呂勝金

摘要：隨著網(wǎng)絡(luò)速度越來越快，資源越來越豐富，網(wǎng)絡(luò)安全問題也越來越嚴(yán)峻，網(wǎng)絡(luò)安全防范對(duì)校園網(wǎng)的正常運(yùn)行來講也就顯得十分重要。在網(wǎng)絡(luò)安全防范中，防火墻具有著不可或缺的地位。防火墻技術(shù)在安全技術(shù)當(dāng)中是最簡單，也是最有效的解決方案。它不僅過濾了來自外部的探測、掃描、拒絕服務(wù)等攻擊，還能避免內(nèi)網(wǎng)已中木馬的主機(jī)系統(tǒng)信息泄露。

關(guān)鍵詞：校園網(wǎng)；防火墻；應(yīng)用研究

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-9129（2018）07-0082-01

Abstract： as the network speed is faster and faster， the resources are more and more rich， and the problem of network security is becoming more and more serious. The network security guard is very important to the normal operation of the campus network. Firewall plays an indispensable role in network security. Firewall technology is the simplest and most effective solution in security technology. It not only filters attacks from outside， such as detection， scanning， denial of service， but also prevents information leakage from host system of Trojan horse in the intranet.

Key words： campus network； firewall； Application Research

防火墻是在網(wǎng)絡(luò)之間進(jìn)行信息傳遞時(shí)所實(shí)現(xiàn)的訪問限制標(biāo)準(zhǔn)和程度，它可以使你“允許進(jìn)入”的訪問用戶和數(shù)據(jù)訪問你的網(wǎng)絡(luò)，也將你“不允許進(jìn)入”的訪問用戶和數(shù)據(jù)拒絕，這種分隔校園中的通信更加安全，最大程度地保護(hù)校園網(wǎng)絡(luò)免于其他的威脅和侵害。

1 防火墻的主要功能

1.1支持透明連接

透明性是對(duì)網(wǎng)絡(luò)中所有設(shè)備的可視化和對(duì)客戶的可視化。這種方法不需要改變校園網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，不管是安裝防火墻或者卸載防火墻，不用修改網(wǎng)絡(luò)設(shè)備的參數(shù)與配置，在用戶端也不用再修改和調(diào)整就可以實(shí)現(xiàn)基于IP協(xié)議的信息的傳輸，校園網(wǎng)已經(jīng)普遍使用這樣的功能。

1.2帶有DMZ區(qū)的連接

DMZ是?；饏^(qū)的意思，在作為防火墻的使用中，它是指將在邏輯上屬于同一網(wǎng)段分成物理上的兩個(gè)網(wǎng)段，一個(gè)是正常的，受到保護(hù)的網(wǎng)段，另一個(gè)網(wǎng)段是DMZ，用來與對(duì)外開放的主機(jī)相連，防火墻對(duì)于DMZ區(qū)提供的只是少量的保護(hù)甚至不作任何保護(hù)，這也是對(duì)網(wǎng)絡(luò)進(jìn)行了擴(kuò)展。

1.3包過濾功能

包過濾功能是指在數(shù)據(jù)傳輸過程中對(duì)IP數(shù)據(jù)包進(jìn)行過濾。包過濾是防火墻中最有用的功能之一，防火墻必須具有這個(gè)功能模塊。在校園網(wǎng)絡(luò)中，通過使用數(shù)據(jù)過濾包，就能禁止所有人從外界使用外部遠(yuǎn)程登錄，或某個(gè)主機(jī)經(jīng)由NNTP協(xié)議把新聞發(fā)給我們，或是讓每個(gè)人經(jīng)SMTP協(xié)議向我們發(fā)送電子郵件，而其他主機(jī)不允許這樣做。防火墻的數(shù)據(jù)包過濾功能具備如下特點(diǎn)：支持對(duì)進(jìn)入報(bào)文、轉(zhuǎn)發(fā)報(bào)文和出去報(bào)文的過濾；支持非操作符；支持端口范圍的控制；支持ICMP報(bào)文類型的控制。使用包過濾功能也會(huì)有一些缺點(diǎn)，比如將會(huì)影響網(wǎng)絡(luò)信息傳遞的速度，但影響的最大值不會(huì)超過25%。

2 防火墻的分類

2.1根據(jù)防火墻的作用不同分成兩類。一類是與路由設(shè)備合二為一，通常為過濾路由器或是網(wǎng)關(guān)主機(jī)防火墻，這種路由器是在路由器和網(wǎng)關(guān)主機(jī)上添加數(shù)據(jù)包過濾的功能，是網(wǎng)絡(luò)中的第一道防線。由于它具有路由選擇的功能，可見它的安全性不高。第二類叫做堡壘主機(jī)式防火墻，它的作用是保證網(wǎng)絡(luò)的安全使用，并且它不具有路由選擇功能，堡壘主機(jī)式防火墻是網(wǎng)絡(luò)中非常高效的安全裝置，一般是在路由器和網(wǎng)絡(luò)之間以橋接的方式連接。

