李海 葛红梅

[摘 要] 校园网在提高学校的教学、工作和学习的同时，也带来了网络的不安全因素。本文通过探讨校园网中存在的安全隐患，提出了在校园网络管理中如何通过入侵检测与防火墙配置等防火墙技术提高校园网络安全的性能。

[关键词] 计算机；校园网；网络安全；防火墙

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 056

[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194（2014）12- 0088- 04

0 引 言

计算机网络技术依靠其高度发达的发展技术，在国民经济各行业中均发挥着重要作用，目前，计算机网络技术已经广泛应用在政府机构、金融机构、军事指挥和控制系统、教育事业中，极大程度上提升了各单位的生产经营效率，在某种意义上，计算机网络系统给人们的生活、工作、学习都带了极大便利，构建了一个共享、高效、智能的平台。但是，不能忽视计算机网络技术的弊端，由于自身建设因素、程序设定因素和操作失误等诸多因素的存在，计算机网络技术不可避免地离不开病毒和漏洞，给一些别有用心之人以可乘之机，计算机网络技术的弊端轻则给企事业单位的保密信息带来安全风险，重则使国家的机密文件彻底损毁或丢失、个人的重要信息被窃取，造成不可估量的经济损失[1]。近年来，我国大中小学的校园里都基本普及了校园网络，给学校的教学活动和多媒体教学创造了便利条件，提高了校园教学效率，但网络的脆弱性和不安全性也给校园网络的应用带来了不利影响。

世界上没有一种事物是唯一的，防火墙也一样，为了更有效率地对付网络上各种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。

在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通过网络驱动程序接口（Network Driver Interface Specification，NDIS）把网络上传来的各种报文都忠实地交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的数据报文， NDIS直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些情况下就会造成信息泄漏。而使用软件防火墙后，尽管NDIS接收到的仍然是原封不动的数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄露出去了。

软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运行于系统上的程序，不可避免地需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而是使用看得见摸得着的硬件防火墙。

硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。

硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备，这里又另外派分出两种结构，一种是普通硬件级别防火墙，它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件，这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙，除了不需要处理其他事务以外，它毕竟还是一般的操作系统，因此有可能会存在漏洞和不稳定因素，安全性并不能做到最好；另一种是所谓的“芯片”级硬件防火墙，它采用专门设计的硬件平台，在上面搭建的软件也是专门开发的，并非流行的操作系统，因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙，管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中，因此它自身的硬件规格也是分档次的，尽管硬件防火墙已经足以实现比较高的信息处理效率，但是在一些对数据吞吐量要求很高的网络里，档次低的防火墙仍然会形成瓶颈，所以对于一些大企业而言，芯片级的硬件防火墙才是他们的首选。

1 安全漏洞和病毒入侵给校园网络带来的安全隐患

网络的安全漏洞通常指计算机系统中存在的可能导致计算机被别有用心的人入侵或攻击的缺陷，同时安全漏洞也是可能因为网络信息交换的过程中导致信息泄露等威胁的可能性。计算机软件安全漏洞的存在，主要因为计算机软件的设计、编写或研发人员在研究开发计算机软件时，由于考虑不周或设计失误，导致软件或系统中存在弱点或漏洞，这些漏洞可能被黑客或病毒利用，成为入侵或攻击的路径。计算机软件的漏洞通常分为功能缺陷和安全漏洞。计算机软件的功能性缺陷通常会对计算机的软件运行和软件功能的实现产生一定影响。而安全漏洞通常情况下对计算机系统或软件的运行与软件功能不产生影响，但这些漏洞有被黑客利用的可能性，一旦被黑客利用，它造成的危害更大，可能会造成校园网络系统瘫痪或网络中自行执行恶意代码、中病毒，严重情况下可能会被黑客窃取计算机中或通信中的机密。

病毒入侵是利用病毒的自我复制特点对网络系统进行破坏和侵袭，窃取数据，破坏数据完整性和系统是正常服务功能，病毒入侵的突出特征变现为隐蔽性、传播性、繁殖性、潜伏性与寄生性。计算机病毒入侵是计算机网络中常见的信息被侵害的方式，利用病毒入侵技术可以通过对外部和内部攻击的入侵，从而获取入侵的信息和资料。病毒入侵是对校园网的网络系统漏洞、服务和管理权限进行探测，然后利用一定的工具和网络协议对网络中用户的各种信息进行获取与收集整理，同时发现系统中存在的漏洞，从而突破系统的网络安全防范措施。病毒入侵可能导致校园网络瘫痪，甚至可能导致校园网络终端中的计算机、多媒体设备损坏，此外病毒入侵可能使校园网被黑客利用后获取学生或教师的基本信息，产生信息泄露的隐患。校园网络中的考试信息等可能被黑客利用，从而导致试题泄露，被黑客利用成为其揽财的手段。

