孟治強

摘要：隨著“互聯(lián)網(wǎng)+”教育的推進，高校網(wǎng)絡安全日漸得到重視。然而作為多數(shù)高校網(wǎng)絡安全的第一道防線“防火墻”卻并沒有得到充分的利用，多數(shù)院校從初始化配置之后就再未管理過。該文介紹了高校網(wǎng)絡防火墻最常見的配置應用，對如何更加高效的使用網(wǎng)絡防火墻進行論述。

關(guān)鍵詞：網(wǎng)絡防火墻；配置；管理

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）25-0026-02

1 網(wǎng)絡防火墻的部署問題綜述

為保證內(nèi)網(wǎng)所有數(shù)據(jù)流量均通過防火墻過濾，從而保護內(nèi)網(wǎng)用戶的安全，一般情況下防火墻均部署在網(wǎng)絡出口位置，上接路由器或鏈路負載均衡設備，下接三層核心交換機。防火墻的接口一般分為三類：內(nèi)網(wǎng)口、外網(wǎng)口和DMZ口，校園網(wǎng)中網(wǎng)絡防火墻的部署如下圖所示：

內(nèi)網(wǎng)口用于連接內(nèi)網(wǎng)交換機，通常是核心交換，負責轉(zhuǎn)發(fā)內(nèi)網(wǎng)數(shù)據(jù)；外網(wǎng)口用于連接外網(wǎng)，或是路由設備的接口；DMZ口用于連接內(nèi)網(wǎng)服務器，這個區(qū)域的設備或服務對外網(wǎng)公開，但通過配置可以隱藏內(nèi)部地址。

防火墻的管理方式有兩種：命令行和WebGUI。通常情況下命令行管理模式的權(quán)限是最高的，防火墻廠商不對用戶公開；防火墻用戶采取分級管理，一般包含超級管理員、系統(tǒng)管理員和日志管理員。

2 網(wǎng)絡防火墻常用的配置

2.1策略配置

防火墻策略是網(wǎng)絡安全管理中最常用的方式。策略配置通常分為三個步驟：

（1） 定義對象

對象即需要控制的源地址和目的地址，通常代表用戶或訪問者，也可以代表某個城市或是主機，表示需要控制的范圍。

（2） 定義服務

服務通常是需要控制的時間段、或是某些特殊的端口，用于精確控制對象的某個方面，如在某個時間段不允許訪問某個固定地址等。

（3） 定義規(guī)則

規(guī)則即對象與策略的集合，將對象和服務結(jié)合在一起，定義允許和禁止某對象的特定服務，多個規(guī)則結(jié)合在一起構(gòu)成策略。

規(guī)則的執(zhí)行按照自上而下的順序，如兩條規(guī)則的所涉及的范圍有重復，則跳過下一條規(guī)則中所規(guī)定的，因此在日常防火墻的管理中，新定義的規(guī)則一般放在最上面，保證被優(yōu)先執(zhí)行，而制定新規(guī)則之后若原有服務出現(xiàn)異常，則應該檢查是否是新規(guī)則在制定時是否對原有策略產(chǎn)生了影響。例如定義內(nèi)網(wǎng)中的網(wǎng)段10.0.1.1/24不能訪問某網(wǎng)站http：//www.hacker.cn需要兩條規(guī)則（不考慮其他規(guī)則的條件下），定義規(guī)則如下：

策略生效后，如10.0.0.0網(wǎng)段用戶訪問的是http：//www.hacker.cn，則匹配第一條規(guī)則，禁止訪問；而訪問其他的地址的網(wǎng)站或其他服務，則匹配第二條規(guī)則，允許通過。兩條規(guī)則相結(jié)合生成了這一策略。

2.2網(wǎng)絡地址轉(zhuǎn)換配置

網(wǎng)絡地址轉(zhuǎn)換配置在防火墻中主要有兩個作用：首先是隱藏內(nèi)部地址，主要作用于內(nèi)網(wǎng)服務器對外公開，通過網(wǎng)絡地址轉(zhuǎn)換將內(nèi)網(wǎng)地址隱藏起來，起到一定的保護作用；其次網(wǎng)絡地址轉(zhuǎn)換用于解決共有IP地址不足的問題，將內(nèi)網(wǎng)私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)中通用的IPV4地址，也就是源地址轉(zhuǎn)換和目的地址。

源地址轉(zhuǎn)換一般用于內(nèi)網(wǎng)用戶訪問外網(wǎng)時，防火墻統(tǒng)一將私有IP地址轉(zhuǎn)換成指定的公網(wǎng)IP，例如學校的外網(wǎng)IP是218.95.46.65，則內(nèi)網(wǎng)所有用戶的訪問Internet時都統(tǒng)一轉(zhuǎn)換成該IP地址。目的地址轉(zhuǎn)換則是當外網(wǎng)用戶訪問DMZ區(qū)中的某個服務器時，防火墻根據(jù)訪問的服務請求，將數(shù)據(jù)包送至對應提供服務的主機。

