防火墻技術對校園網絡安全提升的作用探究

李海 葛紅梅

[摘 要] 校園網在提高學校的教學、工作和學習的同時，也帶來了網絡的不安全因素。本文通過探討校園網中存在的安全隱患，提出了在校園網絡管理中如何通過入侵檢測與防火墻配置等防火墻技術提高校園網絡安全的性能。

[關鍵詞] 計算機；校園網；網絡安全；防火墻

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 056

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）12- 0088- 04

0 引 言

計算機網絡技術依靠其高度發達的發展技術，在國民經濟各行業中均發揮著重要作用，目前，計算機網絡技術已經廣泛應用在政府機構、金融機構、軍事指揮和控制系統、教育事業中，極大程度上提升了各單位的生產經營效率，在某種意義上，計算機網絡系統給人們的生活、工作、學習都帶了極大便利，構建了一個共享、高效、智能的平臺。但是，不能忽視計算機網絡技術的弊端，由于自身建設因素、程序設定因素和操作失誤等諸多因素的存在，計算機網絡技術不可避免地離不開病毒和漏洞，給一些別有用心之人以可乘之機，計算機網絡技術的弊端輕則給企事業單位的保密信息帶來安全風險，重則使國家的機密文件徹底損毀或丟失、個人的重要信息被竊取，造成不可估量的經濟損失[1]。近年來，我國大中小學的校園里都基本普及了校園網絡，給學校的教學活動和多媒體教學創造了便利條件，提高了校園教學效率，但網絡的脆弱性和不安全性也給校園網絡的應用帶來了不利影響。

世界上沒有一種事物是唯一的，防火墻也一樣，為了更有效率地對付網絡上各種不同攻擊手段，防火墻也派分出幾種防御架構。根據物理特性，防火墻分為兩大類，硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負責內外網絡轉換的網關服務器或者獨立的個人計算機上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統啟動，通過運行在Ring0級別的特殊驅動模塊把防御機制插入系統關于網絡的處理部分和網絡接口設備驅動之間，形成一種邏輯上的防御體系。

在沒有軟件防火墻之前，系統和網絡接口設備之間的通道是直接的，網絡接口設備通過網絡驅動程序接口（Network Driver Interface Specification，NDIS）把網絡上傳來的各種報文都忠實地交給系統處理，例如一臺計算機接收到請求列出機器上所有共享資源的數據報文， NDIS直接把這個報文提交給系統，系統在處理后就會返回相應數據，在某些情況下就會造成信息泄漏。而使用軟件防火墻后，盡管NDIS接收到的仍然是原封不動的數據報文，但是在提交到系統的通道上多了一層防御機制，所有數據報文都要經過這層機制根據一定的規則判斷處理，只有它認為安全的數據才能到達系統，其他數據則被丟棄。因為有規則提到“列出共享資源的行為是危險的”，因此在防火墻的判斷下，這個報文會被丟棄，這樣一來，系統接收不到報文，則認為什么事情也沒發生過，也就不會把信息泄露出去了。

軟件防火墻工作于系統接口與NDIS之間，用于檢查過濾由NDIS發送過來的數據，在無需改動硬件的前提下便能實現一定強度的安全保障，但是由于軟件防火墻自身屬于運行于系統上的程序，不可避免地需要占用一部分CPU資源維持工作，而且由于數據判斷處理需要一定的時間，在一些數據流量大的網絡里，軟件防火墻會使整個系統工作效率和數據吞吐速度下降，甚至有些軟件防火墻會存在漏洞，導致有害數據可以繞過它的防御體系，給數據安全帶來損失，因此，許多企業并不會考慮用軟件防火墻方案作為公司網絡的防御措施，而是使用看得見摸得著的硬件防火墻。

硬件防火墻是一種以物理形式存在的專用設備，通常架設于兩個網絡的駁接處，直接從網絡設備上檢查過濾有害的數據報文，位于防火墻設備后端的網絡或者服務器接收到的是經過防火墻處理的相對安全的數據，不必另外分出CPU資源去進行基于軟件架構的NDIS數據檢測，可以大大提高工作效率。

