杨秋叶 杜慧 刘清毅

摘要：高校作为我国科学研究的重要基地，对网络信息的需求越来越迫切。我国各大高校都建立了自己的校园网，其规模在日益扩大，校园网为教师和其他科研工作者带来很多便利，同时很多教职员工也在担心校园网安全所带来的不利影响。本文在分析校园网安全隐患基础上，介绍防火墙在校园网安全中的作用及技术原理，针对我校校园网的网络拓扑特点，提出相应的校园网防火墙安全策略。

关键词：防火墙技术 网络安全 校园网

0 引言

21世纪是网络时代，网络的应用已经遍布到人类生活的各个角落，它改变人们的生活方式和工作方式，极大的提高了人们的工作效率和社会生产力。网络给人们的生活和工作带来便利的同时，也给基于网络为基础的信息安全带来隐患。网络在设计之初注重了网络设备之间以及网络设备与终端设备之间的兼容和互通，强调信息在各种设备之间互通交流的便捷性，却忽视了网络本身所存在的一系列安全问题，随着互联网规模在全球迅速壮大，网络的安全性能成为人们非常关注的一个问题。校园网作为互联网的一个组成部分，它所采用的信息交换协议是开放的网络协议，而这些网络协议在设计之初只是突出了通讯功能，并没有强调安全保障，因此，校园网中的安全问题也变得日益严峻。

相对于互联网而言，校园网是一个局限于学校内部的局域网，该局域网通过一个或多个网络出口与互联网相连，从而实现校园网内部与外部的信息交流。为了提高校园网的安全性能，现在应用最为广泛的网络安全技术就是防火墙技术，防火墙是校园网内部和外部分割的第一道安全防线，合理的划分校园网的拓扑结构，正确的设置防火墙设备，可以有效降低校园网的安全风险，保障网络的正常运行。

1 校园网中存在的安全问题

1.1 硬件方面的安全隐患 网络数据的存储、传输和访问离不开网络物理设备的正常运行，因此，网络硬件的安全是整个校园网正常运行的基础。除了网络硬件本身没有故障外，我们还得关注网络设备正常运行的物理环境，比如物理隔离网络设备、适宜的温度、湿度环境、合适的电压、电流，以及防火、防盗、防雷、防震等措施，都是网络硬件方面安全所要考虑的内容。

1.2 软件方面的安全隐患 操作系统及网络软件本身的缺陷。操作系统是我们的系统软件，它的规模随着我们的应用功能增加在急剧增大，导致操作系统本身不可避免地存在这样或那样的安全漏洞，同时，虽然大家已经意识到网络安全的重要性，在网络软件的设计和开发中增加了保障网络安全的机制，但跟其他软件一样，网络软件也会因为开发者的疏忽遗留安全漏洞，这些是网络不安全的重要因素。目前有很多黑客技术已被人们所熟知，有些黑客会专门研究并发现系统中的安全漏洞，通过黑客技术盗用或更改未经授权的服务器上的资料，给企业或个人造成重大损失。由于黑客技术隐蔽性好，破坏性强，目前又缺乏强有力的跟踪和监管手段，黑客已经成为网络安全的主要威胁之一。

2 防火墙技术

2.1 防火墙的作用 防火墙是被设置在不同网络连接处用以分割不同网络安全的一组部件。它可以监测、限制、更改通过防火墙的数据流，对外部网络而言，防火墙尽可能的屏蔽网络内部的相关信息，以此来确保网络内部的信息安全。没有防火墙的网络，外网的非法用户可以直达内网的某台计算机或服务器，网络的安全性就只能依靠计算机或服务器本身的安全机制，在网络中设置防火墙，就是在内网与外网之间设置了一道关卡，增加非法用户获悉内网结构及运行状况的难度，从而提高内网的安全性能。

2.2 防火墙技术原理 防火墙技术一般包括下列四种基本类型：

数据包过滤类型防火墙技术。这种防火墙技术被应用在网络层，在网络层进行数据包的选择。在系统内部设置包过滤逻辑，也就是访问控制表，当网络中传递来一个数据包之后，首先检查该数据包的源地址、目的地址、所用的端口号、协议状态等是否符合过滤逻辑，以此来判断该数据包是否通过防火墙进入内网。这种防火墙逻辑简单，价格便宜，易于安装和使用等优点，但也存在缺乏安全认证机制、数据加密机制的不足，非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击，同时数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应用级网关防火墙技术。该防火墙技术主要应用在网络体系结构的应用层，在应用层建立协议，对数据包进行过滤和转发。针对不同的网络应用服务协议使用特定的数据过滤逻辑，同时对数据包进行必要的分析、统计形成报告，以确定该数据包是否通过防火墙进入到网络内部。应用网关防火墙一般被安装在专用的工作站上，它与数据包过滤防火墙都是通过逻辑判定来确定数据包是否进入内网，一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代理服务防火墙技术。该技术主要是针对数据包过滤和应用网关技术存在的不足而引入的新的防火墙技术。它是在防火墙上针对每一种应用都建立两个代理服务，外网的数据包先传输到防火墙上的外网代理服务，然后通过设置的规则将该数据包从外网代理服务再传输到内网的代理服务，通过内网的代理服务再传输到指定的主机上，所以该防火墙技术其实将链路划分成两部分，内网的数据包只与内网的代理服务交互，外网的数据包只与外网代理服务交互，外网的数据包要进入内网或者内网的数据包要到达外网，必须通过两个代理服务来交互数据包，从而拒绝外部网络直接与内网连接。这种防火墙提供了比过滤路由器更为严格的安全性，但可能影响网络的性能，实现起来比较复杂。

