【防火墻技術(shù)在高校計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究8100字（論文）】

防火墻技術(shù)在高校計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究目錄TOC\o"1-3"\h\u20882第1章緒論 121232第2章防火墻的基本概念 396482.1防火墻的概念界定 3310602.2防火墻的分類 3269882.2.1無狀態(tài)分組過濾器 3112722.2.2應(yīng)用層網(wǎng)關(guān) 4286032.2.3有狀態(tài)分組過濾器 4300792.2.4電路層代理 522347第3章高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的作用、特點(diǎn)與發(fā)展 6265133.1高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的作用 6104793.2高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的特點(diǎn) 653043.3高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)發(fā)展 728257第4章高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的應(yīng)用分析 9174784.1高校防火墻的應(yīng)用管理 9113074.1.1受防護(hù)主機(jī)基于域的管理 9166884.1.2域的配置管理 9163064.1.3PCO的安全分發(fā) 10246834.2防火墻系統(tǒng)軟件的配置 10273174.2.1服務(wù)的配置 107444.2.2包過濾規(guī)則的配置 11245204.2.3其他配置 1114512總結(jié) 1232650參考文獻(xiàn) 13第1章緒論網(wǎng)絡(luò)安全的重要性越來越引起網(wǎng)民們的注意，大大小小的單位紛紛為自己的內(nèi)部網(wǎng)絡(luò)“筑墻”、防病毒與防黑客成為確保單位信息系統(tǒng)安全的基本手段。防火墻是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備，是處于不同網(wǎng)絡(luò)（如可信任的局域內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。在邏輯上，防火墻其實(shí)是一個(gè)分析器，是一個(gè)分離器，同時(shí)也是一個(gè)限制器，它有效地監(jiān)控了內(nèi)部網(wǎng)間或Internet之間的任何活動(dòng)，保證了局域網(wǎng)內(nèi)部的安全。在最近幾十年來，網(wǎng)絡(luò)技術(shù)的發(fā)展取得了巨大的進(jìn)步，并呈現(xiàn)出高帶寬、低延時(shí)、多應(yīng)用等技術(shù)特點(diǎn)。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已經(jīng)涉及到了人類活動(dòng)的方方面面，因此，安全問題也成為開發(fā)維護(hù)人員關(guān)注的一個(gè)重要問題。網(wǎng)絡(luò)安全防范對于高校計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行是很重要的，它會(huì)直接影響到教學(xué)的質(zhì)量和辦公的效率，而在當(dāng)前各種網(wǎng)絡(luò)防范技術(shù)中，防火墻技術(shù)是最簡單、最值得信賴的一種技術(shù)，它作為一套網(wǎng)絡(luò)系統(tǒng)安全機(jī)制，安插在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，主要防范外部網(wǎng)絡(luò)的惡意攻擊、非法窺探、非法盜取、不正常遠(yuǎn)程訪問請求，防止內(nèi)部網(wǎng)絡(luò)泄露數(shù)據(jù)、通過相應(yīng)協(xié)議規(guī)避不正常網(wǎng)站的訪問等等安全操作，作為網(wǎng)絡(luò)系統(tǒng)的安全門戶，就目前技術(shù)而言，防護(hù)墻的安全防護(hù)作用還是高效且可靠的。