防火墻技術(shù)及其在校園網(wǎng)中的應(yīng)用

楊韞

摘要：當(dāng)今社會，計算機網(wǎng)絡(luò)與信息技術(shù)都飛速發(fā)展，在某些我們無法看到的應(yīng)用中也可能隱藏者一些網(wǎng)絡(luò)威脅。本文介紹了防火墻技術(shù)及其實現(xiàn)方法，分析了防火墻優(yōu)勢及其存在的問題，并且介紹了防火墻的主要技術(shù)，提出了校園網(wǎng)存在的問題及防火墻在校園網(wǎng)絡(luò)的合理應(yīng)用。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；信息安全；校園網(wǎng)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）12-0047-03

隨著信息技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)變得越來越重要，已經(jīng)逐步滲透到日常生活工中的各個方面，人們生活工作學(xué)習(xí)都離不開他。計算機網(wǎng)絡(luò)雖然給我們帶來很多便利，但是與此同時也帶來了許多潛在的安全威脅，因此保障網(wǎng)絡(luò)安全也變得越來越重要。本文從網(wǎng)絡(luò)安全中的防火墻談起，主要探討防火墻技術(shù)包括防火墻的概念，優(yōu)勢及存在問題，運用的關(guān)鍵技術(shù)及在校園網(wǎng)絡(luò)上的運用。使我們更深入的了解了解到防火墻在網(wǎng)絡(luò)安全方面的作用是至關(guān)重要的。

1 防火墻概念

防火墻也叫防護(hù)墻，英文名稱為Firewall，是在內(nèi)網(wǎng)與外網(wǎng)之間建立的一種網(wǎng)絡(luò)安全系統(tǒng)，在外網(wǎng)與內(nèi)網(wǎng)之間，公用網(wǎng)絡(luò)與專用網(wǎng)絡(luò)之間形成了一道保護(hù)網(wǎng)絡(luò)安全的屏障，將允許“同意”的訪問和數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)，同時將“不同意”的訪問和數(shù)據(jù)拒之門外。防火墻就像是在一個網(wǎng)絡(luò)與另一個網(wǎng)絡(luò)間設(shè)置了一道關(guān)卡，根據(jù)預(yù)先設(shè)置好的安全策略對出入內(nèi)部網(wǎng)的信息流進(jìn)行有效控制，這樣不僅能有效防止無法預(yù)測的具有潛在破壞性數(shù)據(jù)流入侵內(nèi)部網(wǎng)，而且正常訪問被保護(hù)的網(wǎng)絡(luò)也不會受到影響。盡管近些年涌現(xiàn)出大批的網(wǎng)絡(luò)安全技術(shù)，但是截至目前，防火墻仍是保護(hù)網(wǎng)絡(luò)安全最常用的也是最成熟的技術(shù)。

2 防火墻的優(yōu)勢有

第一，內(nèi)部網(wǎng)和外部網(wǎng)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過防火墻。也就是說，防火墻就像是一個隔離器一樣通過設(shè)置安全策略來保護(hù)內(nèi)網(wǎng)安全，只允許符合安全策略的數(shù)據(jù)進(jìn)入到內(nèi)部網(wǎng)絡(luò)中去，將不符合安全策略的數(shù)據(jù)拒之門外。假如失去了防火墻的保護(hù)，內(nèi)部網(wǎng)絡(luò)上的每個主機都有可能受到不法分子的攻擊，其安全性也會大大降低，有了防火墻就等于在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立了一個安全屏障，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問內(nèi)部網(wǎng)絡(luò)，防止他們隨意篡改破壞網(wǎng)絡(luò)上的重要信息，從而有效保障內(nèi)部網(wǎng)絡(luò)的安全。

第二，作為內(nèi)網(wǎng)與外網(wǎng)進(jìn)出的唯一控制點，所有進(jìn)出信息都必須通過防火墻，因此防火墻能夠有效收集記錄網(wǎng)絡(luò)正常使用或者錯誤使用的信息并做出日志記錄，無時無刻的監(jiān)視計算機網(wǎng)絡(luò)的安全性，一旦發(fā)現(xiàn)問題立即給管理員發(fā)出警報。

第三，防火墻可以通過NAT來緩解地址空間緊張。以防火墻為中心的安全方案的配置可以對網(wǎng)絡(luò)安全進(jìn)行強化，可以在防火墻上配置相應(yīng)的軟件且將相應(yīng)網(wǎng)絡(luò)安全問題分散到不同主機上做出比對與分析，使計算機網(wǎng)絡(luò)能夠進(jìn)行集中的安全管理，從而有效節(jié)約了成本。

