李小慶

摘要：防火墻技術(shù)作為一種抵抗黑客非法入侵、防止未經(jīng)授權(quán)而非法訪問某些信息節(jié)點(diǎn)的有效手段被廣泛使用。文章主要論述校園網(wǎng)絡(luò)面對的常見安全威脅和基于校園網(wǎng)絡(luò)的常用防火墻技術(shù)方案優(yōu)劣及其演進(jìn)路線。

關(guān)鍵詞：防火墻；校園網(wǎng)；網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展及社會(huì)信息化水平的不斷提高，各大高校也越發(fā)強(qiáng)調(diào)、重視校園網(wǎng)絡(luò)在日常教學(xué)、日常管理和信息共享方面發(fā)揮的作用。伴隨著高校各方面的高速發(fā)展，高校內(nèi)外部網(wǎng)絡(luò)環(huán)境也變得日趨復(fù)雜，校園網(wǎng)絡(luò)安全遭受的網(wǎng)絡(luò)攻擊給日趨依賴校園網(wǎng)絡(luò)的高校日常工作帶來了巨大的負(fù)面影響，因此如何采取措施盡可能地保證校園網(wǎng)絡(luò)高效、穩(wěn)定地正常運(yùn)行已經(jīng)成為各大高校教師及管理者關(guān)心的問題，而防火墻技術(shù)的應(yīng)用在校園網(wǎng)絡(luò)安全方面起到了重要作用。

1校園網(wǎng)絡(luò)的安全威脅

與企業(yè)相比，目前高校相關(guān)人員對校園的安全觀念及知識較為淡薄，因此更容易遭受網(wǎng)絡(luò)安全威脅，同時(shí)給校園網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行帶來了更大的影響，在校園網(wǎng)絡(luò)安全威脅中，黑客攻擊、計(jì)算機(jī)病毒、應(yīng)用程序的安全隱患等成為主要且常見的威脅類型。

1.1黑客攻擊

黑客攻擊覆蓋了目前主流的各大操作系統(tǒng)如UNIX，LINUX或WINDOWS系列等，同時(shí)隨著網(wǎng)絡(luò)的高速發(fā)展，黑客攻擊的數(shù)量近年來也呈指數(shù)增長，現(xiàn)代黑客攻擊主要表現(xiàn)形式為網(wǎng)絡(luò)攻擊，從攻擊類型上分為主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊主要是指通過篡改系統(tǒng)信息或者變更系統(tǒng)操作和狀態(tài)，從而達(dá)到破壞系統(tǒng)信息的有效性、完整性和真實(shí)性的目的。被動(dòng)攻擊是在不影響系統(tǒng)正常運(yùn)行的前提下，通過對系統(tǒng)信息的截獲、流量分析等手段分析出系統(tǒng)中所包含的高價(jià)值機(jī)密信息，被動(dòng)攻擊并不改變系統(tǒng)信息狀態(tài)，系統(tǒng)操作和狀態(tài)也不會(huì)發(fā)生變更，對系統(tǒng)高價(jià)值信息造成了較大威脅。同時(shí)，按黑客所處位置可把黑客攻擊分為校園外部攻擊和校園內(nèi)部攻擊。校園外部攻擊主要通過防火墻技術(shù)進(jìn)行防范，校園內(nèi)部攻擊由于目標(biāo)性強(qiáng)且來自校園內(nèi)部人員，已經(jīng)成為主要的攻擊形式。

