防火墙技术及其在校园网中的应用

来源：职称驿站所属分类：计算机网络论文
发布时间：2019-02-19浏览：34次

　　当今社会，计算机网络与信息技术都飞速发展，在某些我们无法看到的应用中也可能隐藏者一些网络威胁。本文介绍了防火墙技术及其实现方法，分析了防火墙优势及其存在的问题，并且介绍了防火墙的主要技术，提出了校园网存在的问题及防火墙在校园网络的合理应用。

网络与信息

　　《网络与信息》杂志是经国家科技部和国家新闻出版总署批准的国内外公开发行的计算机网络应用类专业媒体，CNKI中国学术期刊全文数据库收录期刊、中国学术期刊综合评价数据库统计源期刊、中国核心期刊(遴选)数据库收录期刊、ASPT来源刊、中文科技期刊数据库收录期刊、全球中文电子期刊协会入编期刊、2007及2008年国内网络传播电脑网络类前10名期刊。

　　随着信息技术的发展，计算机网络变得越来越重要，已经逐步渗透到日常生活工中的各个方面，人们生活工作学习都离不开他。计算机网络虽然给我们带来很多便利，但是与此同时也带来了许多潜在的安全威胁，因此保障网络安全也变得越来越重要。本文从网络安全中的防火墙谈起，主要探讨防火墙技术包括防火墙的概念，优势及存在问题，运用的关键技术及在校园网络上的运用。使我们更深入的了解了解到防火墙在网络安全方面的作用是至关重要的。

　　1 防火墙概念

　　防火墙也叫防护墙，英文名称为Firewall，是在内网与外网之间建立的一种网络安全系统，在外网与内网之间，公用网络与专用网络之间形成了一道保护网络安全的屏障，将允许“同意”的访问和数据进入内部网，同时将“不同意”的访问和数据拒之门外。防火墙就像是在一个网络与另一个网络间设置了一道关卡，根据预先设置好的安全策略对出入内部网的信息流进行有效控制，这样不仅能有效防止无法预测的具有潜在破坏性数据流入侵内部网，而且正常访问被保护的网络也不会受到影响。尽管近些年涌现出大批的网络安全技术，但是截至目前，防火墙仍是保护网络安全最常用的也是最成熟的技术。

　　2 防火墙的优势有

　　第一，内部网和外部网之间的所有网络数据都必须经过防火墙。也就是说，防火墙就像是一个隔离器一样通过设置安全策略来保护内网安全，只允许符合安全策略的数据进入到内部网络中去，将不符合安全策略的数据拒之门外。假如失去了防火墙的保护，内部网络上的每个主机都有可能受到不法分子的攻击，其安全性也会大大降低，有了防火墙就等于在内部网络与外部网络之间建立了一个安全屏障，最大限度地阻止网络中的黑客来访问内部网络，防止他们随意篡改破坏网络上的重要信息，从而有效保障内部网络的安全。

　　第二，作为内网与外网进出的唯一控制点，所有进出信息都必须通过防火墙，因此防火墙能够有效收集记录网络正常使用或者错误使用的信息并做出日志记录，无时无刻的监视计算机网络的安全性，一旦发现问题立即给管理员发出警报。

　　第三，防火墙可以通过NAT来缓解地址空间紧张。以防火墙为中心的安全方案的配置可以对网络安全进行强化，可以在防火墙上配置相应的软件且将相应网络安全问题分散到不同主机上做出比对与分析，使计算机网络能够进行集中的安全管理，从而有效节约了成本。

　　第四，防火墙能间隔网络中的网段，防止由于一个网段出现的问题而影响到整个网络的正常运行使用，更好的保护内部网络。

　　第五，防火墙可以加密重要信息。在重要信息被用户设定之后，防火墙会自动屏蔽网络访问文件的程序并对网络地址进行加码，这样就可以有效防止重要信息外泄，从而达到了保障信息的安全的作用。

　　第六，防火墙在通常情况下都可以做到安全失效。意思是假如防火墙由于遭受攻击或其他原因崩溃的时候，就会出现内部网络与外部网络之间的断开连接。但是这种情况并不会影响到内部网络的正常工作，仅仅是内网不能访问外网。