3 校园网防火墙设计

3.1 校园网拓扑结构 校园网是学校的内部网络，具有一个或多个出口与外网连接。我校包括两个物理距离较远的校区，每个校区都设置了相应的工作部门，每个工作部门所处的物理位置比较分散，比如教学楼、实验楼、培训楼、图书馆、学生宿舍、行政楼，每一栋楼内部构成一个小的局域网，楼与楼之间连接到校园网的骨干网上，两个校区通过一条光纤相连接，在其中的一个校区通过中国电信和中国教育网连接到internet上（如图1所示）。

■图1 校园网图谱结构

整个校园网的物理拓扑结构采用树形的层次结构进行设计，既满足各部门的网络需求，也便于我校网络管理和故障的维护，降低校园网网络设备成本，将防火墙设置在内网与外网的连接处，可以提高校园网内部的网络安全。在逻辑结构上，我们将校园网划分成核心层、汇聚层和接入层这三个层次。

①核心层。核心层的网络设备是我校校园网正常运行重要的基础设备，它连接着各个汇聚设备，如两个校区的核心交换机就是我校校园网核心层的网络设备。核心层设备的稳定性和数据的交换、转发能力直接影响到整个校园网的网络性能，因此我们在两个校区核心交换机之间采用冗余的全双工千兆光纤链路，保证各种数据在核心层设备之间高质量的传输。

②汇聚层。汇聚层设备是网络终端信息传输中的汇聚节点，担负着网络接入层和骨干设备的连接，有着承上启下的重要任务，不但要完成接入层的链路汇聚和流量汇聚，还要完成本地数据的交换以及接入和骨干之间的数据转发，我们在每个楼宇中都设置一个或多个汇聚交换机，汇聚交换机与核心交换机之间以及汇聚交换机之间都通过高速的光纤链路连接，而汇聚交换机与接入层交换机或网络终端设备之间采用双绞线连接，这样既可以保证网络性能，同时也可以降低网络设备成本。

③接入层。接入层设备直接与网络终端设备相连，是最终用户访问网络的直接途径。

3.2 校园网防火墙安全策略 网络安全的原则是允许访问明确许可的任何一种服务，拒绝除明确许可外的任何一种服务，也就是开放校园网提供的服务，并将未被许可的所有其他服务排斥在外，禁止访问。防火墙将网络划分成内网、外网和DMZ三个区域。

内网：是防火墙保护不被外网用户非法访问的区域，该区域是防火墙的可信区域，包括校园网中的所有终端主机和部分服务器。

外网：是防火墙需要防范的区域，对于内网而言，外网是防火墙不可信区域，该区域的主机或其他设备发起的访问都需要经过防火墙进行审核，审核通过后才能访问内网的资源，从而起到保护内网资源的作用。

DMZ区域：该区域也称为非军事区，它是介于内网与外网之间的一个特殊的网络区域。内网中的服务器连接在信任区端口上，不允许外网进行任何访问，在DMZ区域内放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等，这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的机密数据，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

DMZ可以看做是内网的一部分，但又跟内网中其他区域不完全相同，它们的安全级别是不一样的。在校园网中，我们将内网中存放机密数据的服务器置于防火墙之后，提高内网保护的安全级别，拒绝外网直接访问内网中的资源，而DMZ可以放置于路由器与防火墙之间的区域，利用路由器包过滤功能来保护DMZ区域中的服务器，也可以将DMZ区域中的服务器置于防火墙之后，降低该区域的安全级别，以便外网能够访问到该区域的公共服务器。

4 总结

网络的应用已经涉及到人们生活的方方面面，网络安全也越来越得到人们的重视。在校园网中，防火墙技术的应用有效的保护了内网资源不被非法访问，但是，防火墙技术也有不尽完美之处，随着信息技术的发展，防火墙技术和黑客技术也在不断进步，我们需要不断根据实际情况，改进控制策略和法规，使之更加有效地抵御来自网络的攻击[1]，同时也要建立健全内网安全机制，避免内网用户恶意破坏网络安全[2]，只有将各种安全技术、管理手段结合在一起，才能构建一个更加高效、安全、稳定的校园网络环境。

参考文献：

[1]陶甲寅.校园网安全与防范技术[J].网络通讯与安全，2007，100

（1）：64-65.

[2]杜秀娟.FWSM防火墙在校园网络安全中的应用设计[J].电子测量技术，2008.4：26-28.

[3]江文.浅议新一代防火墙技术的应用与发展[J].科学之友， 2011（08）.

基金项目：陕西广播电视大学校级课题项目，课题编号：13D-

08-B16。

作者简介：杨秋叶（1979-），湖南武冈市人，陕西广播电视大学资源建设与现代教育技术中心科员，硕士，助理工程师；杜慧（1985-），陕西榆林人，陕西广播电视大学资源建设与现代教育技术中心科员，硕士，助理工程师；刘清毅（1976-），陕西铜川人，陕西广播电视大学资源建设与现代教育技术中心科员，工程师。