1.2計(jì)算機(jī)病毒

計(jì)算機(jī)病毒本質(zhì)是一段可執(zhí)行且?guī)茐男缘挠?jì)算機(jī)程序代碼，計(jì)算機(jī)病毒經(jīng)常造成校園網(wǎng)絡(luò)中系統(tǒng)數(shù)據(jù)無端被刪除、系統(tǒng)服務(wù)運(yùn)行失敗、信息泄漏等現(xiàn)象。計(jì)算機(jī)病毒由于具有傳播快、隱蔽性強(qiáng)等特點(diǎn)，給網(wǎng)絡(luò)信息安全及系統(tǒng)穩(wěn)定帶來了巨大的挑戰(zhàn)，校園網(wǎng)絡(luò)一旦接入因特網(wǎng)之后，通過攜帶病毒的文件下載、電子郵件、網(wǎng)絡(luò)資源共享或網(wǎng)頁瀏覽等途徑可感染計(jì)算機(jī)病毒，校園網(wǎng)絡(luò)系統(tǒng)具備預(yù)防、檢查和清除病毒的能力是保障網(wǎng)絡(luò)正常、可靠運(yùn)行的有力保障。

1.3服務(wù)程序的安全隱患

校園網(wǎng)絡(luò)通常會(huì)向廣大師生提供基本的網(wǎng)絡(luò)服務(wù)，但是由于校園網(wǎng)絡(luò)管理者在經(jīng)費(fèi)及相關(guān)維護(hù)知識上的欠缺，導(dǎo)致了一個(gè)服務(wù)器上承載了過多的網(wǎng)絡(luò)服務(wù)程序，如DNS服務(wù)器、FTP服務(wù)器、HTTP服務(wù)器和遠(yuǎn)程登錄服務(wù)器等，這無疑增加了服務(wù)程序安全隱患，黑客也經(jīng)常利用服務(wù)程序自身的一些漏洞來達(dá)到攻擊校園網(wǎng)絡(luò)的目的，如FTP服務(wù)程序過于簡單的用戶口令認(rèn)證及信息也是以明文進(jìn)行傳輸，遠(yuǎn)程登錄程序部分信息也明文進(jìn)行傳輸，黑客利用這些缺陷獲取一定的服務(wù)權(quán)限后將會(huì)給系統(tǒng)帶來巨大的風(fēng)險(xiǎn)。HTTP服務(wù)程序也經(jīng)常因?yàn)樽陨砺┒摧^多遭受了頻繁的攻擊，同時(shí)黑客也經(jīng)常針對服務(wù)程序發(fā)送大量訪問請求信息，造成服務(wù)軟件負(fù)載不高而崩潰，從而達(dá)到癱瘓服務(wù)程序的目的，也稱為拒絕服務(wù)。由于DNS服務(wù)器在傳輸層使用UDP協(xié)議，目前經(jīng)常遭受的攻擊有2大類：一類是緩存區(qū)中毒，另外一類為域劫持。

2防火墻技術(shù)概述

防火墻一般處于校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界處，通過設(shè)定一系列的訪問準(zhǔn)則來限定不同類型的網(wǎng)絡(luò)通信。防火墻作為一種網(wǎng)絡(luò)訪問控制設(shè)備普遍應(yīng)用于校園網(wǎng)絡(luò)，防火墻的主要功能包括管理進(jìn)出網(wǎng)絡(luò)的訪問行為，記錄通過防火墻的信息內(nèi)容和活動(dòng)，監(jiān)測和反饋網(wǎng)絡(luò)攻擊行為，防止內(nèi)部信息的泄漏等。

2.1防火墻的功能

2.1.1管理進(jìn)出網(wǎng)絡(luò)的訪問行為

由于防火墻介于校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)臨界處，可以對訪問校園網(wǎng)絡(luò)的信息和服務(wù)進(jìn)行管理和控制，利用防火墻作為阻塞點(diǎn)，可以有效過濾掉存在風(fēng)險(xiǎn)的信息和服務(wù)，只允許防火墻規(guī)則準(zhǔn)許下的服務(wù)和信息進(jìn)行訪問，可以有效降低校園網(wǎng)絡(luò)安全威脅。

2.1.2記錄通過防火墻的信息內(nèi)容和活動(dòng)

防火墻對訪問校園網(wǎng)絡(luò)的信息和服務(wù)進(jìn)行控制和管理的同時(shí)，也會(huì)記錄下其相關(guān)活動(dòng)并生成日志文件，防火墻可以根據(jù)記錄信息統(tǒng)計(jì)出網(wǎng)絡(luò)使用情況或者監(jiān)測出網(wǎng)絡(luò)異常情況，并進(jìn)行風(fēng)險(xiǎn)預(yù)處理。

