防火墙在校园网中的应用
防火墙在校园网中的应用
1防火墙 的概 念和 主要 技术
网 络 防 火 墙 是 一 种 用 来 加 强 网 络 之 间访 问 控 制 的 特 殊 网 络 互 联 设 备 。它 对 两 个 或 多 个 网 络 之 间传 输 的数 据 包 和 链 接 方 式 按 照 一 定 的安 全 策 略 对 其 进 行 检查 , 决 定 网络 之 间 的通 信 是 否 被 来 允 许 , 中 被保 护 的 网 络 被 称 为 内 部 网络 。 一 方 则 称 为 外 部 网 其 另 络 。在 逻 辑 上 , 防火 墙 是 一个 分离 器 , 个 限 制 器 , 是 一 个 分 析 一 也 器 , 效 地 监 控 了 内部 网 和 It nt 间 的 任何 活 动 , 证 了 内部 有 ne e之 r 保
网络 的安 全 。 防 火 墙 两 大 主要 技 术 :
( ) 过 滤 技 术 1包
转 发速 度 快 、 率 较 高 。 效 ( ) 用 代 理 2应 应 用 代 理 防 火 墙 主 要 是 作 为 一 个 外 部 系 统 和 内部 系 统 的 中 继 站 , 样 , 据 包 就 不 是 直 接 传 送 , 是 在 中间 作 一 些 预 处 理 后 这 数 而 进 行 传 送 。每 个 代 理 只 对 已 经确 定 的 应用 协议 服 务 , 因此 可 以 对 其 他 的协 议 进 行 封 闭 。 且 可 以采 取 一 些 安 全 策 略 。这 种 防 火 墙 并 的工作方式和过滤数据包的防火墙 、 以路 由器 为 基 础 的 防 火 墙 的 工作 方 式 稍 有 不 同 . 是基 于软 件 的 。 它 应用 代理 防 火 墙 工 作 于 应 用 层 ,且 针 对 特 定 的应 用 层 协议 。 代 理 防火 墙 通 过 编 程 来 弄 清 用 户 应 用 层 的 流量 , 能 在 用 户层 和 并 应 用 协 议 层 提 供 访 问控 制 。而 且 。 可 用 来 保 持 一 个 所 有 应 用 程 还 序 使 用 的 记 录 。记 录 和 控 制 所 有 进 出 流量 的能 力是 应 用 层 网关 的
防火墙技术在校园网安全建设中的应用
Ke wo d C mp s Ne ok y r : a u t r w
TCP I /P
Ne ok S c rt w t r e u i y
Frwal ie l
va l n
1校 园 网的安 全分析
网络具有信息交流和信 息共享的特点 ,公 安部、网监 处、教育部 门及各级管理机 构越来越重视 信息 的安全与健 康 ,作为教育信息化基石和 院校 形象保障 的校 园网的信 息 安全 问题不容乐观。
pe e t e p l ain o rw.I ehI o y n te c n tu t n fc mp s n tok sc rt. rsns t a pi to f e I c g i h o sr ci o a u e r e u i h c f i t o w y
Th pia o fF r walTe h oo y i h n t u t n o m p s Newo k S c  ̄t e Ap l t n o ie l ci c n lg n t e Co sr ci f Ca u t r e u y o
Ab t a t Wi ed vl meto n t r t h o g n sr c : t t eeo n f ew k e nl y. hh p o c o
校 园 网 主 要 面 临 以下 安全 隐 患 :
来越普遍 , 不少开始针对重点高校的网站和服 务器 。
2 某学 院 网络 结 构分 析
20 0 4年 3月,四校 合并 正式组建某学院。学院共分为
一
个主校区和两个分校 区. 从学 院诞生之 日起 , 就开始 了校
园网络的升级和改造 。其 中最重要的工作就是把 原来四校
厂商设备,在网络管理上采用 了北塔 、 e ok Pr r ac N t r e om ne w f Moi r 软件 ,同时还有趋 势 防病毒 网络 版 处理病 毒 闯 nt 等 o 题 。 院采用 了 Cso Px防火墙 , U WE 5 5 学 i i c H A I 80 交换机 为
网络安全技术及防火墙在校园网的应用
安全的头号大敌。它是编制者在计算机程序中恶意 插入的具有破坏计算机功能或数据 , 影响计算机软 件、 硬件正常运行并且能够 自我复制的一组计算机
指令或程序代码。计算机病毒具有传染性、 寄生性、 隐蔽性、 触发性 、 破坏性等特点。提高计算机病毒 的
网络 安全 技 术 及 防火墙 在 校 园 网的 应 用
宁 博 张保杰2 ,
(. 1 西安 邮电学院 研 究生部 , 陕西 西安 706 ;. 1 0 12 湖北省襄樊 市襄 阳区石桥镇 中心学校 , 湖北 襄樊 412) 4 18
