淺談防火墻在中小學校園網中的應用

近幾年來，隨著信息與計算機技術的飛速發展，校園網絡作為學校重要的基礎設施，為學校提供了教學、科研、管理和對外交流窗口等諸多重要平臺。與此同時，網絡社會與生俱來的不安全因素，如黑客、病毒、垃圾郵件、反動和色情等不健康信息，也無時無刻不在威脅著校園網絡的健康發展，已成為教育信息化建設中不容忽視的問題。作為保護局域網的一種有效手段，硬件防火墻在校園網絡安全建設中發揮了重要作用。

一、校園網防火墻的選購原則

由于黑客技術日益公開化、職業化，各種攻擊日益頻繁，病毒日益泛濫，中小學校所選用的路由器防火墻已經不能很好地防御網絡黑客攻擊，選擇更好的專用硬件防火墻將成為防御網絡黑客攻擊的重要手段。目前市場上的硬件防火墻種類繁多、功能各異，如何選購適合于中小學校園網絡的硬件防火墻呢?筆者認為可從以下幾個方面考慮:

1.用戶連接數多是校園防火墻必須具備的特點

隨著各中小學校的擴建，在校人數的增加，教師隊伍的壯大，辦公用計算機的數量也相當可觀，再加上學校的各類機房，中小學校的網絡規模越來越大。所以，防火墻需要允許數量眾多的計算機上網。現在市場上已經有很多無人數限制的防火墻，可從根本上解決這一問題。

2.適合于校園的防火墻必須具有快速連接能力

現在的校園網絡一般都采用了百兆或者千兆以上的網絡，所以我們需要選擇高帶寬的防火墻，否則就有可能成為網絡出口的瓶頸。

3.適合于校園的防火墻必須具備很強的防攻擊能力和入侵監控能力，這也是防火墻的基本特征

目前網絡黑客攻擊的主要手段有DOS攻擊、IP地址欺騙、特洛伊木馬、口令字攻擊、郵件炸彈等。這些攻擊方式不僅來自外部網絡，也可能來自內部網絡。適合于校園的防火墻必須有防止這些外網和內網攻擊的能力。防火墻是由軟件和硬件組成的，其中的軟件提供了升級功能，這樣就能幫助我們修補不斷發現的漏洞。

4.由于校園網絡內部有訪問一些非法網站的事情發生，為了禁止訪問非法網站，防火墻不僅需要防止內網訪問非法網站的功能，還必須具有監控網絡的功能，因為現在一些不良網站每天都有新的變化，只有通過監控，才能根據相關信息及時屏蔽這些非法網站。

5.適合于校園網絡的防火墻要易于管理，畢竟學校并不會聘請專業管理員來管理硬件防火墻

這種易于管理表現在防火墻所搭配的軟件上，目前市場上主要有搭配專業軟件的防火墻和搭配Linux或Unix操作系統的防火墻，用戶可根據自己的實際情況進行選擇。

二、校園網防火墻的設置原則

校園網絡與普通企業網絡不同，因為普通企業網絡主要是“防外”:防止互聯網上的黑客對內部網絡的攻擊;而校園網絡不僅要有“防外”的功能，還要有“防內”的功能。所謂“防內”是指由于學生中有不少網絡愛好者，在好奇心的驅使下或為了滿足某些單純的心理需要，會從互聯網上下載黑客工具，不顧后果地對校園網內部服務器進行攻擊，特別是對學校內部某些可能存放著重要資料的服務器進行攻擊，使學校的內部資料遭受到不必要的損失。

因此設置校園網防火墻一方面要建立合理有效的安全過濾原則，對網絡數據包的協議、端口、源目的地址、流向進行審核，嚴格控制外網用戶的非法訪問。一旦獲知某個IP地址的訪問是非法的，立即通過更改路由器(以Cisco為例)中的存取控制表來過濾掉來自非法地址的所有IP包。

另一方面是要對校園網用戶進行流量控制，依據時間安全規則變化策略，控制內網用戶訪問外網時間，并對其進行必要的管理。

三、校園網防火墻的安全機制

對校園網絡內部人員訪問Internet進行一定限制，在連接內部網絡的端口接收數據時進行IP地址和以太網地址檢查，丟棄盜用IP地址的數據包并記錄有關信息;在連接Internet端接收數據時，如從外部網絡收到一段假冒內部IP地址發出的報文，也應丟棄并記錄有關信息。

(1)存取控制。存取控制可定義使用者或應用服務的對象進出校園網，以保護校園網內部資源。執行存取控制參數必須是簡單且直接的，以一個明確的圖形使用者接口(GUI)操作，最好全部的組件都是使用對象導向的方式來定義。而每一個規則能包含任何網絡對象、服務、動作和追蹤機制，并可判斷規則的沖突性。

(2)專機專用。專用主機只開專用功能。網管網段路由器中的訪問控制應該限制在最小限度，研究清楚各進程必需的進程端口號，關閉不必要的端口，刪除系統中不需要的服務。

(3)網絡地址轉移。地址轉移是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。它隱藏內部網絡真正的IP，這可以使黑客無法直接攻擊內部網絡。

當然，任何一種防火墻只是為校園網通信或數據傳輸提供了更有保障的安全性，校園網絡安全不能完全依賴于防火墻。在日常工作中除了靠防火墻來保障校園網絡安全外，還要加強系統的安全性，提高自身的安全意識，并結合有效的管理措施，從而形成有層次的安全防御體系，為教學和管理提供可靠的保障。