论文部分内容阅读
摘 要:本文通过简要阐述了校园网络系统面临的威胁,提出了防火墙技术在校园网应用的必要性,分析了防火墙技术的优缺点,提出了防火墙技术在校园网的中的具体应用措施。
关键词:防火墙技术;校园网;应用;措施
中图分类号:TP393.18 文献标识码:A DOI:10.3969/j.issn.1003-6970.2013.06.029
0 引言
防火墙是一种隔离控制技术,是一个用以阻止网络中的黑客访问某个机构网络的屏障。防火墙有软件防火墙和硬件防火墙,软件防火墙一般安装在主机上,它既可以防止来自外网,也可以防止来自局域网内部的攻击;硬件防火墙是安装在校园网的入口处,以减少外部对校园网的攻击。
由于校园网的开放性、校园网用户网络安全意识低等因素,导致校园网络安全事故时有发生。有来自互联网的恶意攻击,也有来自校内的非法访问;有网络层面的攻击,也有应用层面的威胁。校园网网站也曾遭篡改、黑屏甚至拒绝服务等,直接影响到正常的教学秩序以及科研管理等,校园网采用防火墙技术极为必要。
1 防火墙技术在校园网应用的必要性
1.1信息共享资源的泄露
校园网络主要承担教学、科研、办公任务,因此经常要部署共享网络资源,便于师生之间的资源共享,由于缺少必要的访问控制策略和保密意识淡薄,就可能有意、无意的把重要信息,特别是科研成果长期暴露在网络上,从而被轻易窃取并传播出去造成泄密。
1.2计算机病毒入侵
校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速、大容量的局域网中,各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散,由于它是在网络上传播的,加快了病毒的传播速度,造成网络阻塞甚至瘫痪,给网络带来灾难性后果。如著名的“黑色星期五”“熊猫烧香”等病毒都曾给网络正常应用带来巨大麻烦。校园网接入互联网之后,也给病毒传播提供了通路,可能会引起网速变慢、数据丢失、系统瘫痪等问题。凭其强大的破坏力和极快的传播速度成为威胁校园网安全的罪魁祸首。
1.3黑客攻击
校园网与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇黑客攻击的风险。校园网中较易受攻击的应用服务器主要是 DNS 服务器、Web 应用服务器和邮件服务器。黑客甚至利用一些专业的攻击工具对校园网络及服务器发起 DoS、DDoS 攻击,增大校园网流量,导致网络及服务不可用,甚至系统崩溃。
1.4校园网内部用户的攻击
校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的恶意攻击。根据观察,来自校园网内部的各种攻击大多是一些学生因好奇发起的。
2 防火墙技术的优缺点
在众多不安全隐患的面前,清楚地认识到防火墙的优缺点,才能有效地利用防火墙技术为校园网络安全服务。
2.1 防火墙的优点
防火墙能够有效保护校园网的安全,通过安全策略的设置,只有被认可的和符合要求的请求能够通过防火墙,这样就能够有效防止非法入侵,防火墙是内部网络与外部网络进出的唯一控制点,能够有效记录和收集网络正常使用或者错误使用的信息,使校内网络与外部网络之间的联系更加安全。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地止网络中的黑客来访问自己的网络,防止他们随意更改、偷窃或破坏网络上的重要信息。
2.2防火墙的缺点
防火墙虽然能够有效保护校园网络的安全,但也不是绝对的,防火墙自身也存在很多的缺点。防火墙能够使其保护范围内的网络系统信息用户安全发送信息,但是如果信息用户使用 U 盘等直接复制信息,那么这些信息就能够直接绕过防火墙,数据信息就被非法带走了,对于已经侵入的信息,防火墙就无法对其进行控制了,那么对于内部信息用户对数据和信息的窃取,对软件硬件的破坏,防火墙就发挥不了作用了。如果信息不通过防火墙传输,防火墙就不能够对入侵者进行有效拦截,防火墙作用的发挥需要设计方案做支撑,有了良好的设计方案才能对已知威胁进行防备,防火墙没有自动防御新威胁的功能。
3 校园网安全方案与措施
校园网络的结构一般由两部分构成:校园网内部网与校园网外部网。校园网内部网主要包含教学局域网、图书馆局域网、办公自动化局域网等。下面所提出了一些方案和措施可供大家参考。
3.1 合理设置防火墙系统