目前基本上一套網(wǎng)絡(luò)系統(tǒng)都要連接訪問外部網(wǎng)絡(luò)資源，高校計(jì)算機(jī)網(wǎng)絡(luò)也并不例外，并且作為教育科研機(jī)構(gòu)的網(wǎng)絡(luò)，其安全防護(hù)機(jī)制應(yīng)該是更加全面的。首先作為科研教育機(jī)構(gòu)，其本身就是研究開發(fā)各種前端技術(shù)的，所以在網(wǎng)絡(luò)安全技術(shù)防控方面也不例外，有大量的科研人員來研究這些，其次，科研教育機(jī)構(gòu)有著大量的資料和技術(shù)機(jī)密需要技術(shù)防護(hù)，有些資料甚至關(guān)乎某一行業(yè)的發(fā)展，因此，在高校計(jì)算機(jī)網(wǎng)絡(luò)安全防范中，作為保護(hù)機(jī)制的防火墻起著重要作用。1.1.2課題研究意義在網(wǎng)絡(luò)攻擊中，黑客可以運(yùn)用各種技術(shù)手段來潛入目標(biāo)網(wǎng)絡(luò)中，這其中有操作管理員的操作疏忽，有黑客的有意攻擊，這些方式都有可能導(dǎo)致信息泄露或者發(fā)生更加嚴(yán)重的網(wǎng)絡(luò)安全事故。還可以更改數(shù)據(jù)庫內(nèi)容，偽造用戶的身份或否認(rèn)用戶簽名也是有可能的。對于攻擊者來說還可以用刪除數(shù)據(jù)庫內(nèi)容，破壞網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等手段來進(jìn)行攻擊。許多人可以接觸到內(nèi)部信息，任何工作上的遺漏都可能對信息安全構(gòu)成威脅。這使得信息安全問題更加復(fù)雜。所以面對網(wǎng)絡(luò)安全威脅，必須采取果斷有效的措施來確保安全。任何一套網(wǎng)絡(luò)安全系統(tǒng)都不可能絕對安全，但是能夠在考慮到各種安全策略和侵入威脅方法的情況下盡量做到相對安全。在大學(xué)高校計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)中，應(yīng)避免發(fā)生意外時(shí)可能發(fā)生的不可預(yù)見的情況。根據(jù)實(shí)際測試，在沒有安全措施的大型網(wǎng)絡(luò)中，大約有1000多個(gè)漏洞。目前，網(wǎng)絡(luò)使用了許多安全工具，盡管安全系統(tǒng)存在，但安全問題的存在有許多客觀和主觀原因。此外，隨著時(shí)間的推移，網(wǎng)絡(luò)的安全狀況發(fā)生了變化，除了合理使用和配置各種安全和硬件之外，網(wǎng)絡(luò)的總體安全狀況也發(fā)生了變化，日常監(jiān)測和后續(xù)服務(wù)也很重要。第2章防火墻的基本概念2.1防火墻的概念界定“防火墻”指的是內(nèi)外網(wǎng)之間或者用戶終端和網(wǎng)絡(luò)之間，對內(nèi)外網(wǎng)或網(wǎng)絡(luò)與用戶終端之間傳輸?shù)男畔⒘鲗?shí)施控制的設(shè)備，作為一套安全防護(hù)系統(tǒng)，其組成是由一種專業(yè)計(jì)算機(jī)和相關(guān)軟件來相互配合來實(shí)現(xiàn)的，其中最主要的還是軟件中運(yùn)用的安全策略，作為一種安全網(wǎng)關(guān)，它主要包括包過濾，過濾掉具有安全隱患字段的包和訪問相應(yīng)端口的包，訪問規(guī)則，通過相應(yīng)的安全策略指定一套規(guī)則，還有驗(yàn)證工具和應(yīng)用網(wǎng)關(guān)四部分劉文濤編著.Linux網(wǎng)絡(luò)入侵檢測系統(tǒng)[M].電子工業(yè)出版社，2012。劉文濤編著.Linux網(wǎng)絡(luò)入侵檢測系統(tǒng)[M].電子工業(yè)出版社，20122.2防火墻的分類為了網(wǎng)絡(luò)安全，可以在內(nèi)外網(wǎng)之間或者用戶終端和網(wǎng)絡(luò)之間插入一個(gè)中介系統(tǒng)，這個(gè)中介系統(tǒng)起到了阻擋外部網(wǎng)絡(luò)的威脅和入侵的作用，而我們把這個(gè)中介系統(tǒng)形象的稱為“防火墻”。