yù)警；（7）能夠?qū)χ匾臄?shù)據(jù)進(jìn)行相應(yīng)的加密解密；（8）能夠保護(hù)網(wǎng)絡(luò)安全用戶信息不發(fā)生外泄情況。院?？梢愿鶕?jù)自身不同的需求及實(shí)際情況，可以選取適合自身特點(diǎn)的相應(yīng)的防火墻產(chǎn)品，從而盡可能避免在自己計(jì)算機(jī)上發(fā)生被入侵事件，保護(hù)了計(jì)算機(jī)的安全。另外防火墻并不是絕對(duì)安全的，還有許多的危險(xiǎn)是防火墻能力范圍之外的，防火墻僅僅是一種工具，盡最大可能將危險(xiǎn)阻隔。

3防火墻的分類

防火墻的類型可以有多種劃分，按技術(shù)分類可以有三種類型：包過(guò)濾防火墻、應(yīng)用防火墻和狀態(tài)檢測(cè)防火墻。

3.1包過(guò)濾防火墻

包過(guò)濾防火墻作用在OSI體系結(jié)構(gòu)七層協(xié)議的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包包頭包含的源IP地址、目的IP地址和源主機(jī)端口號(hào)、目的主機(jī)端口號(hào)、網(wǎng)絡(luò)通信協(xié)議類型等標(biāo)志信息進(jìn)行比對(duì)確定是否允許數(shù)據(jù)包通過(guò)。唯有符合這些條件數(shù)據(jù)包才能轉(zhuǎn)發(fā)給對(duì)方，剩下的不符合條件的數(shù)據(jù)包就直接從數(shù)據(jù)中丟掉。鑒于這一原因，包過(guò)濾防火墻能很快處理數(shù)據(jù)包。所以這一類的普遍特點(diǎn)是使用程度大、價(jià)格優(yōu)惠，是一種十分有效的安全手段。但是，瑕不掩瑜包過(guò)濾防火墻也有它自身的缺陷：不能對(duì)應(yīng)用層協(xié)議做出分析，對(duì)應(yīng)用層缺少保護(hù)，沒(méi)法防范利用應(yīng)用層漏洞實(shí)施的網(wǎng)絡(luò)攻擊。

3.2應(yīng)用防火墻

應(yīng)用防火墻工作在OSI體系結(jié)構(gòu)的最高層，即應(yīng)用層。其特點(diǎn)是徹底“阻隔”了網(wǎng)絡(luò)通信流，可以對(duì)相應(yīng)的應(yīng)用服務(wù)編寫(xiě)特定的代碼，實(shí)現(xiàn)對(duì)通信數(shù)據(jù)的監(jiān)控以及對(duì)應(yīng)用層的數(shù)據(jù)流進(jìn)行相關(guān)的掌握控制。應(yīng)用防火墻最大的優(yōu)點(diǎn)就是安全。這是因?yàn)樗ぷ髟谧罡邔?，所以它自然就能?duì)網(wǎng)絡(luò)中任意一層的通信數(shù)據(jù)進(jìn)行選擇也能進(jìn)行相關(guān)的保護(hù)，絕非像包過(guò)濾防火墻那類只對(duì)OSI體系結(jié)構(gòu)中網(wǎng)絡(luò)層的數(shù)據(jù)單一的過(guò)濾處理。然而此類防火墻也存在自身的缺點(diǎn)：一是各種應(yīng)用不一樣，應(yīng)用防火墻配置起來(lái)就顯得困難；二是對(duì)數(shù)據(jù)的處理性能差。

3.3狀態(tài)檢測(cè)防火墻

基于狀態(tài)檢測(cè)的防火墻采用了狀態(tài)檢測(cè)包過(guò)濾的技術(shù)，保持了簡(jiǎn)單的包過(guò)濾防火墻的優(yōu)點(diǎn)，并且在網(wǎng)絡(luò)通信中對(duì)數(shù)據(jù)包的狀態(tài)變化進(jìn)行檢測(cè)，規(guī)范了網(wǎng)絡(luò)層和傳輸層的行為，提供了更安全的解決方案。包過(guò)濾防火墻和應(yīng)用防火墻是通過(guò)對(duì)數(shù)據(jù)包的源地址、目的地址，源端口號(hào)、目的端口號(hào)[3]進(jìn)行檢測(cè)來(lái)實(shí)現(xiàn)相應(yīng)的功能，而忽略了在傳輸過(guò)程中數(shù)據(jù)的連接狀態(tài)的變化也就是“三次握手”。而狀態(tài)檢測(cè)防火墻正是克服了這些不足，對(duì)數(shù)據(jù)包中的信息與防火墻規(guī)則做比較，如果沒(méi)有相應(yīng)規(guī)則允許，防火墻就會(huì)拒絕這次連接，當(dāng)然發(fā)現(xiàn)有一條規(guī)則允許，它就允許數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會(huì)話，并記錄會(huì)話的狀態(tài)變化。從而可見(jiàn)，狀態(tài)檢測(cè)防火墻更有效的對(duì)數(shù)據(jù)進(jìn)行了控制。