2 防火墙技术对校园网络安全提升的策略

2.1 在校园网络中构建有效的防入侵防火墙

防火墙又叫安全防火墙，是应对计算机网络中的病毒入侵最广泛的防范对策。防火墙在普通用户和企业终端中应用十分广泛，它能够有效防止一般、常见计算机病毒对系统的入侵和损坏，能够有效保证系统的安全性能。防火墙作为隔离网络、划分网络区域的有效保证计算机网络安全的应对措施，通过定制不同的区域访问策略控制不同区域间的数据流，从而提高网络的安全性能。防火墙入侵是一种较难的入侵方式，但是一旦实现入侵，用户所遭受的损失也是最大的，可以造成用户的系统瘫痪，甚至崩溃，损失不可估量。在我们通常使用的互联网中，有些区域是可以信任的，有一些区域是不可信任的，通过区分高度信任区域和不可信任区域，能够有效避免安全隐患较高的网络通信，从而能够有效保护网络信息安全[2]。因此在校园网络中构建防火墙是保证校园网中相关信息存储、信息传输安全性的重要保障，应当值得广大学校和校园网网络管理者的重视。

2.2 通过代理服务器配置方案提高防火墙对校园网的保护

代理服务器技术是代理型防火墙技术的核心，通过对内部网络数据包进行防火墙处理后，校园网在整个因特网中运行和数据传输时可以有效隐藏网络内部构架，使黑客或入侵者入侵的难度增加，隐藏代理型防火墙通常被认为是最安全的防火墙技术。代理型防火墙通过代理服务器连接校园网络和因特网，这种网关能够代理运行计算机软件，从而实现两种网络相互兼容和相互通讯。代理服务器技术能够很好地隔离内网与外网，使校园网和因特网之间既能有效交流，又能够对校园网的局域网进行合理的保护，不受外部网络的攻击和入侵。代理服务器作为解决校园网通讯和共享的有效的保护措施，通过合理配置能够极大程度上提高校园网的安全性能，是在校园网络中十分实用和常用的防火墙技术。

2.3 通过防火墙入侵检测技术提高校园网络安全性能

防火墙入侵检测技术又叫IDS，是英文Intrusion Detection System的缩写，是计算机网络应对网络中的非法入侵和黑客攻击的预警和应对系统。计算机网络入侵通常是指入侵者利用已有的计算机程序调试和编写技术，通过网络非法访问未经授权的计算机文件，最终侵入该网络中的非法行为[3]。在校园网中通过防火墙入侵检测是校园网对网络信息安全的必要保证，当前较为先进的防火墙入侵检测技术能够使防火墙与入侵检测形成有机整体，入侵检测发现有恶意入侵后，防火墙迅速加强对网络的保护，使入侵者无计可施，从而避免了校园网受恶意攻击或病毒入侵。

校园网及其信息系统所面临的安全威协既可能来自校园内部，又可能来自校园外部，主要有以下几种情况：“黑客”、数据泄露、IP盗用、病毒攻击、非法站点的访问问题、E-mail问题。所有的入侵攻击都是从用户终端上发起的，往往利用被攻击系统的漏洞肆意进行破坏。

针对校园网的各种安全隐患，深入分析产生这些安全问题的根源以及随时出现的网络安全需求，通过采取相应的网络安全策略，将安全技术与教育管理结合起来，就可以建成一个安全、通用、高效的校园网络系统。

3 校园网安全监测

在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。

3.1 采用入侵检测系统

在校园网中构架成一套完整立体的主动防御体系，需要同时采用基于网络和基于主机的入侵检测系统。

首先，在校园网比较重要的网段中放置基于网络的入侵检测产品，不停地监视网段中的各种数据包，如果数据包与入侵检测系统中的某些规则吻合，就会发出警报或者直接切断网络的连接。

其次，在重要的主机上（如WWW服务器，E-mail服务器，FTP服务器）安装基于主机的入侵检测系统，对该主机的网络实时连接以及系统审计日志进行智能分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。

3.2 Web、E-mail、BBS的安全监测系统

在校园网的WWW服务器、E-mail服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet上传输的内容，并将其还原成完整的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，并向上级安全网管中心报告。

