防火墙——校园网络安全屏障-
最后更新时间:2024-02-19
作者:用户投稿
本站原创
点赞:30832
浏览:143444
本站原创
点赞:30832
浏览:143444
论文导读:
摘?要:校园网络安全是每个学校都非常关心的问题。防火墙就像一道屏障,将不安全因素挡在外面。本文主要谈校园网使用防火墙的好处、防火墙的配置及选购。
关键词:校园网;防火墙;安全策略
随着以计算机和网络通信为核心的信息化技术的飞速发展,信息化浪潮势不可挡。学校为了顺应社会发展需要,节约成本,也逐步推行无纸化办公,实现资源共享,2002年暑假由我们几个计算机老师带着几个学生用网线、24口交换机和一台普通服务器将全校的电脑连接起来就组成了我们最初的校园网。网络安全可想而知,电脑中毒、网络中断等状况时有发生。2007年学校建了新校园网,大大提高了校园网的安全级别。这几年防火墙就像一道屏障,将不安全因素挡在外面,保证了我们校园网络的安全。本文主要谈谈自己对防火墙的认识和看法。
防火墙可以净化校园网络环境。WEB服务是学生上互联网使用最多的服务,互联网上信息鱼龙混杂,不良信息随处可见,必须对其访问进行必要的控制。通过防火墙安全规则配置中的包过滤规则就可以针对HTTP协议进行URL过滤,实现对访问不良信息的控制。
可有效防止内部信息的外泄。通过利用防火墙对校园网的划分,可实现重点网段的隔离,从而降低局部重点或敏感网络安全问题对整个校园网的影响。另外,内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此暴露了内部网络的某些安全漏洞。通过对防火墙的设置可以阻塞有关内部网络中的DNS 信息,这样一台主机的域名和IP 地址就不会被外界所了解。
(2)地址绑定:是防止IP欺骗和防止盗用IP地址的有效手段。如果防火墙某网口启用地址绑定,当该网口接收数据包时,将根据数据包的源IP地址与源MAC地址,在地址绑定列表的地址进行查找和匹配,地址匹配则允许数据,查找失败或不匹配则禁止通过。
(3)P2P限制:我们的校园网是对等网络,每个节点既是客户端又是服务器,可以同时作为服务的使用者和提供者,使得网络上的流量大多数都是P2P的流量,且上行流量和下行流量都很大。通过P2P限制设置,精确识别P2P流量并对流量进行有效控制,可大大改善网络的拥塞。
(4)抗攻击:Internet网络资源非常的丰富,但攻击也无处不在。要防止校园网受到攻击,对防火墙所使用的网络接口要进行抗攻击设置,比如启用抗ICMP Flood攻击等。
(5)入侵防护:对所有流经防火墙的数据流进行入侵检测,可防止入侵校园网。可选择被动防御,以日志方式记录下来,然后由管理员处理;也可采用主动防御,检测到预定义的攻击后将危险数据包直接丢弃,根据攻击类型的不同,选择不同的防护策略。
(6)连接限制:主要源于:7彩论文网标准论文格式范例www.7ctime.com
是为了保护服务器,限制对服务器过于频繁的访问。在规定时间内,如果某台主机访问服务器超过了所限制的次数,则对该主机实行阻断,在阻断期间,该主机不能对服务器进行任何的访问。
(2)注重品牌。选择好的品牌在一定程度上等于选择了好的技术和服务,对将来的使用更加有保障。目前国外在防火墙产品的开发、生产中比较有名的品牌有:3COM、Cisco、Nokia、NetScreen、Check Point等,这些品术实力比较强,而且都能提供高档产品。国内开发、生产防火墙的品牌主要有:联想Dlink、天网、实达、东软、天融信、安氏等,而又以联想的Dlink、天网和实达品牌性能更好。这些品牌相对国外着名品牌来说要便宜许多(通常在5000元以下),而且还能提供全中文的使用说明书,方便安装、调试和维护。对于学校来说国产品牌是理想的选择。
