防火墙是网络安全中的第几道屏障 防火墙——校园网络安全的屏障.docx

《防火墙是网络安全中的第几道屏障 防火墙——校园网络安全的屏障.docx》由会员分享，可在线阅读，更多相关《防火墙是网络安全中的第几道屏障 防火墙——校园网络安全的屏障.docx（6页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、防火墙是网络安全中的第几道屏障 防火墙校园网络安全的屏障 摘?要：校内网络平安是每个学校都特别关切的问题。防火墙就像一道屏障，将担心全因素挡在外面。本文主要谈校内网运用防火墙的好处、防火墙的配置及选购。关键词：校内网；防火墙；平安策略随着以计算机和网络通信为核心的信息化技术的飞速发展，信息化浪潮势不行挡。学校为了顺应社会发展须要，节约成本，也逐步推行无纸化办公，实现资源共享，2002年暑假由我们几个计算机老师带着几个学生用网线、24口交换机和一台一般服务器将全校的电脑连接起来就组成了我们最初的校内网。网络平安可想而知，电脑中毒、网络中断等状况时有发生。2022年学校建了新校内网，大大提高了校内

2、网的平安级别。这几年防火墙就像一道屏障，将担心全因素挡在外面，保证了我们校内网络的平安。本文主要谈谈自己对防火墙的相识和看法。一、什么是防火墙防火墙是指设置在不同网络之间的只让合法访问进入内部网络的一组软硬件装置，比如校内网和互联网之间。管理员可以设置网络之间的全部数据包都必需经过防火墙，做到对网络之间的全部通讯都进行扫描，并关闭担心全的端口，阻挡外来的恶意攻击，封锁木马等病毒，以保证网络和主机的平安。可以说，通过防火墙是对进入校内网数据流的分析，把担心全的信息分别出来并加以限制，有效地监控了校内网和 Internet 之间的任何活动，保证了校内网络的平安。二、校内网运用防火墙的好处防火墙可强

3、化校内网的平安。因为防火墙可设置只有经过严格筛选后平安的应用协议才能通过它，所以校内网变得更平安。如可设置禁止易受攻击的NFS 协议进出校内网，这样外部的攻击者就不行能利用这些脆弱的协议来攻击校内网。防火墙同时可以爱护校内网免受各种与IP有关的攻击。如SYN Flood攻击，就是利用伪造的IP地址向服务器发送大量的SYN包，导致服务器的半开连接资源很快消耗完毕而无法再接受来自正常用户的TCP连接要求，最终达到攻击的目的。防火墙可以通过日志记录攻击并通知防火墙管理员处理，管理员也可打开防火墙相关的抗攻击检查，干脆拒绝攻击的入侵。防火墙可以净化校内网络环境。WEB服务是学生上互联网运用最多的服务，

4、互联网上信息鱼龙混杂，不良信息随处可见，必需对其访问进行必要的限制。通过防火墙平安规则配置中的包过滤规则就可以针对HTTP协议进行URL过滤，实现对访问不良信息的限制。可有效防止内部信息的外泄。通过利用防火墙对校内网的划分，可实现重点网段的隔离，从而降低局部重点或敏感网络平安问题对整个校内网的影响。另外，内部网络中不引人留意的细微环节可能包含了有关平安的线索而引起外部攻击者的爱好，甚至因此暴露了内部网络的某些平安漏洞。通过对防火墙的设置可以堵塞有关内部网络中的DNS 信息，这样一台主机的域名和IP 地址就不会被外界所了解。三、防火墙的配置1.系统时钟配置防火墙系统时间的精确性是很重要的。因为防

