高職院校校園網防火墻技術的應用

　　摘 要：高職院校校園網絡安全建設是一項復雜、龐大的系統工程。防火墻作為校園網與外部網的唯一出入口，是校園網絡安全的關鍵控制環節。文章主要圍繞防火墻技術在高職院校校園網中的應用進行分析，以供參考。

　　關鍵詞：高職院校;校園網;防火墻技術

　　當前，互聯網技術發展迅速，已然成為智慧校園建設中不可缺少的一部分，給學校運行帶來便利的同時，也造成了一些負面影響，計算機在使用過程中經常會遭受黑客或病毒的惡意攻擊，給學校的正常運行造成了非常嚴重的干擾。對于高職校園網來說，想要避免校園內網各種數據服務器的安全及信息被惡意篡改等情況，必須要建立安全的網絡體系，采取防火墻技術，增強校園網的防護能力，有效保障校園信息安全。

　　1 防火墻技術

　　防火墻是外部網絡系統和內部網絡系統之間的安全防護系統，此種系統對網絡數據包進行掃描和分析之后，能夠自動過濾網絡攻擊，阻止未經授權的用戶進入內部網絡系統，顯著提升內部網絡安全防護等級。防火墻技術本質上是一種應用性安全技術，主要建立在信息安全技術及通信網絡技術的基礎之上，當前被更多地用在公用網絡系統與專用網絡系統的互聯環境中。

　　從邏輯上來看，可將防火墻視為一種限制器，也可視為一種分離器或者分析器，應用防火墻能夠有效監控互聯網和內部網絡系統的任何行為活動，保障內部網絡系統的運行安全。從系統組成上來看，防火墻可以依賴軟件實現系統建立，可以依賴硬件實現系統建立，也可以同時借助硬件和軟件建立系統。從防火墻系統的部署來看，可以是主機防火墻模式、網絡邊界防火墻模式，也可以是終端設備防火墻模式。防火墻這道安全技術屏障，能夠有效預防破壞性或者難以預測的網絡入侵。

　　通常情況下，外部網絡和內部系統之間的全部網絡信息數據的傳輸都需要通過防火墻系統，而只有符合網絡安全控制要求的信息數據才能在傳輸過程中通過防火墻系統，防火墻系統在運行過程中本身具有較強的攻擊防御能力，其系統中應用了高新信息安全技術，例如現代密碼技術等。一般來說，防火墻系統的人機界面相對來說比較友善，便于用戶后續實施配置管理[1]。

　　2 防火墻技術類型

　　2.1 代理服務器型防火墻技術

　　代理服務器型防火墻技術類型具有較強的網絡安全維護能力。系統借助服務器的運行，有效輔助網絡用戶完成各項任務，此種防火墻系統在應用過程中要針對用戶的不同需求指出針對性代理，完成一對一指令模式。內部網絡系統和外部網絡之間進行信息傳遞時必須要經由代理審核管控，內部網絡系統只接受代理的單方指令，防御模式相對來說比較嚴格，容易對內部網絡的功能應用造成干擾，防御過程比較復雜。

　　2.2 包過濾型防火墻技術

　　包過濾型防火墻技術主要借助路由器裝置進行工作。此種防火墻系統可以根據不同的數據包實施自動分析，判斷數據的來源以及數據傳輸的目標地址是否符合安全標準，最終做出允許通行或者禁止通行的判斷[2]。此類防火墻安裝難度較低，無需過多運營費用，但是該防火墻系統不存在系統登錄審核及用戶認證等功能，因此安全防御能力一般。

　　2.3 應用級網關防火墻技術

　　應用級網關類型的防火墻系統能夠針對網絡中的資料、信息及數據進行核查，根據核查結果分析危險系數，從而防范和抵御潛在網絡風險，減少系統中的安全隱患，但是此種防火墻技術與過濾型防火墻技術存在相似之處，因此在應用過程中稍有不慎可能會出現信息泄露的情況。

　　3 高職院校校園網絡安全當前面臨的主要威脅

　　3.1 共享資源信息泄露

　　高職院校的校園網絡業務內容主要包括校園一卡通、財務、科研、教學及辦公自動化(Office Automation，OA)辦公等。為便于師生間實現資源共享，校園網絡需要經常進行網絡共享資源的部署，在此期間，部分高職院校由于缺少保密意識和嚴格的訪問控制措施，很容易出現重要信息泄露的情況。

　　3.2 病毒入侵

　　對于高職院校校園網絡系統來說，計算機病毒入侵是影響其系統安全的重要因素之一，校內師生日常進行的網絡下載、U盤使用、電子郵件的收發等都有可能成為病毒入侵的渠道。當前一些不法人員受到利益的驅動，從事計算機黑色產業，制造病毒襲擊，盜竊校園網系統中的用戶賬號和密碼，進而獲取重要信息，造成系統中大量數據丟失、硬件受損、網絡運行受阻，嚴重情況下甚至造成整個校園網絡系統的癱瘓。

　　3.3 黑客攻擊

　　高職院校的校園網絡系統與互聯網相互連接，互聯網為廣大師生服務的同時，也面臨著潛在的安全隱患。當前黑客攻擊技術也在不斷變化，越來越復雜，且破壞性不斷增強，此類網絡襲擊往往會造成較大損失，影響范圍廣，后續的技術修復難度較高，一旦遭受此種攻擊，技術人員需要付出大量精力進行防御和系統修復。

