高職院校校園網(wǎng)防火墻技術(shù)的應(yīng)用

　　摘 要：高職院校校園網(wǎng)絡(luò)安全建設(shè)是一項復(fù)雜、龐大的系統(tǒng)工程。防火墻作為校園網(wǎng)與外部網(wǎng)的唯一出入口，是校園網(wǎng)絡(luò)安全的關(guān)鍵控制環(huán)節(jié)。文章主要圍繞防火墻技術(shù)在高職院校校園網(wǎng)中的應(yīng)用進(jìn)行分析，以供參考。

　　關(guān)鍵詞：高職院校;校園網(wǎng);防火墻技術(shù)

　　當(dāng)前，互聯(lián)網(wǎng)技術(shù)發(fā)展迅速，已然成為智慧校園建設(shè)中不可缺少的一部分，給學(xué)校運行帶來便利的同時，也造成了一些負(fù)面影響，計算機(jī)在使用過程中經(jīng)常會遭受黑客或病毒的惡意攻擊，給學(xué)校的正常運行造成了非常嚴(yán)重的干擾。對于高職校園網(wǎng)來說，想要避免校園內(nèi)網(wǎng)各種數(shù)據(jù)服務(wù)器的安全及信息被惡意篡改等情況，必須要建立安全的網(wǎng)絡(luò)體系，采取防火墻技術(shù)，增強校園網(wǎng)的防護(hù)能力，有效保障校園信息安全。

　　1 防火墻技術(shù)

　　防火墻是外部網(wǎng)絡(luò)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)之間的安全防護(hù)系統(tǒng)，此種系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行掃描和分析之后，能夠自動過濾網(wǎng)絡(luò)攻擊，阻止未經(jīng)授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)系統(tǒng)，顯著提升內(nèi)部網(wǎng)絡(luò)安全防護(hù)等級。防火墻技術(shù)本質(zhì)上是一種應(yīng)用性安全技術(shù)，主要建立在信息安全技術(shù)及通信網(wǎng)絡(luò)技術(shù)的基礎(chǔ)之上，當(dāng)前被更多地用在公用網(wǎng)絡(luò)系統(tǒng)與專用網(wǎng)絡(luò)系統(tǒng)的互聯(lián)環(huán)境中。

　　從邏輯上來看，可將防火墻視為一種限制器，也可視為一種分離器或者分析器，應(yīng)用防火墻能夠有效監(jiān)控互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)的任何行為活動，保障內(nèi)部網(wǎng)絡(luò)系統(tǒng)的運行安全。從系統(tǒng)組成上來看，防火墻可以依賴軟件實現(xiàn)系統(tǒng)建立，可以依賴硬件實現(xiàn)系統(tǒng)建立，也可以同時借助硬件和軟件建立系統(tǒng)。從防火墻系統(tǒng)的部署來看，可以是主機(jī)防火墻模式、網(wǎng)絡(luò)邊界防火墻模式，也可以是終端設(shè)備防火墻模式。防火墻這道安全技術(shù)屏障，能夠有效預(yù)防破壞性或者難以預(yù)測的網(wǎng)絡(luò)入侵。

　　通常情況下，外部網(wǎng)絡(luò)和內(nèi)部系統(tǒng)之間的全部網(wǎng)絡(luò)信息數(shù)據(jù)的傳輸都需要通過防火墻系統(tǒng)，而只有符合網(wǎng)絡(luò)安全控制要求的信息數(shù)據(jù)才能在傳輸過程中通過防火墻系統(tǒng)，防火墻系統(tǒng)在運行過程中本身具有較強的攻擊防御能力，其系統(tǒng)中應(yīng)用了高新信息安全技術(shù)，例如現(xiàn)代密碼技術(shù)等。一般來說，防火墻系統(tǒng)的人機(jī)界面相對來說比較友善，便于用戶后續(xù)實施配置管理[1]。

　　2 防火墻技術(shù)類型

　　2.1 代理服務(wù)器型防火墻技術(shù)