第四，防火墻能間隔網(wǎng)絡(luò)中的網(wǎng)段，防止由于一個網(wǎng)段出現(xiàn)的問題而影響到整個網(wǎng)絡(luò)的正常運行使用，更好的保護(hù)內(nèi)部網(wǎng)絡(luò)。

第五，防火墻可以加密重要信息。在重要信息被用戶設(shè)定之后，防火墻會自動屏蔽網(wǎng)絡(luò)訪問文件的程序并對網(wǎng)絡(luò)地址進(jìn)行加碼，這樣就可以有效防止重要信息外泄，從而達(dá)到了保障信息的安全的作用。

第六，防火墻在通常情況下都可以做到安全失效。意思是假如防火墻由于遭受攻擊或其他原因崩潰的時候，就會出現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的斷開連接。但是這種情況并不會影響到內(nèi)部網(wǎng)絡(luò)的正常工作，僅僅是內(nèi)網(wǎng)不能訪問外網(wǎng)。

3 防火墻存在問題

防火墻放在內(nèi)部網(wǎng)與外部網(wǎng)的邊界，直接面對的是不可信網(wǎng)絡(luò)所有可能的攻擊，所以也存在著諸多問題：

第一，防火墻不能防范不經(jīng)由它的攻擊。防火墻作為一道隔離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的門戶，雖然對于通過它進(jìn)行傳輸?shù)男畔⒛軌蜻M(jìn)行有效的阻擋，但假設(shè)信息傳輸不通過防火墻而進(jìn)行，那么防火墻就無法有效攔截非法入侵。例如，假如用戶直接使用移動硬盤或者U盤等存儲設(shè)備對信息數(shù)據(jù)進(jìn)行移動或復(fù)制，這些信息數(shù)據(jù)就可以直接繞過防火墻，由于這些信息數(shù)據(jù)的傳送并沒有通過防火墻，所以防火墻無法對其進(jìn)行安全防范。

第二，防火墻無法防范來自內(nèi)網(wǎng)用戶的攻擊。俗話說“家賊難防”，防火墻防外卻不防內(nèi)。由于內(nèi)部人員對內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)更為熟悉，假設(shè)內(nèi)部用戶直接從網(wǎng)絡(luò)內(nèi)部入侵或是進(jìn)行一些破壞行為（對軟硬件進(jìn)行破壞、對重要的數(shù)據(jù)和信息篡改或竊?。?，由于這些行為并沒有通過防火墻，所以防火墻是無法對其阻止的。

第三，防火墻無法對數(shù)據(jù)驅(qū)動型攻擊進(jìn)行防范。那么什么是數(shù)據(jù)驅(qū)動型的攻擊呢？從表面上來看，數(shù)據(jù)驅(qū)動攻擊是用戶通過外網(wǎng)下載了看似無害的數(shù)據(jù)信息或是通過移動硬盤等途徑將數(shù)據(jù)信息復(fù)制到自己的計算機中。但是這些數(shù)據(jù)或程序一旦被執(zhí)行，就很有可能會發(fā)起攻擊，其結(jié)果可能會使入侵者得到某些權(quán)限，甚至極有可能導(dǎo)致本機上的安全配置文件被修改。

第四，防火墻無法對已經(jīng)感染了病毒的軟件或文件進(jìn)行防范。由于病毒種類多、操作系統(tǒng)各不相同、文件壓縮的方法也多種多樣，因此不能期望防火墻對各個進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和文件都進(jìn)行掃描，針對這類缺陷，最好還是在每臺計算機上都安裝殺毒類軟件。

第五，由于開放的端口越多，受到攻擊的途徑也就越多。而為了提高被保護(hù)的內(nèi)網(wǎng)安全性，防火墻限制或者關(guān)閉了很多存在安全漏洞的網(wǎng)絡(luò)服務(wù)，因此犧牲了許多有用的網(wǎng)絡(luò)服務(wù)。

第六，防火墻無法對不斷更新的攻擊方式進(jìn)行防范。因為通常情況下，人們都是在已知或現(xiàn)有的攻擊模式下來制定防火墻安全策略的，所以，也就缺少對全新的攻擊方式制定的阻止功能，沒有一個防火墻能有效防御所有的攻擊。

4 防火墻的關(guān)鍵技術(shù)

