内容发布更新时间 : 2024/9/21 0:48:36星期一 下面是文章的全部内容请认真阅读。

龙源期刊网 http://www.qikan.com.cn

防火墙技术在校园网网络安全中的应用

作者：缪海君

来源：《科教导刊》2011年第18期

摘要防火墙是校园网网络安全的一道防线，它通过控制和检测网络之间的信息交换和访问来管理校园网网络的安全。本文阐述了防火墙的类型、如何选购防火墙及防火墙在赣南医学院校园网网络安全中的应用。 关键词 防火墙 网络安全 校园网 中图分类号：TP312文献标识码：A

Application of Firewall Technology in Campus Network Security MIAO Haijun

(Ganzhou Medical College, Ganzhou, Jiangxi 341000)

AbstractA firewall is a defence of campus network security, it through the control and inspection of exchange and interview between network informations. This paper expounds the types of firewall, how to choose firewall, and firewall applied in the campus network security of Ganzhou Medical College.

Key wordsfirewall; network safe; campus network

信息技术的飞速发展，越来越多的领域需要运用互联网。如：银行、政府、公司、教学等。特别是在国家教育信息化和校校通工程的背景下，建设校园网是高校的重要任务。校园网作为连接学生、教师、科研人员和管理者的中枢神经系统，是学校采用先进的教育和管理方法的基础。然而，各种黑客、计算机病毒和非法入侵事件却威胁着高校校园网网络的安全。防火墙技术作为网络安全领域的重要技术，在校园网网络安全中起到了十分重要的作用。 防火墙(Firewall)技术不仅是抵制黑客入侵和非法访问的有效手段，而且是目前网络系统广泛应用于计算机网络安全策略的重要工具。①防火墙是安装在内部网和外部网之间的一个隔离设备，以便更好更快的识别和屏蔽不可预测的、潜在破坏性的侵入，可有效地保证网络安全，对与保护校园网的安全具有重要的意义。其实，防火墙不仅是一个分离器和限制器，而且是一个分析器，它能够有效地监控内部网和外部网之间的活动，从而保证内部网络的安全。②

龙源期刊网 http://www.qikan.com.cn

1 防火墙的类型

根据防火墙的功能的不同。可分为包过滤防火墙、代理服务器防火墙、状态检测防火墙三种类型。

（1）包过滤防火墙。包过滤防火墙的主要功能是检查每个通过网络的数据包，然后读取数据包中的信息，最后根据数据包中的信息来判断这些数据包是否安全和可靠。这种防火墙以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表。这种包过滤防火墙的优点是：过滤路由器速度快、效率高、价格低、网络性能好和透明性好，易于安装和使用。然而这种防火墙也有很多的弱点。如：只能对数据包的地址和端口等网络信息进行判断，无法理解网络信息更高协议层；过滤包只对网络层和传输层得有限信息进行过滤，不能满足各种安全要求。

（2）代理服务器防火墙。代理服务器防火墙又称为应用级网关，这是因为代理服务器有应用级代理和电路级代理2种，但一般都说采用应用级代理。代理服务器防火墙在OSI 的应用层，掌握着应用系统中可用作安全决策的全部信息。代理服务器防火墙是校园内部网与外部网的隔离点，具有监视和隔绝应用层通信流的作用，因为它是通过对每种应用服务编制专门的代理程序来实现监视和隔绝作用。③这种防火墙以美国NAI公司的Gauntlet防火墙。代理服务器防火墙的优点是安全性较高，能有效防止病毒在应用层的侵入，易于配置，能提供比过滤包更详细的日志记录，可以隐藏内部IP地址等等。其缺点是网络速度变慢、不允许用户直接访问网络、对于不同协议设置要有不同的客户端软件来支持等。

