淺談高校計算機實驗室網絡安全技術

吳杰

【摘要】本文介紹了在高校計算機實驗室管理中網絡安全技術是一項重要內容，針對網絡安全問題并提出了解決方案，網絡安全技術的實現重要手段就是防火墻技術。

【關鍵詞】網絡；安全；防火墻

在高校計算機實驗室管理中網絡安全防范是一項重要內容，網絡的開放和共享方便了教師和學生的使用，但計算機信息和資源很容易受到攻擊，在計算機實驗室管理中網絡安全也越來越受到重視，本文就高校網絡安全、防火墻技術、確保網絡安全的實現進行簡要的介紹。

一、高校計算機實驗室網絡安全漏洞

高校計算機實驗室網絡的開放使得網絡很容易受到攻擊，而且受到攻擊后的傷害是比較嚴重的，比如數據被人竊取，服務器不能正常提供服務等等，這是因為網絡存在著如下漏洞：

1、協議

計算機實驗室采用的互聯網的某些協議，如TCP/IP或UDP協議存在著許多安全方面的漏洞，為了使信息在網絡傳輸中不被竊取、替換、修改等，要求采取各種硬件及軟件措施，如網關、傳輸協議等來保護FTP或E-mail文件。再就是黑客捕獲目標IP地址不是一件復雜的事情，黑客可利用IP和客戶軟件的漏洞使遠程用戶瞬間死機，為了保證互聯網上信息往來的安全，需要采用數字簽名的措施來保證數據發送和來源的可靠。

2、口令

計算機實驗室網絡的口令系統非常脆弱，常常會被破譯。破譯者常常通過對信道的監測來截取口令或將加密的口令解密，獲得對系統的訪問權。特別是由于與內部局域網相連的互聯網需要進行兩類認證，一是需要用戶進行TCP/IP注冊認證，由用戶輸入IP地址和口令；二是對業務往來和電子郵件信息需要進行來源認證。這兩類認證常常會受到攻擊。例如當用戶通過TELNET或FTP與遠程主機聯系時，由于在互聯網上傳輸的口令沒有加密，因而帶有口令和用戶名的IP包就有可能被攻擊者截獲，用此口令和用戶名在系統上進行注冊，并根據被竊取口令所具有的權限獲得對系統相應的訪問控制權，進而竊取用戶的機密信息。

3、 操作系統和應用軟件

在操作系統中發現了不少的漏洞，例如對可執行文件的訪問控制不嚴就成為許多黑客攻擊成功的原因之一。許多應用軟件也都有安全漏洞，容易被黑客侵入，瀏覽器中的超級鏈接也很容易被攻擊者利用而進入系統。為此，需要采取安全級別較高的操作系統并增加必要的軟、硬件防護措施。

4、互聯網

互聯網既龐大又復雜，系統邊界難以確定，用戶難以監視，系統受到的威脅來自各方，許多訪問控制措施配置起來十分困難也不易驗證其正確性。為此，為確保安全，計算機實驗室內部網與互聯網的連接必須設立網關，以攔截和檢查每一條從互聯網來或去的信息，防止黑客、病毒之類的攻擊，還要使互聯網的網關成為防火墻的一部分。

二、防火墻技術

由于高校計算機實驗室的網絡存在著以上漏洞，所以受到了種類繁多的攻擊，歸納起來主要有掃描類攻擊、緩沖區溢出攻擊、木馬攻擊、DOS攻擊、碎片攻擊等等。為了防止計算機實驗室網絡受到攻擊，采取的有效手段是防火墻技術。防火墻是可在內部網和互聯網之間，或者內部網的各部分之間實施安全防護的系統，通過防火墻可以在內部、外部兩個網絡之間建立起安全的控制點，來實施對進、出內部網絡的服務和訪問信息的審計和控制，以允許、拒絕或重新定向經過防火墻的數據流的方式，防止不希望、未授權的數據流進出被保護的內部網絡。因此，防火墻計算機實驗室是實現網絡安全防范的重要組成部分。

1、防火墻要解決的安全問題

（1）被保護系統的安全問題

在訪問控制安全方面，防火墻應能保護內部網絡的資源不被非授權使用。在通信安全方面，防火墻應能提供數據保密性、完整性的認證，以及各種通信端不可否認的服務。

（2）自身的安全問題

在訪問控制安全方面，防火墻應能保護防火墻自身與安全有關的數據不被非授權使用。在通信安全方面，在對防火墻進行管理時，包括遠程管理，應能夠提供數據保密性、完整性的認證，以及各種通信端不可否認的服務。

2、防火墻的關鍵技術

（1）包過濾技術

包過濾技術主要是基于路由的技術，即依據靜態或動態的過濾邏輯，在對數據包進行轉發前根據數據包的目的地址、源地址及端口號對數據包進行過濾。包過濾不能對數據包中的用戶信息和文件信息進行識別，只能對整個網絡提供保護。一般說來，包過濾必須使用兩塊網卡，即一塊網卡連到公網，一塊網卡連到內網，以實現對網上通信進行實時和雙向的控制。包過濾技術具有運行速度快和基本不依賴于應用的優點，但包過濾只能依據現有數據包過濾的安全規則進行操作，而無法對用戶在某些協議上進行各種不同要求服務的內容分別處理，即只是機械地允許或拒絕某種類型的服務，而不能對服務中的某個具體操作進行控制。因此，對于有些來自不安全的服務器的服務，僅依靠包過濾就不能起到保護內部網的作用了。