摘要 : 网络技术 的发展 , 随着 网络安全 问题 日 突出, 文简要介 绍 了威胁 网络 安全 的 因素及 解 决策略 , 出一 个 益 本 给
维普资讯
第 5期
宁 博: 网络安全技术及 防火墙在校 园网的应 用
・13 ・ 1
算机系统 , 对网络构成极大威胁。黑客攻击分为主
动攻击 和被 动 攻击 两 种 。主动攻 击是 指攻 击 者通 过
户持有并 由该用户赋予该 卡一个 口令或密码 , 该密 码 与 网络服务 器 上注册 的密码 一致 。
机 处 于危 险 的境 地 。
() 2 网络的开放性使信息缺乏有效的保护 : 计算 机网络系统结构 的开放性使得在计算 机 网络上存 储、 传输 、 和处理的数据信息 , 在安全性和保密性等
方 面 的难度 加大 。
() 3 配置不当: 安全配置不当造成安全漏洞。例 如: 计算机操作系统 中的远程服务选项 , 如果不禁用 则会 被不 法 之徒所 利用 。 () 4安全意识不强 : 用户 口令不够复杂 , 或将 自
Netfilter防火墙在校园网中的应用
测点 , 称为钩子 , O ) O( K 。在数据包处理过程 中, ,HO 当数据包 流过
钩 子 点 时 ,注 册 在 此 钩子 点 的 钩子 函数 将 获 得 对 数 据 包 的控 制
N _P L C L U F I— O A O T钩子 中进行注册 。 使用 m nl 可以实现对 ag e表, 数据包 的修改或给数据包附上一些额外数据。当前 m nl表支 ag e
修改等操作 ; 用户接 口程序负责接收用户 的命令 , 并且将用户命
令添加到 内核中【 。It l 内建立了 3 表 ,lr 、a 表和 3 p be 】 a s 个 ie ft 表 nt m nl 表 , ag e 它们分别用于实现包过滤 、 网络地址转换 和包重构 的
功能。
用防火墙是保障校园 网正常运行的有效措施 ,而专业的防火墙
NF I PRE ROUT P NG, NF I POST P
— —
_ _
_
R U IG 和 O TN
N —P L — F I— O
层框架和数据包选择工具 Itb s pal e
11 e h r . t e 框架结构 N f i
CAL OUT、 NF I P P RE
_
—
—
—
R U I G实现 对需要 转发 数据报 的源 O TN
湛江
544 ) 2 08
要: 介绍 了基 于 Ln x操作 系统下的防火墙, iu 并给出 了一个在校 园网环境下用 Nef e 实现的防火墙 的具体 实例 。 tl r -t i
Ap i a i r wa l Ba e n Ne f le n t e c mp n r n t plc ton of Fi e l s d o t t r i h a i us I t a e
校园网防火墙的开发应用
校园网防火墙的开发应用随着互联网的普及和应用,校园网成为了学生们获取信息和交流的重要渠道。
然而,互联网也存在着各种安全隐患和威胁,因此校园网防火墙的开发应用显得尤为重要。
校园网防火墙是一种网络安全设备,用于保护校园网内的计算机和网络资源免受未经授权的访问和恶意攻击。
它类似于一道“防线”,可以监控和过滤进出校园网的数据流量,确保网络的安全性和稳定性。
首先,校园网防火墙可以通过设置访问控制策略来限制非法访问。
例如,它可以禁止未经授权的外部主机访问校园网内的数据库或服务器,以防止黑客入侵和信息泄露。
同时,防火墙还可以对校园网内的用户进行身份认证,确保只有合法用户才能访问网络资源,提高了校园网的安全性。
其次,校园网防火墙还可以监控和过滤网络流量,保护网络免受恶意攻击。
它可以检测和阻止各种网络攻击,如病毒、木马和僵尸网络等,防止它们对校园网造成损害。
同时,防火墙还可以过滤恶意软件和非法内容,保护学生们免受网络诈骗和不良信息的侵害,维护了校园网络环境的健康和秩序。
此外,校园网防火墙还可以提供网络流量统计和分析功能,帮助学校管理者监控和优化网络资源的使用。
通过分析网络流量数据,学校可以了解学生们的网络行为和习惯,从而制定更合理的网络使用政策和规定。
同时,防火墙还可以提供实时的网络状态和故障监测,帮助学校及时发现和解决网络问题,提高了网络服务的质量和稳定性。
综上所述,校园网防火墙的开发应用对于校园网络的安全和稳定至关重要。
它通过限制非法访问、监控网络流量和保护网络免受攻击,确保了校园网的安全性和稳定性。
同时,防火墙还提供了网络流量统计和分析功能,帮助学校优化网络资源的使用。
因此,学校应该重视校园网防火墙的建设和应用,为学生们提供一个安全、稳定和健康的网络环境。
防火墙在校园网中的应用
防火墙在校园网中的应用摘要:利用防火墙技术可以有效的解决校园网安全问题,防火墙是在校园网于Internet之间实施安全防范的系统。
通过在防火墙上采用一定的机制,确保校园网不被外界攻击和破坏。
本文着重讨论防火墙在校园网中的应用与实现。
