關鍵詞：數(shù)據(jù)；安全；規(guī)則

1 國內(nèi)外高校網(wǎng)絡發(fā)展研究趨勢

1.1 國外高校網(wǎng)絡發(fā)展研究趨勢

在美國加州大學洛杉磯分校及各大學布置網(wǎng)絡連接點，通過連接與多個大學與不同的研究機構進行互相數(shù)據(jù)傳輸。在這種網(wǎng)絡快速發(fā)展的情形下，使得原本傳統(tǒng)的買賣以數(shù)字化的模式經(jīng)過網(wǎng)絡技術解決以及傳遞，給人帶來許多的方便，但也隱藏著許多隱患，因為風險點敏感性的數(shù)據(jù)以及個體私密的數(shù)據(jù)在網(wǎng)絡上受到黑客的竊取、或許偽冒個人身份從而進行違法犯罪行為、電腦中病毒，易造成操作系統(tǒng)崩潰，無法正常使用。以及網(wǎng)絡服務器敏感數(shù)據(jù)丟失，導致造成大量的經(jīng)濟損失，這些問題的發(fā)生，明顯是向網(wǎng)絡安全發(fā)起了挑戰(zhàn)。

1.2 國內(nèi)高校網(wǎng)絡發(fā)展研究趨勢

隨著經(jīng)濟快速發(fā)展，國內(nèi)高校網(wǎng)絡安全建設管理勢在必行。據(jù)不完全統(tǒng)計，全國已有上千所高校與相關的國家教育科研網(wǎng)進行互連。由此，高校校園網(wǎng)的管理和教學管理所共享的教師資源及各種基礎信息建設、共享、管理，是我國高校信息發(fā)展及網(wǎng)絡安全頭等大事，一般高校會將管理、教學、科研、研究融為一體，過程離不開校園網(wǎng)絡健康發(fā)展建設?？傮w來說，校園網(wǎng)絡安全管理的各項工作與校園師生應用的網(wǎng)絡是否安全建設相輔相成。在學校實現(xiàn)網(wǎng)絡安全治理及應對教學管理任務，起到了很大的作用，為我國教學管理的科研和開展各種工作提供有力保障。而我國高校網(wǎng)絡安全管理，相比其他國家來說，比較靠后，主要是中國網(wǎng)絡發(fā)展起步比較慢，當時的相關研發(fā)人員也沒有得到足夠重視，因此安全問題也被忽視，依據(jù)高校運作的體系，需要對校園內(nèi)部網(wǎng)絡及外部網(wǎng)絡環(huán)境等安全進一步研究。

2 高校網(wǎng)絡數(shù)據(jù)中心安全建設

目前，校園網(wǎng)絡安全性存在多方面原因。例如，校園內(nèi)部通過互聯(lián)網(wǎng)下載帶有病毒的應用軟件、游戲軟件、聊天工具等，在使用過程中，垃圾廣告軟件會時而跳出，一不留意，就會造成病毒入侵。在這種情況下，需要師生共同努力，有預見性建設好校園網(wǎng)絡，針對存在的問題，進行細化預判，并對存在的安全隱患進行總結、歸類、分析。除了以上措施外，還需要把校園網(wǎng)建設中所需要的各種硬性條件全面梳理，降低風險度、有利于校園網(wǎng)建設技術方案的提高。以綜合的安全防護技術為基礎，解決建設過程中發(fā)生的各類突發(fā)性問題。有利于提高校園網(wǎng)的安全性和穩(wěn)定指數(shù)。

2.1 高校網(wǎng)絡數(shù)據(jù)中心防火墻安全技術

高校所有的信息數(shù)據(jù)都集中于網(wǎng)絡中心云平臺，包括門戶網(wǎng)站、網(wǎng)絡課程平臺、OA系統(tǒng)、各部門分網(wǎng)站等融為一體，網(wǎng)絡資源類別較多，這些網(wǎng)絡資源的數(shù)據(jù)信息非常重要，這些信息資源一旦被破壞，將會造成大量數(shù)據(jù)丟失，無法衡量它的價值所在。因此，針對網(wǎng)絡架構所采用的網(wǎng)絡硬件設備進行評估，首先要保障校園網(wǎng)信息的完整性，既要保證內(nèi)部安全，又要防止外部的入侵攻擊，同時也要提高校園網(wǎng)內(nèi)部的使用者審核機制，防止本校重要資源外泄，本研究通過防火墻技術在網(wǎng)絡數(shù)據(jù)中心起到關鍵作用。

