浅析在校园网络环境下防火墙技术的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅析在校园网络环境下防火墙技术的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:本文现以本单位仅有的设备和资源为基础,研究校园网络管理中如何使用安全策略,配置防火墙以及入侵检测等安全技术。
关键词:校园网;网络安全;防火墙技术
中图分类号:G427 文献标识码:A文章编号:1992-7711(2012)05-080-1
校园网是一个重要网络,它建立了一系列重要的应用系统,负责学校日常的信息管理工作。校园网又是一个教科研网络。它往往承担了省级甚至国家级的课题项目。同时,教工家属区的PC 也连入校园网。对于这类终端,他们的特点是数量庞大,占用带宽较高且不易管理。那么,在校园网络环境下如何使用防火墙技术呢?
一、使用防火墙技术
防火墙是目前网络安全的一个最常用的防护措施,广泛用于对校园网共享上网的问题,还可以作为一种实用的防火墙方案,是一种非常适合网络和系统的保护。
1.防火墙
防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。
2.分类
目前防火墙产品很多,基本上分为两类:一类基于包过滤,另一类基于服务器。前者直接转发报文,它工作在网络的底层―IP层,是在网络中适当的位置对数据包实施有选择的过滤,它可以提供廉价、有效、具有一定网络安全的环境,且它对用户是全透明的,速度较快。Cisco的防火墙就是这种,它有两种方法实现防火墙功能,一种是适用于某些接口上的流控制,用于过滤IP或指定TCP和UDP端口的IP数据包,另一种是适用于广播信息,用于过滤广播信息;而服务器一般工作在应用层,它可以屏蔽网络内部结构,增强网络内部的安全性,同时还可以用于实施数据流监控、过滤、记录、报告等功能。但它对用户不透明,工作量大,需要高性能服务器,通常要经服务器进行身份验证和注册,故速度较慢。
在设计防火墙时,除了安全策略以外,还要确定防火墙类型和拓扑结构。 一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。 防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种情况下,防火墙检查进入和离去的报文分组的ICP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。
3.服务器配置方案
前面说过,型防火墙的核心技术就是服务器(Proxy Server)技术, 从内部网络发出的数据包经过这样的防火墙处理后, 就如同是源于防火墙外部网卡一样, 可以达到隐藏内部网结构的作用, 因此这种类型的防火墙被很多网络安全专家和媒体认为是最安全的防火墙。所谓服务器, 是连接内部局域网和Internet的一种网关, 该网关是运行服务软件的计算机, 能够实现两种不同的网络互相通信。服务器在用户与服务器之间协同工作, 因此它提供了一个透明的应用级网关。当客户端向服务器发起请求, 该请求被服务器接收后,对其进行身份认证和访问控制, 如果客户端通过了服务器的身份认证和访问控制, 就代替客户端向该服务器发出请求。服务器响应以后, 服务器将响应的数据传送给客户端。
二、目前应用的防火墙存在的不足
防火墙虽然是目前使用最为广泛的网络安全新产品之一,但网络攻击技术不断发展变化,并呈现出一些新的特点,所以也反衬出防火墙的一些弱点,主要体现在下面几点:
1.原有的安全部署不能迅速地适应迅速发展的网络黑客的攻击,同时防火墙技术并不能防范来自内部或智能化的入侵攻击,对于以夹带方式通过的非法信息,防火墙无法检测和过滤。尤其是病毒邮件,防火墙便无能为力,不能阻止其进入计算机硬盘。
2.一旦有病毒进入内网,入侵OA 服务器和应用服务器,防火墙没有能力阻止,导致OA 报务器可能成为病毒转发的中转站,业内人士都知道,病毒在应用服务器上的扩散速度通常是普通机器的13 到20 倍。
3.增加系统的管理负担,病毒一旦穿透防火墙后,计算机立即会遭到黑客的攻击,由于防火墙的功能所限,加之网管界面均不太理想,势必加重系统管理的负担。网络安全保障技术滞后于网络攻击技术和病毒开发技术,挑战着防火墙的技术能力。
4.防火墙和其他病毒软件一样需要不断更新和升级,才能有效地抵御新的攻击。
现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。虽然各种安全技术存在着一定程度的差异,但是不同技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势,而产品的融合、协同、集中管理是网络安全的发展方向。