硬件防火墻一般是通過網線連接于外部網絡接口與內部服務器或企業網絡之間的設備，這里又另外派分出兩種結構，一種是普通硬件級別防火墻，它擁有標準計算機的硬件平臺和一些功能經過簡化處理的UNIX系列操作系統和防火墻軟件，這種防火墻措施相當于專門拿出一臺計算機安裝了軟件防火墻，除了不需要處理其他事務以外，它畢竟還是一般的操作系統，因此有可能會存在漏洞和不穩定因素，安全性并不能做到最好；另一種是所謂的“芯片”級硬件防火墻，它采用專門設計的硬件平臺，在上面搭建的軟件也是專門開發的，并非流行的操作系統，因而可以達到較好的安全性能保障。但無論是哪種硬件防火墻，管理員都可以通過計算機連接上去設置工作參數。由于硬件防火墻的主要作用是把傳入的數據報文進行過濾處理后轉發到位于防火墻后面的網絡中，因此它自身的硬件規格也是分檔次的，盡管硬件防火墻已經足以實現比較高的信息處理效率，但是在一些對數據吞吐量要求很高的網絡里，檔次低的防火墻仍然會形成瓶頸，所以對于一些大企業而言，芯片級的硬件防火墻才是他們的首選。

1 安全漏洞和病毒入侵給校園網絡帶來的安全隱患

網絡的安全漏洞通常指計算機系統中存在的可能導致計算機被別有用心的人入侵或攻擊的缺陷，同時安全漏洞也是可能因為網絡信息交換的過程中導致信息泄露等威脅的可能性。計算機軟件安全漏洞的存在，主要因為計算機軟件的設計、編寫或研發人員在研究開發計算機軟件時，由于考慮不周或設計失誤，導致軟件或系統中存在弱點或漏洞，這些漏洞可能被黑客或病毒利用，成為入侵或攻擊的路徑。計算機軟件的漏洞通常分為功能缺陷和安全漏洞。計算機軟件的功能性缺陷通常會對計算機的軟件運行和軟件功能的實現產生一定影響。而安全漏洞通常情況下對計算機系統或軟件的運行與軟件功能不產生影響，但這些漏洞有被黑客利用的可能性，一旦被黑客利用，它造成的危害更大，可能會造成校園網絡系統癱瘓或網絡中自行執行惡意代碼、中病毒，嚴重情況下可能會被黑客竊取計算機中或通信中的機密。

病毒入侵是利用病毒的自我復制特點對網絡系統進行破壞和侵襲，竊取數據，破壞數據完整性和系統是正常服務功能，病毒入侵的突出特征變現為隱蔽性、傳播性、繁殖性、潛伏性與寄生性。計算機病毒入侵是計算機網絡中常見的信息被侵害的方式，利用病毒入侵技術可以通過對外部和內部攻擊的入侵，從而獲取入侵的信息和資料。病毒入侵是對校園網的網絡系統漏洞、服務和管理權限進行探測，然后利用一定的工具和網絡協議對網絡中用戶的各種信息進行獲取與收集整理，同時發現系統中存在的漏洞，從而突破系統的網絡安全防范措施。病毒入侵可能導致校園網絡癱瘓，甚至可能導致校園網絡終端中的計算機、多媒體設備損壞，此外病毒入侵可能使校園網被黑客利用后獲取學生或教師的基本信息，產生信息泄露的隱患。校園網絡中的考試信息等可能被黑客利用，從而導致試題泄露，被黑客利用成為其攬財的手段。

2 防火墻技術對校園網絡安全提升的策略

2.1 在校園網絡中構建有效的防入侵防火墻

防火墻又叫安全防火墻，是應對計算機網絡中的病毒入侵最廣泛的防范對策。防火墻在普通用戶和企業終端中應用十分廣泛，它能夠有效防止一般、常見計算機病毒對系統的入侵和損壞，能夠有效保證系統的安全性能。防火墻作為隔離網絡、劃分網絡區域的有效保證計算機網絡安全的應對措施，通過定制不同的區域訪問策略控制不同區域間的數據流，從而提高網絡的安全性能。防火墻入侵是一種較難的入侵方式，但是一旦實現入侵，用戶所遭受的損失也是最大的，可以造成用戶的系統癱瘓，甚至崩潰，損失不可估量。在我們通常使用的互聯網中，有些區域是可以信任的，有一些區域是不可信任的，通過區分高度信任區域和不可信任區域，能夠有效避免安全隱患較高的網絡通信，從而能夠有效保護網絡信息安全[2]。因此在校園網絡中構建防火墻是保證校園網中相關信息存儲、信息傳輸安全性的重要保障，應當值得廣大學校和校園網網絡管理者的重視。