2.2 防火墻安全功能體系

防火墻是與內(nèi)部和外部網(wǎng)絡的一個整體，同時對高校內(nèi)部網(wǎng)絡的數(shù)據(jù)安全提供強有力的保障，以防止SQL注入方式入侵、變異病毒傳播等，保護校園內(nèi)部網(wǎng)絡數(shù)據(jù)安全性，通過防火墻規(guī)則優(yōu)化、設置，運用防火墻日志進行記載、剖析。劉忠祥[1]利用防火墻技術則是特征掃描與分析病毒代碼，隨后將其特征值提取出來。在數(shù)據(jù)瓶頸的基礎上，對原有的數(shù)據(jù)源及應用數(shù)據(jù)動態(tài)更新發(fā)生的變化進行對比，查找病毒傳染位置，確定病毒種類，對病毒進行分析，隨后進行對數(shù)據(jù)產(chǎn)生的破壞進行修復及病毒處理。

首先，以往研究是通過既有的防火墻規(guī)則進行優(yōu)化，由于管理者不斷地進行防火墻規(guī)則調(diào)整，長時間會造成規(guī)則之間的異常或冗余，容易造成防火墻政策無法正常執(zhí)行與管理。因此，針對現(xiàn)有防火墻規(guī)則，專家學者們通過相關算法的設計與開發(fā)來自動化識別出異常或冗余規(guī)則。視防火墻規(guī)則為政策樹并定義其模型，將防火墻政策逐條通過政策樹的比對定義出錯誤偵測的異常狀態(tài)。

其次，相關的網(wǎng)絡技術人員利用防火墻日志記錄，對防火墻存在的問題去評測和分析，運用數(shù)據(jù)流存在的瓶頸，查找出對防火墻日志記錄產(chǎn)生大量的數(shù)據(jù)冗余與各種錯誤規(guī)則，網(wǎng)絡技術人員對網(wǎng)絡防火墻規(guī)則進行維護，有利于提高防火墻的工作效率。

最終，防火墻使用透明模式。在防火墻設置IP管理地址，并把配置好的IP端口與相關交換機互連，根據(jù)業(yè)務系統(tǒng)其他要求進行安全配置。

3 高校網(wǎng)絡數(shù)據(jù)中心防火墻分布

3.1 數(shù)據(jù)包過濾防火墻

數(shù)據(jù)包過濾防火墻在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。防火墻工作模式的第一件事情就是讀取封包數(shù)字表內(nèi)容，并對數(shù)據(jù)包進行篩選后再返回路由。

3.2 應用層網(wǎng)關

防火墻也稱為代理服務器，當內(nèi)部設備和外部設備主機網(wǎng)絡進行連通時，防火墻代理服務器會和兩端主機設備進行工作。

3.3 線路網(wǎng)關

線路網(wǎng)關功能在運行過程對TCP連接起到隔離作用，內(nèi)外部運行時都要經(jīng)過線路網(wǎng)關轉接，也就是轉接點，工作過程不會對封包數(shù)據(jù)應用層檢視。

3.4 封裝包凈化原則

防火墻通過人工進行設置鏈，通常有輸入鏈、輸出鏈等，這些鏈起到允許和禁止的原則。防火墻對符合封包數(shù)據(jù)、規(guī)則設置有三點：一是通過；二是禁止通行，直接將封包丟棄；三是將封包退回。

其中，假如封包退回，也有可能造成嚴重后果。退回包傳出指令，網(wǎng)絡數(shù)據(jù)流量會大量增加，如部分不法分子通過黑客技術、WEB入侵、ODAY攻擊、釣魚攻擊等發(fā)動大量的封包攻擊，則可能遭受防火墻里的阻斷服務攻擊，網(wǎng)絡中心數(shù)據(jù)、系統(tǒng)等將造成威脅。而且回應的不正確封包可攜帶其計算機設施的信息反饋給非法分子來判斷目標主機安裝的應用系統(tǒng)，導致系統(tǒng)軟件信息出錯，黑客根據(jù)獲取路徑進行攻擊，運用Reject來對封包數(shù)據(jù)規(guī)則進行對比。