（2）代理服務技術

代理服務又稱為應用級防火墻、代理防火墻或應用網關，一般針對某一特定的應用來使用特定的代理模塊。代理服務由用戶端的代理客戶和防火墻端的代理服務器兩部分組成，其不僅能理解數據包頭的信息，還能理解應用信息本身的內容。當一個遠程用戶連接到某個運行代理服務的網絡時，防火墻端的代理服務器即進行連接，IP報文即不再向前轉發而進入內網。代理服務通常被認為是最安全的防火墻技術，因為代理服務有能力支持可靠的用戶認證并提供詳細的注冊信息。代理服務的代理工作在客戶機和服務器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務器的配置可以隱藏內網的IP地址，保護內部主機免受外部的攻擊。此外，代理服務還可以過濾協議，以保證用戶不將文件寫到匿名的服務器上去。代理服務在轉發網絡數據包的方式與包過濾防火墻也不同，包過濾防火墻是在網絡層轉發網絡數據包，而代理服務則在應用層轉發網絡訪問。

以上介紹了兩種防火墻技術。由于此項技術在網絡安全中具有不可替代的作用，因而在最近十多年里得到了較大的發展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態檢測防火墻和第四代防火墻。

防火墻是特定的計算機硬件和軟件的組合，它在兩個計算機網絡之間實施相應的訪問控制策略，使得內部網絡與Internet或其他外部網絡互相隔離、限制網絡互訪，禁止外部網絡的客戶直接進入內部網絡進行訪問，內部網絡用戶也必須經過授權才能訪問外部網絡。在內部網絡與外部Internet的接口處，必須安裝防火墻。內部網絡規模較大且設置有VLAN時，則應該在各個VLAN之間設置防火墻。通過公共網絡連接的總部與各分支機構之間也應該設置防火墻，并將總部與各分支機構組成VPN。

三、確保高校網絡安全技術實現

1、安全策略

我們都需要一個安全策略，不要等到發生入侵之后才想起來制定這個策略；現在就開始制定一個，才能防患于未然。

2、防火墻必不可少

令人吃驚的是，現在大多數學校都在運行著沒有防火墻保護的公共網絡，讓我們姑且忽略有關“硬件防火墻好，還是軟件防火墻好”的爭論，無論采用哪一種防火墻，總比沒有防火墻好。使連接到Internet的每一個人都需要在其網絡入口處采取一定的措施來阻止和丟棄惡意的網絡通信。雖然Windows XP SP2自帶的防火墻也勉強可用，但為了滿足您的特殊需要，市場上還存在著大量產品可供挑選，最主要的事情就是去使用它們。

3、補丁策略必不可少

從一個新的漏洞被發現開始，到新的大規模攻擊工具問世為止，兩者間隔時間已經縮短了許多。在廠商發布安全補丁的時候，我們需要做出快速響應，訪問和安裝那些補丁應該成為工作內容和計劃任務的一部分，不要事后才采取行動。

4、強化服務器

“強化”涉及兩個簡單的實踐法則：購買商業軟件時，刪除您不需要的所有東西；如果不能刪除，就把它禁用?？梢酝ㄟ^強化來刪除的典型對象包括示例文件、使用向導演示、先用后付費的捆綁軟件以及在可以預見的將來不準備使用的高級特性。安裝越復雜，越有可能留下安全隱患，所以將您的安裝精簡到不能再精簡的程度。除此之外，設備和軟件通常配置了默認用戶名/密碼訪問、來賓和匿名帳戶以及默認共享，刪除不需要的，并修改所有身份驗證憑據的默認值。

5、隨時更新防病毒系統

原來我們鼓勵用戶“每周”檢查一次防病毒更新，如今都提供了自動的簽名更新。只要一直都連在Internet上，它們就能在一個新的安全威脅被發現后的數小時內下載到您的機器上。良好的安全性要求你在每個桌面都配備防病毒功能，并隨時更新它。雖然在一個網絡的網關那里建立防病毒機制能解決一部分問題，但在整個防病毒戰線中，您只能把網關防病毒視為一道附加的防線，而不能把它視為桌面防病毒的一個替代品。

總之，高校計算機實驗室網絡安全的問題已成為計算機實驗室管理者必須重視的工作，必須隨時做好網絡安全準備工作，尤其要對重要的文件或機密信息采取安全防護措施。同時，要引入國際先進的計算機病毒防治的方法及標準，使用防火墻及殺毒軟件等，防止網絡黑客及網絡計算機病毒的入侵，保證計算機實驗室正常教學秩序，另外，還要進行安全意識及安全措施方面的培訓，并在法律規范等諸多方面加強管理。

參考文獻：

[1]李艇.《網絡安全與認證》出版社：重慶大學出版社

[2]楊守君.《黑客技術與網絡安全》中國對外翻譯出版公司

[3]楊富國等 《網絡設備安全與防火墻》出版社：北方交通大學出版社

[4]楊紹蘭.《信息安全防范的現狀分析》 四川圖書館學報