2.1.3監(jiān)測和反饋網(wǎng)絡(luò)攻擊行為

根據(jù)防火墻內(nèi)置的訪問限定規(guī)則，一旦發(fā)現(xiàn)有異常的訪問請求時(shí)，防火墻將會(huì)發(fā)出警報(bào)，生成相應(yīng)的異常報(bào)告并通過電子郵件的形式反饋給網(wǎng)絡(luò)維護(hù)者，提醒維護(hù)人員可能存在攻擊或者異常訪問行為需要注意。

2.1.4防止內(nèi)部信息的泄漏

防火墻可通過對網(wǎng)絡(luò)進(jìn)行網(wǎng)段劃分，起到對重點(diǎn)或敏感網(wǎng)段進(jìn)行保護(hù)的功能，網(wǎng)絡(luò)劃分后，局部網(wǎng)絡(luò)出現(xiàn)攻擊或者異常行為后并不會(huì)影響其他網(wǎng)段中的系統(tǒng)正常運(yùn)行。

2.2傳統(tǒng)防火墻技術(shù)及其缺陷

2.2.1靜態(tài)包過濾防火墻技術(shù)

互聯(lián)網(wǎng)上傳輸?shù)幕緮?shù)據(jù)單元為IP數(shù)據(jù)包，靜態(tài)包過濾防火墻技術(shù)通過檢測IP數(shù)據(jù)包的包頭信息是否與防火墻內(nèi)置規(guī)則匹配，如果匹配的話，則按路由表進(jìn)行下一步轉(zhuǎn)發(fā)，如果被規(guī)則拒絕則丟棄，一般數(shù)據(jù)包頭信息包括源/目的IP地址、端口號和協(xié)議類型等，該防火墻主要工作在網(wǎng)絡(luò)層，也存在較多缺陷：（1）由于主要工作在網(wǎng)絡(luò)層，無法有效應(yīng)對網(wǎng)絡(luò)應(yīng)用層或數(shù)據(jù)鏈路層威脅。（2）配置防火墻的內(nèi)置規(guī)則較為繁瑣，對網(wǎng)絡(luò)維護(hù)員要求較高。（3）雖能允許和拒絕特定服務(wù)內(nèi)容，但無法理解其上下文環(huán)境和數(shù)據(jù)。（4）不能對用戶級別進(jìn)行過濾，無法鑒定不同的用戶和防止IP被盜用。

2.2.2狀態(tài)監(jiān)測防火墻技術(shù)

狀態(tài)監(jiān)測防火墻是對傳統(tǒng)防火墻的擴(kuò)展，基于網(wǎng)絡(luò)的連接狀態(tài)及信息進(jìn)行網(wǎng)絡(luò)監(jiān)測，把屬于同一連接的數(shù)據(jù)包看作一個(gè)整體數(shù)據(jù)流，構(gòu)成連接狀態(tài)表，再與定義好的規(guī)則表配合，對表中的各個(gè)連接狀態(tài)加以識別，不僅能監(jiān)測網(wǎng)絡(luò)外部攻擊，同時(shí)也能檢測較強(qiáng)的內(nèi)部惡意攻擊，主要缺陷是由于配置過于復(fù)雜，對網(wǎng)絡(luò)速率造成較大影響。

2.2.3應(yīng)用級防火墻

應(yīng)用級防火墻對校園內(nèi)外部網(wǎng)絡(luò)應(yīng)用連接請求先進(jìn)行監(jiān)測，然后幫助其連接相關(guān)服務(wù)器，使成功連接上服務(wù)器。同時(shí)具備日志功能，可以記錄安全漏洞的信息并進(jìn)行檢查，應(yīng)用級防火墻具備對訪問信息進(jìn)行強(qiáng)認(rèn)證技術(shù)，保證數(shù)據(jù)內(nèi)容的安全，防止惡意病毒的攻擊，安全性能較高，但也有相關(guān)缺陷存在：（1）由于防火強(qiáng)要經(jīng)過應(yīng)用層進(jìn)行連接，導(dǎo)致應(yīng)用層負(fù)載增加，使網(wǎng)絡(luò)的處理速度下降。（2）由于防火墻需要管理訪問的連接請求，所以每當(dāng)出現(xiàn)新的服務(wù)內(nèi)容，需要重新設(shè)置防火墻配置，維護(hù)較為繁瑣。

