王志丹

本文介绍了防火墙的概念、主要技术、相关的校园网应用，分析了防火墙技术在Internet安全上的重要作用，并提出其优点和不足之处。防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位，使用一个安全、稳定、可靠的防火墙是非常重要的。

【关键词】网络 防火墙 安全

随着计算机的应用由单机发展到网络，网络面临着大量的安全威胁，其安全问题日益严重，日益成为广泛关注的焦点。大家纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保信息系统安全的基本手段。

1 防火墙的基本概念

防火墙是一个系统或一组系统，它在企业内网与因特网间执行一定的安全策略，所有从因特网流入或流向因特网的信息按照此策略来实施检查，以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。

2 目前的防火墙主要有以下三种技术

2.1 包过滤技术

这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

2.2 代理技术

代理服务软件运行在一台主机上构成代理服务器，负责截获客户的请求，并且根据它的安全规则来决定这个请求是否允许。如果允许的话，这个请求才传给真正的防火墙。状态检测技术：

状态监控防火墙的安全性能特别好，它使用的软件引擎在网关来执行网络安全策略，监控模块。不影响网络的安全，正常工作的前提下，提取相应的数据存储、更新状态数据及上下文信息、监控通信层。

3 防火墙技术在校园网中的应用

随着学院网络出口带宽不断加大，应用服务系统逐渐增多，校园网用户数烈剧上升，网络的安全也就越来越严竣。

3.1 校园网防火墙部署

防火墙是网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。在防火墙设置上我们按照以下原则配置来提高网络安全性：

（1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

（2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

（3）在防火墙上建立内网计算机的IP 地址和以C地址的对应表，防止IP地址被盗用。

（4）在局域网的入口架设千兆防火墙，并实现VNP的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。

（5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

（6）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

3.2 校园网防火墙配置

默认情况下，所有的防火墙都是按以下两种情况配置的：

（1）拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

4 防火墙技术优点、缺点

4.1 使用防火墙系统的优点

（1）可以对网络安全进行集中控制和管理。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上，在结构上形成了一个控制中心，大大加强了网络安全，并简化了网络管理。

（2）由于防火墙在结构上的特殊位置，使其方便地提供了监视、管理与审计网络的使用及预警。

（3）为解决IP的地址危机提供了可行方案。由于Internet的日益发展及其IP地址空间的有限，使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置，NAT有助于缓和IP地址空间的不足，并使得一个结构改变Internet服务提供商时而不必重新编址。

（4）防火墙系统可以作为Internet信息服务器的安装地点，对外发布信息。防火墙可作为企业向外部用户发布信息的中心联络点。防火墙可以配置允许外部用户访问这些服务器，而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问。

4.2 防火墙的缺点

（1）防火墙不能防范不经由防火墙的攻击。例如：如果允许从受保护网内部不受限制地向外拨号。一些用户可以形成与Internet的直接连接，从而绕过防火墙，造成一个潜在的后门攻击渠道，所以应该保证内部网与外部网之间通道的唯一性。

（2）防火墙不能防止感染了病毒的软件或文件的传输.这只能在每台主机上装反病毒的实时监控软件。

（3）防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。所以对于来历不明的数据要先进行杀毒或者程序编码辨证，以防止带有后门程序。

5 结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业、国防和教育等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

参考文献

[1]陈柏良，严国辉编著.电子商务[M].北京：北京理工大学出版社，2011.

[2]吴秀梅主编，毕烨，王见，傅嘉伟编著.防火墙及应用教程[M].北京：清华大学出版社，2010.

[3]荣海迅.防火墙技术及其发展趋势剖析[J].淮北职业技术学院学报，2008（03）.

[4]阎慧等著.防火墙原理与技术[M].北京：机械工业出版社，2004.

[5]陈翔，高可用.强管理的新一代防火墙[J].计算机世界，2006.

[6]魏利华.网络安全：防火墙技术研究[J]. 淮阴工业学院学报，2003（10）.

[7]郝玉洁，常征.网络安全与防火墙技术[J].电子科技大学学报（社科版），2002（01）.

作者单位

丽江师范高等专科学校 云南省丽江市 674100endprint