基于校园网络安全的防火墙技术及其演进

    李小庆

    摘要：防火墙技术作为一种抵抗黑客非法入侵、防止未经授权而非法访问某些信息节点的有效手段被广泛使用。文章主要论述校园网络面对的常见安全威胁和基于校园网络的常用防火墙技术方案优劣及其演进路线。

    关键词：防火墙；校园网；网络安全

    随着互联网技术的高速发展及社会信息化水平的不断提高，各大高校也越发强调、重视校园网络在日常教学、日常管理和信息共享方面发挥的作用。伴随着高校各方面的高速发展，高校内外部网络环境也变得日趋复杂，校园网络安全遭受的网络攻击给日趋依赖校园网络的高校日常工作带来了巨大的负面影响，因此如何采取措施尽可能地保证校园网络高效、稳定地正常运行已经成为各大高校教师及管理者关心的问题，而防火墙技术的应用在校园网络安全方面起到了重要作用。

    1校园网络的安全威胁

    与企业相比，目前高校相关人员对校园的安全观念及知识较为淡薄，因此更容易遭受网络安全威胁，同时给校园网络系统的稳定运行带来了更大的影响，在校园网络安全威胁中，黑客攻击、计算机病毒、应用程序的安全隐患等成为主要且常见的威胁类型。

    1.1黑客攻击

    黑客攻击覆盖了目前主流的各大操作系统如UNIX，LINUX或WINDOWS系列等，同时随着网络的高速发展，黑客攻击的数量近年来也呈指数增长，现代黑客攻击主要表现形式为网络攻击，从攻击类型上分为主动攻击和被动攻击。主动攻击主要是指通过篡改系统信息或者变更系统操作和状态，从而达到破坏系统信息的有效性、完整性和真实性的目的。被动攻击是在不影响系统正常运行的前提下，通过对系统信息的截获、流量分析等手段分析出系统中所包含的高价值机密信息，被动攻击并不改变系统信息状态，系统操作和状态也不会发生变更，对系统高价值信息造成了较大威胁。同时，按黑客所处位置可把黑客攻击分为校园外部攻击和校园内部攻击。校园外部攻击主要通过防火墙技术进行防范，校园内部攻击由于目标性强且来自校园内部人员，已经成为主要的攻击形式。

    1.2计算机病毒

    计算机病毒本质是一段可执行且带破坏性的计算机程序代码，计算机病毒经常造成校园网络中系统数据无端被删除、系统服务运行失败、信息泄漏等现象。计算机病毒由于具有传播快、隐蔽性强等特点，给网络信息安全及系统稳定带来了巨大的挑战，校园网络一旦接入因特网之后，通过携带病毒的文件下载、电子邮件、网络资源共享或网页浏览等途径可感染计算机病毒，校园网络系统具备预防、检查和清除病毒的能力是保障网络正常、可靠运行的有力保障。

    1.3服务程序的安全隐患

    校园网络通常会向广大师生提供基本的网络服务，但是由于校园网络管理者在经费及相关维护知识上的欠缺，导致了一个服务器上承载了过多的网络服务程序，如DNS服务器、FTP服务器、HTTP服务器和远程登录服务器等，这无疑增加了服务程序安全隐患，黑客也经常利用服务程序自身的一些漏洞来达到攻击校园网络的目的，如FTP服务程序过于简单的用户口令认证及信息也是以明文进行传输，远程登录程序部分信息也明文进行传输，黑客利用这些缺陷获取一定的服务权限后将会给系统带来巨大的风险。HTTP服务程序也经常因为自身漏洞较多遭受了频繁的攻击，同时黑客也经常针对服务程序发送大量访问请求信息，造成服务软件负载不高而崩溃，从而达到瘫痪服务程序的目的，也称为拒绝服务。由于DNS服务器在传输层使用UDP协议，目前经常遭受的攻击有2大类：一类是缓存区中毒，另外一类为域劫持。

    2防火墙技术概述

    防火墙一般处于校园网络与外部网络的边界处，通过设定一系列的访问准则来限定不同类型的网络通信。防火墙作为一种网络访问控制设备普遍应用于校园网络，防火墙的主要功能包括管理进出网络的访问行为，记录通过防火墙的信息内容和活动，监测和反馈网络攻击行为，防止内部信息的泄漏等。

    2.1防火墙的功能

    2.1.1管理进出网络的访问行为

    由于防火墙介于校园网络与外部网络临界处，可以对访问校园网络的信息和服务进行管理和控制，利用防火墙作为阻塞点，可以有效过滤掉存在风险的信息和服务，只允许防火墙规则准许下的服务和信息进行访问，可以有效降低校园网络安全威胁。