　　3.4 內部用戶攻擊

　　內部用戶主要是高職院校內的學生團體，由于其對于校園網的內部結構和運行模式相對來說比較了解，且對于網絡技術充滿好奇，部分學生為滿足好奇心，對校園網絡進行攻擊，不僅會造成校園資料信息泄露，還會影響校內網絡運行秩序，降低了網絡的安全性，也加大了網絡安全維護的工作量，造成人力、物力資源浪費。

　　3.5 網絡安全管理缺陷

　　高職院校校園網絡系統結構復雜，有著相對龐大的用戶群體，因此系統管理難度較大，系統中信息數據量大、系統運行速度高，具有較強的階段性特征。部分院校對于校園網絡安全的管理工作并未給予充分重視，導致系統安全問題頻頻發生，嚴重影響校園網絡系統的正常使用，也使得院校承受了一定的經濟損失。

　　4 高職校校園網防火墻技術的應用

　　4.1 漏洞掃描技術的應用

　　漏洞掃描技術是防火墻系統中的常見安全防御技術之一，利用此種技術，能夠將高職院校校園網絡系統的真實地址進行隱藏，這樣一來，一方面能夠更好地保存系統內部的專用IP地址，另一方面還能有效抵御外網的惡意入侵。

　　4.2 IP地址保護技術的應用

　　IP地址保護技術的應用主要是為了對系統內部用戶訪問非法網絡的行為實施限制，借助以太網地址和IP地址實施檢測，在內部網絡系統的連續端口處接受數據信息。如果發現數據包應用的IP地址存在異常，為盜用IP地址，那么此時會對該數據包實施自動攔截，阻止其進入到內部系統的服務器當中。與此同時，防火墻系統會對該數據包進行詳細記錄，如果校園網絡系統與互聯網相連，內部系統接收的信息存在IP地址盜用或者地址偽造的情況，防火墻系統也會立即實施攔截，并進行記錄。

　　為了避免內部系統IP地址遭受盜用，可以在校園內部網絡系統中應用交換式集線器裝置，在系統的各個端口中都設置好相應的以太網地址以及相應的規范IP地址[3]。該技術的應用能夠有效保護內部系統的IP地址，效果非常顯著，但是美中不足的是技術運營費用偏高，投入成本較大，因此部分高校尚難以普及應用。此外，應用代理服務器防火墻技術，或者對IP地址實施捆綁處理，也能起到保護校園內部網絡IP地址的作用，這種方式投入成本較低，應用范圍相對廣泛。

　　4.3 非法訪問攔截技術的應用

　　一般來說，如果網絡系統用戶進行非法訪問，有很大概率會夾帶計算機病毒，為此，如果實現了系統中對于非法網絡地址的攔截，要立即對校園網絡路由器的存取列表實施調整，并立即攔截所有非法訪問。在此過程中，可在校園內部網絡系統和以太網連接的路由器裝置中設置相應的控制組，然后引入相關指令符，用于非法網絡細致的篩選。插入的指令本質上是用于實現路由器裝置的動態控制，該指令通過控制系統登錄到路由器裝置之后，能夠對路由器裝置進行合理配置調整，在最短時間內完成人工配置。由此可見，應用TEHETSOCKE指令能夠成功編制出仿真程序，這種程序相當于專門針對CISCO的人工仿真指令類型。插入存取控制表主要依賴DENY，因此在實施仿真程序編制的時候必須要應用同樣的CISCO控制表項文件，將控制目標放置到既定配置文件之后，才能實現路由器裝置的配置傳輸。

　　4.4 透明防火墻技術的應用

　　計算機病毒發展和傳播十分迅速，傳統的防火墻已經無法滿足網絡安全的需要，很多傳統的防火墻對于普通病毒和黑客攻擊無法做到有效預防。所以，采取透明防火墻技術，可以在沒有IP的情況下有效防止黑客對校園網的入侵和攻擊[4]。透明防火墻可以根據MAG地址選擇路由器，實現對IP地址以及MAC地址對應網絡端口的靜態設置，配置對應表，由管理員配置，降低IP被盜用的風險。

　　4.5 入侵檢測技術的應用

　　要確保校園網絡安全，保護校園內部資料和信息安全，可以采取入侵檢測技術，將該技術在防火墻系統中設定，做好信息和數據隔離，限制校園內網中不同部門互訪，維護重要信息數據安全，防止信息泄露。同時，應將重要資料數據的存儲與校園網斷開，從根本上做好防護工作，避免被黑客盜取，造成信息外泄。

　　5 結語

　　為了保證校園內網的安全，需要繼續不斷探索創新，通過培訓學習加強高職院校校園網絡運維人員的技術水平，熟練運用防火墻技術的應用，在今后的網絡安全工作中將積極探索防火墻技術的應用，充分對防火墻技術進行詳細分析與改進，使防火墻的安全防護優勢得以充分發揮，從而提高高職校園網絡安全性。

　　[參考文獻]

　　[1]翟麗.現代網絡安全技術在校園網絡中的應用[J].電腦知識與技術，2018(12)：28-29.

　　[2]尹文皓.基于高校校園網絡安全技術及相關應用探索[J].網絡安全，2018(26)：80，90.

　　[3]郭俊葳.校園計算機網絡安全與防火墻技術[J].網絡安全技術與應用，2018(7)：15-16.

　　[4]周靈，伍曉平.芻議校園計算機常見網絡安全問題及其解決方法[J].現代信息科技，2018(5)：150-151.

　　推薦閱讀：《新校園》(上旬刊)是山東出版傳媒股份有限公司主辦，中國教育科學思想研究會協辦，面向全國公開發行的教育教學類綜合性教育期刊。