摘要:网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从匮乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,网络安全问题却也越来越严峻,网络安全防范对校园网的正常运行来讲也就显得十分重要。本论文在详细分析防火墙工作原理的基础上,通过对于防火墙的配置与测试工作,一方面使得所设计的防火墙系统本身具有高效,安全,实用的特点,另一方面也对今后在此基础上继续测试其它网络产品做好了一系列比较全面的准备工作。
关键词:防火墙;校园网;网络安全
1引言
科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。
2防火墙的概念
防火墙一词最早源于建筑行业,当构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称之为防火墙。在今日的电子信息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改,不过这些防火墙是由先进的计算机系统构成的。今天的防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔在被保护的内部网与不安全的非信任网络之间,用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。
3防火墙的相关参数
1)样式:标准1U——4U机箱,根据接口数量、处理性能等不同而异。
2)网络接口数量:标准一般配置3个10/100M自适应接口,根据需要可以定制更多接口,有些还可热拔插。
3)网络接口类型:标准一般是10/100-Base-TX接口,也有其他类型接口。
4.电源:一般是单电源,特殊场合可以配置双电源,但需要定制。
5.硬件平台架构:大多基于X86工控平台,也有基于NP加速的产品6.处理器:多数的是CPU,极少数是CPU+NPU7.软件平台:WindowsNT,也有直接基于开放LINUX架构改造,使用免费代码构建。
4校园网面对的安全威胁
4.1物理安全
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网络的物理安全包括构成网络的相关基础设施的安全,网络的运行环境比如温度、湿度、电源等,自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响。物理安全是保护计算机网络设备、设施以及其它媒體免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。
4.2自然威胁
自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主要包括以下几方面:
①自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏,或对网络运行造成的影响。如:雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏,大雾对无线传输的影响。
②正常使用情况下的设备损坏在网络设中,所有的网络设备都是电子设备,任何电子元件也都会老化,因此由电子元件构成的网络设备都一个有限的正常使用年限,即使严格按照设备的使用环境要求使用,在设备达到使用寿命后均可能出现硬件故障或不稳定现象,从而威胁计算机网络的安全运行。
③设备运行环境网络的运行是不间断的。保证网络设备的安全运行,运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行,其中主要包括周边环境和电源系统两大要素。
5高校校园网络防火墙网络安全策略
1)拒绝访问除明确许可以外的任何一种服务,即拒绝一切未予特许的东西。
2)允许访问除明确拒绝以外的任何一种服务,即允许一切未被特别拒绝的东西校园网防火墙的网络安全策略采取第一种安全控制的方针,确定所有可以被提供的服务以及它们的安全特性,然后开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。
6防火墙的基本配置
学院采用的是防火墙,它的初始配置也是通过控制端口(Console)与PC机的串口连接,再通过超级终端(HyperTerminal)程序进行选项配置。也可以通过telnet和Tffp配置方式进行高级配置,但必需先由Console将防火墙的这些功能打开。
NETSCREEN防火墙有四种用户配置模式,即:普通模式(Unprivilegedmode)、特权模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode)。
显示基本信息:
命令行基本信息收集:
netscreen>getsyst(得到系统信息)
netscreen>getconfig(得到config信息)
netscreen>getlogevent(得到日志)
功能问题需收集下列信息:
netscreen>setffiliter?(设置过滤器)
netscreen>debugflowbasic是开启基本的debug功能
netscreen>cleardb是清除debug的缓冲区
netscreen>getdbufstream就可以看到debug的信息了
性能问题需收集下列信息:
得到下列信息前,请不要重新启动机器,否则信息都会丢失,无法判定问题所在。netscreen>Getpercpudetail(得到CPU使用率)
netscreen>Getsessioninfo(得到會话信息)
netscreen>Getpersessiondetail(得到会话详细信息)
netscreen>Getmac-learn(透明方式下使用,获取MAC硬件地址)
netscreen>Getalarmevent(得到告警日志)
netscreen>Gettech>tftp202.101.98.36tech.txt(导出系统信息)
netscreen>Getlogsystem(得到系统日志信息)
netscreen>Getlogsystemsaved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失。设置接口-带宽,网关设置所指定的各个端口的带宽速率,单位为kb/s
Setinterfaceinterfacebandwidthnumber
unsetinterfaceinterfacebandwidth
设置接口的网关
setinterfaceinterfacegatewayip_addr
unsetinterfaceinterfacegateway
设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部接口之间实施策略:
设置接口的接口的区域
setinterfaceinterfacezonezone
unsetinterfaceinterfacezone
设置接口的IP地址
setinterfaceinterfaceipip_addr/mask
setinterfaceinterfaceipunnumberedinterfaceinterface2
unsetinterfaceinterfaceipip_addr
7总结
网络安全问题越来越引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及众多商业公司造成巨大的经济损失,甚至危害到国家安全,加强网络安全管理已刻不容缓。
[1] 朱雁辉.WINDOWS 防火墙与网络封包截获技术[M].北京:电子工业出版社,2015
[2] 常红等.网络安全技术与反黑客[M].长春:冶金工业出版社,2011
[3] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2016
作者:孙虎