　　代理服務(wù)器型防火墻技術(shù)類型具有較強的網(wǎng)絡(luò)安全維護(hù)能力。系統(tǒng)借助服務(wù)器的運行，有效輔助網(wǎng)絡(luò)用戶完成各項任務(wù)，此種防火墻系統(tǒng)在應(yīng)用過程中要針對用戶的不同需求指出針對性代理，完成一對一指令模式。內(nèi)部網(wǎng)絡(luò)系統(tǒng)和外部網(wǎng)絡(luò)之間進(jìn)行信息傳遞時必須要經(jīng)由代理審核管控，內(nèi)部網(wǎng)絡(luò)系統(tǒng)只接受代理的單方指令，防御模式相對來說比較嚴(yán)格，容易對內(nèi)部網(wǎng)絡(luò)的功能應(yīng)用造成干擾，防御過程比較復(fù)雜。

　　2.2 包過濾型防火墻技術(shù)

　　包過濾型防火墻技術(shù)主要借助路由器裝置進(jìn)行工作。此種防火墻系統(tǒng)可以根據(jù)不同的數(shù)據(jù)包實施自動分析，判斷數(shù)據(jù)的來源以及數(shù)據(jù)傳輸?shù)哪繕?biāo)地址是否符合安全標(biāo)準(zhǔn)，最終做出允許通行或者禁止通行的判斷[2]。此類防火墻安裝難度較低，無需過多運營費用，但是該防火墻系統(tǒng)不存在系統(tǒng)登錄審核及用戶認(rèn)證等功能，因此安全防御能力一般。

　　2.3 應(yīng)用級網(wǎng)關(guān)防火墻技術(shù)

　　應(yīng)用級網(wǎng)關(guān)類型的防火墻系統(tǒng)能夠針對網(wǎng)絡(luò)中的資料、信息及數(shù)據(jù)進(jìn)行核查，根據(jù)核查結(jié)果分析危險系數(shù)，從而防范和抵御潛在網(wǎng)絡(luò)風(fēng)險，減少系統(tǒng)中的安全隱患，但是此種防火墻技術(shù)與過濾型防火墻技術(shù)存在相似之處，因此在應(yīng)用過程中稍有不慎可能會出現(xiàn)信息泄露的情況。

　　3 高職院校校園網(wǎng)絡(luò)安全當(dāng)前面臨的主要威脅

　　3.1 共享資源信息泄露

　　高職院校的校園網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容主要包括校園一卡通、財務(wù)、科研、教學(xué)及辦公自動化(Office Automation，OA)辦公等。為便于師生間實現(xiàn)資源共享，校園網(wǎng)絡(luò)需要經(jīng)常進(jìn)行網(wǎng)絡(luò)共享資源的部署，在此期間，部分高職院校由于缺少保密意識和嚴(yán)格的訪問控制措施，很容易出現(xiàn)重要信息泄露的情況。

　　3.2 病毒入侵

　　對于高職院校校園網(wǎng)絡(luò)系統(tǒng)來說，計算機(jī)病毒入侵是影響其系統(tǒng)安全的重要因素之一，校內(nèi)師生日常進(jìn)行的網(wǎng)絡(luò)下載、U盤使用、電子郵件的收發(fā)等都有可能成為病毒入侵的渠道。當(dāng)前一些不法人員受到利益的驅(qū)動，從事計算機(jī)黑色產(chǎn)業(yè)，制造病毒襲擊，盜竊校園網(wǎng)系統(tǒng)中的用戶賬號和密碼，進(jìn)而獲取重要信息，造成系統(tǒng)中大量數(shù)據(jù)丟失、硬件受損、網(wǎng)絡(luò)運行受阻，嚴(yán)重情況下甚至造成整個校園網(wǎng)絡(luò)系統(tǒng)的癱瘓。

　　3.3 黑客攻擊

　　高職院校的校園網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)相互連接，互聯(lián)網(wǎng)為廣大師生服務(wù)的同時，也面臨著潛在的安全隱患。當(dāng)前黑客攻擊技術(shù)也在不斷變化，越來越復(fù)雜，且破壞性不斷增強，此類網(wǎng)絡(luò)襲擊往往會造成較大損失，影響范圍廣，后續(xù)的技術(shù)修復(fù)難度較高，一旦遭受此種攻擊，技術(shù)人員需要付出大量精力進(jìn)行防御和系統(tǒng)修復(fù)。

