防火墻技術在校園網網絡安全中的應用

摘要防火墻是校園網網絡安全的一道防線，它通過控制和檢測網絡之間的信息交換和訪問來管理校園網網絡的安全。本文闡述了防火墻的類型、如何選購防火墻及防火墻在贛南醫學院校園網網絡安全中的應用。

關鍵詞 防火墻 網絡安全 校園網

中圖分類號：TP312文獻標識碼：A

Application of Firewall Technology in Campus Network Security

MIAO Haijun

(Ganzhou Medical College， Ganzhou， Jiangxi 341000)

AbstractA firewall is a defence of campus network security， it through the control and inspection of exchange and interview between network informations. This paper expounds the types of firewall， how to choose firewall， and firewall applied in the campus network security of Ganzhou Medical College.

Key wordsfirewall; network safe; campus network

信息技術的飛速發展，越來越多的領域需要運用互聯網。如：銀行、政府、公司、教學等。特別是在國家教育信息化和校校通工程的背景下，建設校園網是高校的重要任務。校園網作為連接學生、教師、科研人員和管理者的中樞神經系統，是學校采用先進的教育和管理方法的基礎。然而，各種黑客、計算機病毒和非法入侵事件卻威脅著高校校園網網絡的安全。防火墻技術作為網絡安全領域的重要技術，在校園網網絡安全中起到了十分重要的作用。

防火墻(Firewall)技術不僅是抵制黑客入侵和非法訪問的有效手段，而且是目前網絡系統廣泛應用于計算機網絡安全策略的重要工具。①防火墻是安裝在內部網和外部網之間的一個隔離設備，以便更好更快的識別和屏蔽不可預測的、潛在破壞性的侵入，可有效地保證網絡安全，對與保護校園網的安全具有重要的意義。其實，防火墻不僅是一個分離器和限制器，而且是一個分析器，它能夠有效地監控內部網和外部網之間的活動，從而保證內部網絡的安全。②

1 防火墻的類型

根據防火墻的功能的不同。可分為包過濾防火墻、代理服務器防火墻、狀態檢測防火墻三種類型。

（1）包過濾防火墻。包過濾防火墻的主要功能是檢查每個通過網絡的數據包，然后讀取數據包中的信息，最后根據數據包中的信息來判斷這些數據包是否安全和可靠。這種防火墻以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表。這種包過濾防火墻的優點是：過濾路由器速度快、效率高、價格低、網絡性能好和透明性好，易于安裝和使用。然而這種防火墻也有很多的弱點。如：只能對數據包的地址和端口等網絡信息進行判斷，無法理解網絡信息更高協議層；過濾包只對網絡層和傳輸層得有限信息進行過濾，不能滿足各種安全要求。

（2）代理服務器防火墻。代理服務器防火墻又稱為應用級網關，這是因為代理服務器有應用級代理和電路級代理2種，但一般都說采用應用級代理。代理服務器防火墻在OSI 的應用層，掌握著應用系統中可用作安全決策的全部信息。代理服務器防火墻是校園內部網與外部網的隔離點，具有監視和隔絕應用層通信流的作用，因為它是通過對每種應用服務編制專門的代理程序來實現監視和隔絕作用。③這種防火墻以美國NAI公司的Gauntlet防火墻。代理服務器防火墻的優點是安全性較高，能有效防止病毒在應用層的侵入，易于配置，能提供比過濾包更詳細的日志記錄，可以隱藏內部IP地址等等。其缺點是網絡速度變慢、不允許用戶直接訪問網絡、對于不同協議設置要有不同的客戶端軟件來支持等。

（3）狀態檢測防火墻。狀態檢測防火墻采用了狀態檢測包過濾的技術，吸收了包過濾防火墻和代理服務器防火墻的優點，因此，這種防火墻性能好，安全系數高，適應性強和擴展性好。因為狀態檢測防火墻在網關上使用了執行網絡安全策略的軟件模塊，所以稱之為監測引擎。監測引擎在不影響網絡正常運行的情況下，通過采用抽取有關數據的方法對來監測各層的網絡通令，抽取狀態信息， 并動態地保存起來。把保存起來的信息作為以后執行安全策略的參考。因為監測引擎支持多種網絡協議和應用程序， 所以易于實現應用和服務的擴充。這種類型防火墻的優點是: 主動拒絕違規訪問、性能好、安全系數高、適應性強和擴展性好。缺點是：配置較為復雜、使網絡速度降低。

2 防火墻的選擇

不同的防火墻有不同的優點，因此，我們在建構自己公司或單位的網絡時， 就必須選擇一個比較合適的防火墻。在選購防火墻時，我們應注意以下方面:

（1）防火墻自身的安全性防。防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。而應用系統的安全是以操作系統的安全為基礎的，同時防火墻自身的安全實現也直接影響整體系統的安全性。防火墻技術的本質特征是一種被動防御、靜態安全的網絡安全手段，能夠防護網絡已知的威脅和已知的惡意。我們把防火墻都安裝在Windows NT 系統等一般的操作系統上，不僅防火墻在主機上執行防火墻軟件，操作系統本身的原有程序也在運行。如果防火墻主機上所執行的軟件出現安全漏洞， 那么防火墻本身也將受到威脅。此時，黑客容易取得防火墻上的控制權。黑客取得防火墻上的控制權之后，任何的防火墻控制機制都可能失效。