关键字:防火墙、网络、安全、校园网1 引言随着互联网技术的飞速发展,校园网在丰富教学资源、拓展教学空间、提高教学管理水平等方面发挥着十分重要的作用。
但来自互联网的黑客入侵、病毒破坏、文件篡改和密码盗用等问题正侵扰着校园网的正常运行。
对于网络管理者来说,非常希望有一种相应的技术能解决上述问题,这就是现在应用比较广泛的防火墙技术。
2 防火墙基础简介2.1 网络安全问题传统的边界安全设备——防火墙,成为整体安全策略中不可缺少的重要模块。
目前的防火墙产品的用户主要是企业用户。
网络的安全问题程度究竟如何?这是许多IT管理人员每天都会考虑的问题。
可以想象防火墙的应用也越来越普及。
2.2 防火墙概述防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件。
设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。
防火墙的技术主要有:分组过滤技术、应用代理技术和网络地址转换(NAT)技术。
2.3 防火墙的作用防火墙从本质上说是一些设备.是外部网络访问内部网络的控制设备。
它是用来保护内部的数据、资源和用户信息的工具,可以防止I…上的危险(病毒、资源盗用等)传播到网络内部。
这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。
它们充当访问网络的惟一人口点,并且判断是否接收某个连接请求,只有来自授权主机的连接请求才会被处理,而剩于的连接请求将被丢弃。
通常,防火墙被安装在受保护的内部网络与Internet的连接点上。
被保护的网络属于内部网络.所防止的网络是不可信的外部网。
保护网络包括阻止非法授权用户访问敏感数据的同时,允许合法用户无障碍地访问网络资源,如肪火墙能够确保电子邮件、文件传输、远程登录或在特定系统问信息交换的安全。
防火墙技术在校园网络中的应用
关 键 词 :校 园 网 络 系 统 防 火 墙 络 资源 ,可 以达到 规范上 网行为 的 目 新技 术
的。 ( 四) I P S入 侵 防 御
防 火 墙 支 持 根 据 实 时 黑 名 单 列 表 在 安 全域 问对 邮件 进 行 过 滤 。 当 用 户 通
强大 的 日志功能 , 及时准确的确定
过 滤 功 能 主要 通 过 R B L( R e a l — t i m e 还支持用户 自定 义 I P S规 则 , 根 据具体 网络通过高效地采集设备 的 日志 , 用户
网络 的具体安 全需 求定义 I P S规则 , 在 能及 时 了解 安全设 备和 网络设 备 的运 行 情况 , 跟踪 网络用 户的行 为 , 迅速识 别并 消除安全威胁 。 通过 上述 的防护墙新技术 的应用 ,
过S MT P传输 的邮件 , 确定 哪些邮件需 的在线升级 , 保证 系统规则库地 及时更 常运 行 。 确保人侵 防御 的及 时有效 。防火墙 要过滤 , 哪些不需要过滤 。U S G的邮件 新 ,
B l a c k h o l e L i s t ) J ]  ̄ 务器来实现 。
文件 进 行 处 理 , 达 到 反 病 毒 的效 果 。
( 二) 反 垃圾 邮件
攻击 , 针对 邮件服务 器 、 文 件 服 务 器 的
基于 I P的 带 宽 限 制 。 防病 毒 功 能
漏洞攻击或常用应用软件如 I E浏览 器 可 以 自动升级 , 有 效地 遏制了各类病毒
P S规 则 库 在公 司内网中传播 。 保证公司业务 的正 U S G 的 邮 件 过 滤 功 能 用 来 检 测 通 的 漏 洞 攻 击 等 。防火 墙 支 持 I
浅谈防火墙在中小学校园网中的应用
浅谈防火墙在中小学校园网中的应用作者:王法令来源:《小学教学研究·理论版》2010年第09期近几年来,随着信息与计算机技术的飞速发展,校园网络作为学校重要的基础设施,为学校提供了教学、科研、管理和对外交流窗口等诸多重要平台。
与此同时,网络社会与生俱来的不安全因素,如黑客、病毒、垃圾邮件、反动和色情等不健康信息,也无时无刻不在威胁着校园网络的健康发展,已成为教育信息化建设中不容忽视的问题。
作为保护局域网的一种有效手段,硬件防火墙在校园网络安全建设中发挥了重要作用。
一、校园网防火墙的选购原则由于黑客技术日益公开化、职业化,各种攻击日益频繁,病毒日益泛滥,中小学校所选用的路由器防火墙已经不能很好地防御网络黑客攻击,选择更好的专用硬件防火墙将成为防御网络黑客攻击的重要手段。
目前市场上的硬件防火墙种类繁多、功能各异,如何选购适合于中小学校园网络的硬件防火墙呢?笔者认为可从以下几个方面考虑:1.用户连接数多是校园防火墙必须具备的特点随着各中小学校的扩建,在校人数的增加,教师队伍的壮大,办公用计算机的数量也相当可观,再加上学校的各类机房,中小学校的网络规模越来越大。