(3)注重安全。防火墙是一个用于安全防护的设备,所以其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在的防火墙产品通常不再依靠用户的操作系统,而是采用自己单独开发的操作系统,要求系统本身没有安全隐患。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的论文导读:
,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。另外,防火墙除应包含先进的鉴别措施,还应采用尽量多的先进技术,这是防火墙安全系统所必须考虑的。
(4)兼容性。防火墙只是一个基础的网络安全设备,不能因为有防火墙而认为可以高枕无忧。因为它只提供了对网络边缘的防卫,不能防止内部的攻击。防火墙不能完全解决怀有恶意的代码,如病毒和特洛伊木马。另外,防火墙无法防范通过防火墙以外的其他途径的攻击。通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全,所以在选购防火墙时就要考虑它是否能够与其他安全产品协同工作。
(5)拥有操作简单的用户界面,能摆脱通用操作系统的束缚,升级容易、设计简单,便于网络管理员理解和维护。
摘?要:校园网络安全是每个学校都非常关心的问题。防火墙就像一道屏障,将不安全因素挡在外面。本文主要谈校园网使用防火墙的好处、防火墙的配置及选购。
关键词:校园网;防火墙;安全策略
随着以计算机和网络通信为核心的信息化技术的飞速发展,信息化浪潮势不可挡。学校为了顺应社会发展需要,节约成本,也逐步推行无纸化办公,实现资源共享,2002年暑假由我们几个计算机老师带着几个学生用网线、24口交换机和一台普通服务器将全校的电脑连接起来就组成了我们最初的校园网。网络安全可想而知,电脑中毒、网络中断等状况时有发生。2007年学校建了新校园网,大大提高了校园网的安全级别。这几年防火墙就像一道屏障,将不安全因素挡在外面,保证了我们校园网络的安全。本文主要谈谈自己对防火墙的认识和看法。
一、什么是防火墙
防火墙是指设置在不同网络之间的只让合法访问进入内部网络的一组软硬件装置,比如校园网和互联网之间。管理员可以设置网络之间的所有数据包都必须经过防火墙,做到对网络之间的所有通讯都进行扫描,并关闭不安全的端口,阻止外来的恶意攻击,封锁木马等病毒,以保证网络和主机的安全。可以说,通过防火墙是对进入校园网数据流的分析,把不安全的信息分离出来并加以限制,有效地监控了校园网和 Internet 之间的任何活动,保证了校园网络的安全。二、校园网使用防火墙的好处
防火墙可强化校园网的安全。因为防火墙可设置只有经过严格筛选后安全的应用协议才能通过它,所以校园网变得更安全。如可设置禁止易受攻击的NFS 协议进出校园网,这样外部的攻击者就不可能利用这些脆弱的协议来攻击校园网。防火墙同时可以保护校园网免受各种与IP有关的攻击。如SYN Flood攻击,就是利用伪造的IP地址向服务器发送大量的SYN包,导致服务器的半开连接资源很快消耗完毕而无法再接受来自正常用户的TCP连接要求,最后达到攻击的目的。防火墙可以通过日志记录攻击并通知防火墙管理员处理,管理员也可打开防火墙相关的抗攻击检查,直接拒绝攻击的入侵。防火墙可以净化校园网络环境。WEB服务是学生上互联网使用最多的服务,互联网上信息鱼龙混杂,不良信息随处可见,必须对其访问进行必要的控制。通过防火墙安全规则配置中的包过滤规则就可以针对HTTP协议进行URL过滤,实现对访问不良信息的控制。
可有效防止内部信息的外泄。通过利用防火墙对校园网的划分,可实现重点网段的隔离,从而降低局部重点或敏感网络安全问题对整个校园网的影响。另外,内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此暴露了内部网络的某些安全漏洞。通过对防火墙的设置可以阻塞有关内部网络中的DNS 信息,这样一台主机的域名和IP 地址就不会被外界所了解。
三、防火墙的配置
1.系统时钟配置