5、火墙的时间调度功能是以防火墙的系统时间为依据标准，时间调度是推断当前时间匹配规则中的时间段，从而确定是否可以访问某些功能。比如上班时间不能上网，下班时间可以，这个时间调度的时间也是系统时钟。2.平安策略配置（1）平安规则：防火墙全部的访问限制都是依据平安规则的设置完成。包括包过滤规则、网络地址转换规则、IP映射规则、端口映射规则、代理规则及病毒过滤规则。全部规则肯定要设置源地址和目的地址，否则全部的访问都可以进入校内网。（2）地址绑定：是防止IP欺瞒和防止盗用IP地址的有效手段。假如防火墙某网口启用地址绑定，当该网口接收数据包时，将依据数据包的源IP地址与源MAC地址，在地址绑定列表的地址进行

6、查找和匹配，地址匹配则允许数据包通过，查找失败或不匹配则禁止通过。（3）P2P限制：我们的校内网是对等网络，每个节点既是客户端又是服务器，可以同时作为服务的运用者和供应者，使得网络上的流量大多数都是P2P的流量，且上行流量和下行流量都很大。通过P2P限制设置，精确识别P2P流量并对流量进行有效限制，可大大改善网络的拥塞。（4）抗攻击：Internet网络资源特别的丰富，但攻击也无处不在。要防止校内网受到攻击，对防火墙所运用的网络接口要进行抗攻击设置，比如启用抗ICMP Flood攻击等。（5）入侵防护：对全部流经防火墙的数据流进行入侵检测，可防止入侵校内网。可选择被动防卫，以日志方式记录下来，

7、然后由管理员处理；也可采纳主动防卫，检测到预定义的攻击后将危急数据包干脆丢弃，依据攻击类型的不同，选择不同的防护策略。（6）连接限制：主要是为了爱护服务器，限制对服务器过于常见的访问。在规定时间内，假如某台主机访问服务器超过了所限制的次数，则对该主机实行阻断，在阻断期间，该主机不能对服务器进行任何的访问。四、防火墙的选购（1）作为校内网和外网之间的平安屏障，首先要选硬件防火墙设备，软件防火墙适合个人用户。（2）注意品牌。选择好的品牌在肯定程度上等于选择了好的技术和服务，对将来的运用更加有保障。目前国外在防火墙产品的开发、生产中比较出名的品牌有：3COM、Cisco、Nokia、NetScree

8、n、Check Point等，这些品牌技术实力比较强，而且都能供应高档产品。国内开发、生产防火墙的品牌主要有：联想Dlink、天网、实达、东软、天融信、安氏等，而又以联想的Dlink、天网和实达品牌性能更好。这些品牌相对国外着名品牌来说价格要便宜很多（通常在5000元以下），而且还能供应全中文的运用说明书，便利安装、调试和维护。对于学校来说国产品牌是志向的选择。（3）注意平安。防火墙是一个用于平安防护的设备，所以其自身的平安性也就显得更加重要了。防火墙的平安性能取决于防火墙是否采纳了平安的操作系统和是否采纳专用的硬件平台。因为现在的防火墙产品通常不再依靠用户的操作系统，而是采纳自己单独开发的操

9、作系统，要求系统本身没有平安隐患。应用系统的平安性能是以防火墙自身操作系统的平安性能为基础的，同时，应用系统自身的平安实现也干脆影响到整个系统的平安性。另外，防火墙除应包含先进的鉴别措施，还应采纳尽量多的先进技术，这是防火墙平安系统所必需考虑的。（4）兼容性。防火墙只是一个基础的网络平安设备，不能因为有防火墙而认为可以高枕无忧。因为它只供应了对网络边缘的防卫，不能防止内部的攻击。防火墙不能完全解决怀有恶意的代码，如病毒和特洛伊木马。另外，防火墙无法防范通过防火墙以外的其他途径的攻击。通常它须要与防病毒系统和入侵检测系统等平安产品协同协作，才能从根本上保证整个系统的平安，所以在选购防火墙时就要考虑它是否能够与其他平安产品协同工作。（5）拥有操作简洁的用户界面，能摆脱通用操作系统的束缚，升级简单、设计简洁，便于网络管理员理解和维护。 第6页 共6页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页