　　3.4 內(nèi)部用戶攻擊

　　內(nèi)部用戶主要是高職院校內(nèi)的學(xué)生團(tuán)體，由于其對于校園網(wǎng)的內(nèi)部結(jié)構(gòu)和運行模式相對來說比較了解，且對于網(wǎng)絡(luò)技術(shù)充滿好奇，部分學(xué)生為滿足好奇心，對校園網(wǎng)絡(luò)進(jìn)行攻擊，不僅會造成校園資料信息泄露，還會影響校內(nèi)網(wǎng)絡(luò)運行秩序，降低了網(wǎng)絡(luò)的安全性，也加大了網(wǎng)絡(luò)安全維護(hù)的工作量，造成人力、物力資源浪費。

　　3.5 網(wǎng)絡(luò)安全管理缺陷

　　高職院校校園網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜，有著相對龐大的用戶群體，因此系統(tǒng)管理難度較大，系統(tǒng)中信息數(shù)據(jù)量大、系統(tǒng)運行速度高，具有較強的階段性特征。部分院校對于校園網(wǎng)絡(luò)安全的管理工作并未給予充分重視，導(dǎo)致系統(tǒng)安全問題頻頻發(fā)生，嚴(yán)重影響校園網(wǎng)絡(luò)系統(tǒng)的正常使用，也使得院校承受了一定的經(jīng)濟(jì)損失。

　　4 高職校校園網(wǎng)防火墻技術(shù)的應(yīng)用

　　4.1 漏洞掃描技術(shù)的應(yīng)用

　　漏洞掃描技術(shù)是防火墻系統(tǒng)中的常見安全防御技術(shù)之一，利用此種技術(shù)，能夠?qū)⒏呗氃盒Ｐ@網(wǎng)絡(luò)系統(tǒng)的真實地址進(jìn)行隱藏，這樣一來，一方面能夠更好地保存系統(tǒng)內(nèi)部的專用IP地址，另一方面還能有效抵御外網(wǎng)的惡意入侵。

　　4.2 IP地址保護(hù)技術(shù)的應(yīng)用

　　IP地址保護(hù)技術(shù)的應(yīng)用主要是為了對系統(tǒng)內(nèi)部用戶訪問非法網(wǎng)絡(luò)的行為實施限制，借助以太網(wǎng)地址和IP地址實施檢測，在內(nèi)部網(wǎng)絡(luò)系統(tǒng)的連續(xù)端口處接受數(shù)據(jù)信息。如果發(fā)現(xiàn)數(shù)據(jù)包應(yīng)用的IP地址存在異常，為盜用IP地址，那么此時會對該數(shù)據(jù)包實施自動攔截，阻止其進(jìn)入到內(nèi)部系統(tǒng)的服務(wù)器當(dāng)中。與此同時，防火墻系統(tǒng)會對該數(shù)據(jù)包進(jìn)行詳細(xì)記錄，如果校園網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)相連，內(nèi)部系統(tǒng)接收的信息存在IP地址盜用或者地址偽造的情況，防火墻系統(tǒng)也會立即實施攔截，并進(jìn)行記錄。

　　為了避免內(nèi)部系統(tǒng)IP地址遭受盜用，可以在校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)中應(yīng)用交換式集線器裝置，在系統(tǒng)的各個端口中都設(shè)置好相應(yīng)的以太網(wǎng)地址以及相應(yīng)的規(guī)范IP地址[3]。該技術(shù)的應(yīng)用能夠有效保護(hù)內(nèi)部系統(tǒng)的IP地址，效果非常顯著，但是美中不足的是技術(shù)運營費用偏高，投入成本較大，因此部分高校尚難以普及應(yīng)用。此外，應(yīng)用代理服務(wù)器防火墻技術(shù)，或者對IP地址實施捆綁處理，也能起到保護(hù)校園內(nèi)部網(wǎng)絡(luò)IP地址的作用，這種方式投入成本較低，應(yīng)用范圍相對廣泛。