（3）状态检测防火墙。状态检测防火墙采用了状态检测包过滤的技术，吸收了包过滤防火墙和代理服务器防火墙的优点，因此，这种防火墙性能好，安全系数高，适应性强和扩展性好。因为状态检测防火墙在网关上使用了执行网络安全策略的软件模块，所以称之为监测引擎。监测引擎在不影响网络正常运行的情况下，通过采用抽取有关数据的方法对来监测各层的网络通令，抽取状态信息, 并动态地保存起来。把保存起来的信息作为以后执行安全策略的参考。因为监测引擎支持多种网络协议和应用程序, 所以易于实现应用和服务的扩充。这种类型防火墙的优点是: 主动拒绝违规访问、性能好、安全系数高、适应性强和扩展性好。缺点是：配置较为复杂、使网络速度降低。 2 防火墙的选择

不同的防火墙有不同的优点，因此，我们在建构自己公司或单位的网络时, 就必须选择一个比较合适的防火墙。在选购防火墙时，我们应注意以下方面:

（1）防火墙自身的安全性防。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。防火墙技术的本质特征是一种被动防御、静态安全的网络安全手

龙源期刊网 http://www.qikan.com.cn

段，能够防护网络已知的威胁和已知的恶意。我们把防火墙都安装在Windows NT 系统等一般的操作系统上，不仅防火墙在主机上执行防火墙软件，操作系统本身的原有程序也在运行。如果防火墙主机上所执行的软件出现安全漏洞， 那么防火墙本身也将受到威胁。此时，黑客容易取得防火墙上的控制权。黑客取得防火墙上的控制权之后，任何的防火墙控制机制都可能失效。

（2）防火墙的稳定性。防火墙的稳定性是非常重要的。有些商家在防火墙尚未最后定型或经过严格的大量测试就被推向了市场，由于防火墙处于网络进出口处, 其稳定性直接影响到网络的正常运行,其稳定性比较差。稳定性差的防火墙产品会使“信息监控”经常发生乱拦截现象。如把正常的浏览访问当作恶意攻击而被拦截掉。防火墙日志功能失效。

（3）防火墙自身的良好性能。防火墙不仅能够很好地保护内部网络的安全，还应该具有优良的整体性能。数据通过率是表示防火墙性能的参数，因为不同类型的防火墙具有不同的功能，而不同功能的防火墙对其工作量和系统资源都有不同的要求，因此数据在通过防火墙时会产生延时。自然数据通过率越高，防火墙性能越好。

（4）防火墙的灵活性。笔者认为防火墙的灵活性应体现在以下方面：能够升级与扩展，支持大量协议。随着科技的发展，各个厂家间的夜竞争越来越激烈。若要长久拥有客源，在生产防火墙的时候，就必须考虑到防火墙产品本身的的规模和功能。它的规模和功能不仅能够适应内部网络的规模的变化，还要适应安全策略的变化。 3 防火墙在校园网中的应用

防火墙是校园网网络安全的一道防线，它通过控制和检测网络之间的信息交换和访问来管理校园网网络的安全。防火墙的主要作用有过滤出入网络的数据,强化安全策略；对出入网络的访问行为进行管理和控制；对不安全的服务进行限制或拦截,尽可能不暴露内部网络；有效的纪录通过防火墙的信息内容和活动等方面。因此，在网络拓扑上，防火墙常常安装在网络的出口和不同的安全等级的结合点之间。如内部网络和互联网的出口链路处。

根据学校校园网的安全需求和实际情况，赣南医学院采购了天融信NGFW4000-UF(TG-5464)防火墙。它是NGFW4000-UF系列防火墙的高端产品，是集成防火墙、VPN、带宽管理、防病毒、内容过滤等多功能的综合性网关产品，具有高性能、高可靠性、高安全性的特点，适用于金融、电信、教育等大型网络系统，特别是网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。NGFW4000-UF系列防火墙通过模块化结构设计来高了产品性能、灵活性、高效性和安全性。

与其它的防火墙相比，天融信NGFW4000-UF(TG-5464)防火墙致力于网络的安全性，并且管理容易。主要的设备功能有预防计算机上病毒、入侵检测、过滤垃圾邮件、过滤网页的内容、检测Dos、检测DDoS、管理SNMP、管理WEB等等。主要特点是网络端口的适用性