2.2 通過代理服務器配置方案提高防火墻對校園網的保護

代理服務器技術是代理型防火墻技術的核心，通過對內部網絡數據包進行防火墻處理后，校園網在整個因特網中運行和數據傳輸時可以有效隱藏網絡內部構架，使黑客或入侵者入侵的難度增加，隱藏代理型防火墻通常被認為是最安全的防火墻技術。代理型防火墻通過代理服務器連接校園網絡和因特網，這種網關能夠代理運行計算機軟件，從而實現兩種網絡相互兼容和相互通訊。代理服務器技術能夠很好地隔離內網與外網，使校園網和因特網之間既能有效交流，又能夠對校園網的局域網進行合理的保護，不受外部網絡的攻擊和入侵。代理服務器作為解決校園網通訊和共享的有效的保護措施，通過合理配置能夠極大程度上提高校園網的安全性能，是在校園網絡中十分實用和常用的防火墻技術。

2.3 通過防火墻入侵檢測技術提高校園網絡安全性能

防火墻入侵檢測技術又叫IDS，是英文Intrusion Detection System的縮寫，是計算機網絡應對網絡中的非法入侵和黑客攻擊的預警和應對系統。計算機網絡入侵通常是指入侵者利用已有的計算機程序調試和編寫技術，通過網絡非法訪問未經授權的計算機文件，最終侵入該網絡中的非法行為[3]。在校園網中通過防火墻入侵檢測是校園網對網絡信息安全的必要保證，當前較為先進的防火墻入侵檢測技術能夠使防火墻與入侵檢測形成有機整體，入侵檢測發現有惡意入侵后，防火墻迅速加強對網絡的保護，使入侵者無計可施，從而避免了校園網受惡意攻擊或病毒入侵。

校園網及其信息系統所面臨的安全威協既可能來自校園內部，又可能來自校園外部，主要有以下幾種情況：“黑客”、數據泄露、IP盜用、病毒攻擊、非法站點的訪問問題、E-mail問題。所有的入侵攻擊都是從用戶終端上發起的，往往利用被攻擊系統的漏洞肆意進行破壞。

針對校園網的各種安全隱患，深入分析產生這些安全問題的根源以及隨時出現的網絡安全需求，通過采取相應的網絡安全策略，將安全技術與教育管理結合起來，就可以建成一個安全、通用、高效的校園網絡系統。

3 校園網安全監測

在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

3.1 采用入侵檢測系統

在校園網中構架成一套完整立體的主動防御體系，需要同時采用基于網絡和基于主機的入侵檢測系統。

首先，在校園網比較重要的網段中放置基于網絡的入侵檢測產品，不停地監視網段中的各種數據包，如果數據包與入侵檢測系統中的某些規則吻合，就會發出警報或者直接切斷網絡的連接。

其次，在重要的主機上（如WWW服務器，E-mail服務器，FTP服務器）安裝基于主機的入侵檢測系統，對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷，如果其中主體活動十分可疑，入侵檢測系統就會采取相應措施。

3.2 Web、E-mail、BBS的安全監測系統

在校園網的WWW服務器、E-mail服務器中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲Internet上傳輸的內容，并將其還原成完整的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，并向上級安全網管中心報告。

一般可以采取如下方法：用一臺PC機連接在網絡的關鍵網段上，修改網卡的接收方式，這樣就能接收到這個網段上傳輸的所有信息，而且對原有網絡的傳輸性能沒有影響。系統基本上通過兩部分組成： 一部分為監控器，主要負責如實地記錄網絡上的傳輸數據，并將其保存為硬盤上的文件，交給第二部分后臺分析處理； 第二部分為后臺分析器，負責對前臺監控器記錄下的數據進行處理，將前臺監控器截獲的數據拼裝、還原成應用層的完整內容，然后在數據庫中添加相應的記錄。監控器可以采用一臺裝有兩塊網卡的PC機，采用Linux操作系統。分析器可以由一臺安裝了Win 2000的PC機承擔，運用SQL Server等軟件。這樣就可以對進入網內的各種信息進行檢測，并對郵件中的病毒進行檢測，從而阻止病毒進入局域網。

3.3 漏洞掃描系統

解決網絡層安全問題的方法是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式，最大可能地彌補最新的安全漏洞并消除安全隱患。

3.4 IP盜用問題的解決

在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則禁行，同時給發出這個IP廣播包的工作站返回一個警告信息。

3.5 利用網絡監聽維護子網系統安全

要解決校園網內部的侵襲問題，可以對各個子網做一個審計文件，為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序，其主要功能是長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。

