防火墙技术在校园网络安全的应用

摘要：选择更好的专用硬件防火墙将成为各大高校防御网络黑客攻击的重要手段。本文主要从防火墙技术的概述、功能、分类以及校园网络安全的防火墙必须要具备的特征进行了探讨，供网络安全管理相关人员参考。

关键词：防火墙；校园网络安全；内部网络

0引言

随着信息技术的不断发展，互联网得到了快速的发展，已成为我们生活中不可或缺的一部分，然而这些年Internet也给我们带来了大量的负面的影响——计算机受到各种病毒感染和黑客的恶意攻击，严重的威胁了我们计算机的安全，造成巨大的损失。在校园网络中，为了尽量避免广大师生的教学资料被丢失、信息被恶意篡改等恶性事件的发生，在校园网络中应建立起一套网络安全体系，选择更好的专用防火墙将成为各大高校防御网络黑客攻击的重要手段。目前市场上的硬件防火墙可谓种类繁多，功能各异，而如何选择合适的防火墙对校园网络安全来说至关重要。

1防火墙技术的概述

防火墙是指设置在不同网络或者网络安全域之间由软件和硬件设备共同组成的[1]，在内部网络和外部网络之间、公用网络和专用网络之间架设起的一道屏障。防火墙可以监测、限制、控制网络中流动的数据，最大可能的将内部网络的结构、信息以及运行状况对外部网络进行屏蔽、隐藏，防止发生不可预测、破坏性的入侵，从而保护了自己网络的安全。从逻辑上来阐述,防火墙是一个分离器、限制器、分析器[2]，它最大化地监控了两个不同网络之间的数据通信，确保了自己所处一方网络的安全。其最基本的功能是隔离不同的网络，采用规则集来增强网络安全，有以下几个基本特性：（1）自主操作主机的所有数据输入、输出的通信连接，通过自己建立的规则集过滤相关的数据然后选择是否放行。（2）“认证”管理员和应用程序，以保证他们能访问内部网络。（3）有安全审计功能并相应的能记录下来以文件形式保存,在命中可疑数据时能及时发出告警。

2防火墙的功能

从本质而言，防火墙是分隔两个不同的网络，防火墙只允许它所认可的规则而进行不同网络之间的通信。防火墙还有另外一个特点，就是防火墙本身就应该具有较为强大的抵抗外部攻击的能力。防火墙应不易被入侵者攻破，因为一旦被入侵者侵入那么入侵者就能在内部网络之间操作，窃取有价值的信息或者破坏内部网络，从而造成不可预计的损失。所以考虑到这些方面的要求，理想的防火墙应支持这些方面的功能：（1）能够检测何时有通信数据进入内部网络；（2）能够检测何时有通信数据流入外部网络；（3）能够对未允许的规则的数据进行拦截，禁止其进入内部网络；（4）能够对网络间的数据进出采取相应规则的控制措施；（5）能够对网络通信内容审计跟踪；（6）能够对高风险行为、入侵行为进行检测以及预警；（7）能够对重要的数据进行相应的加密解密；（8）能够保护网络安全用户信息不发生外泄情况。院校可以根据自身不同的需求及实际情况，可以选取适合自身特点的相应的防火墙产品，从而尽可能避免在自己计算机上发生被入侵事件，保护了计算机的安全。另外防火墙并不是绝对安全的，还有许多的危险是防火墙能力范围之外的，防火墙仅仅是一种工具，尽最大可能将危险阻隔。

3防火墙的分类

防火墙的类型可以有多种划分，按技术分类可以有三种类型：包过滤防火墙、应用防火墙和状态检测防火墙。

3.1包过滤防火墙

包过滤防火墙作用在OSI体系结构七层协议的网络层和传输层，它根据数据包包头包含的源IP地址、目的IP地址和源主机端口号、目的主机端口号、网络通信协议类型等标志信息进行比对确定是否允许数据包通过。唯有符合这些条件数据包才能转发给对方，剩下的不符合条件的数据包就直接从数据中丢掉。鉴于这一原因，包过滤防火墙能很快处理数据包。所以这一类的普遍特点是使用程度大、价格优惠，是一种十分有效的安全手段。但是，瑕不掩瑜包过滤防火墙也有它自身的缺陷：不能对应用层协议做出分析，对应用层缺少保护，没法防范利用应用层漏洞实施的网络攻击。

