APP下载

基于高校数据安全的防火墙关键技术应用研究

2023-06-12黄景坚

电脑知识与技术 2023年11期
关键词:数据安全规则

关键词:数据;安全;规则

1 国内外高校网络发展研究趋势

1.1 国外高校网络发展研究趋势

在美国加州大学洛杉矶分校及各大学布置网络连接点,通过连接与多个大学与不同的研究机构进行互相数据传输。在这种网络快速发展的情形下,使得原本传统的买卖以数字化的模式经过网络技术解决以及传递,给人带来许多的方便,但也隐藏着许多隐患,因为风险点敏感性的数据以及个体私密的数据在网络上受到黑客的窃取、或许伪冒个人身份从而进行违法犯罪行为、电脑中病毒,易造成操作系统崩溃,无法正常使用。以及网络服务器敏感数据丢失,导致造成大量的经济损失,这些问题的发生,明显是向网络安全发起了挑战。

1.2 国内高校网络发展研究趋势

随着经济快速发展,国内高校网络安全建设管理势在必行。据不完全统计,全国已有上千所高校与相关的国家教育科研网进行互连。由此,高校校园网的管理和教学管理所共享的教师资源及各种基础信息建设、共享、管理,是我国高校信息发展及网络安全头等大事,一般高校会将管理、教学、科研、研究融为一体,过程离不开校园网络健康发展建设。总体来说,校园网络安全管理的各项工作与校园师生应用的网络是否安全建设相辅相成。在学校实现网络安全治理及应对教学管理任务,起到了很大的作用,为我国教学管理的科研和开展各种工作提供有力保障。而我国高校网络安全管理,相比其他国家来说,比较靠后,主要是中国网络发展起步比较慢,当时的相关研发人员也没有得到足够重视,因此安全问题也被忽视,依据高校运作的体系,需要对校园内部网络及外部网络环境等安全进一步研究。

2 高校网络数据中心安全建设

目前,校园网络安全性存在多方面原因。例如,校园内部通过互联网下载带有病毒的应用软件、游戏软件、聊天工具等,在使用过程中,垃圾广告软件会时而跳出,一不留意,就会造成病毒入侵。在这种情况下,需要师生共同努力,有预见性建设好校园网络,针对存在的问题,进行细化预判,并对存在的安全隐患进行总结、归类、分析。除了以上措施外,还需要把校园网建设中所需要的各种硬性条件全面梳理,降低风险度、有利于校园网建设技术方案的提高。以综合的安全防护技术为基础,解决建设过程中发生的各类突发性问题。有利于提高校园网的安全性和稳定指数。

2.1 高校网络数据中心防火墙安全技术

高校所有的信息數据都集中于网络中心云平台,包括门户网站、网络课程平台、OA系统、各部门分网站等融为一体,网络资源类别较多,这些网络资源的数据信息非常重要,这些信息资源一旦被破坏,将会造成大量数据丢失,无法衡量它的价值所在。因此,针对网络架构所采用的网络硬件设备进行评估,首先要保障校园网信息的完整性,既要保证内部安全,又要防止外部的入侵攻击,同时也要提高校园网内部的使用者审核机制,防止本校重要资源外泄,本研究通过防火墙技术在网络数据中心起到关键作用。

2.2 防火墙安全功能体系

防火墙是与内部和外部网络的一个整体,同时对高校内部网络的数据安全提供强有力的保障,以防止SQL注入方式入侵、变异病毒传播等,保护校园内部网络数据安全性,通过防火墙规则优化、设置,运用防火墙日志进行记载、剖析。刘忠祥[1]利用防火墙技术则是特征扫描与分析病毒代码,随后将其特征值提取出来。在数据瓶颈的基础上,对原有的数据源及应用数据动态更新发生的变化进行对比,查找病毒传染位置,确定病毒种类,对病毒进行分析,随后进行对数据产生的破坏进行修复及病毒处理。

首先,以往研究是通过既有的防火墙规则进行优化,由于管理者不断地进行防火墙规则调整,长时间会造成规则之间的异常或冗余,容易造成防火墙政策无法正常执行与管理。因此,针对现有防火墙规则,专家学者们通过相关算法的设计与开发来自动化识别出异常或冗余规则。视防火墙规则为政策树并定义其模型,将防火墙政策逐条通过政策树的比对定义出错误侦测的异常状态。

