徐健

摘? ?要：高職院校校園網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)復(fù)雜、龐大的系統(tǒng)工程。防火墻作為校園網(wǎng)與外部網(wǎng)的唯一出入口，是校園網(wǎng)絡(luò)安全的關(guān)鍵控制環(huán)節(jié)。文章主要圍繞防火墻技術(shù)在高職院校校園網(wǎng)中的應(yīng)用進(jìn)行分析，以供參考。

關(guān)鍵詞：高職院校;校園網(wǎng);防火墻技術(shù)

當(dāng)前，互聯(lián)網(wǎng)技術(shù)發(fā)展迅速，已然成為智慧校園建設(shè)中不可缺少的一部分，給學(xué)校運(yùn)行帶來便利的同時(shí)，也造成了一些負(fù)面影響，計(jì)算機(jī)在使用過程中經(jīng)常會(huì)遭受黑客或病毒的惡意攻擊，給學(xué)校的正常運(yùn)行造成了非常嚴(yán)重的干擾。對(duì)于高職校園網(wǎng)來說，想要避免校園內(nèi)網(wǎng)各種數(shù)據(jù)服務(wù)器的安全及信息被惡意篡改等情況，必須要建立安全的網(wǎng)絡(luò)體系，采取防火墻技術(shù)，增強(qiáng)校園網(wǎng)的防護(hù)能力，有效保障校園信息安全。

1? ? 防火墻技術(shù)

防火墻是外部網(wǎng)絡(luò)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)之間的安全防護(hù)系統(tǒng)，此種系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行掃描和分析之后，能夠自動(dòng)過濾網(wǎng)絡(luò)攻擊，阻止未經(jīng)授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)系統(tǒng)，顯著提升內(nèi)部網(wǎng)絡(luò)安全防護(hù)等級(jí)。防火墻技術(shù)本質(zhì)上是一種應(yīng)用性安全技術(shù)，主要建立在信息安全技術(shù)及通信網(wǎng)絡(luò)技術(shù)的基礎(chǔ)之上，當(dāng)前被更多地用在公用網(wǎng)絡(luò)系統(tǒng)與專用網(wǎng)絡(luò)系統(tǒng)的互聯(lián)環(huán)境中。

從邏輯上來看，可將防火墻視為一種限制器，也可視為一種分離器或者分析器，應(yīng)用防火墻能夠有效監(jiān)控互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)的任何行為活動(dòng)，保障內(nèi)部網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。從系統(tǒng)組成上來看，防火墻可以依賴軟件實(shí)現(xiàn)系統(tǒng)建立，可以依賴硬件實(shí)現(xiàn)系統(tǒng)建立，也可以同時(shí)借助硬件和軟件建立系統(tǒng)。從防火墻系統(tǒng)的部署來看，可以是主機(jī)防火墻模式、網(wǎng)絡(luò)邊界防火墻模式，也可以是終端設(shè)備防火墻模式。防火墻這道安全技術(shù)屏障，能夠有效預(yù)防破壞性或者難以預(yù)測(cè)的網(wǎng)絡(luò)入侵。

通常情況下，外部網(wǎng)絡(luò)和內(nèi)部系統(tǒng)之間的全部網(wǎng)絡(luò)信息數(shù)據(jù)的傳輸都需要通過防火墻系統(tǒng)，而只有符合網(wǎng)絡(luò)安全控制要求的信息數(shù)據(jù)才能在傳輸過程中通過防火墻系統(tǒng)，防火墻系統(tǒng)在運(yùn)行過程中本身具有較強(qiáng)的攻擊防御能力，其系統(tǒng)中應(yīng)用了高新信息安全技術(shù)，例如現(xiàn)代密碼技術(shù)等。一般來說，防火墻系統(tǒng)的人機(jī)界面相對(duì)來說比較友善，便于用戶后續(xù)實(shí)施配置管理[1]。

2? ? 防火墻技術(shù)類型

2.1? 代理服務(wù)器型防火墻技術(shù)

代理服務(wù)器型防火墻技術(shù)類型具有較強(qiáng)的網(wǎng)絡(luò)安全維護(hù)能力。系統(tǒng)借助服務(wù)器的運(yùn)行，有效輔助網(wǎng)絡(luò)用戶完成各項(xiàng)任務(wù)，此種防火墻系統(tǒng)在應(yīng)用過程中要針對(duì)用戶的不同需求指出針對(duì)性代理，完成一對(duì)一指令模式。內(nèi)部網(wǎng)絡(luò)系統(tǒng)和外部網(wǎng)絡(luò)之間進(jìn)行信息傳遞時(shí)必須要經(jīng)由代理審核管控，內(nèi)部網(wǎng)絡(luò)系統(tǒng)只接受代理的單方指令，防御模式相對(duì)來說比較嚴(yán)格，容易對(duì)內(nèi)部網(wǎng)絡(luò)的功能應(yīng)用造成干擾，防御過程比較復(fù)雜。

