吕胜金

摘要：随着网络速度越来越快，资源越来越丰富，网络安全问题也越来越严峻，网络安全防范对校园网的正常运行来讲也就显得十分重要。在网络安全防范中，防火墙具有着不可或缺的地位。防火墙技术在安全技术当中是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击，还能避免内网已中木马的主机系统信息泄露。

关键词：校园网；防火墙；应用研究

中图分类号：TP393.18 文献标识码：A 文章编号：1672-9129（2018）07-0082-01

Abstract： as the network speed is faster and faster， the resources are more and more rich， and the problem of network security is becoming more and more serious. The network security guard is very important to the normal operation of the campus network. Firewall plays an indispensable role in network security. Firewall technology is the simplest and most effective solution in security technology. It not only filters attacks from outside， such as detection， scanning， denial of service， but also prevents information leakage from host system of Trojan horse in the intranet.

Key words： campus network； firewall； Application Research

防火墻是在网络之间进行信息传递时所实现的访问限制标准和程度，它可以使你“允许进入”的访问用户和数据访问你的网络，也将你“不允许进入”的访问用户和数据拒绝，这种分隔校园中的通信更加安全，最大程度地保护校园网络免于其他的威胁和侵害。

1 防火墙的主要功能

1.1支持透明连接

透明性是对网络中所有设备的可视化和对客户的可视化。这种方法不需要改变校园网络的拓扑结构，不管是安装防火墙或者卸载防火墙，不用修改网络设备的参数与配置，在用户端也不用再修改和调整就可以实现基于IP协议的信息的传输，校园网已经普遍使用这样的功能。

1.2带有DMZ区的连接

DMZ是停火区的意思，在作为防火墙的使用中，它是指将在逻辑上属于同一网段分成物理上的两个网段，一个是正常的，受到保护的网段，另一个网段是DMZ，用来与对外开放的主机相连，防火墙对于DMZ区提供的只是少量的保护甚至不作任何保护，这也是对网络进行了扩展。

1.3包过滤功能

包过滤功能是指在数据传输过程中对IP数据包进行过滤。包过滤是防火墙中最有用的功能之一，防火墙必须具有这个功能模块。在校园网络中，通过使用数据过滤包，就能禁止所有人从外界使用外部远程登录，或某个主机经由NNTP协议把新闻发给我们，或是让每个人经SMTP协议向我们发送电子邮件，而其他主机不允许这样做。防火墙的数据包过滤功能具备如下特点：支持对进入报文、转发报文和出去报文的过滤；支持非操作符；支持端口范围的控制；支持ICMP报文类型的控制。使用包过滤功能也会有一些缺点，比如将会影响网络信息传递的速度，但影响的最大值不会超过25%。

2 防火墙的分类

2.1根据防火墙的作用不同分成两类。一类是与路由设备合二为一，通常为过滤路由器或是网关主机防火墙，这种路由器是在路由器和网关主机上添加数据包过滤的功能，是网络中的第一道防线。由于它具有路由选择的功能，可见它的安全性不高。第二类叫做堡垒主机式防火墙，它的作用是保证网络的安全使用，并且它不具有路由选择功能，堡垒主机式防火墙是网络中非常高效的安全装置，一般是在路由器和网络之间以桥接的方式连接。

2.2根据七成体系参考模型所定义的网络层次，防火墙可分为两种类型：网络层防火墙和应用层防火墙。数据包过滤型防火墙是网络层防火墙，它有用户之前定义的过滤规则然后再对通过它的数据报文进行过滤，但是数据包过滤不检查连接请求的会话状态和传输数据。代理型防火墙是应用层防火墙的一种，它的功能是请求并转发来自局域网内用户的会话，在转发同时还要过滤用户的会话。将两种防火墙作对比，代理防火墙的安全性更高一些，当一个IP报文送到了代理层，它的任务就已经结束了，也就说明代理防火墙真正地阻断了网络的传输。

3 防火墙的设计原则

3.1简单实用。在校园网络的设计过程中，防火墙的设计越简单越好。目前由于技术的不断完善和发展，防火墙也在不断完善功能，在原有的基础上更加优化，例如防火墙上增加的病毒查杀和入侵检测等功能，如果这些功能不是网络环境中所必需的，在配置的过程中可根据指定的使用环境进行配置，不必对所有功能一一配置，否则会使配置任务更加繁琐，以防由于配置的不协调，引发新的安全威胁，造成难以处理的后果。

3.2全面深入。在校园网的防火墙配置中，要尽量使各方面的配置加强，从深层次上防御整个系统。主要体现在两个方面：一是在防火墙系统的结构设计上，比如采用多层次的防火墙结构体系，将互联网边界防火墙、主机防火墙和部门边界防火墙汇集于一体的防御措施；二是将入侵检测功能、网络加密功能、病毒查杀等多种安全策略有机结合的方式。

4 防火墙的配置

4.1以最小的权限安装所有的访问规则

为了使所有的校园网用户都有大量的端口来获取他们所需的资源，比较好的方法是在一个或者多个区域内指定目标对象。当访问校园网的用户逐渐增大，管理员可能持续性的需要允许大范围的IP地址来访问网络，这些规则的权限就会被过度释放，因此就会极大地增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。

4.2根据法律规定的协议和更改需求来校验每项防火墙的更改

在防火墙操作中，一般的工作都是查找问题，修正故障和安装、更新系统。在处理安装最新防火墙规则的问题上和使用新产品的进程中，我们容易忽略防火墙也是校园网安全协议的执行者。每一项规则都应该重新检查来保证它可以符合安全协议和法律法规规定的协议要求，应予以重视。

4.3当服务过期后应把无用的规则从防火墙规则中删除

规则膨胀是指防火墙常常会遇到的安全问题，由于很多管理团队都没有设置删除规则的过程。业务部门了解这些新规则，但是不会让防火墙团队清楚他们已经不使用某种服务了。有一个达成规则共识的好方法就是了解不再使用的服务器和网络以及应用软件更新周期。运行无用规则的报表是另外一步。

4.4每年至少应对防火墙完整的审核两次

对于校园网的审查每年进行两次就可以，如果是更高级的网络服务就要进行多次审核才能保证安全性。

参考文献

[1]张史彬.有关计算机安全与防火墙技术的分析[J].大科技，2012（19）.

[2]李琳.试析计算机防火墙技术及其应用[J].信息安全与技术，2012（8）.