2.3基于分布式防火墻技術(shù)及其應(yīng)用

2.3.1分布式防火墻技術(shù)概述

分布式防火墻是一種新型防火墻技術(shù)，構(gòu)成分布式防火墻的物理上多個(gè)實(shí)體形成一個(gè)邏輯防火墻，主要包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理服務(wù)器3個(gè)部分，分布式防火墻通過管理中心制定接入控制策略，然后把接入控制策略語言編譯成內(nèi)部格式策略文件，通過系統(tǒng)管理工具分發(fā)各個(gè)物理防火墻實(shí)體，各個(gè)物理防火墻實(shí)體根據(jù)這些防火策略對各個(gè)系統(tǒng)進(jìn)行保護(hù)。

2.3.2基于校園網(wǎng)絡(luò)的分布式防火墻結(jié)構(gòu)及特點(diǎn)

基于校園網(wǎng)的分布式防火墻由幾部分構(gòu)成：（1）校園網(wǎng)部門網(wǎng)絡(luò)防火墻主要負(fù)責(zé)校園內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的防護(hù)，同時(shí)也兼具內(nèi)部網(wǎng)絡(luò)之間的防護(hù)，防止來自內(nèi)部網(wǎng)絡(luò)的惡意攻擊。（2）校園網(wǎng)部門主機(jī)防火墻主要是指安裝在服務(wù)器或者主機(jī)系統(tǒng)內(nèi)部的防火墻，用于其系統(tǒng)的監(jiān)測防護(hù)。（3）校園分布式防火墻的網(wǎng)絡(luò)管理中心是校園分布式防火墻的核心，雖然分布式防火墻的各個(gè)實(shí)體可能在不同的位置發(fā)揮防護(hù)作用，但是其防護(hù)策略還是統(tǒng)一由網(wǎng)絡(luò)管理中心制定和管理。

相對于傳統(tǒng)防火墻，基于分布式防火墻的校園網(wǎng)絡(luò)的特點(diǎn)是：

（1）保障了校園網(wǎng)絡(luò)的統(tǒng)一管理，通過網(wǎng)絡(luò)中心制定統(tǒng)一的安全制度和策略，并對相關(guān)管理人員進(jìn)行統(tǒng)一培訓(xùn)。

（2）由于傳統(tǒng)防火墻技術(shù)單一的接入控制點(diǎn)，造成了網(wǎng)絡(luò)安全和可靠性較低，而分布防火墻不存在此類問題，并且消除了結(jié)構(gòu)性瓶頸問題，提高了網(wǎng)絡(luò)速率。

（3）分布式防火墻的擴(kuò)展性能較好，由于是通過多個(gè)物理分離的實(shí)體構(gòu)成一個(gè)邏輯防火墻，這樣對于學(xué)校網(wǎng)絡(luò)合并變更來說有較好的適應(yīng)性。

3結(jié)語

本文首先分析校園網(wǎng)絡(luò)面對的常用安全風(fēng)險(xiǎn)，然后綜述應(yīng)對這些風(fēng)險(xiǎn)的防火墻技術(shù)的原理及其技術(shù)演進(jìn)。防火墻技術(shù)在應(yīng)對校園網(wǎng)絡(luò)安全方面將發(fā)揮越來越重要的作用，并且隨著網(wǎng)絡(luò)的逐步發(fā)展，防火墻技術(shù)也在不斷變革以適應(yīng)其變化及帶來的挑戰(zhàn)。