2.2? 包過濾型防火墻技術(shù)

包過濾型防火墻技術(shù)主要借助路由器裝置進(jìn)行工作。此種防火墻系統(tǒng)可以根據(jù)不同的數(shù)據(jù)包實(shí)施自動(dòng)分析，判斷數(shù)據(jù)的來源以及數(shù)據(jù)傳輸?shù)哪繕?biāo)地址是否符合安全標(biāo)準(zhǔn)，最終做出允許通行或者禁止通行的判斷[2]。此類防火墻安裝難度較低，無需過多運(yùn)營費(fèi)用，但是該防火墻系統(tǒng)不存在系統(tǒng)登錄審核及用戶認(rèn)證等功能，因此安全防御能力一般。

2.3? 應(yīng)用級(jí)網(wǎng)關(guān)防火墻技術(shù)

應(yīng)用級(jí)網(wǎng)關(guān)類型的防火墻系統(tǒng)能夠針對(duì)網(wǎng)絡(luò)中的資料、信息及數(shù)據(jù)進(jìn)行核查，根據(jù)核查結(jié)果分析危險(xiǎn)系數(shù)，從而防范和抵御潛在網(wǎng)絡(luò)風(fēng)險(xiǎn)，減少系統(tǒng)中的安全隱患，但是此種防火墻技術(shù)與過濾型防火墻技術(shù)存在相似之處，因此在應(yīng)用過程中稍有不慎可能會(huì)出現(xiàn)信息泄露的情況。

3? ? 高職院校校園網(wǎng)絡(luò)安全當(dāng)前面臨的主要威脅

3.1? 共享資源信息泄露

高職院校的校園網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容主要包括校園一卡通、財(cái)務(wù)、科研、教學(xué)及辦公自動(dòng)化（Office Automation，OA）辦公等。為便于師生間實(shí)現(xiàn)資源共享，校園網(wǎng)絡(luò)需要經(jīng)常進(jìn)行網(wǎng)絡(luò)共享資源的部署，在此期間，部分高職院校由于缺少保密意識(shí)和嚴(yán)格的訪問控制措施，很容易出現(xiàn)重要信息泄露的情況。

3.2? 病毒入侵

對(duì)于高職院校校園網(wǎng)絡(luò)系統(tǒng)來說，計(jì)算機(jī)病毒入侵是影響其系統(tǒng)安全的重要因素之一，校內(nèi)師生日常進(jìn)行的網(wǎng)絡(luò)下載、U盤使用、電子郵件的收發(fā)等都有可能成為病毒入侵的渠道。當(dāng)前一些不法人員受到利益的驅(qū)動(dòng)，從事計(jì)算機(jī)黑色產(chǎn)業(yè)，制造病毒襲擊，盜竊校園網(wǎng)系統(tǒng)中的用戶賬號(hào)和密碼，進(jìn)而獲取重要信息，造成系統(tǒng)中大量數(shù)據(jù)丟失、硬件受損、網(wǎng)絡(luò)運(yùn)行受阻，嚴(yán)重情況下甚至造成整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的癱瘓。

3.3? 黑客攻擊

高職院校的校園網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)相互連接，互聯(lián)網(wǎng)為廣大師生服務(wù)的同時(shí)，也面臨著潛在的安全隱患。當(dāng)前黑客攻擊技術(shù)也在不斷變化，越來越復(fù)雜，且破壞性不斷增強(qiáng)，此類網(wǎng)絡(luò)襲擊往往會(huì)造成較大損失，影響范圍廣，后續(xù)的技術(shù)修復(fù)難度較高，一旦遭受此種攻擊，技術(shù)人員需要付出大量精力進(jìn)行防御和系統(tǒng)修復(fù)。