　　4.3 非法訪問攔截技術(shù)的應(yīng)用

　　一般來說，如果網(wǎng)絡(luò)系統(tǒng)用戶進(jìn)行非法訪問，有很大概率會夾帶計算機(jī)病毒，為此，如果實現(xiàn)了系統(tǒng)中對于非法網(wǎng)絡(luò)地址的攔截，要立即對校園網(wǎng)絡(luò)路由器的存取列表實施調(diào)整，并立即攔截所有非法訪問。在此過程中，可在校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)和以太網(wǎng)連接的路由器裝置中設(shè)置相應(yīng)的控制組，然后引入相關(guān)指令符，用于非法網(wǎng)絡(luò)細(xì)致的篩選。插入的指令本質(zhì)上是用于實現(xiàn)路由器裝置的動態(tài)控制，該指令通過控制系統(tǒng)登錄到路由器裝置之后，能夠?qū)β酚善餮b置進(jìn)行合理配置調(diào)整，在最短時間內(nèi)完成人工配置。由此可見，應(yīng)用TEHETSOCKE指令能夠成功編制出仿真程序，這種程序相當(dāng)于專門針對CISCO的人工仿真指令類型。插入存取控制表主要依賴DENY，因此在實施仿真程序編制的時候必須要應(yīng)用同樣的CISCO控制表項文件，將控制目標(biāo)放置到既定配置文件之后，才能實現(xiàn)路由器裝置的配置傳輸。

　　4.4 透明防火墻技術(shù)的應(yīng)用

　　計算機(jī)病毒發(fā)展和傳播十分迅速，傳統(tǒng)的防火墻已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要，很多傳統(tǒng)的防火墻對于普通病毒和黑客攻擊無法做到有效預(yù)防。所以，采取透明防火墻技術(shù)，可以在沒有IP的情況下有效防止黑客對校園網(wǎng)的入侵和攻擊[4]。透明防火墻可以根據(jù)MAG地址選擇路由器，實現(xiàn)對IP地址以及MAC地址對應(yīng)網(wǎng)絡(luò)端口的靜態(tài)設(shè)置，配置對應(yīng)表，由管理員配置，降低IP被盜用的風(fēng)險。

　　4.5 入侵檢測技術(shù)的應(yīng)用

　　要確保校園網(wǎng)絡(luò)安全，保護(hù)校園內(nèi)部資料和信息安全，可以采取入侵檢測技術(shù)，將該技術(shù)在防火墻系統(tǒng)中設(shè)定，做好信息和數(shù)據(jù)隔離，限制校園內(nèi)網(wǎng)中不同部門互訪，維護(hù)重要信息數(shù)據(jù)安全，防止信息泄露。同時，應(yīng)將重要資料數(shù)據(jù)的存儲與校園網(wǎng)斷開，從根本上做好防護(hù)工作，避免被黑客盜取，造成信息外泄。

　　5 結(jié)語

　　為了保證校園內(nèi)網(wǎng)的安全，需要繼續(xù)不斷探索創(chuàng)新，通過培訓(xùn)學(xué)習(xí)加強高職院校校園網(wǎng)絡(luò)運維人員的技術(shù)水平，熟練運用防火墻技術(shù)的應(yīng)用，在今后的網(wǎng)絡(luò)安全工作中將積極探索防火墻技術(shù)的應(yīng)用，充分對防火墻技術(shù)進(jìn)行詳細(xì)分析與改進(jìn)，使防火墻的安全防護(hù)優(yōu)勢得以充分發(fā)揮，從而提高高職校園網(wǎng)絡(luò)安全性。

　　[參考文獻(xiàn)]

　　[1]翟麗.現(xiàn)代網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用[J].電腦知識與技術(shù)，2018(12)：28-29.

　　[2]尹文皓.基于高校校園網(wǎng)絡(luò)安全技術(shù)及相關(guān)應(yīng)用探索[J].網(wǎng)絡(luò)安全，2018(26)：80，90.

　　[3]郭俊葳.校園計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018(7)：15-16.

　　[4]周靈，伍曉平.芻議校園計算機(jī)常見網(wǎng)絡(luò)安全問題及其解決方法[J].現(xiàn)代信息科技，2018(5)：150-151.

　　推薦閱讀：《新校園》(上旬刊)是山東出版?zhèn)髅焦煞萦邢薰局鬓k，中國教育科學(xué)思想研究會協(xié)辦，面向全國公開發(fā)行的教育教學(xué)類綜合性教育期刊。