一般可以采取如下方法：用一台PC机连接在网络的关键网段上，修改网卡的接收方式，这样就能接收到这个网段上传输的所有信息，而且对原有网络的传输性能没有影响。系统基本上通过两部分组成： 一部分为监控器，主要负责如实地记录网络上的传输数据，并将其保存为硬盘上的文件，交给第二部分后台分析处理； 第二部分为后台分析器，负责对前台监控器记录下的数据进行处理，将前台监控器截获的数据拼装、还原成应用层的完整内容，然后在数据库中添加相应的记录。监控器可以采用一台装有两块网卡的PC机，采用Linux操作系统。分析器可以由一台安装了Win 2000的PC机承担，运用SQL Server等软件。这样就可以对进入网内的各种信息进行检测，并对邮件中的病毒进行检测，从而阻止病毒进入局域网。

3.3 漏洞扫描系统

解决网络层安全问题的方法是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式，最大可能地弥补最新的安全漏洞并消除安全隐患。

3.4 IP盗用问题的解决

在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行，否则禁行，同时给发出这个IP广播包的工作站返回一个警告信息。

3.5 利用网络监听维护子网系统安全

要解决校园网内部的侵袭问题，可以对各个子网做一个审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序，其主要功能是长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。

4 配置安全的系统服务器平台

安全的系统服务器是网络安全的基点，利用系统本地安全策略构建一个相对安全的防护林对于校园网来说至关重要。

4.1 设置禁用，构建第一道防线

Win 2000即使是装上了最新的系统补丁，但在Internet的任何一台PC上只要输入“＼＼IP地址＼c■”，然后输入用户名Guest，密码空，该机器的C盘就完全暴露了。解决的方法是禁用Guest账号，为Administrator设置一个安全的密码，将各驱动器的共享设为不共享。同时关闭不需要的服务。在管理工具的服务中将它们设置为禁用，一般可以禁用的服务有Telnet、Task Scheduler（允许程序在指定时间运行）、Remote Registry Service（允许远程注册表操作）等。

4.2 设置IIS，构建第二道防线

通过简单的设置，完全可以弥补校园网服务器的IIS漏洞。首先将IIS默认的服务都停止，然后再新建一个Web站点。设置好常规内容后，在“属性→主目录”的配置中对应用程序映射进行设置，删除不需要的映射，这些映射是IIS受到攻击的直接原因。

4.3 运用扫描程序，堵住安全漏洞

要做到全面解决安全问题，需要扫描程序的帮助。扫描完成后，要看一下，是否存在口令漏洞，若存在，则马上修改口令设置；再看一下是否存在IIS漏洞，若存在，须检查IIS的设置。

4.4 封锁端口，全面构建防线

黑客大多通过端口进行入侵，所以关闭那些不用的端口，完全可以阻止入侵者的攻击。

首先，通过“管理工具→本地安全策略”进入，右击“IP安全策略——属性”，创建一个安全策略。

接着，右击“IP安全策略——属性”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，添加要封锁的端口，这里以关闭ICMP端口为例说明。关闭ICMP的具体操作如下：点“添加”，然后在名称中输入“关闭ICMP”，点右边的“添加”；在源地址中选“任何IP地址”；在目标地址中选择“我的IP地址”；在协议中选择“ICMP”。

然后，进入设置管理筛选器操作，点“添加”，在名称中输入“拒绝”。选择“阻止”关闭该属性页，右击新建的IP安全策略，打开属性页。在规则中选择“添加”，选择“此规则不指定隧道”，在选择网络类型中选择“所有网络连接”，在IP筛选器列表中选择“关闭ICMP”，在筛选器操作中选择“拒绝”。这样就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。

5 校园网的访问控制策略

针对校园网络系统的安全威胁，必须建立整体的、卓有成效的安全策略，尤其是在访问控制的管理与技术方面需要制定相应的策略，以保护系统内的各种资源不遭到自然与人为的破坏，维护校园网的安全。

5.1 建立并严格执行规章制度

规章制度作为一项核心内容，应始终贯穿于系统的安全生命周期。校园网络的安全管理制度应包括：确定安全管理等级和安全管理范围，制定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。任何规章制度的意义都在于实施，严格执行安全管理制度是网络可靠运行的重要保障。

5.2 身份验证

身份验证技术可用于判断对象身份的真实性，是校园网上信息安全的第一道屏障。除校园卡外，校园网上的身份验证技术主要是口令机制，如各种开机口令、登录口令、共享权限口令等。对这些口令的保护除建立严格的保密机制外，口令的设置方法非常重要。

