周秀芳

摘 要：分析當(dāng)前高校資源篩選與信息反饋的需要，防火墻技術(shù)可借助對(duì)控制點(diǎn)、區(qū)域模塊以及傳輸主體的自主調(diào)控，防火墻的應(yīng)用特性、安全性以及校園網(wǎng)選擇標(biāo)準(zhǔn)，應(yīng)成為整個(gè)實(shí)踐過程的重要參考點(diǎn)。基于此，應(yīng)重新審視當(dāng)前校園網(wǎng)的信息泄露、數(shù)據(jù)丟失等現(xiàn)實(shí)問題，并著力從信息過濾、服務(wù)代理管控等維度出發(fā)，強(qiáng)化校內(nèi)外信息鏈的對(duì)接與修正。

關(guān)鍵詞：高校校園網(wǎng)絡(luò) 防火墻技術(shù) 網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2018）06（a）-0005-02

防火墻技術(shù)作為一種切實(shí)有效的網(wǎng)絡(luò)安全技術(shù)，是為了阻止來(lái)自網(wǎng)絡(luò)的危險(xiǎn)信息經(jīng)由網(wǎng)絡(luò)通道進(jìn)行擴(kuò)散傳播，在限制數(shù)據(jù)從特定“控制點(diǎn)”向另一“控制點(diǎn)”之間的進(jìn)入、傳導(dǎo)以及間斷隔離，來(lái)有效保證數(shù)據(jù)信息的抗風(fēng)險(xiǎn)性以及可持續(xù)性。高校校園網(wǎng)絡(luò)需要保持?jǐn)?shù)據(jù)系統(tǒng)的“干凈性”與“穩(wěn)定性”，在應(yīng)用虛擬網(wǎng)絡(luò)技術(shù)常規(guī)功能特征的基礎(chǔ)上，努力實(shí)現(xiàn)教學(xué)工作、資源拓展和組網(wǎng)系統(tǒng)之間的多維對(duì)接。

1 高校建構(gòu)防火墻系統(tǒng)的必要性

防火墻大多被安置于受保護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的Internet聯(lián)結(jié)點(diǎn)中，以此來(lái)將內(nèi)外數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)分開，所有的傳輸數(shù)據(jù)均需要穿過多層篩選、整合、內(nèi)容轉(zhuǎn)化和有害信息截留系統(tǒng)，以此來(lái)確保每一個(gè)Internet點(diǎn)數(shù)據(jù)的安全性與可控性。當(dāng)前教學(xué)發(fā)展背景下，大部分高校校園網(wǎng)具有較為可觀的區(qū)域覆蓋范圍，教師和學(xué)生群體參與在線培訓(xùn)學(xué)習(xí)、任務(wù)建構(gòu)以及學(xué)科問題解決的幾率增加，在一定程度上推動(dòng)了網(wǎng)絡(luò)資源和教學(xué)成效的綜合把控。教學(xué)過程的網(wǎng)絡(luò)化也重新改變了參與主體對(duì)資源調(diào)配的理性認(rèn)知，網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用有效提升了“教學(xué)任務(wù)容量”，關(guān)于“教育網(wǎng)絡(luò)帶寬”和遠(yuǎn)程教學(xué)訪問系統(tǒng)的定位也進(jìn)行了修正與調(diào)控，滿足日常教學(xué)模式的圖書館系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生管理系統(tǒng)、用戶認(rèn)證系統(tǒng)以及知識(shí)授權(quán)體系能夠從學(xué)術(shù)創(chuàng)造、知識(shí)共享以及成效安全監(jiān)控等層面發(fā)揮現(xiàn)實(shí)推進(jìn)功能。然而，實(shí)際調(diào)查數(shù)據(jù)顯示，當(dāng)前部分子網(wǎng)絡(luò)管理系統(tǒng)容易受到來(lái)自各種類型的攻擊，外校群體可通過校內(nèi)網(wǎng)站鏈接來(lái)進(jìn)行以Internet為渠道的信息修正。

2 高校防火墻系統(tǒng)的建構(gòu)分析

防火墻技術(shù)作為一種特殊的數(shù)據(jù)訪問與調(diào)控系統(tǒng)，能夠通過建構(gòu)內(nèi)外部數(shù)據(jù)保護(hù)層，來(lái)保證外部網(wǎng)絡(luò)有效、科學(xué)地傳輸?shù)絻?nèi)部數(shù)據(jù)鏈中，讓所有參與主體更為快捷持續(xù)地訪問內(nèi)部網(wǎng)絡(luò)的同時(shí)，更好地防止外部數(shù)據(jù)的“非法入侵”。為提升高校校園網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性與資源延展性，相關(guān)管理群體應(yīng)合理對(duì)現(xiàn)有的防火墻技術(shù)進(jìn)行篩選與多項(xiàng)聯(lián)結(jié)，盡量避免使用單一類型防火墻技術(shù)，而應(yīng)轉(zhuǎn)向用多種技術(shù)問題來(lái)快速解決校園網(wǎng)絡(luò)系統(tǒng)中的安全性問題，如統(tǒng)籌選取“包過濾技術(shù)”與“內(nèi)容核查技術(shù)”，來(lái)有效增強(qiáng)防火墻軟硬件系統(tǒng)的高效性。大體來(lái)看，高校校園網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用主要體現(xiàn)在以下幾方面。