（2）防火墻的穩定性。防火墻的穩定性是非常重要的。有些商家在防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，由于防火墻處于網絡進出口處， 其穩定性直接影響到網絡的正常運行，其穩定性比較差。穩定性差的防火墻產品會使“信息監控”經常發生亂攔截現象。如把正常的瀏覽訪問當作惡意攻擊而被攔截掉。防火墻日志功能失效。

（3）防火墻自身的良好性能。防火墻不僅能夠很好地保護內部網絡的安全，還應該具有優良的整體性能。數據通過率是表示防火墻性能的參數，因為不同類型的防火墻具有不同的功能，而不同功能的防火墻對其工作量和系統資源都有不同的要求，因此數據在通過防火墻時會產生延時。自然數據通過率越高，防火墻性能越好。

（4）防火墻的靈活性。筆者認為防火墻的靈活性應體現在以下方面：能夠升級與擴展，支持大量協議。隨著科技的發展，各個廠家間的夜競爭越來越激烈。若要長久擁有客源，在生產防火墻的時候，就必須考慮到防火墻產品本身的的規模和功能。它的規模和功能不僅能夠適應內部網絡的規模的變化，還要適應安全策略的變化。

3 防火墻在校園網中的應用

防火墻是校園網網絡安全的一道防線，它通過控制和檢測網絡之間的信息交換和訪問來管理校園網網絡的安全。防火墻的主要作用有過濾出入網絡的數據，強化安全策略；對出入網絡的訪問行為進行管理和控制；對不安全的服務進行限制或攔截，盡可能不暴露內部網絡；有效的紀錄通過防火墻的信息內容和活動等方面。因此，在網絡拓撲上，防火墻常常安裝在網絡的出口和不同的安全等級的結合點之間。如內部網絡和互聯網的出口鏈路處。

根據學校校園網的安全需求和實際情況，贛南醫學院采購了天融信NGFW4000-UF(TG-5464)防火墻。它是NGFW4000-UF系列防火墻的高端產品，是集成防火墻、VPN、帶寬管理、防病毒、內容過濾等多功能的綜合性網關產品，具有高性能、高可靠性、高安全性的特點，適用于金融、電信、教育等大型網絡系統，特別是網絡結構復雜、應用豐富、高帶寬、大流量的大中型企業骨干級網絡環境。NGFW4000-UF系列防火墻通過模塊化結構設計來高了產品性能、靈活性、高效性和安全性。

與其它的防火墻相比，天融信NGFW4000-UF(TG-5464)防火墻致力于網絡的安全性，并且管理容易。主要的設備功能有預防計算機上病毒、入侵檢測、過濾垃圾郵件、過濾網頁的內容、檢測Dos、檢測DDoS、管理SNMP、管理WEB等等。主要特點是網絡端口的適用性強，最大配置為12個接口，其中4個千兆COMBO口(每個COMBO口為兩個互斥的千兆口——SFP插槽和100/1000電口可靈活選擇)；6個千兆SFP插槽；2個10/100/1000BASE-T接口(1個專用HA口，1個管理口)；沒有用戶數量的限制；支持DoS和DDoS入侵檢測；支持VPN；支持SNMP、WEB、命令行、遠程管理。

天融信NGFW4000-UF(TG-5464)防火墻，是天融信公司推出的新一代高性能防火墻。它采用SoC (System on Chip) 技術，具有芯片設計、網絡通信、安全防御等多方面的技術優勢，能夠給校園網的網絡提供最有效的安全保護。

將天融信NGFW4000-UF(TG-5464)防火墻部署在校園網的核心交換器和路由器之間，目的是將互聯網和學校的內部網絡分離開來。天融信NGFW4000-UF(TG-5464)防火墻的入侵檢測系統支持Dos和DDoS，能夠減少病毒的潛伏期，保障網絡的安全性。

4 小結

防火墻是保護校園網網絡安全運行的第一道防線，部署防火墻的目的是為了保障校園網網絡的安全運行。由于防火墻無法防護內部網絡用戶的攻擊、完全防止傳送已感染病毒的軟件或文件、法防范數據驅動型的攻擊、不能防備新的網絡安全問題等本身的缺陷。因此，僅在校園網內部的入口處部署防火墻系統是遠遠不能保障整個校園網網絡系統的安全。校園網的環境復雜，如果防火墻結合入侵檢測技術、安全掃描技術、身份認證技術和訪問控制技術等安全技術，將能更好的的保障網絡的安全。總之，防火墻是網絡安全的第一道重要的安全砸門，如何提高防火墻的防護能力和保障計算機系統的安全運行是一個隨著網絡技術的發展而不斷研究的課題。

注釋

①盧津榕，瑪寶坤.解讀黑客一黑客是怎樣煉成的[M].北京:希望電子出版社，2001.

②景曉軍.智能信息安全[M].北京:國防工業出版社，2006.

③張旭.高校校園網防火墻技術的應用研究[J].電腦編程技巧與維護，2010(14).