它主要有以下幾種類型：2.2.1無狀態(tài)分組過濾器作為最基本的防火墻類型，包過濾防火墻在讓每個(gè)入站的數(shù)據(jù)在經(jīng)過防火墻時(shí)，都要被檢測。只有與你設(shè)置的標(biāo)準(zhǔn)匹配的數(shù)據(jù)包才能通過。它可以根據(jù)數(shù)據(jù)包的大小、使用的協(xié)議、源IP地址以及其他參數(shù)來過濾數(shù)據(jù)包。一些路由器除了提供正常的路由功能外，還能提供這種類型的防火墻保護(hù)。分組過濾防火墻通過確認(rèn)分組的源地址、目標(biāo)地址、源端口和目標(biāo)端口以及協(xié)議類型來運(yùn)行。通過這些特征字段設(shè)置相應(yīng)的條件規(guī)則，來過濾掉不允許通過的數(shù)據(jù)包。包過濾防火墻也存在著許多缺點(diǎn)，一個(gè)缺點(diǎn)是，它們沒有詳細(xì)檢查數(shù)據(jù)包或者將其與先前的數(shù)據(jù)包進(jìn)行比較，因此非常容易受到ping泛洪攻擊以及SYN泛洪攻擊的影響。它們也不提供任何用戶認(rèn)證。因?yàn)檫@種類型的防火墻只在數(shù)據(jù)包首部查找信息，所以沒有關(guān)于數(shù)據(jù)包內(nèi)容的信息。如果要配置包過濾防火墻，只需設(shè)置適當(dāng)?shù)倪^濾規(guī)則即可。而防火墻的規(guī)則集需要涵蓋以下內(nèi)容：①允許什么類型的協(xié)議；②允許什么源端口；③允許什么目標(biāo)端口；④允許什么源IP地址。2.2.2應(yīng)用層網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)是在一個(gè)防火墻上運(yùn)行的程序。這種防火墻的名稱來源于她的工作方式，應(yīng)用層網(wǎng)關(guān)主要通過應(yīng)用權(quán)限來限制用戶訪問，在實(shí)際工作中就是通過協(xié)商，也就是通過認(rèn)證和驗(yàn)證來檢查客戶端應(yīng)用程序訪問目標(biāo)服務(wù)器端應(yīng)用程序的權(quán)限合法性，這項(xiàng)技術(shù)在目前各種公司單位都有應(yīng)用，比如辦公電腦設(shè)備只能打開辦公軟件和一些必要軟件，其他社交和通信軟件服務(wù)器都無法訪問，還有一些也會(huì)關(guān)閉usb口，防止發(fā)生數(shù)據(jù)的盜取泄露。當(dāng)客戶端程序與目標(biāo)服務(wù)建立連接時(shí)，它首先連接到應(yīng)用網(wǎng)關(guān)上，然后客戶端和代理服務(wù)器進(jìn)行協(xié)商，以獲得對目標(biāo)服務(wù)的訪問權(quán)限。實(shí)際上，這個(gè)過程創(chuàng)建了兩個(gè)連接點(diǎn)，一個(gè)在客戶端和代理服務(wù)器之間，另一個(gè)在代理服務(wù)器和目標(biāo)服務(wù)器之間。當(dāng)建立連接之后應(yīng)用網(wǎng)關(guān)作為監(jiān)測機(jī)構(gòu)來負(fù)責(zé)過濾經(jīng)過的數(shù)據(jù)包，在這個(gè)過程中，數(shù)據(jù)傳輸訪問可能會(huì)有延遲，甚至有些數(shù)據(jù)會(huì)被拒絕訪問，但是利大于弊，它保護(hù)了本地網(wǎng)絡(luò)和計(jì)算機(jī)。使用應(yīng)用網(wǎng)關(guān)時(shí)，所支持的每種客戶端程序都需要有一個(gè)唯一的程序來接受客戶端應(yīng)用程序的數(shù)據(jù)。這類防火墻允許單獨(dú)的用戶認(rèn)證，這使得它們非常有效的阻塞不想要的流量。然而，缺點(diǎn)是這類防火墻耗費(fèi)大量的系統(tǒng)資源。應(yīng)用網(wǎng)關(guān)也非常容易受到各種泛洪攻擊，主要原因有兩個(gè)，第一個(gè)潛在的原因是應(yīng)用程序需要額外的時(shí)間來協(xié)商認(rèn)證請求。如果連已經(jīng)建立，就可以通過該連接向連接到的服務(wù)器發(fā)送泛洪攻擊。2.2.3有狀態(tài)分組過濾器即狀態(tài)包檢查防火墻，它是基本包過濾的升級版。