劉　成

摘 要:隨著網絡與信息技術的發(fā)展,互聯(lián)網得到廣泛的普及和應用,網絡正深刻影響人類的生活及工作的方式。與此同時,信息安全的重要性也在不斷提升。以校園網為對象,分析了防火墻等安全技術在校園網中的應用現(xiàn)狀,指出防火墻與IDS結合,將使防御系統(tǒng)成為更加堅固的圍墻,將來會有更大的發(fā)展空間和市場。

關鍵詞:防火墻;校園網;互聯(lián)網

中圖分類號: TD39

文獻標識碼: A

文章編號:1005-569X(2009)06-0099-02

1 引言

目前,黑客入侵與病毒發(fā)作事件在全球范圍內不斷增加。由于網絡應用的迅速發(fā)展,除以往熟知的病毒、垃圾郵,以及黑客惡意攻擊、網絡釣魚之外,也有來自企業(yè)內部的安全隱患等,這些問題困擾著每一個企業(yè)。網絡安全已經成為越來越多使用網絡的公司、個人需要考慮的問題,越來越多的企業(yè)將網絡的安全看作確保企業(yè)盈利能力的一項重要因素。

2 防火墻基礎簡介

2.1網絡安全問題

傳統(tǒng)的邊界安全設備——防火墻,成為整體安全策略中不可缺少的重要模塊。目前的防火墻產品的用戶主要是企業(yè)用戶。互聯(lián)網已經改變了人們工作、聯(lián)絡、協(xié)作交流以及買賣的方式。網絡的安全程度究竟如何?這是許多IT管理人員每天都會考慮的問題?？梢韵胂?防火墻的應用也越來越普及,這個普及不僅面向各個公司、企業(yè),也深入到家庭、個人,深入到每個網絡節(jié)點、終端。

2.2防火墻概述

2.2.1防火墻的作用

防火墻從本質上說是一些設備,是外部網絡訪問內部網絡的控制設備。它是用來保護內部的數(shù)據(jù)、資源和用戶信息的工具,可以防止Internet上的危險(病毒、資源盜用等)傳播到網絡內部。這樣的設備通常是單獨的計算機、路由器或防火墻盒(專用硬件設備)。它們充當訪問網絡的惟一入口點,并且判斷是否接收某個連接請求,只有來自授權主機的連接請求才會被處理,而剩于的連接請求將被丟棄。

通常,防火墻被安裝在受保護的內部網絡與Internet的連接點上。被保護的網絡屬于內部網絡,所防止的網絡是不可信的外部網。保護網絡包括阻止非法授權用戶訪問敏感數(shù)據(jù)的同時,允許合法用戶無障礙地訪問網絡資源,如防火墻能夠確保電子郵件、文件傳輸、遠程登錄或在特定系統(tǒng)間信息交換的安全。

總之,從網絡安全的角度來考慮,防火墻是兩個網絡之間的成分集合,它們的合作應具有的性質是:從里向外或外向里的流量都必須通過防火墻;只有符合本地安全策略放行流量才能通過防火墻;防火墻本身是不能穿透的。

2.2.2設置防火墻的必要性

(1)集中化的安全管理,強化安全策略。由于Internet上每天都有上百萬人在收集信息和交換信息,不可避免地會出現(xiàn)個別品德不良、違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點的安全策略,僅僅容許“認可的”和符合規(guī)則的請求通過。

(2)網絡使用進行統(tǒng)計。因為防火墻是所有進出信息必須的通路,所以防火墻非常適用于收集關于系統(tǒng)和網絡使用和誤用的信息。作為訪問的惟一點,防火墻能在被保護的網絡和外部網絡之間進行記錄,對網絡存取訪問進行統(tǒng)計。

(3)保護那些易受攻擊的服務。防火墻能夠用來隔開網絡中一個網段與另一個網段的連接。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。

(4)實施安全策略。防火墻是一個安全策略的檢查站,控制對特殊站點的訪問。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕。

(5)增強保密性。用來屏蔽有關網站系統(tǒng)的DNS信息。因此,網站系統(tǒng)名字和IP地址都不要提供到Internet上。

3 防火墻在校園網中的應用

3.1校園網簡介

隨著因特網的發(fā)展,校園網已迅速的普及,不可避免的出現(xiàn)校園網的安全性問題,防火墻在校園網中也得到廣泛的應用。某所學校建立一校園網,校園網主要是給在校師生提供服務。其主要架構是:Internet網首先接入到華為交換機2403,然后通過Juniper NetScreen防火墻連入到Cisco路由器,最后分布到校園本部以及分校,同時連接Web與郵件兩服務器。在此校園網中日用戶訪問量最高峰達到幾十萬個連接,總出口300M,提供游戲、電影、課件下載,以及bbs論壇、Web訪問等服務。通過一臺Juniper NetScreen防火墻提供防護。

3.2防火墻的設置

要求Juniper NetScreen防火墻能夠實現(xiàn)的功能:①工作在防火墻透明模式;②實現(xiàn)MIP功能;③啟用IPSec VPN。

3.2.1防火墻透明模式配置

學校要求防火墻工作在透明模式下。當Juniper NetScreen防火墻接口處于“透明”模式時,防火墻將過濾通過的IP數(shù)據(jù)包,但不會修改IP數(shù)據(jù)包中任何信息。透明模式是一種保護內部網絡從不可信源接收信息流的方便手段。使用模式有以下優(yōu)點:

(1)不需要修改現(xiàn)有網絡規(guī)劃及配置。

(2)不需要實施地址翻譯。

(3)可以允許動態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過。

3.2.2MIP功能的配置

為了實現(xiàn)互聯(lián)網用戶訪問對外提供網絡服務的服務器(服務器使用私有IP地址),可在Internet出口的防火墻上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),并通過策略實現(xiàn)對服務器所提供服務進行訪問控制。

3.2.3IPSec VPN配置

學校要求防火墻支持IPSec VPN,應用站點間(Site-to Site)的VPN,創(chuàng)建的站點兩端都具備靜態(tài)IP公網地址。

當創(chuàng)建站點兩端都具備靜態(tài)IP的VPN應用中,位于兩端的防火墻上的VIP配置基本相同,不同之處是在VPNgateway部分的VPN網關指向IP不同,其它部分相同。

4 結語

防火墻與IDS 結合是將動態(tài)安全技術的實時、快速、自適應的特點變成靜態(tài)技術的有效補充, 將靜態(tài)技術的包過濾、信任檢查、訪問控制成為動態(tài)技術的有力保障。二者結合使用可以很好的將對方的弱點淡化, 而將自己的優(yōu)點補充上去, 使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網絡安全技術領域中, 將動態(tài)技術與靜態(tài)技術的互動使用, 將有很大的發(fā)展市場和空間。

參考文獻:

[1] 張興東, 胡華平, 況曉輝, 等.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實現(xiàn)[ J] .計算機工程與科學,2004,26(4).

[2] 高光勇, 遲樂軍, 王艷春.聯(lián)動防火墻的主機入侵檢測系統(tǒng)的研究[J].微計算機信息,2005,21(7).

[3] 桂春梅,鐘求喜,王懷民. 基于UML 的防火墻和入侵檢測聯(lián)動模型的研究[ J] . 計算機工程與科學,004,26(11): 22~25.

[4] 楊瓊, 楊建華, 王習平, 等.基于防火墻與入侵檢測聯(lián)動技術的系統(tǒng)設計[J].武漢理工大學學報,2005,27(7).