一般而言，安全的口令有以下特点：

（1）至少7位字符，系统用户一定要用8位字符的口令；

（2）大小写字母混合，把数字无序地插在字母中；

（3）口令中包含“～ ！# $ % * ？ { } ”等符号；

（4）不使用英语单词，不使用个人信息（如生日、姓名等）；

（5）不要在不同系统上使用同一口令。

5.3 病毒防护

校园网络防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系，特别是针对重要的网段和服务器，要进行彻底堵截。

选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征：①能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理； ②要能保护校园网所有可能的病毒入口，也就是说要支持所有可能用到的Internet协议及邮件系统；③具有较强的防护功能，可以对数据、程序进行有效的保护。

5.4 防火墙技术

防火墙在校园网与Internet之间执行访问控制策略，决定哪些内部站点允许外界访问和允许访问外界，从而保护内部网免受非法用户的入侵。

5.4.1 防火墙设置原则

目前，防火墙主要有如下几类： ①包过滤型防火墙，这类防火墙是必须的，尤其是对于使用静态IP地址的校园网；②应用代理型防火墙，对用户身份进行鉴别，并提供比较详细的日志和审计信息；③复合型防火墙，即前两类的结合。

建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问。对校园网用户进行流量控制，依据时间安全规则变化策略，控制内网用户访问外网时间。定期查看防火墙访问日志，对防火墙的管理员权限严格控制。

5.4.2 选择与配置安全有效的应用层防火墙

网络管理员要在安全机制需要和系统的易用性方面做出平衡，一般可以采用如下的防火墙配置方案。

在系统中使用两个包过滤防火墙，在内部网络和外界Internet之间隔离出一个受屏蔽的子网，包括代理服务器、E-mail服务器、各种信息服务器（包括Web服务器、FTP服务器等）等。

在外部路由器上设置一个包过滤防火墙，它只让与屏蔽子网中的代理服务器、E-mail服务器、信息服务器有关的数据包通过，其他所有类型的数据包都被丢弃，从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内。

防火墙在很多方面存在弱点，要警惕来自防火墙的缺陷，防火墙擅长于保护设备，而不擅长保护数据， 防火墙不是解决所有网络安全问题的灵丹妙药，一般有70%的攻击是来自校园网的内部，防火墙对此束手无策。

5.5 应急处理和数据备份

应急响应是校园网整体安全构架中不可分割的重要组成部分。校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时，应及时向用户发出安全通告，并提供各种补丁程序以便下载。

数据是整个网络的核心，做一套完整的数据备份和恢复措施是校园网迫切需要的。对易受到攻击的Web服务器，配置网站监控与恢复系统，一旦主页被篡改，能够及时恢复。针对网络安全而言，备份既包括网络通信参数、配置的备份，又包括设备和线路的备份。网络中心应定期将重要数据打包，并将副本存放在专用的服务器中，还可采用RAID技术对重要磁盘做镜像。

5.6 运用VLAN技术

采用交换式局域网技术（ATM或以太交换）的校园网络，可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段，网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中，通常采用二者相结合的方法。

5.7 遵循“最小授权”原则和采用“信息加密”技术

从网络安全的角度考虑问题，打开的服务越多，可能出现的安全漏洞就会越多。“最小授权”原则是指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度，这可以将系统的危险性大大降低。如：关闭网络安全策略中没有定义的网络服务，将用户的权限配置为策略定义的最小限度，及时删除不必要的账号等。

“信息加密“是包括算法、协议、管理在内的庞大体系，加密算法是基础，密码协议是关键，密钥管理是保障。其核心及相关程序，如登录系统、用户管理系统等在可能的情况下应自行开发。 5.8 用户教育

加强对校园网用户的安全意识教育和安全技术培训，提高遵守相关的安全制度的自觉性，增强整体安全防范能力。对于非法访问和黑客攻击事件，一旦发现要严肃处理。

加强对校园网安全技术和管理人员的培训，使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。

6 结 语

总之，在网络信息时代，校园网络的安全是学校教学质量的重要保证，防火墙技术作为最常用、最实用的网络安全保障，在保护效益网络安全中起到十分重要的作用。在构建校园网络系统和管理校园网络系统时，应当充分认识到校园网络安全性的重要性，要科学合理地利用防火墙技术提高校园网络的安全。

主要参考文献

[1]阎慧，王伟.防火墙原理与技术[M].北京：机械工业出版社，2010.

[2]任月鸥，高文举，李秋菊. 在校园网络环境下防火墙技术的应用研究[J].硅谷，2011（1）：122-123.

[3]曹秀娟. 防火墙技术在校园网络安全管理中的应用[J].计算机安全，2010（12）∶73-74.