這種升級后的防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，并且不僅基于對當(dāng)前數(shù)據(jù)包的檢查，它是基本包過濾的升級版這種升級后的防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，而且還會(huì)基于該會(huì)話中先前數(shù)據(jù)包推導(dǎo)出來的數(shù)據(jù)來決定拒絕或允許訪問。這就表明這種防護(hù)策略能夠推導(dǎo)檢測出特定段數(shù)據(jù)包的內(nèi)容，這使得此類防火墻不太容易受到ping泛洪和SYN泛洪攻擊的影響，而且更不容易被欺騙。狀態(tài)包檢查防火墻不易受到這類攻擊的原因如下：①它們可以識別出一個(gè)數(shù)據(jù)包是否是來自特定IP地址的、異常答的數(shù)據(jù)包流的一部分，從而判斷是否有可能正在發(fā)生Dos攻擊。②它們可以識別數(shù)據(jù)包的源IP地址是否看似來自防火墻的內(nèi)部，從而判斷是否有IP欺騙正在發(fā)生。③它們也可以考察數(shù)據(jù)包的實(shí)際內(nèi)容，從而允許擁有某些高級的過濾能力。該防火墻是包過濾防火墻的基礎(chǔ)上誕生的升級版本。目前大多數(shù)優(yōu)質(zhì)的防火墻都是狀態(tài)包檢查防火墻。2.2.4電路層代理電路層網(wǎng)關(guān)防火墻和應(yīng)用網(wǎng)關(guān)很相似，不過更安全可靠，在高端設(shè)備上較為常見。在電路層網(wǎng)關(guān)中，系統(tǒng)可以通過不同的用戶來提供不同的權(quán)限，這種方法更加靈活高效，因此，在使用之前需要登錄用戶認(rèn)證，這樣既能檢測使用者的合法性，又能準(zhǔn)確提供相應(yīng)使用者的權(quán)限，更加安全高效。這意味著每個(gè)人，無論是基于用戶名還是基于IP地址，都必須在執(zhí)行任何一步通信之前進(jìn)行驗(yàn)證。一旦通過驗(yàn)證，并且在源和目標(biāo)之間建立了連接，那么防火墻只需簡單地在兩個(gè)系統(tǒng)之間傳遞數(shù)據(jù)。在內(nèi)部客戶端和代理服務(wù)器之間；存在一個(gè)虛擬的“電路”。線路向服務(wù)器發(fā)送Internet訪問請求，代理服務(wù)器在更改IP地址后向Internet發(fā)送請求，而外部網(wǎng)絡(luò)只允許顯示代理服務(wù)器的IP地址，代理服務(wù)器接受返回的相應(yīng)，然后通過該回路返回到客戶端。所以是這個(gè)虛擬電路使電路層的網(wǎng)關(guān)更加安全。第3章高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的作用、特點(diǎn)與發(fā)展3.1高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的作用高校計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)是大量的用戶，長時(shí)間的使用，高比例的在線用戶在這種高速，高容量的局域網(wǎng)中，各種計(jì)算機(jī)病毒和蠕蟲很容易通過用戶的粗心或有缺陷的系統(tǒng)插件迅速傳播，由于各類的電腦病毒在網(wǎng)絡(luò)上傳播，因此便加速了病毒傳播的速度，導(dǎo)致網(wǎng)絡(luò)擁塞甚至癱瘓，給高校計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)帶來災(zāi)難性的后果。如著名的“黑色星期五”“熊貓燒香”等病毒給網(wǎng)絡(luò)的正常應(yīng)用帶來了很大的麻煩。高校計(jì)算機(jī)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)后，提供了病毒的傳播路徑，可能造成速度慢，數(shù)據(jù)丟失，系統(tǒng)癱瘓等問題。防火墻通常使用在一個(gè)可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間，阻斷來自外部通過網(wǎng)絡(luò)對局域網(wǎng)的威脅和入侵，確保局域網(wǎng)的安全。