防火墙系统时间的准确性是很重要的。因为防火墙的时间调度功能是以防火墙的系统时间为依据标准,时间调度是判断当前时间匹配规则中的时间段,从而决定是否可以访问某些功能。比如上班时间不能上网,下班时间可以,这个时间调度的时间也是系统时钟。2.安全策略配置
(1)安全规则:防火墙所有的访问控制都是根据安全规则的设置完成。包括包过滤规则、网络地址转换规则、IP映射规则、端口映射规则、规则及病毒过滤规则。所有规则一定要设置源地址和目的地址,否则所有的访问都可以进入校园网。(2)地址绑定:是防止IP欺骗和防止盗用IP地址的有效手段。如果防火墙某网口启用地址绑定,当该网口接收数据包时,将根据数据包的源IP地址与源MAC地址,在地址绑定列表的地址进行查找和匹配,地址匹配则允许数据,查找失败或不匹配则禁止通过。
(3)P2P限制:我们的校园网是对等网络,每个节点既是客户端又是服务器,可以同时作为服务的使用者和提供者,使得网络上的流量大多数都是P2P的流量,且上行流量和下行流量都很大。通过P2P限制设置,精确识别P2P流量并对流量进行有效控制,可大大改善网络的拥塞。
(4)抗攻击:Internet网络资源非常的丰富,但攻击也无处不在。要防止校园网受到攻击,对防火墙所使用的网络接口要进行抗攻击设置,比如启用抗ICMP Flood攻击等。
(5)入侵防护:对所有流经防火墙的数据流进行入侵检测,可防止入侵校园网。可选择被动防御,以日志方式记录下来,然后由管理员处理;也可采用主动防御,检测到预定义的攻击后将危险数据包直接丢弃,根据攻击类型的不同,选择不同的防护策略。
(6)连接限制:主要源于:7彩论文网标准论文格式范例www.7ctime.com
是为了保护服务器,限制对服务器过于频繁的访问。在规定时间内,如果某台主机访问服务器超过了所限制的次数,则对该主机实行阻断,在阻断期间,该主机不能对服务器进行任何的访问。
四、防火墙的选购
(1)作为校园网和外网之间的安全屏障,首先要选硬件防火墙设备,软件防火墙适合个人用户。(2)注重品牌。选择好的品牌在一定程度上等于选择了好的技术和服务,对将来的使用更加有保障。目前国外在防火墙产品的开发、生产中比较有名的品牌有:3COM、Cisco、Nokia、NetScreen、Check Point等,这些品术实力比较强,而且都能提供高档产品。国内开发、生产防火墙的品牌主要有:联想Dlink、天网、实达、东软、天融信、安氏等,而又以联想的Dlink、天网和实达品牌性能更好。这些品牌相对国外着名品牌来说要便宜许多(通常在5000元以下),而且还能提供全中文的使用说明书,方便安装、调试和维护。对于学校来说国产品牌是理想的选择。
(3)注重安全。防火墙是一个用于安全防护的设备,所以其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在的防火墙产品通常不再依靠用户的操作系统,而是采用自己单独开发的操作系统,要求系统本身没有安全隐患。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的论文导读:
,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。另外,防火墙除应包含先进的鉴别措施,还应采用尽量多的先进技术,这是防火墙安全系统所必须考虑的。
(4)兼容性。防火墙只是一个基础的网络安全设备,不能因为有防火墙而认为可以高枕无忧。因为它只提供了对网络边缘的防卫,不能防止内部的攻击。防火墙不能完全解决怀有恶意的代码,如病毒和特洛伊木马。另外,防火墙无法防范通过防火墙以外的其他途径的攻击。通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全,所以在选购防火墙时就要考虑它是否能够与其他安全产品协同工作。
(5)拥有操作简单的用户界面,能摆脱通用操作系统的束缚,升级容易、设计简单,便于网络管理员理解和维护。