⑴ 校園網建設中防火牆技術有什麼應用
一、防火牆技術在校園網建設中的重要性
現代社會是電子信息的社會,網路已經成為遍及社會和家庭的必要工具。隨著計算機網路技術的不斷進步,相應的網路安全問題也逐步成為人們的關注焦點。
一些懷有惡意的網路攻擊,對網路客戶端的使用者進行信息盜取,修改網路數據,通過遠程式控制制電腦非法佔用電腦使用者資料信息。網路作為一個公開的信息交換工具就具有潛在的危險性。網路安全是一個特殊的領域,收到全球的高度重視。因此網路安全技術十分重要。
高校雖然和具有商業機密的企業網有著一定的差距,但是校園網依舊有自己的安全保護需要和保護內容。首先安全安靜的網路環境是學校保護學生身心健康的重要手段。現在我國的大部分高校依舊採用的是大面積的覆蓋,很多棟建築還有教學課堂都在逐步走向網路化的進程中。越來越多的學生都在運用網路進行學習和娛樂,並且使用網路的時間在不斷加長,這些都是的網路的安全管理工作越來越重要,也越來越有管理難度。
在平時的教學當中,關於教學的網路資源的調配工作越來越成為學校關注的問題,網路寬頻的使用和分配,如何滿足現代教育多媒體教學技術應用的需求。多媒體教學中包括遠程技術的使用,校園網的用戶認證,防止惡意的網路攻擊和校園網上不良信息的傳播等。很多校園網路沒有設置相應的安全防護系統,學生們在課堂上能夠任意鏈接IE瀏覽各種信息,其中包括一些網上的不良信息。這些不僅影響教師的教學進度,而且影響學生的身心健康和正常發展。
網路安全是當前所有網路用戶最為關注的問題,目前的防火牆技術已經成為保護校園網路安全,正確解決校園安全隱患的有效工具。防火牆並不是單單包括防火牆軟體的應用,還包括防火牆硬體的配置。這樣的防火牆技術能夠確保電腦更加安全,但是費用也相對來說比較高。防火牆技術必須隨著網路技術的不斷發展而進步變化,只有如此才能真正確保電腦校園網路的安全和穩定。
二、防火牆技術在高校校園網中的選用原則
(一)防火牆技術概念
防火牆技術對於加強網路管理和網路控制起到很大的作用。通過對網路的訪問之間加強控制,防止用戶受到非法訪問的騷擾。防火牆是一種保護網路整體環境安全的設備。它對多個網路用戶之間的資源傳送和連接方式都有相應的安全策略。網路之間的通信只有通過防火牆技術的檢查才能夠確保整個網路的安全運行,是整個網路處於防火牆技術的監控下。
(二)高校校園網中使用防火牆的選用原則
選擇防火牆的標准有很多,但最重要的是以下幾條:
1、總體擁有成本
防火牆產品作為網路系統的安全屏障,其TCO(Total Cost of Ownership,總體擁有成本)不應該超過受保護網路系統可能遭受最大損失的成本。以一個非關鍵部門的網路系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火牆的總成本也不應該超過10萬元。當然,對於關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。
2、防火牆本身是安全的
作為信息系統安全產品,防火牆本身也應該保證安全,不給外部侵入者以可乘之機。
3、管理與培訓
管理和培訓是評價一個防火牆好壞的重要方面。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售後服務。
4、可擴充性
網路系統在建設的初始階段往往由內部信息的系統規模比較小,遭受的損失可能就比較小,太昂貴的防火牆產品就顯得沒有必要。隨著現代社會中的網路不斷發展,網路信息安全成本不斷上升,遭受網路損失的可能性和危害性都增強了,因此越來越多的用戶面對可能付出的昂貴的損失,選擇了更加安全可靠的防火牆產品。好的防火牆技術能夠在保障網路安全的同時給予用戶高度是自我空間,有較好的的產品彈性。
三、高校校園網中常用的防火牆技術
防火牆是一種在內外部網路建立保護層,保護內外部網路資源不被破壞。使用防火牆能夠有效的使內部網路的訪問受到保護,使其擁有一個保護層,避免內部網路受到外部網路的干擾,而不影響內部網路成員對外網路資源的訪問。同時校園網路的為了維護網路的穩定和安全一定不會選用單一的防火牆技術。其中常用的保護校園網路的技術主要包括以下幾方面。這些技術能夠綜合全面的解決高校校園網路的各項安全問題。
(一)包過濾技術
包過濾技術是在網路中適當的位置上對數據包實施有選擇的過濾。包過濾防火牆一般含有一個包檢查模塊,它可以安裝在網關或路由器上,處於系統的TCP(Transfer Controln Protocol,傳輸控制協議)層和IP(Internet Protocol,網際協議)層之間,以便搶在操作系統或路由器的TCP層之前對IP包進行處理。通過檢查模塊的處理,防火牆可以對進出站的數據進行檢查,驗證數據包是否符合過濾規則。
(二)代理技術
代理技術是針對每一個特定應用服務的控制,它作用於應用層,具有狀態性的特點,能提供部分與傳輸有關的狀態,起到外部網路向內部網路申請服務時的中間轉接作用。內部網路只接受代理提出的服務請求,拒絕外部網路其他節點的直接請求。提供代理服務的可以是一台雙宿網關,也可以是一台堡壘主機。
(三)狀態檢查技術
在網路層實現網路防火牆技術包括很多方面技術的支持。其中狀態檢查就是其中一項技術。狀態檢查技術採用的是在網關上安裝和運行安全引擎,對網路進行模塊檢測。模塊檢測是在不影響網路正常運行的前提下進行的。它能夠對網路通信進行信息抽取,實行動態檢測,更容易實現網路系統的全面安全管理。
(四)內容檢查技術
內容檢查技術提供對高層服務協議數據的監控,以確保數據流的安全。它是一個利用智能方式來分析數據,使系統免受信息內容安全威脅的軟體組。