與其它網(wǎng)絡(luò)產(chǎn)品相比，有著其自身的專用特色，但其本身也有著某些不可避免的局限。下面對其在網(wǎng)絡(luò)系統(tǒng)中的作用、應(yīng)用特點(diǎn)和其優(yōu)缺點(diǎn)進(jìn)行簡單的闡述。3.2高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的特點(diǎn)高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻一般具有如下顯著特點(diǎn)：客戶端只允許用戶訪問指定的網(wǎng)絡(luò)或選擇服務(wù)企業(yè)本地網(wǎng)、園區(qū)網(wǎng)與分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)用戶等安全通信的信息；反欺騙欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包類似于來自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并能丟棄；C/S模式和跨平臺支持能使運(yùn)行在一個(gè)平臺的管理模塊控制運(yùn)行在另一個(gè)平臺的監(jiān)視模塊。3.3高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)發(fā)展在目前網(wǎng)絡(luò)安全問題日益凸顯的情況下，防火墻技術(shù)發(fā)展迅猛，它主要體現(xiàn)在包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。（1）防火墻包過濾技術(shù)的發(fā)展一些防火墻制造商將AAA系統(tǒng)的用戶和服務(wù)認(rèn)證擴(kuò)展到防火墻，因此，可以提供滿足用戶需求的安全策略。這個(gè)功能對于無線網(wǎng)絡(luò)的應(yīng)用來說是至關(guān)重要的。用戶認(rèn)證的防火墻通常在應(yīng)用程序中使用網(wǎng)關(guān)技術(shù)，而分組過濾技術(shù)則不使用的。用戶認(rèn)證功能越強(qiáng)，安全標(biāo)準(zhǔn)越高，對網(wǎng)絡(luò)通信的負(fù)面影響就越大，因?yàn)橛脩粽J(rèn)證需要時(shí)間，尤其是在加密身份驗(yàn)證時(shí)。多級過濾技術(shù)多級過濾技術(shù)旨在通過應(yīng)用多層過濾策略，再加上鑒別手段的監(jiān)測達(dá)到過濾的效果，在網(wǎng)絡(luò)層中，也就是分組過濾器中主要通過監(jiān)測過濾掉相應(yīng)源路由數(shù)據(jù)包和源IP地址，在傳輸層中主要過濾掉相應(yīng)的非法協(xié)議和有害數(shù)據(jù)包等。在應(yīng)層用中，在提供互聯(lián)網(wǎng)服務(wù)方面，可以通過各種網(wǎng)關(guān)（FTP、SMTP等）來控制和監(jiān)視，這是一種綜合過濾技術(shù)，解決了上述各種現(xiàn)有防火墻技術(shù)的缺陷，并可彌補(bǔ)上述各種單獨(dú)過濾技術(shù)的缺陷。這種過濾技術(shù)在等級的劃分上非常明確，不同的網(wǎng)絡(luò)層對應(yīng)不同的過濾技術(shù)，這樣就能夠開發(fā)出大量的內(nèi)容，為防火墻技術(shù)的未來發(fā)展奠定了基礎(chǔ)。使防火墻有防病毒功能作為“病毒防火墻”，它主要還是通過監(jiān)測過濾掉具有敏感字段和訪問非法接口的的數(shù)據(jù)包，這種防火墻在防止網(wǎng)絡(luò)病毒方面是非常有效的，并在攻擊方面比預(yù)期的更加積極。這種可以防病毒的防火墻可以最大程度的減少公司的損失。

