王穎

摘 要：防火墻技術(shù)有機(jī)結(jié)合了計(jì)算機(jī)硬件、軟件兩部分，目前是計(jì)算機(jī)安全防護(hù)技術(shù)中應(yīng)用最為廣泛的技術(shù)，對(duì)于維護(hù)校園網(wǎng)系統(tǒng)的整體安全具有極其重要的作用。本文主要闡述了在校園網(wǎng)中應(yīng)用防火墻技術(shù)的必要性，并且深入分析了防火墻技術(shù)在校園網(wǎng)中的合理應(yīng)用。

關(guān)鍵詞：校園網(wǎng)；防火墻技術(shù)；必要性；合理應(yīng)用

校園網(wǎng)絡(luò)建設(shè)是一項(xiàng)長(zhǎng)期、系統(tǒng)、復(fù)雜的工程，在當(dāng)前的環(huán)境背景下，校園網(wǎng)絡(luò)建設(shè)過(guò)程中存在很多安全隱患，不僅會(huì)影響到學(xué)生對(duì)校園網(wǎng)絡(luò)的正常應(yīng)用，同時(shí)也會(huì)影響學(xué)校資源信息的安全性、保密性。因此，安全問(wèn)題已經(jīng)成為現(xiàn)代校園網(wǎng)絡(luò)建設(shè)的重點(diǎn)。防火墻是一種設(shè)置在不同安全區(qū)域之間或網(wǎng)絡(luò)之間用于控制某區(qū)域通信的一系列部件組合，用于校園網(wǎng)中，也即是校園網(wǎng)、外網(wǎng)之間的出入口。由此可見(jiàn)，防火墻是確保校園網(wǎng)安全的關(guān)鍵。

1 在校園網(wǎng)中應(yīng)用防火墻技術(shù)的必要性

1.1 計(jì)算機(jī)病毒無(wú)孔不入

在影響校園網(wǎng)安全的因素中最主要的是計(jì)算機(jī)病毒，計(jì)算機(jī)病毒可以經(jīng)過(guò)郵件、U盤(pán)、網(wǎng)絡(luò)下載等多種途徑傳播，因此計(jì)算機(jī)病毒的潛在危險(xiǎn)較大。近年來(lái)，隨著黑色產(chǎn)業(yè)鏈的不斷發(fā)展，解密、盜號(hào)等現(xiàn)象頻頻發(fā)生，導(dǎo)致用戶的隱私、信息等被泄露，網(wǎng)絡(luò)系統(tǒng)阻塞，電子信息文件遭到破壞，計(jì)算機(jī)硬件也被損害，嚴(yán)重的情況下可能造成整個(gè)校園網(wǎng)系統(tǒng)癱瘓。校園網(wǎng)絡(luò)覆蓋的范圍較廣，用戶非常多，如果沒(méi)有重視網(wǎng)絡(luò)安全問(wèn)題，很有可能會(huì)讓計(jì)算機(jī)病毒有機(jī)可趁，加快計(jì)算機(jī)病毒的傳輸。尤其是使用校園網(wǎng)，很多信息都是共享資源，如果校園網(wǎng)遭到計(jì)算機(jī)病毒侵襲，就會(huì)暴露學(xué)校的科研成果以及共享資源，對(duì)學(xué)校發(fā)展不利。

1.2 黑客攻擊

校園網(wǎng)直接連接互聯(lián)網(wǎng)，這種情況下可以為學(xué)校廣大師生查找資料提供很大便利，但與此同時(shí)，由于互聯(lián)網(wǎng)的開(kāi)放性也極易受到黑客的侵襲。尤其是現(xiàn)代黑客攻擊技術(shù)不斷創(chuàng)新、發(fā)展，造成的危害也越來(lái)越嚴(yán)重，一旦校園網(wǎng)遭受黑客攻擊，會(huì)造成長(zhǎng)時(shí)間、大范圍的影響，很難在短時(shí)間內(nèi)處理妥善，會(huì)造成巨大的損失。其中，校園網(wǎng)的郵件服務(wù)器、DNS服務(wù)器、WEB服務(wù)器等應(yīng)用服務(wù)器受到黑客攻擊的幾率最高，有的黑客還有可能帶有目的性的采用專業(yè)網(wǎng)絡(luò)工具攻擊校園網(wǎng)，導(dǎo)致校園網(wǎng)的服務(wù)器無(wú)法正常使用。有的非法用戶會(huì)采用一些黑客攻擊軟件對(duì)校園網(wǎng)絡(luò)進(jìn)行肆意攻擊，隨意篡改校園網(wǎng)的主頁(yè)，將校園網(wǎng)的數(shù)據(jù)毀壞，打亂教學(xué)秩序。