校园网大多数都是通过路由器与 Cernet 连接的,校园网的 IP 地址是确定的,闭合边界也比较明确,这为校园网的系统控制提供了便利。进入 Cernet 主干网的存取进行控制,校园网的 IP 地址都是合法的,非法的 IP 地址想要通过路由器进行 Cernet 访问,就要对校园网路由器进行命令设置,同时也要加强对主机的访问控制,网络中心的 WWW、DNS、FTP 等服务器十分重要,需要进行保护,网络中心所在的子网应该对除了WWW、DNS、FTP以外的服务进行禁止。
3.2禁止非法访问
非法访问一般都还有计算机病毒,因此一旦获得非法访问网址,就要对路由器中的存取控制列表进行更改,严谨非法访问,同时要在校园网与路由器连接的以太网预设出控制组,插入命令,用来过滤非法访问网址,插入命令就是对路由器的动态配置,路由器的配置能够通过 telnet 或者控制台登录路由器,根据命令进行人工配置,我们可以利用这一点,通过 TEHET SOCKET 编制仿真程序,针对 CISCO,对人工命令进行仿真,对路由器进行动态配置。仿真程序的编制需要一个与 CISCO 控制表项相一致的文件,这是存取控制表的插入是由 deny 决定的,先把控制项放入配置的文件中,再将配置传输入路由器中。 3.3 加强对 IP 地址的保护
首先登记每个合法IP地址和对应的以太网地址,形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表,获得当前IP和MAC的对应关系,和事先合法的IP和MAC地址进行比较,如不一致,则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此,这种方法的效果不是很好。可对其进行改进,由用户自己动态地控制IP地址的访问权限,当用户不需要对外通信时,可以关掉自己的IP地址对外的权限,这时即使有人盗用IP地址也不会对用户造成直接的经济损失。
4解决校园网安全问题的其它措施
不论采用什么样的防火墙技术,都不能完全解决校园网的安全问题。因此必须针对防火墙所存在的缺陷和漏洞,采取相应的措施解决校园网络的安全。
4.1封锁系统安全漏洞
黑客之所以得以非法访问系统资源和数据,很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。因此,在制定访问控制策略时,不要忘记封锁系统安全漏洞。目前,Internet中的一些重要的网络都建立了计算机紧急相应工作组,如中国教育和科研网的紧急响应组,在发现新病毒或因系统安全漏洞威胁网络安全时,会及时向用户发出安全通告,并提供各种补丁程序以便下载。许多应用软件也在不断更新版本以修正错误或完善功能。对于校园网管理人员而言,只需注意跟踪此类信息,及时下载和安装各种补丁程序,升级程序就能对保护网络和信息系统的安全起到很大作用。
4.2网络病毒的防治措施
为防止网络病毒通过校园网进行传播,可以采用时下流行的杀毒软件如:360。它具有如下特点:独创的“五核引擎”杀毒技术,查杀、清除病毒能力远超同类软件;为国内用户量身打造的“嵌入式杀毒技术”,方便高效的保护QQ、MSN上的传输的文件,以及U盘、移动硬盘上的文件,不被病毒入侵;“云查杀”技术可以快速定位用户机器内的未知可疑文件,分析、处理仅需10分钟,可以防范“新木马”入侵等。
5总结
从理论上讲,一个校园网络系统越安全越好,但是绝对安全可靠的系统并不存在。校园网防火墙系统构建是一项复杂的系统工程,实际上也是入侵者与反入侵者之间,持久的对抗与反对抗过程,不是一劳永逸地能够防范任何攻击的完美系统。校园网络访问控制体系策略的制定要针对网络的实际情况具体地对各种安全措施和方案进行取舍,使系统的性能比达到一个合理的水平。
参考文献
[1]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).
[2]郑羽.网络防火墙的技术实现及性能测试[J].安庆师范学院学报(自然科学版),2008(01).
[3]杨秋田.校园网安全研究[J].武警学院学报,2010,26(9)
[4]黄锋.高校校园网信息安全突发事件: 危机预防中存在的问题及其对策研究[J]. 咸宁学院学报 2010,30(9)
[5]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).