4 配置安全的系統服務器平臺

安全的系統服務器是網絡安全的基點，利用系統本地安全策略構建一個相對安全的防護林對于校園網來說至關重要。

4.1 設置禁用，構建第一道防線

Win 2000即使是裝上了最新的系統補丁，但在Internet的任何一臺PC上只要輸入“＼＼IP地址＼c■”，然后輸入用戶名Guest，密碼空，該機器的C盤就完全暴露了。解決的方法是禁用Guest賬號，為Administrator設置一個安全的密碼，將各驅動器的共享設為不共享。同時關閉不需要的服務。在管理工具的服務中將它們設置為禁用，一般可以禁用的服務有Telnet、Task Scheduler（允許程序在指定時間運行）、Remote Registry Service（允許遠程注冊表操作）等。

4.2 設置IIS，構建第二道防線

通過簡單的設置，完全可以彌補校園網服務器的IIS漏洞。首先將IIS默認的服務都停止，然后再新建一個Web站點。設置好常規內容后，在“屬性→主目錄”的配置中對應用程序映射進行設置，刪除不需要的映射，這些映射是IIS受到攻擊的直接原因。

4.3 運用掃描程序，堵住安全漏洞

要做到全面解決安全問題，需要掃描程序的幫助。掃描完成后，要看一下，是否存在口令漏洞，若存在，則馬上修改口令設置；再看一下是否存在IIS漏洞，若存在，須檢查IIS的設置。

4.4 封鎖端口，全面構建防線

黑客大多通過端口進行入侵，所以關閉那些不用的端口，完全可以阻止入侵者的攻擊。

首先，通過“管理工具→本地安全策略”進入，右擊“IP安全策略——屬性”，創建一個安全策略。

接著，右擊“IP安全策略——屬性”，進入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，添加要封鎖的端口，這里以關閉ICMP端口為例說明。關閉ICMP的具體操作如下：點“添加”，然后在名稱中輸入“關閉ICMP”，點右邊的“添加”；在源地址中選“任何IP地址”；在目標地址中選擇“我的IP地址”；在協議中選擇“ICMP”。

然后，進入設置管理篩選器操作，點“添加”，在名稱中輸入“拒絕”。選擇“阻止”關閉該屬性頁，右擊新建的IP安全策略，打開屬性頁。在規則中選擇“添加”，選擇“此規則不指定隧道”，在選擇網絡類型中選擇“所有網絡連接”，在IP篩選器列表中選擇“關閉ICMP”，在篩選器操作中選擇“拒絕”。這樣就將“關閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。

5 校園網的訪問控制策略

針對校園網絡系統的安全威脅，必須建立整體的、卓有成效的安全策略，尤其是在訪問控制的管理與技術方面需要制定相應的策略，以保護系統內的各種資源不遭到自然與人為的破壞，維護校園網的安全。

5.1 建立并嚴格執行規章制度

規章制度作為一項核心內容，應始終貫穿于系統的安全生命周期。校園網絡的安全管理制度應包括：確定安全管理等級和安全管理范圍，制定有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等。任何規章制度的意義都在于實施，嚴格執行安全管理制度是網絡可靠運行的重要保障。

5.2 身份驗證

身份驗證技術可用于判斷對象身份的真實性，是校園網上信息安全的第一道屏障。除校園卡外，校園網上的身份驗證技術主要是口令機制，如各種開機口令、登錄口令、共享權限口令等。對這些口令的保護除建立嚴格的保密機制外，口令的設置方法非常重要。

一般而言，安全的口令有以下特點：

（1）至少7位字符，系統用戶一定要用8位字符的口令；

（2）大小寫字母混合，把數字無序地插在字母中；

（3）口令中包含“～ ！# $ % * ？ { } ”等符號；

（4）不使用英語單詞，不使用個人信息（如生日、姓名等）；

（5）不要在不同系統上使用同一口令。

5.3 病毒防護

校園網絡防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。校園網需建立統一集中的病毒防范體系，特別是針對重要的網段和服務器，要進行徹底堵截。

選擇合適的網絡殺毒軟件可以有效地防止病毒在校園網上傳播。它應具有以下一些特征：①能夠支持所有的主流平臺，并實現軟件安裝、升級、配置的中央管理； ②要能保護校園網所有可能的病毒入口，也就是說要支持所有可能用到的Internet協議及郵件系統；③具有較強的防護功能，可以對數據、程序進行有效的保護。

5.4 防火墻技術

防火墻在校園網與Internet之間執行訪問控制策略，決定哪些內部站點允許外界訪問和允許訪問外界，從而保護內部網免受非法用戶的入侵。

5.4.1 防火墻設置原則

目前，防火墻主要有如下幾類： ①包過濾型防火墻，這類防火墻是必須的，尤其是對于使用靜態IP地址的校園網；②應用代理型防火墻，對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；③復合型防火墻，即前兩類的結合。

