在校园网络环境下防火墙技术应用研究.docVIP

在校园网络环境下防火墙技术应用研究 　　摘要： 在校园网络安全技术应用的研究过程中，作者通过查阅有关资料获得有关校园网络安全的理论知识和第一手资料；以本单位现有设备和资源为基础，研究校园网络管理中如何使用安全策略，配置防火墙，入侵检测等安全技术的应用。 　　关键词： 防火墙；校园网；安全策略 　　中图分类号：TP393文献标识码：A文章编号：1671－7597（2011）0620135－01 　　0 引言 　　计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁，二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使用。[1] 　　防火墙是目前网络安全的一个最常用的防护措施，广泛用于对校园网络和系统的保护。根据校园网络管理员的要求，监控通过防火墙的数据，允许和禁止特定数据包的通过，并对所有事件进行监控和记录，使内部网络既能对外正常提供 Web 访问，FTP 下载等服务，又保护内部网络不被恶意者攻击。[2] 　　1 防火墙产品的选择 　　最简单的防火墙设置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。相关介绍的文章很多，这里不再赘述。在明确了防火墙设置方案之后，我们下一步要做的是选择一款适合自己的防火墙产品，在形式上来说可以分为硬件与软件防火墙两类产品。 　　硬件防火墙和软件防火墙相比，有哪些优点呢？硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。此外，硬件防火墙还有以下优势： 　　1）性能优势：防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。 　　2）CPU占用率的优势：硬件防火墙的CPU 占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将大幅增加。 　　在价格上，软件防火墙的优势就比较明显了，而且在 Internet上还有很多免费下载；而一款吞吐量百兆级、万级并发连接数的中档硬件防火墙至少在两万元以上，这就需要根据校园网络实际使用情况选择相应的防火墙产品。国外防火墙厂家：比较著名的是NetScreen，Cisco（PIX）等；国内的一线厂家：包括天融信、神州数码、联想等。 　　2 代理服务器配置方案 　　代理型防火墙的核心技术就是代理服务器（Proxy Server）技术，从内部网络发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用，因此这种类型的防火墙被很多网络安全专家和媒体认为是最安全的防火墙。 　　所谓代理服务器，是连接内部局域网和Internet的一种网关，该网关是运行代理服务软件的计算机，能够实现两种不同的网络互相通信。代理服务器在用户与服务器之间协同工作，因此它提供了一个透明的应用级网关。当客户端向服务器发起请求，该请求送到代理服务器，代理服务器接收到该连接请求后，对其进行身份认证和访问控制，如果客户端通过了代理服务器的身份认证和访问控制，就代替客户端向该服务器发出请求。服务器响应以后，代理服务器将响应的数据传送给客户端。可见代理服务器是客户访问Internet远程服务器时的中间者，对客户而言它是服务器，对远程服务器而言它是客户。其功能主要有：1）提高网络的安全性；2）提高访问速度；3）节省IP地址开销；4）访问日志保存。 　　通过使用代理服务器，很好地隔离了内网与外网，同时又保证内网与外网之间的交流，对内部网络有效地起到了保护和管理作用，既解决学校共享上网的问题，还可以作为一种实用的防火墙方案，是一种非常适合一般条件中小学校园的网络安全技术。 　　3 路由器的配置方案 　　除了代理服务器方案，目前最流行的就是使用路由器接入Internet。路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。 　　现在的路由器产品功能越来越多，其中很重要的一个功能就是具备了安全防护的功能，它集成了防火墙和VPN（Virtual Private Network，虚拟专有网络）等安全功能，这样的路由器是集常规路由与网络安全功能于一身的网络安全设备，从主要功能来讲，