(2)防火墻的體系結(jié)構(gòu)發(fā)展趨勢隨著網(wǎng)絡(luò)的發(fā)展，其用戶數(shù)量也在快速增加，這使得網(wǎng)絡(luò)數(shù)據(jù)容量和傳輸流量都大大增加，但是防火墻的加入對網(wǎng)絡(luò)傳輸有阻礙作用，這就對防火墻的性能提出來更高的要求，因此，一些防火墻技術(shù)開發(fā)人員開發(fā)了基于ASIC和網(wǎng)絡(luò)處理器的軟硬件相結(jié)合的防火墻，與基于硬件的防火墻相比，這些防火墻帶有軟件色彩，因此更加靈活。以ASIC防火墻網(wǎng)絡(luò)為基礎(chǔ)，使用專門設(shè)計(jì)用于處理數(shù)據(jù)流的設(shè)備。但是，由于ASIC防火墻對純硬件缺乏編程性，因此無法跟上防火墻功能的迅速變化。理想的解決辦法是提高ASIC芯片的編程性，并使其更適合軟件。這種防火墻既滿足了靈活性要求，也滿足了操作性能要求。首先當(dāng)然是是集中式管理，這種管理中的分布式和分級的安全結(jié)構(gòu)是未來的發(fā)展趨勢。集中式管理有助于減少行政費(fèi)用，確保大型網(wǎng)絡(luò)安全政策的一致性。反應(yīng)速度和防御速度也需要中央管理系統(tǒng)。這種分布式防火墻已經(jīng)在已經(jīng)被某些開發(fā)商成功開發(fā)出來了?！澳壳八Q的`分布式防火墻'”和`集成防火墻'”。這兩種應(yīng)用具有強(qiáng)大的審計(jì)功能和自動(dòng)認(rèn)證分析功能，能夠快速的發(fā)現(xiàn)潛在威脅，防止攻擊，同時(shí)管理員能夠有效的發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，及時(shí)調(diào)整安全對策等，對多方面的管理有很大作用。但具有這種功能的防火墻一般是比較高級的，不存在于初期靜態(tài)過濾墻。（3）分布式防火墻技術(shù)目前在國外重點(diǎn)大學(xué)都對DDOS防火墻技術(shù)有很大的研究發(fā)展，一些公司已逐步實(shí)現(xiàn)并開始運(yùn)用。這是一種良好的安全系統(tǒng)符合未來發(fā)展趨勢，因此，該技術(shù)一旦出現(xiàn)，就會(huì)得到很多用戶的認(rèn)可和認(rèn)可，現(xiàn)在就來看看這種新的防火墻技術(shù)吧。常規(guī)防火墻設(shè)在網(wǎng)絡(luò)邊界，由于位置在網(wǎng)絡(luò)之間，所以被稱為“防火墻（妄想防火墻）”。隨著人們對網(wǎng)絡(luò)安全的要求越來越高，如果管理員不在所有主機(jī)上設(shè)置防火墻，就無法有效地保護(hù)內(nèi)部網(wǎng)絡(luò)，所以在此基礎(chǔ)上，出現(xiàn)了新型防火墻技術(shù)——分布式防火墻（firewalls）技術(shù)，不僅如此，它還可以在每臺主電腦上設(shè)置防火墻，將防火墻的安全防護(hù)系統(tǒng)普及到網(wǎng)絡(luò)中的各個(gè)計(jì)算機(jī)上，這不僅有效地保證使用者的投資不多，而且對網(wǎng)絡(luò)的安全防護(hù)要十分全面。眾所周知，傳統(tǒng)的邊界墻是被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的相互信息引入和傳送操作，而分散防火墻作為主機(jī)保護(hù)對象的一種安全系統(tǒng)，其設(shè)計(jì)理念是除了主機(jī)之外，任何用戶都不能信任，都必須經(jīng)過過濾。當(dāng)然，在實(shí)際應(yīng)用中，網(wǎng)絡(luò)上的每個(gè)主機(jī)并不都需要安裝這種系統(tǒng)，以免對通信性能產(chǎn)生嚴(yán)重影響。它還可用于保護(hù)高校計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)上有關(guān)鍵接入點(diǎn)的服務(wù)器、避免數(shù)據(jù)及工作所的非法入侵造成等的破壞。第4章高校計(jì)算機(jī)網(wǎng)絡(luò)防火墻的應(yīng)用分析4.1高校防火墻的應(yīng)用管理針對由直接為防火墻配置策略所帶來的問題，采用這樣的方案：根據(jù)受防護(hù)主機(jī)的組織結(jié)構(gòu)將其劃分為不同的域，利用域的優(yōu)點(diǎn)來優(yōu)化系統(tǒng)的策略管理；實(shí)施層次化的管理使上層域的策略在下層域中得到體現(xiàn)并得到下層域的遵守，從而使策略在作用過程中達(dá)到統(tǒng)一性，減少策略沖突的可能龔尚福，劉衛(wèi)平.Intranet安全與防火墻技術(shù)[J].現(xiàn)代電子技術(shù)，2012（12）。龔尚福，劉衛(wèi)平.Intranet安全與防火墻技術(shù)[J].