建立合理有效的安全過濾原則對網絡數據包的協議、端口、源/目的地址、流向進行審核，嚴格控制外網用戶非法訪問。對校園網用戶進行流量控制，依據時間安全規則變化策略，控制內網用戶訪問外網時間。定期查看防火墻訪問日志，對防火墻的管理員權限嚴格控制。

5.4.2 選擇與配置安全有效的應用層防火墻

網絡管理員要在安全機制需要和系統的易用性方面做出平衡，一般可以采用如下的防火墻配置方案。

在系統中使用兩個包過濾防火墻，在內部網絡和外界Internet之間隔離出一個受屏蔽的子網，包括代理服務器、E-mail服務器、各種信息服務器（包括Web服務器、FTP服務器等）等。

在外部路由器上設置一個包過濾防火墻，它只讓與屏蔽子網中的代理服務器、E-mail服務器、信息服務器有關的數據包通過，其他所有類型的數據包都被丟棄，從而把外界Internet對屏蔽子網的訪問限制在特定的服務器的范圍內。

防火墻在很多方面存在弱點，要警惕來自防火墻的缺陷，防火墻擅長于保護設備，而不擅長保護數據， 防火墻不是解決所有網絡安全問題的靈丹妙藥，一般有70%的攻擊是來自校園網的內部，防火墻對此束手無策。

5.5 應急處理和數據備份

應急響應是校園網整體安全構架中不可分割的重要組成部分。校園網絡管理中心在發現新病毒或因系統安全漏洞威脅網絡安全時，應及時向用戶發出安全通告，并提供各種補丁程序以便下載。

數據是整個網絡的核心，做一套完整的數據備份和恢復措施是校園網迫切需要的。對易受到攻擊的Web服務器，配置網站監控與恢復系統，一旦主頁被篡改，能夠及時恢復。針對網絡安全而言，備份既包括網絡通信參數、配置的備份，又包括設備和線路的備份。網絡中心應定期將重要數據打包，并將副本存放在專用的服務器中，還可采用RAID技術對重要磁盤做鏡像。

5.6 運用VLAN技術

采用交換式局域網技術（ATM或以太交換）的校園網絡，可以運用VLAN技術來加強內部網絡管理。VLAN技術的核心是網絡分段，網絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中，通常采用二者相結合的方法。

5.7 遵循“最小授權”原則和采用“信息加密”技術

從網絡安全的角度考慮問題，打開的服務越多，可能出現的安全漏洞就會越多。“最小授權”原則是指網絡中的賬號設置、服務配置、主機間信任關系配置等都應為網絡正常運行所需的最小限度，這可以將系統的危險性大大降低。如：關閉網絡安全策略中沒有定義的網絡服務，將用戶的權限配置為策略定義的最小限度，及時刪除不必要的賬號等。

“信息加密“是包括算法、協議、管理在內的龐大體系，加密算法是基礎，密碼協議是關鍵，密鑰管理是保障。其核心及相關程序，如登錄系統、用戶管理系統等在可能的情況下應自行開發。 5.8 用戶教育

加強對校園網用戶的安全意識教育和安全技術培訓，提高遵守相關的安全制度的自覺性，增強整體安全防范能力。對于非法訪問和黑客攻擊事件，一旦發現要嚴肅處理。

加強對校園網安全技術和管理人員的培訓，使他們從技術上提高應對各種攻擊的能力。培養一支具有安全管理意識的網管隊伍。網絡管理人員通過對所有用戶設置資源使用權限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統的安全。

6 結 語

總之，在網絡信息時代，校園網絡的安全是學校教學質量的重要保證，防火墻技術作為最常用、最實用的網絡安全保障，在保護效益網絡安全中起到十分重要的作用。在構建校園網絡系統和管理校園網絡系統時，應當充分認識到校園網絡安全性的重要性，要科學合理地利用防火墻技術提高校園網絡的安全。

主要參考文獻

[1]閻慧，王偉.防火墻原理與技術[M].北京：機械工業出版社，2010.

[2]任月鷗，高文舉，李秋菊. 在校園網絡環境下防火墻技術的應用研究[J].硅谷，2011（1）：122-123.

[3]曹秀娟. 防火墻技術在校園網絡安全管理中的應用[J].計算機安全，2010（12）∶73-74.