3.2应用防火墙

应用防火墙工作在OSI体系结构的最高层，即应用层。其特点是彻底“阻隔”了网络通信流，可以对相应的应用服务编写特定的代码，实现对通信数据的监控以及对应用层的数据流进行相关的掌握控制。应用防火墙最大的优点就是安全。这是因为它工作在最高层，所以它自然就能对网络中任意一层的通信数据进行选择也能进行相关的保护，绝非像包过滤防火墙那类只对OSI体系结构中网络层的数据单一的过滤处理。然而此类防火墙也存在自身的缺点：一是各种应用不一样，应用防火墙配置起来就显得困难；二是对数据的处理性能差。

3.3状态检测防火墙

基于状态检测的防火墙采用了状态检测包过滤的技术，保持了简单的包过滤防火墙的优点，并且在网络通信中对数据包的状态变化进行检测，规范了网络层和传输层的行为，提供了更安全的解决方案。包过滤防火墙和应用防火墙是通过对数据包的源地址、目的地址，源端口号、目的端口号[3]进行检测来实现相应的功能，而忽略了在传输过程中数据的连接状态的变化也就是“三次握手”。而状态检测防火墙正是克服了这些不足，对数据包中的信息与防火墙规则做比较，如果没有相应规则允许，防火墙就会拒绝这次连接，当然发现有一条规则允许，它就允许数据包外出并且在状态表中新建一条会话，并记录会话的状态变化。从而可见，状态检测防火墙更有效的对数据进行了控制。

4校园网络防火墙的特征

（1）具备大量的用户连接数量。目前各大高校的人数急剧增加，在这些高校中，虽然不是每人一台计算机，但计算机数量也相当可观，再加上学校的各类机房，高校的网络非常庞大。所以，硬件防火墙需要带动数量众多的计算机上网。现在市场上已经有很多无人数限制的硬件防火墙，从根本上解决了这一问题。（2）带宽要足够的大。由于硬件防火墙位于路由器的下一层，现在的校园网络一般都采用了百兆或则千兆以上的网络，所以我们需要连接高带宽的硬件防火墙。（3）具体超强的防攻击能力。目前网络黑客攻击的主要手段有DOS(DDOS)攻击，IP地址欺骗，特洛伊木马，口令字攻击，邮件诈骗等。这些攻击方式不光来自外部网络，也来自内部网络。适合于校园的硬件防火墙必须要具有防止这些外网和内网攻击的能力。硬件防火墙是由软件和硬件组成，其中的软件提供了升级功能，这样就能帮助我们修补不断发现的漏洞。（4）完备的网络监控和控制功能。由于校园网络内部有访问一些非法网站的事情发生，为了禁止访问非法网站，防火墙不光需要有能够防止内网访问非法的功能，还必须具有监控网络的功能，因为现在一些不良网站每天都有新的出现，只有通过监控，才能根据相关信息屏蔽这些非法网站。

5结束语

总之，要做到校园网络安全，防火墙技术是校园网络安全屏障之一，选择合适的校园网络防火墙至关重要。但要确保网络安全仍必须要从全方位着手，重点还要从管理和安全意识上下功夫。否则即使技术上再先进，也有可能因为人为的疏忽大意而造成资料丢失、泄密等。

参考文献：

[1]睢贵芳.防火墙技术及其在校园网络安全中的应用探究[J].网络安全技术与应用,2019(02):57+66.

[2]王淑静,杨晓明.windows平台的个人防火墙设计研究[J].数字技术与应用,2018,36(04):180+182.

[3]张莹莹.计算机网络的防火墙技术方案[J/OL].电子技术与软件工程,2019(10):211.

[4]杨泽威,蒋志兴.计算机信息安全保密技术的思考[J].电子技术与软件工程,2019(03):205.

作者：张静 漆世钱 单位：武警海警学院