4.1包過濾防火墻

包過濾防火墻主要工作在網(wǎng)絡(luò)層，其技術(shù)的關(guān)鍵就是網(wǎng)絡(luò)的分包傳輸。以包為單位在網(wǎng)絡(luò)中進(jìn)行信息傳遞，所有往來的信息在網(wǎng)絡(luò)上被分割成許多定長的信息包。根據(jù)防火墻內(nèi)預(yù)先設(shè)定好的規(guī)則進(jìn)行過濾，檢查數(shù)據(jù)流中每個數(shù)據(jù)包頭部，再根據(jù)數(shù)據(jù)包的源地址、目的地址、目的端口號、TCP/UDP源端口號還有數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過。此種防火墻有很多的優(yōu)點，例如速度快、適應(yīng)力較強、成本較低，能夠在簡單的環(huán)境中確保網(wǎng)絡(luò)計算機的安全。缺點是配置相對來說會比較煩瑣些，包過濾路由器通常沒有用戶的使用記錄，因此便無法獲得入侵者的攻擊記錄，雖能阻止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問卻無法限制內(nèi)部網(wǎng)絡(luò)之間的訪問且不能鑒別不同的用戶也無法防止IP地址被盜用。

4.2 代理防火墻

這種防火墻通常被稱為代理服務(wù)器，是比較高級的一種防火墻技術(shù)。這種方式內(nèi)網(wǎng)與外網(wǎng)無直接的數(shù)據(jù)通道，也就是說內(nèi)網(wǎng)與外網(wǎng)不直接通訊。代理服務(wù)器位于客戶機與服務(wù)器之間，就像是數(shù)據(jù)信息的中轉(zhuǎn)站，將客戶機與服務(wù)器間直接的數(shù)據(jù)交流完全阻擋。從服務(wù)器角度來說，代理服務(wù)器是一臺真正的客戶機，而從客戶機的角度上來說，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器。用戶間網(wǎng)絡(luò)信息在進(jìn)行溝通和交流時，必然會經(jīng)過代理防火墻這個中轉(zhuǎn)站，代理型防火墻對信息數(shù)據(jù)進(jìn)行過濾，將允許通過的信息數(shù)據(jù)傳輸?shù)秸娴挠脩綦娔X中，將不允許的數(shù)據(jù)信息及非法攻擊等阻擋下來，從而保障計算機的網(wǎng)絡(luò)安全及用戶之間信息安全。

代理型防火墻最大的優(yōu)點就是有很強的安全性能，但因為不允許用戶直接訪問網(wǎng)絡(luò)，導(dǎo)致訪問速度變慢，效率也相對低。

4.3 狀態(tài)監(jiān)測防火墻

這種防火墻使用了監(jiān)測引擎，可以追蹤每一個通過其建立的連接，還可以根據(jù)用戶的需要動態(tài)地在過濾規(guī)則中增加或更新條目。由于監(jiān)測引擎支持多種應(yīng)用程序和協(xié)議，所以具有了較好的適應(yīng)性和擴展性，使得實現(xiàn)應(yīng)用和服務(wù)的擴充更為簡單容易。與前面兩種防火墻不同的是，狀態(tài)監(jiān)視器要在用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前就抽取相關(guān)的數(shù)據(jù)來進(jìn)行比對分析，結(jié)合當(dāng)前網(wǎng)絡(luò)的配置和安全規(guī)定一系列處理動作（接受、拒絕、身份認(rèn)證、報警、通信加密等）。在提高計算機的安全防范功能方面上，此類防火墻無疑是相對可靠和比較安全的，但是這種監(jiān)測型的防火墻技術(shù)有很大的缺點就是配置相對復(fù)雜，不易管理且成本費用比較高。

5 防火墻技術(shù)在校園網(wǎng)絡(luò)的應(yīng)用

首先，計算機病毒是威脅校園網(wǎng)絡(luò)安全最主要的因素。計算機病毒實質(zhì)上是一種特殊的計算機程序，有很強的自我復(fù)制能力。由于它的傳播途徑非常廣泛，例如網(wǎng)上下載、電子郵件、移動硬盤及其他移動存儲設(shè)備等，所以校園網(wǎng)中假如有一臺機器被感染，就很可能會進(jìn)行迅速的傳播與蔓延進(jìn)而影響整個網(wǎng)絡(luò)的正常使用，甚至造成校園網(wǎng)絡(luò)癱瘓。

其次，由于校園網(wǎng)與Internet相連，人們在享受Internet帶來的便利的同時，也會時刻面臨著遭遇不法分子攻擊的風(fēng)險。如今黑客的攻擊手段越來越多，越來越隱蔽令我們防不勝防。有些黑客甚至攻擊校園網(wǎng)絡(luò)，使校園網(wǎng)服務(wù)器無法正常使用，給學(xué)校造成了巨大損失。