其次,相关的网络技术人员利用防火墙日志记录,对防火墙存在的问题去评测和分析,运用数据流存在的瓶颈,查找出对防火墙日志记录产生大量的数据冗余与各种错误规则,网络技术人员对网络防火墙规则进行维护,有利于提高防火墙的工作效率。

最终,防火墙使用透明模式。在防火墙设置IP管理地址,并把配置好的IP端口与相关交换机互连,根据业务系统其他要求进行安全配置。

3 高校网络数据中心防火墙分布

3.1 数据包过滤防火墙

数据包过滤防火墙在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。防火墙工作模式的第一件事情就是读取封包数字表内容,并对数据包进行筛选后再返回路由。

3.2 应用层网关

防火墙也称为代理服务器,当内部设备和外部设备主机网络进行连通时,防火墙代理服务器会和两端主机设备进行工作。

3.3 线路网关

线路网关功能在运行过程对TCP连接起到隔离作用,内外部运行时都要经过线路网关转接,也就是转接点,工作过程不会对封包数据应用层检视。

3.4 封装包净化原则

防火墙通过人工进行设置链,通常有输入链、输出链等,这些链起到允许和禁止的原则。防火墙对符合封包数据、规则设置有三点:一是通过;二是禁止通行,直接将封包丢弃;三是将封包退回。

其中,假如封包退回,也有可能造成严重后果。退回包传出指令,网络数据流量会大量增加,如部分不法分子通过黑客技术、WEB入侵、ODAY攻击、钓鱼攻击等发动大量的封包攻击,则可能遭受防火墙里的阻断服务攻击,网络中心数据、系统等将造成威胁。而且回应的不正确封包可携带其计算机设施的信息反馈给非法分子来判断目标主机安装的应用系统,导致系统软件信息出错,黑客根据获取路径进行攻击,运用Reject来对封包数据规则进行对比。

4 高校网络数据中心网络拓扑结构的设计

根据网络中心需求分析得出结果,网络的整体规划以负载均衡为前提,主要针对网络系统的核心路由器、核心交换机进行负载均衡设计。使用高性能网络设备保证网络高速运行。保证网络可靠的同时,也充分考虑网络日后扩展,为日后留有足够空间,保证网络扩展的便利性。根据网络中心规划,网络拓扑结构图设计,考虑到网络形成环路问题,并结合本中心采用星型拓扑结构,同时,采用较高冗余设计以便于满足负载均衡。

4.1 网络拓扑结构的设计

当设备启动时,设备会进行一系列初始化,在启动上花费一定的启动时间,初始化配置并启动封包过滤规则控制程序、防火墙SNMP信息交换程序及防火墙监控程序,最后将相关数据传送至系统,显示初始设置信息与初始运作状态。当系统启动后,规则控制程序会依据初始的设置进行封包过滤,达到防火墙的功能,防火墙之间会彼此进行异常监控,当发生异常时就可以接替异常机器的网络设置。当管理者对过滤规则做变更,封包过滤程序就会以新的规则加以过滤。

4.2 高校网络数据中心的防火墙规则

防火墙规则设计都是以开放其所要开放的服务,阻挡未开放或不在开放清单内的服务为主要目标,称为正向安全模型(Positive Security Model) 或正面列表(White-listing) 。从防火墙系统角色来说,也就是允许合法的网络传输通过,拒绝所有不受允许的网络传输封包。本项目依据防火墙运行所体现的特点,针对规则对比、过滤,再做出拒绝。而原先通过的记录,则表明这些规则在防火墙规则表中已经存在,无须重复操作,通过对规则进行设置、增加或删除、过滤,提高防火墙防护能力。防火墙策略调整,对某个时间节点,所产生的相关规则比对表进行综合分析,如果符合对比表将会进行相关的操作。

