防火墙——校园网络安全的屏障-最新文档资料

admin管理员组

文章数量:1530842

2024年5月21日发(作者：)

防火墙——校园网络安全的屏障

随着以计算机和网络通信为核心的信息化技术的飞速发展，

信息化浪潮势不可挡。学校为了顺应社会发展需要，节约成本，

也逐步推行无纸化办公，实现资源共享，2002年暑假由我们几

个计算机老师带着几个学生用网线、24口交换机和一台普通服

务器将全校的电脑连接起来就组成了我们最初的校园网。网络安

全可想而知，电脑中毒、网络中断等状况时有发生。2007年学

校建了新校园网，大大提高了校园网的安全级别。这几年防火墙

就像一道屏障，将不安全因素挡在外面，保证了我们校园网络的

安全。本文主要谈谈自己对防火墙的认识和看法。

一、什么是防火墙

防火墙是指设置在不同网络之间的只让合法访问进入内部

网络的一组软硬件装置，比如校园网和互联网之间。管理员可以

设置网络之间的所有数据包都必须经过防火墙，做到对网络之间

的所有通讯都进行扫描，并关闭不安全的端口，阻止外来的恶意

攻击，封锁木马等病毒，以保证网络和主机的安全。可以说，通

过防火墙是对进入校园网数据流的分析，把不安全的信息分离出

来并加以限制，有效地监控了校园网和 Internet 之间的任何活

动，保证了校园网络的安全。

二、校园网使用防火墙的好处

防火墙可强化校园网的安全。因为防火墙可设置只有经过严

格筛选后安全的应用协议才能通过它，所以校园网变得更安全。

如可设置禁止易受攻击的NFS 协议进出校园网，这样外部的攻

击者就不可能利用这些脆弱的协议来攻击校园网。防火墙同时可

以保护校园网免受各种与IP有关的攻击。如SYN Flood攻击，

就是利用伪造的IP地址向服务器发送大量的SYN包，导致服务

器的半开连接资源很快消耗完毕而无法再接受来自正常用户的

TCP连接要求，最后达到攻击的目的。防火墙可以通过日志记录

攻击并通知防火墙管理员处理，管理员也可打开防火墙相关的抗

攻击检查，直接拒绝攻击的入侵。

防火墙可以净化校园网络环境。WEB服务是学生上互联网使

用最多的服务，互联网上信息鱼龙混杂，不良信息随处可见，必

须对其访问进行必要的控制。通过防火墙安全规则配置中的包过

滤规则就可以针对HTTP协议进行URL过滤，实现对访问不良信

息的控制。

可有效防止内部信息的外泄。通过利用防火墙对校园网的划

分，可实现重点网段的隔离，从而降低局部重点或敏感网络安全

问题对整个校园网的影响。另外，内部网络中不引人注意的细节

可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此

暴露了内部网络的某些安全漏洞。通过对防火墙的设置可以阻塞

有关内部网络中的DNS 信息，这样一台主机的域名和IP 地址就

不会被外界所了解。

三、防火墙的配置

1.系统时钟配置

防火墙系统时间的准确性是很重要的。因为防火墙的时间调

度功能是以防火墙的系统时间为依据标准，时间调度是判断当前

时间匹配规则中的时间段，从而决定是否可以访问某些功能。比

如上班时间不能上网，下班时间可以，这个时间调度的时间也是

系统时钟。

2.安全策略配置

（1）安全规则：防火墙所有的访问控制都是根据安全规则

的设置完成。包括包过滤规则、网络地址转换规则、IP映射规

则、端口映射规则、代理规则及病毒过滤规则。所有规则一定要

设置源地址和目的地址，否则所有的访问都可以进入校园网。

（2）地址绑定：是防止IP欺骗和防止盗用IP地址的有效

手段。如果防火墙某网口启用地址绑定，当该网口接收数据包时，

将根据数据包的源IP地址与源MAC地址，在地址绑定列表的地

址进行查找和匹配，地址匹配则允许数据包通过，查找失败或不

匹配则禁止通过。

（3）P2P限制：我们的校园网是对等网络，每个节点既是

客户端又是服务器，可以同时作为服务的使用者和提供者，使得

网络上的流量大多数都是P2P的流量，且上行流量和下行流量都

很大。通过P2P限制设置，精确识别P2P流量并对流量进行有效

控制，可大大改善网络的拥塞。

（4）抗攻击：Internet网络资源非常的丰富，但攻击也无

处不在。要防止校园网受到攻击，对防火墙所使用的网络接口要

进行抗攻击设置，比如启用抗ICMP Flood攻击等。

（5）入侵防护：对所有流经防火墙的数据流进行入侵检测，

可防止入侵校园网。可选择被动防御，以日志方式记录下来，然

后由管理员处理；也可采用主动防御，检测到预定义的攻击后将

危险数据包直接丢弃，根据攻击类型的不同，选择不同的防护策

略。

（6）连接限制：主要是为了保护服务器，限制对服务器过

于频繁的访问。在规定时间内，如果某台主机访问服务器超过了

所限制的次数，则对该主机实行阻断，在阻断期间，该主机不能

对服务器进行任何的访问。

四、防火墙的选购

（1）作为校园网和外网之间的安全屏障，首先要选硬件防

火墙设备，软件防火墙适合个人用户。

（2）注重品牌。选择好的品牌在一定程度上等于选择了好

的技术和服务，对将来的使用更加有保障。目前国外在防火墙产

品的开发、生产中比较有名的品牌有：3COM、Cisco、Nokia、

NetScreen、Check Point等，这些品牌技术实力比较强，而且

都能提供高档产品。国内开发、生产防火墙的品牌主要有：联想

Dlink、天网、实达、东软、天融信、安氏等，而又以联想的Dlink、

天网和实达品牌性能更好。这些品牌相对国外着名品牌来说价格

要便宜许多（通常在5000元以下），而且还能提供全中文的使

用说明书，方便安装、调试和维护。对于学校来说国产品牌是理

想的选择。

（3）注重安全。防火墙是一个用于安全防护的设备，所以

其自身的安全性也就显得更加重要了。防火墙的安全性能取决于

防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。

因为现在的防火墙产品通常不再依靠用户的操作系统，而是采用

自己单独开发的操作系统，要求系统本身没有安全隐患。应用系

统的安全性能是以防火墙自身操作系统的安全性能为基础的，同

时，应用系统自身的安全实现也直接影响到整个系统的安全性。

另外，防火墙除应包含先进的鉴别措施，还应采用尽量多的先进

技术，这是防火墙安全系统所必须考虑的。

（4）兼容性。防火墙只是一个基础的网络安全设备，不能

因为有防火墙而认为可以高枕无忧。因为它只提供了对网络边缘

的防卫，不能防止内部的攻击。防火墙不能完全解决怀有恶意的

代码，如病毒和特洛伊木马。另外，防火墙无法防范通过防火墙

以外的其他途径的攻击。通常它需要与防病毒系统和入侵检测系

统等安全产品协同配合，才能从根本上保证整个系统的安全，所

以在选购防火墙时就要考虑它是否能够与其他安全产品协同工

作。

（5）拥有操作简单的用户界面，能摆脱通用操作系统的束

缚，升级容易、设计简单，便于网络管理员理解和维护。

本文标签： 防火墙校园网网络