浅析分布式防火墙在校园网中的应用.docx
《浅析分布式防火墙在校园网中的应用.docx》由会员分享,可在线阅读,更多相关《浅析分布式防火墙在校园网中的应用.docx(7页珍藏版)》请在冰豆网上搜索。
浅析分布式防火墙在校园网中的应用
大学
毕业论文(设计)
题目:
浅析分布式防火墙在校园网中的应用
作者:
毕业届期:
_______2011届______
指导教师:
院系:
_________
专业:
二0一一年五月十五日
目录
1.分布式防火墙应运而生…………………………………………1
1.1校园网络面临的安全威胁………………………………………1
1.2传统防火墙及其缺点……………………………………………2
2.分布式防火墙在校园网中的应用………………………………3
2.1分布式防火墙及其特点…………………………………………3
2.2分布式防火墙的主要构架………………………………………3
3.分布式防火墙优势………………………………………………5
3.1增强了校园网的安全性…………………………………………5
3.2提高校园网扩展性………………………………………………5
3.3对校园网各台主机提供更安全的保护…………………………5
3.4便于统一管理……………………………………………………5
4.结束语……………………………………………………………5
致谢……………………………………………………………7
参考文献……………………………………………………………8
浅析分布式防火墙在校园网中的应用
摘要:
随着互联网的迅速发展和信息化进程的深入,网络安全问题变得越来越重要,防火墙技术是实现网络安全的一种重要手段,本文分析了传统防火墙技术在保障网络安全方面的不足,以及分布式防火墙技术在校园网建设中的应用。
关健词:
防火墙校园网分布式防火墙
Abstract:
AlongwiththerapiddevelopmentoftheInternetandinformatizationprocessofthorough,theproblemofnetworksecuritybecomesmoreandmoreimportant,Firewalltechnologyofnetworksecurityisoneimportantmethod.Thispaperanalyzesthetraditionalfirewalltechnologyinsecuritynetworksecuritydeficiency,anddistributedfirewalltechnologyapplicationinthecampusnetworkconstruction.
Keywords:
FirewallCampusnetworkDistributedfirewall
信息技术发展迅速,互联网迅速普及,各种社会机构对建设自己网站的重要性有了重新认识,逐渐各大中专院校及中小学相继建成或正在建设校园网。
校园网的建成,使信息传递,管理教学各方面都变得更加便利,对于提高学校的管理水平和教学质量具有十分重要的意义。
然而,随着校园网络内部和外部互联网应用环境的日趋复杂,校园网安全事件频繁发生。
因此,如何保证校园网络的性能及其信息系统的安全,并使其高效稳定地运转,已成为各学校越来越重视的问题。
1.分布式防火墙应运而生
1.1校园网络面临的安全威胁
任何运行的计算机网络都不可避免地面临安全威胁,校园网也不例外。
校园环境特殊,校园网络的安全包括网络信息的健康、正确等方面的内容,还需要防范别有用心的人利用计算机网络传播病毒以及色情、淫秽、暴力、敌对等内容,要及时发现并制止各种利用网络散布谣言以及其他危及社会稳定的内容的行为。
校园网及其信息系统所面临的安全威协既可能来自校园内部,又可能来自校园外部,主要有以下几种:
1.1.1使用与管理问题
现在大多数使用者的操作系统是Windows2000、WindowsXP等。
这些操作系统都存在不同程度的安全隐患。
高校校园网络的使用者大多数不是计算机专业人员,对于校园网络能用就行,一般网络安全意识较差。
管理机构不健全,管理制度不完善,管理人员素质不高和管理技术的落后等管理因素是产生校园网安全隐患的一个重要原因。
1.1.2病毒与黑客的攻击
众所周知,计算机病毒有着巨大的破坏性,尤其是网络病毒,无论是在传播速度、破坏性,还是在传播范围等方面都远远超过了单机病毒,严重时甚至会造成网络瘫痪。
由于网络的开放性和技术的公开性,一些人处于好奇或为了达到某种非法目的,利用操作系统或网络协议的安全漏洞,非法访问资料,删除数据,甚至破坏系统。
病毒与黑客的攻击是校园网络面临的主要威胁之一。
1.1.3内部泄密
在校园网上运行的各种教学管理系统,试题管理系统,学生成绩管理系统等由于内部泄密,以致数据被非法篡改。
另外,对于财务等敏感服务器上存有的大量重要数据,因担心安全问题而不得不与校园网络物理隔离,使得应用软件不能充分发挥作用。