关键词:防火墙技术;校园网;应用;措施
中图分类号:TP393.18 文献标识码:A DOI:10.3969/j.issn.1003-6970.2013.06.029
0 引言
防火墙是一种隔离控制技术,是一个用以阻止网络中的黑客访问某个机构网络的屏障。防火墙有软件防火墙和硬件防火墙,软件防火墙一般安装在主机上,它既可以防止来自外网,也可以防止来自局域网内部的攻击;硬件防火墙是安装在校园网的入口处,以减少外部对校园网的攻击。
由于校园网的开放性、校园网用户网络安全意识低等因素,导致校园网络安全事故时有发生。有来自互联网的恶意攻击,也有来自校内的非法访问;有网络层面的攻击,也有应用层面的威胁。校园网网站也曾遭篡改、黑屏甚至拒绝服务等,直接影响到正常的教学秩序以及科研管理等,校园网采用防火墙技术极为必要。
1 防火墙技术在校园网应用的必要性
1.1信息共享资源的泄露
校园网络主要承担教学、科研、办公任务,因此经常要部署共享网络资源,便于师生之间的资源共享,由于缺少必要的访问控制策略和保密意识淡薄,就可能有意、无意的把重要信息,特别是科研成果长期暴露在网络上,从而被轻易窃取并传播出去造成泄密。
1.2计算机病毒入侵
校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速、大容量的局域网中,各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散,由于它是在网络上传播的,加快了病毒的传播速度,造成网络阻塞甚至瘫痪,给网络带来灾难性后果。如著名的“黑色星期五”“熊猫烧香”等病毒都曾给网络正常应用带来巨大麻烦。校园网接入互联网之后,也给病毒传播提供了通路,可能会引起网速变慢、数据丢失、系统瘫痪等问题。凭其强大的破坏力和极快的传播速度成为威胁校园网安全的罪魁祸首。
1.3黑客攻击
校园网与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇黑客攻击的风险。校园网中较易受攻击的应用服务器主要是 DNS 服务器、Web 应用服务器和邮件服务器。黑客甚至利用一些专业的攻击工具对校园网络及服务器发起 DoS、DDoS 攻击,增大校园网流量,导致网络及服务不可用,甚至系统崩溃。
1.4校园网内部用户的攻击
校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的恶意攻击。根据观察,来自校园网内部的各种攻击大多是一些学生因好奇发起的。
2 防火墙技术的优缺点
在众多不安全隐患的面前,清楚地认识到防火墙的优缺点,才能有效地利用防火墙技术为校园网络安全服务。
2.1 防火墙的优点
防火墙能够有效保护校园网的安全,通过安全策略的设置,只有被认可的和符合要求的请求能够通过防火墙,这样就能够有效防止非法入侵,防火墙是内部网络与外部网络进出的唯一控制点,能够有效记录和收集网络正常使用或者错误使用的信息,使校内网络与外部网络之间的联系更加安全。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地止网络中的黑客来访问自己的网络,防止他们随意更改、偷窃或破坏网络上的重要信息。
2.2防火墙的缺点
防火墙虽然能够有效保护校园网络的安全,但也不是绝对的,防火墙自身也存在很多的缺点。防火墙能够使其保护范围内的网络系统信息用户安全发送信息,但是如果信息用户使用 U 盘等直接复制信息,那么这些信息就能够直接绕过防火墙,数据信息就被非法带走了,对于已经侵入的信息,防火墙就无法对其进行控制了,那么对于内部信息用户对数据和信息的窃取,对软件硬件的破坏,防火墙就发挥不了作用了。如果信息不通过防火墙传输,防火墙就不能够对入侵者进行有效拦截,防火墙作用的发挥需要设计方案做支撑,有了良好的设计方案才能对已知威胁进行防备,防火墙没有自动防御新威胁的功能。
3 校园网安全方案与措施
校园网络的结构一般由两部分构成:校园网内部网与校园网外部网。校园网内部网主要包含教学局域网、图书馆局域网、办公自动化局域网等。下面所提出了一些方案和措施可供大家参考。
3.1 合理设置防火墙系统