所以,防火墙需要允许数量众多的计算机上网。
现在市场上已经有很多无人数限制的防火墙,可从根本上解决这一问题。
2.适合于校园的防火墙必须具有快速连接能力现在的校园网络一般都采用了百兆或者千兆以上的网络,所以我们需要选择高带宽的防火墙,否则就有可能成为网络出口的瓶颈。
3.适合于校园的防火墙必须具备很强的防攻击能力和入侵监控能力,这也是防火墙的基本特征目前网络黑客攻击的主要手段有DOS攻击、IP地址欺骗、特洛伊木马、口令字攻击、邮件炸弹等。
这些攻击方式不仅来自外部网络,也可能来自内部网络。
适合于校园的防火墙必须有防止这些外网和内网攻击的能力。
防火墙是由软件和硬件组成的,其中的软件提供了升级功能,这样就能帮助我们修补不断发现的漏洞。
4.由于校园网络内部有访问一些非法网站的事情发生,为了禁止访问非法网站,防火墙不仅需要防止内网访问非法网站的功能,还必须具有监控网络的功能,因为现在一些不良网站每天都有新的变化,只有通过监控,才能根据相关信息及时屏蔽这些非法网站。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章绪论1.1引言科学技术的飞速发展,人们已经生活在信息时代。
计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。
近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。
然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。
“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。
“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。
因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
1.2研究现状因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。
对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。
不断地提高自身网络的安全才是行之有效地办法。
1.3课题意义安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。
为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术如图1-1。
图1-1防火墙(Firewall)技术图1.3 网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。
其中虚拟网技术防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
例如vlan,但是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。
病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。
是一种用于检测计算机网络中违反安全策略行为的技术。
安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。
认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
VPN技术就是在公网上利用随到技术来传输数据。
但是由于是在公网上进行传输数据,所以有一定的不安全性。
应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。
1.4 防火墙介绍防火墙(Firewall)是一种网络边防产品,是在可信网络与不可信网络之间构筑的一道防线,是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙监控可信网络和不可信网络之间的访问渠道,防止外部网络的危险蔓延到内部网络上。
从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙的基本功能是对网络通信进行筛选和屏蔽,以防止未经授权的访问进出计算机网络,具体表现为:过滤进出网络数据;管理进出网络访问;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警等。
防火墙外形如图1-2:图1-2防火墙外形图1.5防火墙技术发展趋势防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。
远程办公的增长。
全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。
