孫文乾

【摘 要】隨著高校校園網(wǎng)絡(luò)的規(guī)模普及和應(yīng)用，校園信息化水平迅速提高，應(yīng)用平臺為師生學(xué)習(xí)、學(xué)校管理提供了極大的便利，但是校園網(wǎng)絡(luò)安全也已經(jīng)成為影響校園信息化發(fā)展的重要問題。本文根據(jù)筆者多年的校園網(wǎng)絡(luò)安全管理實(shí)踐經(jīng)驗(yàn)，基于Linux設(shè)計(jì)了一種多用途防火墻，可以針對不同的應(yīng)用采用不同的出口，有效降低了防火墻的設(shè)計(jì)費(fèi)用，提高了防火墻的效用。

【關(guān)鍵詞】Linux；防火墻；多出口；校園網(wǎng)

一、引言

隨著Internet技術(shù)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在遠(yuǎn)程教育、教務(wù)管理、學(xué)籍管理、學(xué)校行政工作管理等校園網(wǎng)領(lǐng)域得到了廣泛的應(yīng)用和發(fā)展，取得了良好的效果[1]。網(wǎng)絡(luò)的高速發(fā)展為學(xué)校行政管理人員、學(xué)生和教師帶來了極大的便利，但是也存在巨大的安全威脅，網(wǎng)絡(luò)安全已經(jīng)引起了許多專家和學(xué)者的研究[2]。傳統(tǒng)的網(wǎng)絡(luò)安全防御策略采用的手段包括許多種，比如訪問控制、身份認(rèn)證、數(shù)據(jù)加密等，以防御系統(tǒng)入侵，阻止病毒、木馬等入侵，但是隨著校園網(wǎng)應(yīng)用平臺的增多，網(wǎng)絡(luò)入侵技術(shù)也迅速發(fā)展，因此必須針對不同的應(yīng)用設(shè)置不同的防御規(guī)則，防火墻在這一方面具有先天的優(yōu)勢[3]。

目前，校園網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)或者教育網(wǎng)時，在網(wǎng)絡(luò)出口邊界部署多出口防火墻，能夠有效提升防火墻的利用價值，但是多出口防火墻造價非常昂貴，并且許多核心技術(shù)掌握在部分大公司里，比如思科、邁普等，導(dǎo)致各個學(xué)校的網(wǎng)絡(luò)建設(shè)需要承擔(dān)較大的資金壓力，阻礙了學(xué)校信息化水平的發(fā)展[4]。為了解決上述問題，本文基于筆者多年的校園網(wǎng)絡(luò)安全防御管理實(shí)踐經(jīng)驗(yàn)，基于Linux內(nèi)置防火墻和路由器等，設(shè)計(jì)了一種校園網(wǎng)多用途防火墻，能夠?qū)崿F(xiàn)不同的應(yīng)用連接，價格低，配置靈活，具有較好的普及意義。

二、多用途防火墻功能分析

Linux操作系統(tǒng)作為一個開放式的網(wǎng)絡(luò)操作系統(tǒng)，其具有較好的穩(wěn)定性、健壯性，并且價格低廉[5]。Linux操作系統(tǒng)自身擁有強(qiáng)大的防火墻，并且隨著互聯(lián)網(wǎng)技術(shù)發(fā)展，Linux防火墻也得到了廣泛的研究，因此利用Linux防火墻開發(fā)、設(shè)計(jì)多用途防火墻，適應(yīng)現(xiàn)代校園網(wǎng)絡(luò)的需求，已經(jīng)成為校園網(wǎng)絡(luò)防護(hù)的理想選擇。

目前，Linux防火墻使用iptables實(shí)現(xiàn)防火墻的包過濾功能，可以使用netfilter內(nèi)核構(gòu)建的過濾表進(jìn)行配置實(shí)現(xiàn)多出口，其中默認(rèn)表Filter配置了三個規(guī)則鏈，可以管理外界流入校園網(wǎng)接口數(shù)據(jù)的INPUT鏈、負(fù)責(zé)對網(wǎng)絡(luò)接口輸出的數(shù)據(jù)進(jìn)行過濾的OUTPUT鏈和負(fù)責(zé)在網(wǎng)絡(luò)接口之間轉(zhuǎn)發(fā)數(shù)據(jù)過濾的FORWARD鏈。這些鏈都可以進(jìn)行自由靈活的配置，比如連接互聯(lián)網(wǎng)網(wǎng)卡S1和S2上流入的數(shù)據(jù)的分析判斷工作，可以在INPUT鏈上完成，發(fā)現(xiàn)數(shù)據(jù)的目標(biāo)地址是否屬于服務(wù)器區(qū)域網(wǎng)段、內(nèi)部網(wǎng)絡(luò)網(wǎng)段等。