1.2传统防火墙及其缺点
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
防火墙可以被安全放置在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。
根据防火墙对进、出网络数据的处理方法,大致可以将防火墙分为两大体系:
包过滤(分为简单包过滤和状态检测的包过滤)防火墙和代理防火墙(应用层网关防火墙)。
1.2.1包过滤防火墙
包过滤防火墙位于网络层,是基于数据包过滤的技术,过滤的依据是系统内设置的过滤逻辑,称之为访问控制列表。
包过滤防火墙审查每一个到达的数据包,根据一个IP分组的有关域进行的,查看它们是否匹配某一条过滤规则,然后根据所设定的规则是拒绝还是允许来决定丢弃或转发该数据包,从而保护内部网络。
包过滤防火墙的特点是性能高,速度快,对用户是全透明的。
由于校园网的信息流量非常大,如果安装其他类型的防火墙势必影响信息流速。
不过由于该防火墙存在以下几个缺点:
(1)所依靠的安全参数仅为IP报头的地址和端口信息,故安全性较低。
(2)一般的包过滤还具有泄露内部网的安全数据信息和暴露内部主机的所有安全漏洞的缺点,难以抵制IP层的攻击行为。
(3)不能防止IP地址盗用。
(4)没有日志,因此不能跟踪到入侵行为。
(5)不能理解特定服务的数据。
1.2.2状态检浏防火墙
状态检测防火墙采用一种基于连接的状态检测机制,读取、分析和利用了全面的网络通信信息和状态。
它采用客户机/服务器模式,在网络层拦截数据包,把属于同一连接的所有包看作一个整体数据流,构成连接状态表,再与定义好的规则表配合,对表中的各个连接状态加以识别。
状态检测防火墙不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用;但由于状态检浏防火墙配置非常复杂,极大地影响网络速度。
1.2.3代理服务器
又称应用级防火墙,它先对所接受的外来应用连接请求进行安全检查后,再与被保护的网络应用服务器连接,这样外部用户才能够使用内部网络的服务;另外,内部网络到外部的服务连接也可以受到类似的监控。
应用网关代理服务实体有日志功能,可以对安全漏洞进行检查和收集相关的信息。
同时该实体可采取强认证技术,能对数据内容进行过滤,保证信息数据内容的安全,防止病毒以及恶意的JavaApplet或Activex代码,具有较高的安全性。
但是代理服务器也存在明显的不足:
(l)由于每次连接都要经过应用层,造成应用层处理繁忙,形成瓶颈,导致网络的访问速度变慢;
(2)用户不能直接访问网络,而代理又要处理入和出的通信,因此每增加一种新的媒体应用,就必须重新设置代理,造成网络管理不便。
此外,传统防火墙虽然可以有效地提高校园网的安全性,但现在的学校在发展过程中,多个校区在物理上处于不同的位置,采用边界防火墙只有重新配置整个网络安全结构,购买新的防火墙才行,这将大大增加投入,而校园网内大量的网络攻击和威胁实际上来自校园网内部,传统的防火墙对内部威胁无能为力,为了解决这样的问题,采用分布式防火墙技术将是一个很好的方法。
2.分布式防火墙在校园网中的应用
2.1分布式防火墙及其特点
分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心策略服务器三部分。
网络防火墙部署于内部网与外部网之间以及内网各子网之间。
主机防火墙对网络中的服务器和桌面系统进行防护,主机的物理位置可能在校园网之中,也可在校园网之外。
分布式防火墙技术的主要特征是驻留在被保护的主机上,该主机以外的网络不管是处在网络内部的还是网络外部,都认为是不可信任的,所以可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。
另外,主机防火墙的安全监测核心引擎要以嵌入式操作系统内核的形态来运行,直接地接管网卡,在把所有数据包进行检查之后再提交操作系统。
分布式防火墙与个人防火墙都是用来保护单一主机系统,但分布式防火墙的安全策略是由整个系统的管理员统一安排和设置的,除了对PC机起到保护作用外,也可以对该PC机的对外访问加以控制,并且这种安全机制是PC机的使用者不可见和不可改动的。
2.2分布式防火墙的主要构架
一个典型的分布式防火墙系统一般由三部分组成:
网络防火墙,主机防火墙和中心策略服务器。
主机防火墙使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
分布式防火墙从根本上去除了单一的接入点,使得防火墙可以保护处于外网的内部主机。
更为重要的是,分布式防火墙技术消除了网络的结构性瓶颈问题,提高了系统性能。
2.2.1网络防火墙
这一部分可以采用纯软件方式,也可以采用硬件支持。
它是用于校园网与Internet之间,相当于传统的边界防火墙,首先对进入的数据包进行一次过滤,来保护内部网络的安全以及减轻中心策略服务器和主机防火墙的负担。