4 高校網(wǎng)絡數(shù)據(jù)中心網(wǎng)絡拓撲結構的設計

根據(jù)網(wǎng)絡中心需求分析得出結果，網(wǎng)絡的整體規(guī)劃以負載均衡為前提，主要針對網(wǎng)絡系統(tǒng)的核心路由器、核心交換機進行負載均衡設計。使用高性能網(wǎng)絡設備保證網(wǎng)絡高速運行。保證網(wǎng)絡可靠的同時，也充分考慮網(wǎng)絡日后擴展，為日后留有足夠空間，保證網(wǎng)絡擴展的便利性。根據(jù)網(wǎng)絡中心規(guī)劃，網(wǎng)絡拓撲結構圖設計，考慮到網(wǎng)絡形成環(huán)路問題，并結合本中心采用星型拓撲結構，同時，采用較高冗余設計以便于滿足負載均衡。

4.1 網(wǎng)絡拓撲結構的設計

當設備啟動時，設備會進行一系列初始化，在啟動上花費一定的啟動時間，初始化配置并啟動封包過濾規(guī)則控制程序、防火墻SNMP信息交換程序及防火墻監(jiān)控程序，最后將相關數(shù)據(jù)傳送至系統(tǒng)，顯示初始設置信息與初始運作狀態(tài)。當系統(tǒng)啟動后，規(guī)則控制程序會依據(jù)初始的設置進行封包過濾，達到防火墻的功能，防火墻之間會彼此進行異常監(jiān)控，當發(fā)生異常時就可以接替異常機器的網(wǎng)絡設置。當管理者對過濾規(guī)則做變更，封包過濾程序就會以新的規(guī)則加以過濾。

4.2 高校網(wǎng)絡數(shù)據(jù)中心的防火墻規(guī)則

防火墻規(guī)則設計都是以開放其所要開放的服務，阻擋未開放或不在開放清單內(nèi)的服務為主要目標，稱為正向安全模型（Positive Security Model） 或正面列表（White-listing） 。從防火墻系統(tǒng)角色來說，也就是允許合法的網(wǎng)絡傳輸通過，拒絕所有不受允許的網(wǎng)絡傳輸封包。本項目依據(jù)防火墻運行所體現(xiàn)的特點，針對規(guī)則對比、過濾，再做出拒絕。而原先通過的記錄，則表明這些規(guī)則在防火墻規(guī)則表中已經(jīng)存在，無須重復操作，通過對規(guī)則進行設置、增加或刪除、過濾，提高防火墻防護能力。防火墻策略調(diào)整，對某個時間節(jié)點，所產(chǎn)生的相關規(guī)則比對表進行綜合分析，如果符合對比表將會進行相關的操作。

5 利用防火墻技術進行安全配置數(shù)據(jù)過濾

陳躍龍[2]對現(xiàn)有的網(wǎng)絡提出解決思路， 將網(wǎng)絡安全配置作為頭等大事，因此，對防火墻技術進行合理設置、操作，防火墻硬件設備作為一道防線，對內(nèi)外網(wǎng)絡能起到保護作用， 主要是防火墻的內(nèi)部相互獨立，與外界隔斷，變成獨立的區(qū)域， 這個區(qū)域的主要作用是對內(nèi)部數(shù)據(jù)進行保護，對來訪者進行驗證、隔離，防火墻對內(nèi)外數(shù)據(jù)信息會進行監(jiān)視和分析，一旦遭受黑客惡意攻擊，防火墻會主動做出響應， 阻斷外來入侵者對內(nèi)網(wǎng)的IP地址層進行過濾、解析， 同時對IP地址層起到隱匿作用，入侵者如果無法正常獲取客戶端用戶的IP段， 對于入侵者無法控制客戶端的設備，內(nèi)部網(wǎng)絡數(shù)據(jù)信息安全就未受到破壞，內(nèi)部網(wǎng)絡數(shù)據(jù)信息安全將得到保護。更為特殊的情況下，入侵者通過SQL注入技術手段，完成對內(nèi)網(wǎng)獲取用戶信息，如賬號和密碼，進入登錄用戶進行操控，但防火墻對入侵者有效阻止入侵， 所以采用防火墻技術對內(nèi)部網(wǎng)絡的數(shù)據(jù)信息防護將不會受到影響。

6 數(shù)據(jù)中心的防火墻關鍵核心技術的應用

防火墻是保護局域網(wǎng)絡受外部網(wǎng)絡攻擊與設備兼容軟件受到的損壞，它能將內(nèi)部網(wǎng)絡隱形，阻止外部入侵，避免未經(jīng)授權的信息外流。防火墻分為硬件與軟件兩種，防火墻的防護措施針對網(wǎng)絡界來說是最好的選擇，同時使用防火墻廠商設計的帶有特殊技術防護的操作系統(tǒng)，相較于日常常見的操作系統(tǒng)在安全漏洞上會比較少。軟件防火墻是可以提供較高的彈性和擴充性，可以將購買的軟件防火墻安裝在現(xiàn)有的網(wǎng)關服務器上，網(wǎng)關服務器則不需要變更網(wǎng)絡架構。例如，與防火墻搭配的VPN、內(nèi)容過濾、加解密工具、防毒工具等。一套完整的防火墻至少需要有使用者認證、過濾封包、LOG分析工具、在線監(jiān)控等相關功能。因此，防火墻的搭建是保護網(wǎng)絡安全的根本要求。