首先，以“包過濾技術(shù)”驗(yàn)證教學(xué)資源。包過濾技術(shù)是一種含有特定篩濾模塊的、設(shè)置在特定內(nèi)部網(wǎng)絡(luò)Internet聯(lián)結(jié)點(diǎn)的技術(shù)類型，大多安裝在網(wǎng)關(guān)或無(wú)線路由器上，通過統(tǒng)籌控制系統(tǒng)層面的“傳輸控制協(xié)議”和“網(wǎng)際協(xié)議”等，來(lái)快速處理操作系統(tǒng)中協(xié)議包數(shù)據(jù)中的非合理性數(shù)據(jù)或相關(guān)模塊，并對(duì)“進(jìn)出站”的教學(xué)數(shù)據(jù)資源進(jìn)行篩查，以驗(yàn)證內(nèi)部數(shù)據(jù)包是否滿足過濾原則與教學(xué)實(shí)踐需求。在一般情況下，“包過濾技術(shù)”前端的入侵檢測(cè)系統(tǒng)能夠?qū)θ肭中畔⑦M(jìn)行篩選和預(yù)處理，借助中間信號(hào)轉(zhuǎn)化系統(tǒng)的檢測(cè)與調(diào)控功能，對(duì)模塊中建構(gòu)的規(guī)范語(yǔ)法進(jìn)行遺漏檢查與二維核對(duì)，用特定的語(yǔ)法模塊系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)中的所有教學(xué)數(shù)據(jù)進(jìn)行校內(nèi)外匹配，再次審視其中的“異常數(shù)據(jù)”，并對(duì)這些非合理性數(shù)據(jù)進(jìn)行后期修復(fù)與刪除。同時(shí)，入侵檢測(cè)系統(tǒng)可根據(jù)不同教學(xué)階段的“資源內(nèi)需性”和信息延展性等相關(guān)特征，以相同層次校內(nèi)外教學(xué)模式為現(xiàn)實(shí)依托，借助“規(guī)則模塊”中字符信息的持續(xù)性與多向傳輸性，來(lái)將所有輸入教學(xué)信息進(jìn)行特征數(shù)據(jù)庫(kù)內(nèi)容比對(duì)，當(dāng)兩類信息的字符不同時(shí)，可進(jìn)行攻擊性信息二次檢測(cè)和字符內(nèi)容匹配，以期有效縮短資源整合與傳輸報(bào)告建構(gòu)的持續(xù)性過程。