第三，現(xiàn)在很多專家都認(rèn)為，比起外網(wǎng)的威脅，其實校園內(nèi)部用戶對網(wǎng)絡(luò)的攻擊甚至更多。隨著互聯(lián)網(wǎng)的普及，一部分學(xué)生對網(wǎng)絡(luò)比較了解，對新技術(shù)也充滿好奇心，有時候會在好奇心促使下，有意或是無意地對校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，嚴(yán)重時甚至?xí)蓴_到校園網(wǎng)的安全運行，這無疑會給校園網(wǎng)的安全工作增加難度。

6 防火墻技術(shù)在校園網(wǎng)的合理應(yīng)用

首先，防火墻可以有效保障校園網(wǎng)絡(luò)設(shè)施的安全性。校園有許多網(wǎng)絡(luò)設(shè)備是個信息高度集中的地方，防火墻就像個忠誠衛(wèi)士一樣保護(hù)著他們安全。所以在不可能更換學(xué)校整體網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的前提之下，通過加強防火墻的功能對實現(xiàn)校園網(wǎng)絡(luò)安全意義十分重大。

其次，防火墻可以阻止內(nèi)部網(wǎng)絡(luò)訪問不安全網(wǎng)站。當(dāng)今信息時代，各式各樣的網(wǎng)站層出不窮，這其中當(dāng)然也包含著許多危險的網(wǎng)站。特別是在校園，師生們很有可能無意間就點開這些危險網(wǎng)站，進(jìn)而也很可能對學(xué)校的官網(wǎng)、選課系統(tǒng)等進(jìn)行攻擊。一旦被攻擊成功，將很可能導(dǎo)致網(wǎng)站癱瘓，會對學(xué)校的日常工作產(chǎn)生嚴(yán)重影響。而防火墻則可以對這些危險的網(wǎng)站訪問進(jìn)行阻止，確保師生有一個良好的上網(wǎng)環(huán)境。

最后，防火墻可以實時對校園信息進(jìn)行監(jiān)控、控制流量并監(jiān)管瀏覽內(nèi)容。在校園網(wǎng)中，由于防火墻可以控制著所有信息的出入，對信息的采集有著得天獨厚的優(yōu)勢，學(xué)?？梢酝ㄟ^防火墻對信息進(jìn)行分類采集并進(jìn)行比對分析，對某些不良網(wǎng)站或者惡意軟件執(zhí)行禁止訪問操作，或者管制個別不文明學(xué)生的不道德行為，方便對學(xué)生的日常的網(wǎng)絡(luò)生活進(jìn)行監(jiān)管，這對于建設(shè)綠色校園網(wǎng)絡(luò)有著至關(guān)重要的作用。

7 結(jié)語

隨著人類社會的不斷進(jìn)步，校園網(wǎng)絡(luò)安全問題已經(jīng)引起越來越多學(xué)校的重視，網(wǎng)絡(luò)防火墻技術(shù)也越來越被廣泛應(yīng)用于校園數(shù)字化建設(shè)，雖然防火墻技術(shù)還存在著一些漏洞與不足，但是我相信隨著防火墻技術(shù)的不斷進(jìn)步與發(fā)展，未來的防火墻一定能夠更好地保護(hù)好校園網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 王麗玲.淺談計算機安全與防火墻技術(shù)[J].電腦開發(fā)與應(yīng)用，2012，25（11）：67-69.

[2] 劉水. 防火墻與入侵檢測系統(tǒng)在校園網(wǎng)中結(jié)合應(yīng)用的初探[D].南京理工大學(xué)，2003.

[3] 凌捷，肖鵬，何東風(fēng).防火墻本身的安全問題淺析[J].計算機應(yīng)用與軟件，2004（02）：94-96.

[4] 趙凱. 防火墻關(guān)鍵技術(shù)的研究與硬件實現(xiàn)[D].西北工業(yè)大學(xué)，2007.

[5] 李琳.試析計算機防火墻技術(shù)及其應(yīng)用[J].信息安全與技術(shù)，2012，3（08）：46-48+51.

[6] 巴特爾.防火墻技術(shù)在校園網(wǎng)中的應(yīng)用[J].信息與電腦（理論版），2015（11）：91-92.

[7] 郝玉潔，常征.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報（社科版），2002（01）：5-7.

[8] 黃卓. 防火墻關(guān)鍵技術(shù)的研究[D].沈陽工業(yè)大學(xué)，2006.

[9] 祁宏偉. 校園網(wǎng)絡(luò)信息安全保護(hù)研究與實現(xiàn)[D].內(nèi)蒙古大學(xué)，2010.