    2.1.2记录通过防火墙的信息内容和活动

    防火墙对访问校园网络的信息和服务进行控制和管理的同时，也会记录下其相关活动并生成日志文件，防火墙可以根据记录信息统计出网络使用情况或者监测出网络异常情况，并进行风险预处理。

    2.1.3监测和反馈网络攻击行为

    根据防火墙内置的访问限定规则，一旦发现有异常的访问请求时，防火墙将会发出警报，生成相应的异常报告并通过电子邮件的形式反馈给网络维护者，提醒维护人员可能存在攻击或者异常访问行为需要注意。

    2.1.4防止内部信息的泄漏

    防火墙可通过对网络进行网段划分，起到对重点或敏感网段进行保护的功能，网络划分后，局部网络出现攻击或者异常行为后并不会影响其他网段中的系统正常运行。

    2.2传统防火墙技术及其缺陷

    2.2.1静态包过滤防火墙技术

    互联网上传输的基本数据单元为IP数据包，静态包过滤防火墙技术通过检测IP数据包的包头信息是否与防火墙内置规则匹配，如果匹配的话，则按路由表进行下一步转发，如果被规则拒绝则丢弃，一般数据包头信息包括源/目的IP地址、端口号和协议类型等，该防火墙主要工作在网络层，也存在较多缺陷：（1）由于主要工作在网络层，无法有效应对网络应用层或数据链路层威胁。（2）配置防火墙的内置规则较为繁琐，对网络维护员要求较高。（3）虽能允许和拒绝特定服务内容，但无法理解其上下文环境和数据。（4）不能对用户级别进行过滤，无法鉴定不同的用户和防止IP被盗用。

    2.2.2状态监测防火墙技术

    状态监测防火墙是对传统防火墙的扩展，基于网络的连接状态及信息进行网络监测，把属于同一连接的数据包看作一个整体数据流，构成连接状态表，再与定义好的规则表配合，对表中的各个连接状态加以识别，不仅能监测网络外部攻击，同时也能检测较强的内部恶意攻击，主要缺陷是由于配置过于复杂，对网络速率造成较大影响。

    2.2.3应用级防火墙

    应用级防火墙对校园内外部网络应用连接请求先进行监测，然后帮助其连接相关服务器，使成功连接上服务器。同时具备日志功能，可以记录安全漏洞的信息并进行检查，应用级防火墙具备对访问信息进行强认证技术，保证数据内容的安全，防止恶意病毒的攻击，安全性能较高，但也有相关缺陷存在：（1）由于防火强要经过应用层进行连接，导致应用层负载增加，使网络的处理速度下降。（2）由于防火墙需要管理访问的连接请求，所以每当出现新的服务内容，需要重新设置防火墙配置，维护较为繁琐。

    2.3基于分布式防火墙技术及其应用

    2.3.1分布式防火墙技术概述

    分布式防火墙是一种新型防火墙技术，构成分布式防火墙的物理上多个实体形成一个逻辑防火墙，主要包括网络防火墙、主机防火墙和中心管理服务器3个部分，分布式防火墙通过管理中心制定接入控制策略，然后把接入控制策略语言编译成内部格式策略文件，通过系统管理工具分发各个物理防火墙实体，各个物理防火墙实体根据这些防火策略对各个系统进行保护。

    2.3.2基于校园网络的分布式防火墙结构及特点

    基于校园网的分布式防火墙由几部分构成：（1）校园网部门网络防火墙主要负责校园内部网络和外部网络之间的防护，同时也兼具内部网络之间的防护，防止来自内部网络的恶意攻击。（2）校园网部门主机防火墙主要是指安装在服务器或者主机系统内部的防火墙，用于其系统的监测防护。（3）校园分布式防火墙的网络管理中心是校园分布式防火墙的核心，虽然分布式防火墙的各个实体可能在不同的位置发挥防护作用，但是其防护策略还是统一由网络管理中心制定和管理。

    相对于传统防火墙，基于分布式防火墙的校园网络的特点是：

    （1）保障了校园网络的统一管理，通过网络中心制定统一的安全制度和策略，并对相关管理人员进行统一培训。

    （2）由于传统防火墙技术单一的接入控制点，造成了网络安全和可靠性较低，而分布防火墙不存在此类问题，并且消除了结构性瓶颈问题，提高了网络速率。

    （3）分布式防火墙的扩展性能较好，由于是通过多个物理分离的实体构成一个逻辑防火墙，这样对于学校网络合并变更来说有较好的适应性。

    3结语

    本文首先分析校园网络面对的常用安全风险，然后综述应对这些风险的防火墙技术的原理及其技术演进。防火墙技术在应对校园网络安全方面将发挥越来越重要的作用，并且随着网络的逐步发展，防火墙技术也在不断变革以适应其变化及带来的挑战。