另外，多用途防火墻可以配置有效的包過濾規(guī)則，實(shí)現(xiàn)內(nèi)網(wǎng)可以訪問外網(wǎng)（中國電信或教育網(wǎng)）和服務(wù)器區(qū)網(wǎng)；外網(wǎng)只能訪問服務(wù)器區(qū)網(wǎng)而不能訪問內(nèi)網(wǎng)；而服務(wù)器區(qū)網(wǎng)不能訪問外網(wǎng)也不能訪問內(nèi)網(wǎng)等功能，同時通過上述防火墻技術(shù)，可以隱藏真實(shí)的IP，防止IP欺騙現(xiàn)象的發(fā)生，能夠限制其他網(wǎng)絡(luò)的用戶對網(wǎng)絡(luò)內(nèi)主機(jī)的訪問。

三、多用途防火墻架構(gòu)設(shè)計(jì)

防火墻可以阻擋網(wǎng)絡(luò)的非法訪問，主要利用發(fā)給內(nèi)部網(wǎng)的匹配安全規(guī)則、指定IP地址段以及數(shù)據(jù)包過濾等。校園網(wǎng)絡(luò)多出口防火墻上，可以僅僅開放80、110等必要端口，外網(wǎng)只能對EMAIL服務(wù)以及WWW服務(wù)進(jìn)行訪問。內(nèi)部用戶對因特網(wǎng)的訪問以及對Intemet的服務(wù)都有一定的限制。

另外，多出口防火墻主要包括網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻以及數(shù)據(jù)庫防火墻等。網(wǎng)絡(luò)層防火墻主要運(yùn)營在底層TCP/IP協(xié)議堆棧上，它只允許符合規(guī)則的封包通過。應(yīng)用層防火墻能夠阻擋外部的數(shù)據(jù)流進(jìn)入到受保護(hù)的網(wǎng)絡(luò)中。通過數(shù)據(jù)庫防火墻，能夠?qū)崿F(xiàn)對數(shù)據(jù)庫的訪問控制。

本文設(shè)計(jì)的多用途防火墻實(shí)現(xiàn)架構(gòu)如圖1所示。

本文在進(jìn)行設(shè)計(jì)多多用途防火墻的過程中，基于Linux內(nèi)置防火墻設(shè)置了多條規(guī)則，主要包括以下5類：

（1）校園網(wǎng)絡(luò)的內(nèi)部用戶在對教育網(wǎng)內(nèi)容進(jìn)行訪問時，優(yōu)先從1000M通道（教育網(wǎng)）通過；

（2）校園網(wǎng)絡(luò)的內(nèi)部用戶在對國際網(wǎng)絡(luò)和國內(nèi)的其它網(wǎng)絡(luò)進(jìn)行訪問時，全部優(yōu)先從1000M通道（電信）通過；

（3）外部教育網(wǎng)用戶在對校園網(wǎng)絡(luò)進(jìn)行訪問時，優(yōu)先從1000M通道（教育網(wǎng)）通過；

（4）國際網(wǎng)絡(luò)用戶以及國內(nèi)其它網(wǎng)絡(luò)用戶在對教育服務(wù)器進(jìn)行訪問時，優(yōu)先從1000M通道（電信）通過；

（5）做到了電信和教育網(wǎng)兩個通道的熱機(jī)備份，保證了鏈路的不間斷，使網(wǎng)絡(luò)可以正常運(yùn)行。

四、結(jié)束語

隨著校園網(wǎng)信息化應(yīng)用平臺的增加，智能手機(jī)、PC、筆記本等固定、移動終端訪問校園網(wǎng)的頻次大大地增加，已經(jīng)呈現(xiàn)出規(guī)?；仙?。因此，基于Linux技術(shù)實(shí)現(xiàn)多出口、多用途防火墻可以有效地設(shè)置靈活的包過濾規(guī)則，加強(qiáng)校園網(wǎng)應(yīng)用平臺的使用，保證校園網(wǎng)絡(luò)的安全性，確保校園網(wǎng)利用率達(dá)到100%。

參考文獻(xiàn)：

[1]安子強(qiáng).基于蜜罐技術(shù)的校園網(wǎng)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].新鄉(xiāng)學(xué)院學(xué)報(bào)（自然科學(xué)版）.2011，27（1）：11-14.

[2]張盛，不詳.Linux系統(tǒng)中最實(shí)用的十大開源防火墻[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014， 24（2）：44-44.

[3]吳勇杰.Linux內(nèi)核防火墻Netfilter架構(gòu)實(shí)現(xiàn)與應(yīng)用研究[J].電腦編程技巧與維護(hù)， 2013，31（14）：21-24.

基金項(xiàng)目：廣西教育廳科研項(xiàng)目，桂教科研[2010]10號，項(xiàng)目編號：201010LX477