3.4? 內(nèi)部用戶攻擊

內(nèi)部用戶主要是高職院校內(nèi)的學(xué)生團(tuán)體，由于其對(duì)于校園網(wǎng)的內(nèi)部結(jié)構(gòu)和運(yùn)行模式相對(duì)來說比較了解，且對(duì)于網(wǎng)絡(luò)技術(shù)充滿好奇，部分學(xué)生為滿足好奇心，對(duì)校園網(wǎng)絡(luò)進(jìn)行攻擊，不僅會(huì)造成校園資料信息泄露，還會(huì)影響校內(nèi)網(wǎng)絡(luò)運(yùn)行秩序，降低了網(wǎng)絡(luò)的安全性，也加大了網(wǎng)絡(luò)安全維護(hù)的工作量，造成人力、物力資源浪費(fèi)。

3.5? 網(wǎng)絡(luò)安全管理缺陷

高職院校校園網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜，有著相對(duì)龐大的用戶群體，因此系統(tǒng)管理難度較大，系統(tǒng)中信息數(shù)據(jù)量大、系統(tǒng)運(yùn)行速度高，具有較強(qiáng)的階段性特征。部分院校對(duì)于校園網(wǎng)絡(luò)安全的管理工作并未給予充分重視，導(dǎo)致系統(tǒng)安全問題頻頻發(fā)生，嚴(yán)重影響校園網(wǎng)絡(luò)系統(tǒng)的正常使用，也使得院校承受了一定的經(jīng)濟(jì)損失。

4? ? 高職校校園網(wǎng)防火墻技術(shù)的應(yīng)用

4.1? 漏洞掃描技術(shù)的應(yīng)用

漏洞掃描技術(shù)是防火墻系統(tǒng)中的常見安全防御技術(shù)之一，利用此種技術(shù)，能夠?qū)⒏呗氃盒Ｐ@網(wǎng)絡(luò)系統(tǒng)的真實(shí)地址進(jìn)行隱藏，這樣一來，一方面能夠更好地保存系統(tǒng)內(nèi)部的專用IP地址，另一方面還能有效抵御外網(wǎng)的惡意入侵。

4.2? IP地址保護(hù)技術(shù)的應(yīng)用

IP地址保護(hù)技術(shù)的應(yīng)用主要是為了對(duì)系統(tǒng)內(nèi)部用戶訪問非法網(wǎng)絡(luò)的行為實(shí)施限制，借助以太網(wǎng)地址和IP地址實(shí)施檢測(cè)，在內(nèi)部網(wǎng)絡(luò)系統(tǒng)的連續(xù)端口處接受數(shù)據(jù)信息。如果發(fā)現(xiàn)數(shù)據(jù)包應(yīng)用的IP地址存在異常，為盜用IP地址，那么此時(shí)會(huì)對(duì)該數(shù)據(jù)包實(shí)施自動(dòng)攔截，阻止其進(jìn)入到內(nèi)部系統(tǒng)的服務(wù)器當(dāng)中。與此同時(shí)，防火墻系統(tǒng)會(huì)對(duì)該數(shù)據(jù)包進(jìn)行詳細(xì)記錄，如果校園網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)相連，內(nèi)部系統(tǒng)接收的信息存在IP地址盜用或者地址偽造的情況，防火墻系統(tǒng)也會(huì)立即實(shí)施攔截，并進(jìn)行記錄。

為了避免內(nèi)部系統(tǒng)IP地址遭受盜用，可以在校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)中應(yīng)用交換式集線器裝置，在系統(tǒng)的各個(gè)端口中都設(shè)置好相應(yīng)的以太網(wǎng)地址以及相應(yīng)的規(guī)范IP地址[3]。該技術(shù)的應(yīng)用能夠有效保護(hù)內(nèi)部系統(tǒng)的IP地址，效果非常顯著，但是美中不足的是技術(shù)運(yùn)營費(fèi)用偏高，投入成本較大，因此部分高校尚難以普及應(yīng)用。此外，應(yīng)用代理服務(wù)器防火墻技術(shù)，或者對(duì)IP地址實(shí)施捆綁處理，也能起到保護(hù)校園內(nèi)部網(wǎng)絡(luò)IP地址的作用，這種方式投入成本較低，應(yīng)用范圍相對(duì)廣泛。