　　3 防火墙存在问题

　　防火墙放在内部网与外部网的边界，直接面对的是不可信网络所有可能的攻击，所以也存在着诸多问题：

　　第一，防火墙不能防范不经由它的攻擊。防火墙作为一道隔离外部网络与内部网络的门户，虽然对于通过它进行传输的信息能够进行有效的阻挡，但假设信息传输不通过防火墙而进行，那么防火墙就无法有效拦截非法入侵。例如，假如用户直接使用移动硬盘或者U盘等存储设备对信息数据进行移动或复制，这些信息数据就可以直接绕过防火墙，由于这些信息数据的传送并没有通过防火墙，所以防火墙无法对其进行安全防范。

　　第二，防火墙无法防范来自内网用户的攻击。俗话说“家贼难防”，防火墙防外却不防内。由于内部人员对内部网络的结构更为熟悉，假设内部用户直接从网络内部入侵或是进行一些破坏行为(对软硬件进行破坏、对重要的数据和信息篡改或窃取)，由于这些行为并没有通过防火墙，所以防火墙是无法对其阻止的。

　　第三，防火墙无法对数据驱动型攻击进行防范。那么什么是数据驱动型的攻击呢?从表面上来看，数据驱动攻击是用户通过外网下载了看似无害的数据信息或是通过移动硬盘等途径将数据信息复制到自己的计算机中。但是这些数据或程序一旦被执行，就很有可能会发起攻击，其结果可能会使入侵者得到某些权限，甚至极有可能导致本机上的安全配置文件被修改。

　　第四，防火墙无法对已经感染了病毒的软件或文件进行防范。由于病毒种类多、操作系统各不相同、文件压缩的方法也多种多样，因此不能期望防火墙对各个进入内部网络的数据和文件都进行扫描，针对这类缺陷，最好还是在每台计算机上都安装杀毒类软件。

　　第五，由于开放的端口越多，受到攻击的途径也就越多。而为了提高被保护的内网安全性，防火墙限制或者关闭了很多存在安全漏洞的网络服务，因此牺牲了许多有用的网络服务。

　　第六，防火墙无法对不断更新的攻击方式进行防范。因为通常情况下，人们都是在已知或现有的攻击模式下来制定防火墙安全策略的，所以，也就缺少对全新的攻击方式制定的阻止功能，没有一个防火墙能有效防御所有的攻击。

　　4 防火墙的关键技术

　　4.1包过滤防火墙

　　包过滤防火墙主要工作在网络层，其技术的关键就是网络的分包传输。以包为单位在网络中进行信息传递，所有往来的信息在网络上被分割成许多定长的信息包。根据防火墙内预先设定好的规则进行过滤，检查数据流中每个数据包头部，再根据数据包的源地址、目的地址、目的端口号、TCP/UDP源端口号还有数据包头中的各种标志位等因素来确定是否允许数据包通过。此种防火墙有很多的优点，例如速度快、适应力较强、成本较低，能够在简单的环境中确保网络计算机的安全。缺点是配置相对来说会比较烦琐些，包过滤路由器通常没有用户的使用记录，因此便无法获得入侵者的攻击记录，虽能阻止外部网络对内部网络的访问却无法限制内部网络之间的访问且不能鉴别不同的用户也无法防止IP地址被盗用。

　　4.2 代理防火墙

　　这种防火墙通常被称为代理服务器，是比较高级的一种防火墙技术。这种方式内网与外网无直接的数据通道，也就是说内网与外网不直接通讯。代理服务器位于客户机与服务器之间，就像是数据信息的中转站，将客户机与服务器间直接的数据交流完全阻挡。从服务器角度来说，代理服务器是一台真正的客户机，而从客户机的角度上来说，代理服务器相当于一台真正的服务器。用户间网络信息在进行沟通和交流时，必然会经过代理防火墙这个中转站，代理型防火墙对信息数据进行过滤，将允许通过的信息数据传输到真的用户电脑中，将不允许的数据信息及非法攻击等阻挡下来，从而保障计算机的网络安全及用户之间信息安全。

　　代理型防火墙最大的优点就是有很强的安全性能，但因为不允许用户直接访问网络，导致访问速度变慢，效率也相对低。

　　4.3 状态监测防火墙

　　这种防火墙使用了监测引擎，可以追踪每一个通过其建立的连接，还可以根据用户的需要动态地在过滤规则中增加或更新条目。由于监测引擎支持多种应用程序和协议，所以具有了较好的适应性和扩展性，使得实现应用和服务的扩充更为简单容易。与前面两种防火墙不同的是，状态监视器要在用户访问请求到达网关的操作系统前就抽取相关的数据来进行比对分析，结合当前网络的配置和安全规定一系列处理动作(接受、拒绝、身份认证、报警、通信加密等)。在提高计算机的安全防范功能方面上，此类防火墙无疑是相对可靠和比较安全的，但是这种监测型的防火墙技术有很大的缺点就是配置相对复杂，不易管理且成本费用比较高。