校园网大多数都是通过路由器与 Cernet 连接的,校园网的 IP 地址是确定的,闭合边界也比较明确,这为校园网的系统控制提供了便利。进入 Cernet 主干网的存取进行控制,校园网的 IP 地址都是合法的,非法的 IP 地址想要通过路由器进行 Cernet 访问,就要对校园网路由器进行命令设置,同时也要加强对主机的访问控制,网络中心的 WWW、DNS、FTP 等服务器十分重要,需要进行保护,网络中心所在的子网应该对除了WWW、DNS、FTP以外的服务进行禁止。
3.2禁止非法访问
非法访问一般都还有计算机病毒,因此一旦获得非法访问网址,就要对路由器中的存取控制列表进行更改,严谨非法访问,同时要在校园网与路由器连接的以太网预设出控制组,插入命令,用来过滤非法访问网址,插入命令就是对路由器的动态配置,路由器的配置能够通过 telnet 或者控制台登录路由器,根据命令进行人工配置,我们可以利用这一点,通过 TEHET SOCKET 编制仿真程序,针对 CISCO,对人工命令进行仿真,对路由器进行动态配置。仿真程序的编制需要一个与 CISCO 控制表项相一致的文件,这是存取控制表的插入是由 deny 决定的,先把控制项放入配置的文件中,再将配置传输入路由器中。 3.3 加强对 IP 地址的保护
首先登记每个合法IP地址和对应的以太网地址,形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表,获得当前IP和MAC的对应关系,和事先合法的IP和MAC地址进行比较,如不一致,则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此,这种方法的效果不是很好。可对其进行改进,由用户自己动态地控制IP地址的访问权限,当用户不需要对外通信时,可以关掉自己的IP地址对外的权限,这时即使有人盗用IP地址也不会对用户造成直接的经济损失。
4解决校园网安全问题的其它措施
不论采用什么样的防火墙技术,都不能完全解决校园网的安全问题。因此必须针对防火墙所存在的缺陷和漏洞,采取相应的措施解决校园网络的安全。
4.1封锁系统安全漏洞
黑客之所以得以非法访问系统资源和数据,很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。因此,在制定访问控制策略时,不要忘记封锁系统安全漏洞。目前,Internet中的一些重要的网络都建立了计算机紧急相应工作组,如中国教育和科研网的紧急响应组,在发现新病毒或因系统安全漏洞威胁网络安全时,会及时向用户发出安全通告,并提供各种补丁程序以便下载。许多应用软件也在不断更新版本以修正错误或完善功能。对于校园网管理人员而言,只需注意跟踪此类信息,及时下载和安装各种补丁程序,升级程序就能对保护网络和信息系统的安全起到很大作用。
4.2网络病毒的防治措施
为防止网络病毒通过校园网进行传播,可以采用时下流行的杀毒软件如:360。它具有如下特点:独创的“五核引擎”杀毒技术,查杀、清除病毒能力远超同类软件;为国内用户量身打造的“嵌入式杀毒技术”,方便高效的保护QQ、MSN上的传输的文件,以及U盘、移动硬盘上的文件,不被病毒入侵;“云查杀”技术可以快速定位用户机器内的未知可疑文件,分析、处理仅需10分钟,可以防范“新木马”入侵等。
5总结
从理论上讲,一个校园网络系统越安全越好,但是绝对安全可靠的系统并不存在。校园网防火墙系统构建是一项复杂的系统工程,实际上也是入侵者与反入侵者之间,持久的对抗与反对抗过程,不是一劳永逸地能够防范任何攻击的完美系统。校园网络访问控制体系策略的制定要针对网络的实际情况具体地对各种安全措施和方案进行取舍,使系统的性能比达到一个合理的水平。
参考文献
[1]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).
[2]郑羽.网络防火墙的技术实现及性能测试[J].安庆师范学院学报(自然科学版),2008(01).
[3]杨秋田.校园网安全研究[J].武警学院学报,2010,26(9)
[4]黄锋.高校校园网信息安全突发事件: 危机预防中存在的问题及其对策研究[J]. 咸宁学院学报 2010,30(9)
[5]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).