現(xiàn)代電子技術(shù)，2012（12）4.1.1受防護(hù)主機(jī)基于域的管理根據(jù)現(xiàn)實(shí)應(yīng)用中各部門之間的組織關(guān)系將網(wǎng)絡(luò)中受防護(hù)主機(jī)劃分為不同的域。域內(nèi)有兩種類型的成員，一種是非域成員，即主機(jī)防火墻或網(wǎng)絡(luò)防火墻；另一種就是子域成員，子域是對域內(nèi)成員進(jìn)行更精細(xì)的劃分，體現(xiàn)了域的層次性?；谟虻姆椒ㄓ袃牲c(diǎn)好處：應(yīng)用于一個(gè)域的策略會(huì)自動(dòng)應(yīng)用到域中的所有對象和子域，因此將應(yīng)用到大量的對象上，提供可擴(kuò)展性；當(dāng)新對象從系統(tǒng)中添加或刪除時(shí)，他們能夠簡單的被相關(guān)的域添加或刪除，而不需要改變策略或人工管理策略與策略應(yīng)用對象之間的關(guān)聯(lián)。層次化策略管理4.1.2域的配置管理域的限制條件是策略管理中心在為此域進(jìn)行策略配置時(shí)必須遵守的約束，由策略管理中心負(fù)責(zé)維護(hù)，它在形式上和策略規(guī)則的形式完全相同，它只能應(yīng)用于本域，約束本級域的策略配置，不能像域的策略一樣應(yīng)用于它的子域。將受保護(hù)主機(jī)劃分為不同的域，簡化了策略管理。當(dāng)策略應(yīng)用到非域成員——主機(jī)防火墻和網(wǎng)絡(luò)防火墻時(shí)，策略轉(zhuǎn)變成防火墻具體執(zhí)行的規(guī)則，如果策略中的規(guī)則的主體或客體是域，則必須通過檢索域成員數(shù)據(jù)庫，明確與此防火墻相關(guān)的規(guī)則，然后實(shí)例化。這樣一條主體或客體是域的策略就可以實(shí)例化成一系列防火墻可以執(zhí)行的主機(jī)規(guī)則；如果策略中的規(guī)則是主機(jī)規(guī)則就直接應(yīng)用。在應(yīng)用策略的過程中，防火墻只應(yīng)用與其相關(guān)的規(guī)則，再由主機(jī)規(guī)則形成規(guī)則文件。在為域配置策略時(shí)，策略管理中心負(fù)責(zé)檢查此策略是否符合限制條件的約束。檢查策略的每一條規(guī)則的各種屬性值是否在限制條件的各對應(yīng)屬性值的范圍之內(nèi)，如果全部都在其對應(yīng)范圍之內(nèi)，該規(guī)則就可獲檢查通過，只有策略的所有規(guī)則都檢查通過了，此策略才能配置給此域。頂層域配置的策略是全局性的策略，是整個(gè)企業(yè)網(wǎng)絡(luò)范圍內(nèi)必須遵守的基本的策略，反映了企業(yè)網(wǎng)基本的安全需求，它在配置的時(shí)候不受限制條件的約束。子域?qū)Ω赣虿呗缘拇朔N應(yīng)用方式是分布式防火墻策略管理系統(tǒng)中層次化策略管理的核心體現(xiàn)。這樣也使策略管理中心為頂層域到底層域配置的一系列相關(guān)的策略從形式上都更加具體。層次化策略管理使策略的統(tǒng)一性得到實(shí)現(xiàn)，同時(shí)，減少了策略沖突的可能。4.1.3PCO的安全分發(fā)策略控制對象（PCO）可將一條激活的策略經(jīng)由安全信道分發(fā)給應(yīng)用此策略的所有防火墻。為了使安全策略中心能主動(dòng)實(shí)時(shí)控制策略，采“推”模式來分發(fā)策略。當(dāng)策略管理中心改變策略后，它要把策略“推”給網(wǎng)絡(luò)防火墻和主機(jī)防火墻。主機(jī)在登錄網(wǎng)絡(luò)啟動(dòng)防火墻時(shí)，便向策略管理中心申請策略，完成認(rèn)證后，策略管理中心查詢策略數(shù)據(jù)庫，實(shí)例化策略，把此防火墻的規(guī)則以文件形式“推”給它。主機(jī)端必須驗(yàn)證規(guī)則文件的完整性。4.2防火墻系統(tǒng)軟件的配置4.2.1服務(wù)的配置A1Telnet：可以通過包過濾提供OutingTelnet（outingTelnet）。完全關(guān)閉傳入Telnet(incomingTelnet)。B1FTP：使用包過濾和代理服務(wù)。