黃景堅[3]提出了防火墻入侵防御功能，能夠有效地為網(wǎng)絡內(nèi)部數(shù)據(jù)信息提供安全防護；同時在防火墻內(nèi)部啟動APT檢測模塊，能夠實時對目標進行定位跟蹤，對內(nèi)部網(wǎng)絡數(shù)據(jù)安全進行保護；對防火墻功能模塊24小時啟動掃描功能，對網(wǎng)絡數(shù)據(jù)層產(chǎn)生的流量進行對比分析，對數(shù)據(jù)信息受到威脅進行提高防范意識，以防內(nèi)部網(wǎng)絡數(shù)據(jù)信息受到竊取或損壞，維護校園內(nèi)部網(wǎng)絡數(shù)據(jù)信息安全。

本次實驗所實施的網(wǎng)絡防火墻為深信服，布置在交換機與路由設備之間。深信服防火墻的使用訪問策略如下：

1） 在網(wǎng)絡交換機、防火墻等設備上配置細粒度的訪問控制策略，在流量管理模塊，建立虛擬線路規(guī)則、流量管理系統(tǒng)配置，對進入流量實行細粒度的白名單配置管理，防止攻擊者在行業(yè)業(yè)務專網(wǎng)上隨意漫游[5]。

2） 黃景堅[3]提出采用數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，強化數(shù)據(jù)庫安全防護。對重要信息系統(tǒng)數(shù)據(jù)庫應采用禁止遠程登錄，并設置超級管理員賬號及復雜的密碼。采用WEB應用防火墻、WEB應用漏洞掃描，強化網(wǎng)站安全防護，可檢查應用層掛木馬、敏感詞、可用性等[4]。

3） 根據(jù)業(yè)務的應用需求只允許特定端口通過，深信服防火墻默認業(yè)務數(shù)據(jù)端口是全部關閉的。王冉[4]提出，由于防火墻的存在，對數(shù)據(jù)過濾及實現(xiàn)數(shù)據(jù)轉換，捕捉到更為安全的數(shù)據(jù)信息。

7 結束語

依據(jù)高校網(wǎng)絡布局為出發(fā)點，以防攻擊者通過外部網(wǎng)絡入侵，并有效、有針對性地研究網(wǎng)絡數(shù)據(jù)中心帶來的各種問題，采取高效、高速的千變?nèi)f化的病毒及黑客采用的各種手段，提高網(wǎng)絡安全認知、提高警惕性，有效地降低網(wǎng)絡數(shù)據(jù)中心安全性帶來的各種風險，有效提高網(wǎng)絡數(shù)據(jù)安全、防護資源平臺及人性化的防護機制。高校網(wǎng)絡數(shù)據(jù)中心健康發(fā)展，有利于國家經(jīng)濟的健康發(fā)展，網(wǎng)絡的構建與網(wǎng)絡法制是環(huán)環(huán)相連，不能有怠慢，要引起重視。假如網(wǎng)絡受攻擊，網(wǎng)絡攻擊者通過查找數(shù)據(jù)中心中的漏洞，比如，用戶賬號、用戶密碼等最脆弱的環(huán)節(jié)，就可以攻擊網(wǎng)絡的保護機制，因此，作為網(wǎng)絡中心的技術人員，應以嚴謹工作態(tài)度、應對網(wǎng)絡中心各種信息安全的防護，不要因為工作上的疏忽，造成網(wǎng)絡安全漏洞或成為黑客攻擊的跳板。在面對千變?nèi)f化的病毒及黑客等威脅，只有主動積極做好網(wǎng)絡安全防護，才能保護好網(wǎng)絡中心數(shù)據(jù)安全。張大鵬[5]提出，加強網(wǎng)絡安全防護措施及網(wǎng)絡中心數(shù)據(jù)的安全性，防火墻充當著安全守衛(wèi)的角色，能對內(nèi)部網(wǎng)絡的數(shù)據(jù)信息有效檢測和識別，能夠有效地對入侵者及病毒傳播攔截。