其次，以“代理技術(shù)”推進(jìn)內(nèi)部網(wǎng)關(guān)的信息轉(zhuǎn)接功能。代理技術(shù)主要通過對(duì)特定應(yīng)用聯(lián)結(jié)點(diǎn)進(jìn)行狀態(tài)控制與服務(wù)申請(qǐng)，來(lái)科學(xué)調(diào)控可接受代理請(qǐng)求的服務(wù)器數(shù)量和實(shí)踐規(guī)模，因服務(wù)代理請(qǐng)求的多向調(diào)控性與處理延時(shí)性，其可根據(jù)實(shí)際教學(xué)需求與編排程序來(lái)直接或間接地拒絕來(lái)源未知的中間“節(jié)點(diǎn)”的信息轉(zhuǎn)換請(qǐng)求，以“雙宿網(wǎng)關(guān)”和“多向主機(jī)”來(lái)對(duì)整體或部分的數(shù)據(jù)信息傳輸狀態(tài)進(jìn)行確認(rèn)與修正。此外，“代理技術(shù)”可作為檢查運(yùn)行狀態(tài)與網(wǎng)關(guān)資源更新的安全策略軟件，即在不影響網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的狀態(tài)下，通過對(duì)不同教學(xué)網(wǎng)絡(luò)通訊層進(jìn)行信息抽取與實(shí)踐狀態(tài)監(jiān)測(cè)，來(lái)為多種服務(wù)協(xié)議與應(yīng)用模塊提供科學(xué)支撐，此種內(nèi)容檢查技術(shù)能夠通過對(duì)“高層服務(wù)數(shù)據(jù)”進(jìn)行數(shù)據(jù)流監(jiān)管與智能組合，來(lái)避免教學(xué)內(nèi)外部信息系統(tǒng)受到軟件威脅。從網(wǎng)絡(luò)構(gòu)型層面上看，為滿足不同階段受教群體的資源訴求與實(shí)踐技術(shù)水準(zhǔn)，高校領(lǐng)域可通過“拓?fù)湫汀本W(wǎng)絡(luò)結(jié)構(gòu)來(lái)統(tǒng)一調(diào)控內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的辦公室模塊、學(xué)生管理模塊、教務(wù)管理模塊以及社會(huì)服務(wù)模塊，每個(gè)模塊均設(shè)置差異化的聯(lián)結(jié)網(wǎng)段，通過建構(gòu)核心信息交換機(jī)，來(lái)努力實(shí)現(xiàn)內(nèi)外部子系統(tǒng)之間的交互訪問和數(shù)據(jù)防火墻的科學(xué)設(shè)計(jì)。根據(jù)教學(xué)時(shí)段安排，受教群體大多在課堂內(nèi)上網(wǎng)，在一定程度上影響了教學(xué)秩序的規(guī)范開展和成效反饋，但因上課過程中的部分群體有相應(yīng)的校園內(nèi)部教學(xué)資源聯(lián)結(jié)訴求，需要相關(guān)教學(xué)管理人員對(duì)Internet系統(tǒng)進(jìn)行調(diào)控與資源整合。為有效解決此矛盾，校內(nèi)網(wǎng)絡(luò)系統(tǒng)管理員可通過對(duì)防火墻上的“時(shí)間表”進(jìn)行合理配置，如控制課堂時(shí)間內(nèi)的上網(wǎng)時(shí)段，允許受教群體在特定時(shí)間段內(nèi)連接到外部網(wǎng)絡(luò)并查詢、篩選有益資源信息，此種技術(shù)在避免學(xué)生“無(wú)效上網(wǎng)”的同時(shí)，有效防止了外網(wǎng)的負(fù)面數(shù)據(jù)入侵和攻擊。

最后，使用狀態(tài)檢測(cè)防火墻。狀態(tài)監(jiān)視防火墻安全性較高，它將包過濾防火墻和代理服務(wù)器防火墻的優(yōu)點(diǎn)相結(jié)合。狀態(tài)監(jiān)視防火墻比包過濾防火墻更加安全，比代理服務(wù)器防火墻能提供更好的性能。在狀態(tài)檢測(cè)防火墻中，建立一個(gè)狀態(tài)表，所有的網(wǎng)絡(luò)連接的會(huì)話信息都在狀態(tài)表中記錄著。通過對(duì)狀態(tài)表應(yīng)用安全策略來(lái)控制通過防火墻的流量。當(dāng)一個(gè)連接開始時(shí)，將該連接的會(huì)話信息記錄在狀態(tài)表中，如果安全策略允許該連接，則轉(zhuǎn)發(fā)連接的數(shù)據(jù)流量，返回的數(shù)據(jù)流量要與狀態(tài)表中已存在的會(huì)話信息進(jìn)行比較，如果不匹配，則丟棄掉這個(gè)連接。狀態(tài)檢測(cè)防火墻一般有幾個(gè)接口，一個(gè)用來(lái)連接校園網(wǎng)絡(luò)，稱為內(nèi)部接口；一個(gè)用來(lái)連接公用網(wǎng)絡(luò)，稱為外部接口；一個(gè)用來(lái)連接一些向公用網(wǎng)絡(luò)提供服務(wù)的服務(wù)器，稱為 DMZ 接口。內(nèi)部接口的安全級(jí)別最高，外部接口的安全級(jí)別最低，DMZ 接口的安全級(jí)別處在內(nèi)部接口和外部接口之間。

3 結(jié)語(yǔ)

防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心設(shè)備，在網(wǎng)絡(luò)安全中具有舉足輕重的地位。為了保障校園網(wǎng)絡(luò)的安全，還需要結(jié)合其他網(wǎng)絡(luò)安全技術(shù)，同時(shí)還要加強(qiáng)用戶安全教育、提高管理人員技術(shù)素養(yǎng)等方面的工作.這是長(zhǎng)期不斷完善的過程。

參考文獻(xiàn)

[1] 季云.以防火墻為基礎(chǔ)的高校信息系統(tǒng)安全設(shè)計(jì)[J].信息通信，2016（8）：186-187.

[2] 張文輝，祁富燕.基于防火墻技術(shù)對(duì)高校網(wǎng)絡(luò)建設(shè)的研究[J].信息安全與技術(shù)，2011（8）：33-35.