4校園網(wǎng)絡(luò)防火墻的特征

（1）具備大量的用戶連接數(shù)量。目前各大高校的人數(shù)急劇增加，在這些高校中，雖然不是每人一臺(tái)計(jì)算機(jī)，但計(jì)算機(jī)數(shù)量也相當(dāng)可觀，再加上學(xué)校的各類機(jī)房，高校的網(wǎng)絡(luò)非常龐大。所以，硬件防火墻需要帶動(dòng)數(shù)量眾多的計(jì)算機(jī)上網(wǎng)?，F(xiàn)在市場(chǎng)上已經(jīng)有很多無(wú)人數(shù)限制的硬件防火墻，從根本上解決了這一問(wèn)題。（2）帶寬要足夠的大。由于硬件防火墻位于路由器的下一層，現(xiàn)在的校園網(wǎng)絡(luò)一般都采用了百兆或則千兆以上的網(wǎng)絡(luò)，所以我們需要連接高帶寬的硬件防火墻。（3）具體超強(qiáng)的防攻擊能力。目前網(wǎng)絡(luò)黑客攻擊的主要手段有DOS(DDOS)攻擊，IP地址欺騙，特洛伊木馬，口令字攻擊，郵件詐騙等。這些攻擊方式不光來(lái)自外部網(wǎng)絡(luò)，也來(lái)自內(nèi)部網(wǎng)絡(luò)。適合于校園的硬件防火墻必須要具有防止這些外網(wǎng)和內(nèi)網(wǎng)攻擊的能力。硬件防火墻是由軟件和硬件組成，其中的軟件提供了升級(jí)功能，這樣就能幫助我們修補(bǔ)不斷發(fā)現(xiàn)的漏洞。（4）完備的網(wǎng)絡(luò)監(jiān)控和控制功能。由于校園網(wǎng)絡(luò)內(nèi)部有訪問(wèn)一些非法網(wǎng)站的事情發(fā)生，為了禁止訪問(wèn)非法網(wǎng)站，防火墻不光需要有能夠防止內(nèi)網(wǎng)訪問(wèn)非法的功能，還必須具有監(jiān)控網(wǎng)絡(luò)的功能，因?yàn)楝F(xiàn)在一些不良網(wǎng)站每天都有新的出現(xiàn)，只有通過(guò)監(jiān)控，才能根據(jù)相關(guān)信息屏蔽這些非法網(wǎng)站。

5結(jié)束語(yǔ)

總之，要做到校園網(wǎng)絡(luò)安全，防火墻技術(shù)是校園網(wǎng)絡(luò)安全屏障之一，選擇合適的校園網(wǎng)絡(luò)防火墻至關(guān)重要。但要確保網(wǎng)絡(luò)安全仍必須要從全方位著手，重點(diǎn)還要從管理和安全意識(shí)上下功夫。否則即使技術(shù)上再先進(jìn)，也有可能因?yàn)槿藶榈氖韬龃笠舛斐少Y料丟失、泄密等。

參考文獻(xiàn)：

[1]睢貴芳.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(02):57+66.

[2]王淑靜,楊曉明.windows平臺(tái)的個(gè)人防火墻設(shè)計(jì)研究[J].數(shù)字技術(shù)與應(yīng)用,2018,36(04):180+182.

[3]張瑩瑩.計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)方案[J/OL].電子技術(shù)與軟件工程,2019(10):211.

[4]楊澤威,蔣志興.計(jì)算機(jī)信息安全保密技術(shù)的思考[J].電子技術(shù)與軟件工程,2019(03):205.

作者：張靜 漆世錢(qián) 單位：武警海警學(xué)院