4.3? 非法訪問攔截技術(shù)的應(yīng)用

一般來說，如果網(wǎng)絡(luò)系統(tǒng)用戶進(jìn)行非法訪問，有很大概率會(huì)夾帶計(jì)算機(jī)病毒，為此，如果實(shí)現(xiàn)了系統(tǒng)中對(duì)于非法網(wǎng)絡(luò)地址的攔截，要立即對(duì)校園網(wǎng)絡(luò)路由器的存取列表實(shí)施調(diào)整，并立即攔截所有非法訪問。在此過程中，可在校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)和以太網(wǎng)連接的路由器裝置中設(shè)置相應(yīng)的控制組，然后引入相關(guān)指令符，用于非法網(wǎng)絡(luò)細(xì)致的篩選。插入的指令本質(zhì)上是用于實(shí)現(xiàn)路由器裝置的動(dòng)態(tài)控制，該指令通過控制系統(tǒng)登錄到路由器裝置之后，能夠?qū)β酚善餮b置進(jìn)行合理配置調(diào)整，在最短時(shí)間內(nèi)完成人工配置。由此可見，應(yīng)用TEHETSOCKE指令能夠成功編制出仿真程序，這種程序相當(dāng)于專門針對(duì)CISCO的人工仿真指令類型。插入存取控制表主要依賴DENY，因此在實(shí)施仿真程序編制的時(shí)候必須要應(yīng)用同樣的CISCO控制表項(xiàng)文件，將控制目標(biāo)放置到既定配置文件之后，才能實(shí)現(xiàn)路由器裝置的配置傳輸。

4.4? 透明防火墻技術(shù)的應(yīng)用

計(jì)算機(jī)病毒發(fā)展和傳播十分迅速，傳統(tǒng)的防火墻已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要，很多傳統(tǒng)的防火墻對(duì)于普通病毒和黑客攻擊無法做到有效預(yù)防。所以，采取透明防火墻技術(shù)，可以在沒有IP的情況下有效防止黑客對(duì)校園網(wǎng)的入侵和攻擊[4]。透明防火墻可以根據(jù)MAG地址選擇路由器，實(shí)現(xiàn)對(duì)IP地址以及MAC地址對(duì)應(yīng)網(wǎng)絡(luò)端口的靜態(tài)設(shè)置，配置對(duì)應(yīng)表，由管理員配置，降低IP被盜用的風(fēng)險(xiǎn)。

4.5? 入侵檢測(cè)技術(shù)的應(yīng)用

要確保校園網(wǎng)絡(luò)安全，保護(hù)校園內(nèi)部資料和信息安全，可以采取入侵檢測(cè)技術(shù)，將該技術(shù)在防火墻系統(tǒng)中設(shè)定，做好信息和數(shù)據(jù)隔離，限制校園內(nèi)網(wǎng)中不同部門互訪，維護(hù)重要信息數(shù)據(jù)安全，防止信息泄露。同時(shí)，應(yīng)將重要資料數(shù)據(jù)的存儲(chǔ)與校園網(wǎng)斷開，從根本上做好防護(hù)工作，避免被黑客盜取，造成信息外泄。

5? ? 結(jié)語

為了保證校園內(nèi)網(wǎng)的安全，需要繼續(xù)不斷探索創(chuàng)新，通過培訓(xùn)學(xué)習(xí)加強(qiáng)高職院校校園網(wǎng)絡(luò)運(yùn)維人員的技術(shù)水平，熟練運(yùn)用防火墻技術(shù)的應(yīng)用，在今后的網(wǎng)絡(luò)安全工作中將積極探索防火墻技術(shù)的應(yīng)用，充分對(duì)防火墻技術(shù)進(jìn)行詳細(xì)分析與改進(jìn)，使防火墻的安全防護(hù)優(yōu)勢(shì)得以充分發(fā)揮，從而提高高職校園網(wǎng)絡(luò)安全性。

[參考文獻(xiàn)]

[1]翟麗.現(xiàn)代網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2018（12）：28-29.

[2]尹文皓.基于高校校園網(wǎng)絡(luò)安全技術(shù)及相關(guān)應(yīng)用探索[J].網(wǎng)絡(luò)安全，2018（26）：80，90.

[3]郭俊葳.校園計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（7）：15-16.

[4]周靈，伍曉平.芻議校園計(jì)算機(jī)常見網(wǎng)絡(luò)安全問題及其解決方法[J].現(xiàn)代信息科技，2018（5）：150-151.

Application of firewall technology in campus network of higher vocational college

Xu Jian

（Lianyungang TCM Branch of Jiangsu Union Technical Institute， Lianyungang 222007， China）

Abstract：The campus network security construction of higher vocational college is a complex and huge system engineering. As the only access of campus network and external network， firewall is the key control link of campus network security. This paper mainly analyzes the application of firewall technology in campus network of higher vocational colleges for reference.

Key words：higher vocational colleges; campus network; firewall technology