现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。
只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
内部网络“包厢化”(compartmentalizing)。
人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。
由于黑客攻击技术和工具在 Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。
企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。
应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
1.6防火墙产品发展趋势防火墙可说是信息安全领域最成熟的产品之一,但是成熟并不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。
模式转变,传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。
未来的的防火墙产品将开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度地覆盖需要保护的对象,大大提升安全防护强度。
功能扩展,防火墙的管理功能一直在迅猛发展,在将来,通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。
性能提高,未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯地升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构.第二章需求分析2.1校园网络安全分析高校校园网一般都是采用最先进的网络技术架构的,用户较多,使用面较广,存在的安全隐患和漏洞相对较广泛,大多有如下几个方面:(1)校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
高校校园网速度比较快,我院与电脑的出口带宽达到了1Gbps,这给网络入侵和攻击也提供了一个快速通道。
(2)校园网内部也存大很大的安全隐患。
由于内部用户对网络的结构和应用模式都比较了解,因些来自内部的安全威胁会更大一些。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。
例如Windows 2000、Windows 2003、Windows 2008的普遍性和可操性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、病毒木马等。
(4)随着校园内计算机应用的大范围普入,接入校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络攻击、系统瘫痪等严重后果。
(5)内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网,内外网恶意用户可能利用一些工具对网络入服务器发起Dos/DDoS攻击,导致网络及服务不可用,高校学生通常是最活跃的网络用户,对网络的各种技术都充满了好奇,有强大的求知和实验的欲望,勇于尝试,不计后果,校园网内针对如的黑客程序、ARP病毒、超级网管随处可见。
鉴于上述不安全因素,有必要为校园网设计一个严密的防火墙。
2.2校园网防火墙需求分析保护校园网中的资源免受外来攻击是校园网建设中需要考虑的重要环节,在内网和外网之间设置防火墙是保护校园网免受外来攻击的有效手段之一。
现针对校园网防火墙提出如下的需求:(1)校园网中的Web服务器、FTP服务器、E-mail等服务器要能同时对内网和外网用户提供服务,各服务器仅开启相应服务端口,其他端口均关闭。
(2)具备IP地址转换能力,隐藏内网结构,并使得校园网内部所以用户可以通过一个公网IP地址访问lnternet。
在地址转换时对于不同区域的设计要兼顾安全和效率两方面因素。
(3)保护作为防火墙的主机安全,禁止外部用户通过使用Telnet、FTP等方式登陆防火墙,仅允许网络管理员在网络中心访问防火墙及核心交换机。
(4)防火墙应具备防攻击的能力,能够有效地防止病毒端口及IP地址欺骗等攻击。
2.3校园网防火墙部署思路防火墙是网络安全的屏障。
一个防火墙(作为阴塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经对精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。