通過使用TISFWTKftp-gw等代理服務(wù)器，以這種方式進(jìn)行的數(shù)據(jù)包過濾允許TCP連接來自超過1023個(gè)端口的堡壘主機(jī)，并到達(dá)超過1023個(gè)端口的內(nèi)部主機(jī)。超過1023個(gè)端口從遠(yuǎn)程主機(jī)上的端口20到達(dá)堡壘主機(jī)。C1SMTP：通過3個(gè)步驟配置SMTP。發(fā)布DNSMX記錄以將站點(diǎn)的傳入郵件轉(zhuǎn)發(fā)到堡壘主機(jī)。配置您的內(nèi)部計(jì)算機(jī)以將出站郵件發(fā)送到堡壘主機(jī)。將堡壘主機(jī)配置為將所有傳入郵件傳遞到單個(gè)內(nèi)部郵件服務(wù)器，并將出站郵件直接傳遞到目標(biāo)計(jì)算機(jī)。D1NNTP：允許NNTP服務(wù)提供者直接與內(nèi)部Usenet新聞主機(jī)通信。E1HTTP：通過運(yùn)行在堡壘主機(jī)上的CERN代理服務(wù)器向內(nèi)部客戶端提供HTTP服務(wù)。F1DNS：假設(shè)堡壘主機(jī)上的DNS服務(wù)器是域內(nèi)的備份服務(wù)（從服務(wù)器），主服務(wù)器在內(nèi)部主機(jī)上。不隱藏DNS信息。4.2.2包過濾規(guī)則的配置配置包過濾系統(tǒng)應(yīng)具有下面的能力：能夠分開進(jìn)來的和外出的包。能夠按照源地址、目的地址、包類型、源端口、目的端口進(jìn)行過濾。不管是否設(shè)定了ACK位，都能進(jìn)行過濾。可按照列出的次序來運(yùn)用規(guī)則。4.2.3其他配置A1在內(nèi)部機(jī)器上配置電子郵件。TISFWTKsmap和smapd程序安裝在B1的內(nèi)部郵件服務(wù)器上。C1將MX記錄放在每個(gè)A記錄的內(nèi)部名稱服務(wù)器上。D1在堡壘主機(jī)上完成所有基本堡壘主機(jī)配置工作。總結(jié)從理論上講，防火墻是系統(tǒng)管理員能夠采取的最嚴(yán)格的安全措施。但是防火墻也有一些缺陷和不足：限制有用的網(wǎng)絡(luò)服務(wù)；無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶攻擊；防火墻無法防范通過防火墻以外的其他途徑的攻擊；不能完全阻止傳送已感染病毒的軟件和文件；無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊等。另一方面，一旦防火墻被攻破，內(nèi)部網(wǎng)絡(luò)的安全性將輕易被破壞。因此要保證高校計(jì)算機(jī)網(wǎng)絡(luò)的相對安全不應(yīng)該只使用單一的安全措施。參考文獻(xiàn)[1]王樂,王葉靜,葛永興,等.Web應(yīng)用防火墻在高校信息安全中的應(yīng)用[J].長春師范大學(xué)學(xué)報(bào),2020,39(4):4.[2]陳懋.防火墻技術(shù)在高校信息化建設(shè)中的應(yīng)用[J].九江學(xué)院學(xué)報(bào)：自然科學(xué)版,2020,35(2):5.[3]滕建、黃聰穎、黃小鳳、李夢妤、章文.高校網(wǎng)站群安全保障與制度建設(shè)探析[C]//中國計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)2020年第二十四屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì).2020.[4]朱曉東.計(jì)算機(jī)網(wǎng)絡(luò)安全中應(yīng)用防火墻技術(shù)的途徑[J].通訊世界,2020,27(10):3.[5]馬麗梅.大數(shù)據(jù)時(shí)代高校大學(xué)生信息保護(hù)的重要性及措施研究[J].無線互聯(lián)科技,2020,17(10):2.[6]趙菁.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(10):3.[7]張文聰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及防火墻技術(shù)的應(yīng)用探討[J].數(shù)字通信世界,2020(10):3.[8]陳軍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其