1.3 內(nèi)部網(wǎng)絡(luò)用戶攻擊

目前，很多學(xué)生都比較熟悉網(wǎng)絡(luò)，尤其是一些對(duì)計(jì)算機(jī)程序設(shè)計(jì)抱有強(qiáng)烈興趣的男生，由于好奇心的驅(qū)使，會(huì)有一種沖動(dòng)嘗試攻擊校園網(wǎng)系統(tǒng)，從而會(huì)威脅校園網(wǎng)的正常運(yùn)行，使校園網(wǎng)安全管理難度提高。

2 校園網(wǎng)中合理應(yīng)用防火墻技術(shù)的措施

2.1 科學(xué)設(shè)置防火墻系統(tǒng)

目前，很多校園網(wǎng)都采用路由器連接Cernet，校園網(wǎng)具有固定的IP 地址，也具有比較明確的閉合邊界，這樣有利于更好的控制校園網(wǎng)系統(tǒng)。能夠進(jìn)入Cernet主干網(wǎng)控制存取的校園網(wǎng)IP地址基本上合法，如果一些非法的IP地址試圖經(jīng)過(guò)路由器訪問(wèn)Cernet，這種情況不僅需要對(duì)校園網(wǎng)路由器設(shè)置相應(yīng)的允許命令，并且也要加強(qiáng)控制主機(jī)訪問(wèn)。因此，網(wǎng)絡(luò)中心的應(yīng)用服務(wù)器（如FTP、DNS、WWW等）顯得尤為重要，需要加強(qiáng)對(duì)這些服務(wù)器的保護(hù)措施，網(wǎng)絡(luò)中心所在子網(wǎng)應(yīng)只允許FTP、DNS、WWW等服務(wù)，禁止其他任何服務(wù)。

2.2 強(qiáng)化IP地址的保護(hù)措施

為了對(duì)內(nèi)部人員訪問(wèn)網(wǎng)絡(luò)做出一定限制，應(yīng)該采用IP地址、太網(wǎng)地址檢查在連續(xù)內(nèi)部網(wǎng)絡(luò)端口接收的所有數(shù)據(jù)包，如果發(fā)現(xiàn)數(shù)據(jù)包采用的是盜用IP地址應(yīng)該丟棄，并且詳細(xì)記錄該數(shù)據(jù)包，在連接互聯(lián)網(wǎng)接收相關(guān)數(shù)據(jù)時(shí)，若接收的報(bào)文的IP地址也是假冒的，也應(yīng)立即丟掉，并做好相應(yīng)記錄。為避免IP地址被盜，網(wǎng)絡(luò)接入可利用交換式集線器，并且在每一個(gè)端口都設(shè)置合法的IP地址以及相應(yīng)的太網(wǎng)地址，但是這樣的話會(huì)投入很大的成本，因此在校園網(wǎng)安全保護(hù)中尚未普及應(yīng)用。通常，會(huì)采用IP地址捆綁、代理服務(wù)器防火墻等技術(shù)來(lái)保護(hù)校園網(wǎng)IP地址。

2.3 禁止非法訪問(wèn)

一般非法訪問(wèn)情況下都攜帶有計(jì)算機(jī)病毒，因此，如果獲得非法網(wǎng)址，應(yīng)該立即更改路由器的存取控制列表，堅(jiān)決杜絕一切非法訪問(wèn)。同時(shí)，應(yīng)在校園網(wǎng)連接路由器的以太網(wǎng)預(yù)先設(shè)置一個(gè)控制組，用來(lái)插入相關(guān)命令過(guò)濾一些非法訪問(wèn)的網(wǎng)址。插入命令其實(shí)上也即是動(dòng)態(tài)配置路由器，可以通過(guò)控制臺(tái)或者telnet登錄路由器從而實(shí)現(xiàn)路由器的配置。主要是通過(guò)相應(yīng)的命令進(jìn)行人工配置，因此，可以利用TEHET SOCKET命令編制一段仿真程序，也即是針對(duì)CISCO仿真人工命令，從而動(dòng)態(tài)配置路由器。由于插入存取控制表主要取決于deny，因此編制仿真程序需要相同的CISCO控制表項(xiàng)文件，需要將控制項(xiàng)先放置在配置文件后，再將配置向路由器中傳輸。

綜上所述，防火墻技術(shù)在校園網(wǎng)安全防護(hù)系統(tǒng)中具有極其重要的作用，合理應(yīng)用防火墻技術(shù)可有效維護(hù)整個(gè)校園網(wǎng)的安全。但是需要注意的是，防火墻系統(tǒng)并不是無(wú)懈可擊，其自身也必然存在一定的漏洞，因此學(xué)校應(yīng)重視校園網(wǎng)安全問(wèn)題，提高學(xué)校師生的網(wǎng)絡(luò)安全意識(shí)，共同維護(hù)校園網(wǎng)絡(luò)的安全。

[參考文獻(xiàn)]

[1]李青，吳少校，喬崇.基于龍芯處理器的網(wǎng)絡(luò)防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2013（06）.

[2]鄭羽.網(wǎng)絡(luò)防火墻的技術(shù)實(shí)現(xiàn)及性能測(cè)試[J].安慶師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2013（01）.endprint