5 利用防火墙技术进行安全配置数据过滤

陈跃龙[2]对现有的网络提出解决思路, 将网络安全配置作为头等大事,因此,对防火墙技术进行合理设置、操作,防火墙硬件设备作为一道防线,对内外网络能起到保护作用, 主要是防火墙的内部相互独立,与外界隔断,变成独立的区域, 这个区域的主要作用是对内部数据进行保护,对来访者进行验证、隔离,防火墙对内外数据信息会进行监视和分析,一旦遭受黑客恶意攻击,防火墙会主动做出响应, 阻断外来入侵者对内网的IP地址层进行过滤、解析, 同时对IP地址层起到隐匿作用,入侵者如果无法正常获取客户端用户的IP段, 对于入侵者无法控制客户端的设备,内部网络数据信息安全就未受到破坏,内部网络数据信息安全将得到保护。更为特殊的情况下,入侵者通过SQL注入技术手段,完成对内网获取用户信息,如账号和密码,进入登录用户进行操控,但防火墙对入侵者有效阻止入侵, 所以采用防火墙技术对内部网络的数据信息防护将不会受到影响。

6 数据中心的防火墙关键核心技术的应用

防火墙是保护局域网络受外部网络攻击与设备兼容软件受到的损坏,它能将内部网络隐形,阻止外部入侵,避免未经授权的信息外流。防火墙分为硬件与软件两种,防火墙的防护措施针对网络界来说是最好的选择,同时使用防火墙厂商设计的带有特殊技术防护的操作系统,相较于日常常见的操作系统在安全漏洞上会比较少。软件防火墙是可以提供较高的弹性和扩充性,可以将购买的软件防火墙安装在现有的网关服务器上,网关服务器则不需要变更网络架构。例如,与防火墙搭配的VPN、内容过滤、加解密工具、防毒工具等。一套完整的防火墙至少需要有使用者认证、过滤封包、LOG分析工具、在线监控等相关功能。因此,防火墙的搭建是保护网络安全的根本要求。

黄景坚[3]提出了防火墙入侵防御功能,能够有效地为网络内部数据信息提供安全防护;同时在防火墙内部启动APT检测模块,能够实时对目标进行定位跟踪,对内部网络数据安全进行保护;对防火墙功能模块24小时启动扫描功能,对网络数据层产生的流量进行对比分析,对数据信息受到威胁进行提高防范意识,以防内部网络数据信息受到窃取或损坏,维护校园内部网络数据信息安全。

本次实验所实施的网络防火墙为深信服,布置在交换机与路由设备之间。深信服防火墙的使用访问策略如下:

1) 在网络交换机、防火墙等设备上配置细粒度的访问控制策略,在流量管理模块,建立虚拟线路规则、流量管理系统配置,对进入流量实行细粒度的白名单配置管理,防止攻击者在行业业务专网上随意漫游[5]。

2) 黄景坚[3]提出采用数据脱敏、数据加密等措施,强化数据库安全防护。对重要信息系统数据库应采用禁止远程登录,并设置超级管理员賬号及复杂的密码。采用WEB应用防火墙、WEB应用漏洞扫描,强化网站安全防护,可检查应用层挂木马、敏感词、可用性等[4]。

3) 根据业务的应用需求只允许特定端口通过,深信服防火墙默认业务数据端口是全部关闭的。王冉[4]提出,由于防火墙的存在,对数据过滤及实现数据转换,捕捉到更为安全的数据信息。

7 结束语

依据高校网络布局为出发点,以防攻击者通过外部网络入侵,并有效、有针对性地研究网络数据中心带来的各种问题,采取高效、高速的千变万化的病毒及黑客采用的各种手段,提高网络安全认知、提高警惕性,有效地降低网络数据中心安全性带来的各种风险,有效提高网络数据安全、防护资源平台及人性化的防护机制。高校网络数据中心健康发展,有利于国家经济的健康发展,网络的构建与网络法制是环环相连,不能有怠慢,要引起重视。假如网络受攻击,网络攻击者通过查找数据中心中的漏洞,比如,用户账号、用户密码等最脆弱的环节,就可以攻击网络的保护机制,因此,作为网络中心的技术人员,应以严谨工作态度、应对网络中心各种信息安全的防护,不要因为工作上的疏忽,造成网络安全漏洞或成为黑客攻击的跳板。在面对千变万化的病毒及黑客等威胁,只有主动积极做好网络安全防护,才能保护好网络中心数据安全。张大鹏[5]提出,加强网络安全防护措施及网络中心数据的安全性,防火墙充当着安全守卫的角色,能对内部网络的数据信息有效检测和识别,能够有效地对入侵者及病毒传播拦截。

猜你喜欢

数据安全规则
数独的规则和演变
让规则不规则
TPP反腐败规则对我国的启示
浅谈计量自动化系统实现预购电管理应用