2.3 其他功能配置

高校購買的防火墻通常都會有很多高級功能，如反垃圾郵件、內(nèi)容過濾、入侵防御等，多數(shù)高校都只是應用了防火墻最基本的功能，而對這部分功能缺乏開發(fā)和應用的經(jīng)驗。實際上如果高校能夠很好地配置使用這些功能，對整個校園網(wǎng)的安全提升會起到非常重要的作用。如利用反垃圾郵件系統(tǒng)過濾垃圾郵件、使用內(nèi)容過濾屏蔽非法網(wǎng)站的關(guān)鍵字，進行入侵防御等都能大大提高校園網(wǎng)絡安全。

3 網(wǎng)絡防火墻后期的管理與維護問題

3.1 管理策略

3.1.1 不斷完善安全策略

很多高校網(wǎng)絡防火墻的安全策略都是產(chǎn)品購買時廠家工程師依據(jù)客戶要求設置了，經(jīng)過多年的使用，原有的策略已經(jīng)不能滿足安全的需要，對于最新發(fā)現(xiàn)的木馬、蠕蟲病毒也沒有進一步的策略防護，因此需要管理員根據(jù)實際情況不斷調(diào)整安全策略，及時封堵最新具有安全威脅的地址和端口。

3.1.2 建立日志系統(tǒng)

日志系統(tǒng)是安全防護的最后一道關(guān)卡，它在安全管理中占據(jù)十分重要的地位。但是很多高校并沒有十分重視日志系統(tǒng)的建立，導致入侵發(fā)生后無據(jù)可查。實際上由于防火墻是整個網(wǎng)絡的唯一出口，利用防火墻建立一個日志系統(tǒng)將會在管理工作中起到事半功倍的作用。具體的做法是指定一臺專用的服務器，通過第三方軟件在防火墻上采集相應的數(shù)據(jù)，通過局域網(wǎng)傳送到日志服務器上。

3.2 維護策略

3.2.1 賬號維護

賬號維護是防火墻維護中的一項重要任務，主要包括權(quán)限維護和密碼維護兩個方面的內(nèi)容。權(quán)限維護是指管理員賬戶應該分級管理，出現(xiàn)不同分工時應該及時調(diào)整賬號權(quán)限；而密碼維護則是要求各管理員至少每三個月就應更換一次密碼，密碼應包含字母、數(shù)字和字符串并且保證8位以上。

3.2.2 備份管理

防火墻的備份管理也是維護工作中的重要一環(huán)，當發(fā)生系統(tǒng)故障時可以及時通過備份迅速恢復配置，保證網(wǎng)絡的順暢運行。備份的頻率是至少保證每月1次，配置發(fā)生變動時應及時備份，并且應該將備份文件放置在異地服務器上，避免防火墻硬件發(fā)生損壞時能及時從服務器中找回原有配置。

4 網(wǎng)絡防火墻常見的故障及解決方案

4.1OS故障

網(wǎng)絡防火墻的OS一般都比較穩(wěn)定，出現(xiàn)故障的概率較小，但是系統(tǒng)升級時比較容易出現(xiàn)OS故障。筆者工作時使用的防火墻在系統(tǒng)升級時就曾經(jīng)發(fā)生過系統(tǒng)故障，升級完成后不能正常工作，恢復原有系統(tǒng)后通訊正常，原因一般都是OS來源不當或是在傳輸過程中部分文件丟失，因此在升級時應該通過廠家進行并在升級前做好備份工作。

4.2配置故障

配置故障發(fā)生的主要原因是因為很多高校管理員將防火墻同路由器等同配置，雖然防火墻在某些功能上可以替代路由器，但其在轉(zhuǎn)發(fā)效率上是遠低于路由器的，并且很多配置也不盡相同，管理員只有充分掌握防火墻的原理和配置方法后才能在實際工作中盡量少失誤。因此我們配置防火墻時如發(fā)生配置故障應迅速恢復原有配置保證網(wǎng)絡通暢，再查找配置上的錯誤。

5 小結(jié)

本文從網(wǎng)絡防火墻的部署、常用配置、管理與維護和常見故障與解決方案四個方面討論了高校網(wǎng)絡防火墻的配置與管理工作，網(wǎng)絡管理員應充分掌握本校網(wǎng)絡防火墻的管理方法，不斷調(diào)整安全策略，盡量避免故障的發(fā)生，才能最大限度地保障校園網(wǎng)絡安全的運行。

參考文獻：

[1] 姚爽.計算機安全與防火墻技術(shù)[J].電子技術(shù)與軟件工程，2016，（9）223.

[2] 蔣遠輝，閆保權(quán).高校網(wǎng)絡防火墻部署應用[J].信息通信，2016，（4）184-185.

[3] 代曉黎.防火墻技術(shù)在維護校園網(wǎng)絡應用分析[J].網(wǎng)絡安全技術(shù)與應用，2016，（6）31-32.