2.2根據(jù)七成體系參考模型所定義的網(wǎng)絡(luò)層次，防火墻可分為兩種類型：網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。數(shù)據(jù)包過濾型防火墻是網(wǎng)絡(luò)層防火墻，它有用戶之前定義的過濾規(guī)則然后再對(duì)通過它的數(shù)據(jù)報(bào)文進(jìn)行過濾，但是數(shù)據(jù)包過濾不檢查連接請(qǐng)求的會(huì)話狀態(tài)和傳輸數(shù)據(jù)。代理型防火墻是應(yīng)用層防火墻的一種，它的功能是請(qǐng)求并轉(zhuǎn)發(fā)來自局域網(wǎng)內(nèi)用戶的會(huì)話，在轉(zhuǎn)發(fā)同時(shí)還要過濾用戶的會(huì)話。將兩種防火墻作對(duì)比，代理防火墻的安全性更高一些，當(dāng)一個(gè)IP報(bào)文送到了代理層，它的任務(wù)就已經(jīng)結(jié)束了，也就說明代理防火墻真正地阻斷了網(wǎng)絡(luò)的傳輸。

3 防火墻的設(shè)計(jì)原則

3.1簡單實(shí)用。在校園網(wǎng)絡(luò)的設(shè)計(jì)過程中，防火墻的設(shè)計(jì)越簡單越好。目前由于技術(shù)的不斷完善和發(fā)展，防火墻也在不斷完善功能，在原有的基礎(chǔ)上更加優(yōu)化，例如防火墻上增加的病毒查殺和入侵檢測等功能，如果這些功能不是網(wǎng)絡(luò)環(huán)境中所必需的，在配置的過程中可根據(jù)指定的使用環(huán)境進(jìn)行配置，不必對(duì)所有功能一一配置，否則會(huì)使配置任務(wù)更加繁瑣，以防由于配置的不協(xié)調(diào)，引發(fā)新的安全威脅，造成難以處理的后果。

3.2全面深入。在校園網(wǎng)的防火墻配置中，要盡量使各方面的配置加強(qiáng)，從深層次上防御整個(gè)系統(tǒng)。主要體現(xiàn)在兩個(gè)方面：一是在防火墻系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)上，比如采用多層次的防火墻結(jié)構(gòu)體系，將互聯(lián)網(wǎng)邊界防火墻、主機(jī)防火墻和部門邊界防火墻匯集于一體的防御措施；二是將入侵檢測功能、網(wǎng)絡(luò)加密功能、病毒查殺等多種安全策略有機(jī)結(jié)合的方式。

4 防火墻的配置

4.1以最小的權(quán)限安裝所有的訪問規(guī)則

為了使所有的校園網(wǎng)用戶都有大量的端口來獲取他們所需的資源，比較好的方法是在一個(gè)或者多個(gè)區(qū)域內(nèi)指定目標(biāo)對(duì)象。當(dāng)訪問校園網(wǎng)的用戶逐漸增大，管理員可能持續(xù)性的需要允許大范圍的IP地址來訪問網(wǎng)絡(luò)，這些規(guī)則的權(quán)限就會(huì)被過度釋放，因此就會(huì)極大地增加不安全因素。服務(wù)域的規(guī)則是開放65535個(gè)TCP端口的ANY。

4.2根據(jù)法律規(guī)定的協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改

在防火墻操作中，一般的工作都是查找問題，修正故障和安裝、更新系統(tǒng)。在處理安裝最新防火墻規(guī)則的問題上和使用新產(chǎn)品的進(jìn)程中，我們?nèi)菀缀雎苑阑饓σ彩切@網(wǎng)安全協(xié)議的執(zhí)行者。每一項(xiàng)規(guī)則都應(yīng)該重新檢查來保證它可以符合安全協(xié)議和法律法規(guī)規(guī)定的協(xié)議要求，應(yīng)予以重視。

4.3當(dāng)服務(wù)過期后應(yīng)把無用的規(guī)則從防火墻規(guī)則中刪除

規(guī)則膨脹是指防火墻常常會(huì)遇到的安全問題，由于很多管理團(tuán)隊(duì)都沒有設(shè)置刪除規(guī)則的過程。業(yè)務(wù)部門了解這些新規(guī)則，但是不會(huì)讓防火墻團(tuán)隊(duì)清楚他們已經(jīng)不使用某種服務(wù)了。有一個(gè)達(dá)成規(guī)則共識(shí)的好方法就是了解不再使用的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期。運(yùn)行無用規(guī)則的報(bào)表是另外一步。

4.4每年至少應(yīng)對(duì)防火墻完整的審核兩次

對(duì)于校園網(wǎng)的審查每年進(jìn)行兩次就可以，如果是更高級(jí)的網(wǎng)絡(luò)服務(wù)就要進(jìn)行多次審核才能保證安全性。

參考文獻(xiàn)

[1]張史彬.有關(guān)計(jì)算機(jī)安全與防火墻技術(shù)的分析[J].大科技，2012（19）.

[2]李琳.試析計(jì)算機(jī)防火墻技術(shù)及其應(yīng)用[J].信息安全與技術(shù)，2012（8）.