　　5 防火墙技术在校园网络的应用

　　首先，计算机病毒是威胁校园网络安全最主要的因素。计算机病毒实质上是一种特殊的计算机程序，有很强的自我复制能力。由于它的传播途径非常广泛，例如网上下载、电子邮件、移动硬盘及其他移动存储设备等，所以校园网中假如有一台机器被感染，就很可能会进行迅速的传播与蔓延进而影响整个网络的正常使用，甚至造成校园网络瘫痪。

　　其次，由于校园网与Internet相连，人们在享受Internet带来的便利的同时，也会时刻面临着遭遇不法分子攻击的风险。如今黑客的攻击手段越来越多，越来越隐蔽令我们防不胜防。有些黑客甚至攻擊校园网络，使校园网服务器无法正常使用，给学校造成了巨大损失。

　　第三，现在很多专家都认为，比起外网的威胁，其实校园内部用户对网络的攻击甚至更多。随着互联网+的普及，一部分学生对网络比较了解，对新技术也充满好奇心，有时候会在好奇心促使下，有意或是无意地对校园网络系统进行攻击，严重时甚至会干扰到校园网的安全运行，这无疑会给校园网的安全工作增加难度。

　　6 防火墙技术在校园网的合理应用

　　首先，防火墙可以有效保障校园网络设施的安全性。校园有许多网络设备是个信息高度集中的地方，防火墙就像个忠诚卫士一样保护着他们安全。所以在不可能更换学校整体网络安全防护系统的前提之下，通过加强防火墙的功能对实现校园网络安全意义十分重大。

　　其次，防火墙可以阻止内部网络访问不安全网站。当今信息时代，各式各样的网站层出不穷，这其中当然也包含着许多危险的网站。特别是在校园，师生们很有可能无意间就点开这些危险网站，进而也很可能对学校的官网、选课系统等进行攻击。一旦被攻击成功，将很可能导致网站瘫痪，会对学校的日常工作产生严重影响。而防火墙则可以对这些危险的网站访问进行阻止，确保师生有一个良好的上网环境。

　　最后，防火墙可以实时对校园信息进行监控、控制流量并监管浏览内容。在校园网中，由于防火墙可以控制着所有信息的出入，对信息的采集有着得天独厚的优势，学校可以通过防火墙对信息进行分类采集并进行比对分析，对某些不良网站或者恶意软件执行禁止访问操作，或者管制个别不文明学生的不道德行为，方便对学生的日常的网络生活进行监管，这对于建设绿色校园网络有着至关重要的作用。

　　7 结语

　　随着人类社会的不断进步，校园网络安全问题已经引起越来越多学校的重视，网络防火墙技术也越来越被广泛应用于校园数字化建设，虽然防火墙技术还存在着一些漏洞与不足，但是我相信随着防火墙技术的不断进步与发展，未来的防火墙一定能够更好地保护好校园网络的安全。

　　参考文献：

　　[1] 王丽玲.浅谈计算机安全与防火墙技术[J].电脑开发与应用，2012，25(11)：67-69.

　　[2] 刘水. 防火墙与入侵检测系统在校园网中结合应用的初探[D].南京理工大学，2003.

　　[3] 凌捷，肖鹏，何东风.防火墙本身的安全问题浅析[J].计算机应用与软件，2004(02)：94-96.

　　[4] 赵凯. 防火墙关键技术的研究与硬件实现[D].西北工业大学，2007.

　　[5] 李琳.试析计算机防火墙技术及其应用[J].信息安全与技术，2012，3(08)：46-48,51.

　　[6] 巴特尔.防火墙技术在校园网中的应用[J].信息与电脑(理论版)，2015(11)：91-92.

　　[7] 郝玉洁，常征.网络安全与防火墙技术[J].电子科技大学学报(社科版)，2002(01)：5-7.

　　[8] 黄卓. 防火墙关键技术的研究[D].沈阳工业大学，2006.

　　[9] 祁宏伟. 校园网络信息安全保护研究与实现[D].内蒙古大学，2010.