2.2.2主机防火墙
主机防火墙驻留在内部网的终端主机中,负责策略的实施。
它对网络中的服务器和桌面机进行防护,这些主机的物理位置可能在校园网中,也可能在校园网外。
主机防火墙同样也可采用纯软件和硬件两种形式,而由于操作系统自身存在许多安全漏洞,为了主机防火墙自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统,以杜绝隐患。
分布式主机防火墙与个人防火墙有相似之处,都是针对单个计算机使用的,但是其本质上是不同的,个人防火墙的安全策略由个人制定,且只能防止外部攻击,而主机防火墙的安全策略必须由管理员统一安排和设置,并通过策略服务器以一种安全的方式分发到各个终端,除了对个人计算机起到保护作用外,还可以对该桌面机的对外访问加以控制。
对于安装了主机防火墙的计算机来说,该主机以外的网络(内部网或外部网)都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略,特别是对于每个部门专用的服务器或具有重要数据信息的计算机来说,更需要专门制定安全策略。
对于校园内众多的计算机来说,各类服务器、教师机、学生机、行政办公计算机都可以分别制定不同的安全策略,特别是重要服务器可以单独制定策略,而教师机学生机等则可以分成若干组,组内使用相同的安全策略,组间使用不同的安全策略,这样将能够满足各类计算机的安全和使用的需要。
2.2.3中心策略服务器
中心管理服务器负责安全策略的制定、管理、分发及日志的汇总,并对汇总的日志进行分析,为管理员提供可行的安全报告,以便管理员采取适当的措施。
中心策略是分布式防火墙系统的核心和重要特征之一。
一个良好的系统策略管理模型,对于分布式防火墙系统而言是至关重要的。
对于分布式防火墙系统,由于在结构上不再依赖拓扑结构,对于物理上间隔很远的其他计算机仍然起到防护作用,因此系统的规模伸缩性很大。
中心策略服务器所在的系统本身必须是安全的,能够经受攻击和威胁。
3.分布式防火墙优势
3.1增强了校园网的安全性
分布式防火墙能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护,从而加强了针对主机的入侵检测和防护功能,对来自内部攻击进行有效防范。
另外,分布式防火墙还可以使学校避免发生由于某一台主机被入侵而导致向整个网络蔓延的情况发生。
可以说分布式防火墙为学校提供了全方位、多层次的防范体系,确保了校园网的安全、稳定运行。
3.2提高校园网扩展性
分布式防火墙位于整个校园网中,所以具有很强的扩展能力,因此可以保持较高的性能。
这使得分布式防火墙可以有效地解决高校合并办学后,跨地区网络的使用和管理的不安全性。
3.3对校园网各台主机提供更安全的保护
传统的边界防火墙由于单一的接入控制点,无论对网络的安全性还是对网络的可靠性都有不利的影响。
分布式防火墙则从根本上去除了单一的接入点,而使此问题迎刃而解。
更为重要的是,分布式防火墙技术消除了网络的结构性瓶颈问题,提高了系统性能。
分布式防火墙极大的提高了攻击者攻破系统需要的时间,提高了系统的抗攻击能力和应变能力。
3.4便于统一管理
由管理员控制“中心策略服务器”制定统一校园网安全策略,避免了校园网管理的混乱。
4.结束语
随着信息技术的发展,黑客攻击的手段越来越高明,病毒危害越来越大,防火墙必须不断更新才能保持技术上的优势。
分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞,从而使操作系统得到强化。
分布式防火墙对每个服务器都能进行专门的保护,系统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。
还可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。
所以在校园网的建设中,采用分布式防火墙技术,将大大提高内部网的安全性,且提高防火墙系统性能,降低投入。
分布式防火墙技术与其他防火墙技术如智能防火墙技术等结合起来,将逐步得到更广泛的应用。
致谢
非常感谢老师在我辅修课程的最后学习阶段——毕业论文设计阶段给我的指导。
从最初的定题、资料收集,到写作、修改,到论文定稿,老师都很耐心地指导。
论文写作过程中出现了一系列问题,包括结构框架、论据不足、错别字,甚至标点符号,老师都很仔细的修改,为了指导我的毕业论文,老师付出了很多的心血,同时他也放弃了很多自己的休息时间,这种无私奉献的敬业精神令人钦佩,在此我向他表示我诚挚的谢意。
同时,感谢所有任课老师和所有同学给我的指导和帮助,是他们教会了我专业知识,教会了我如何学习,教会了我如何做人。
正是由于他们,我才能在各方面取得显著的进步,在此向他们表示我由衷的谢意,并祝所有的老师培养出越来越多的优秀人才,桃李满天下!
参考文献:
[1]谢希仁,计算机网络(第二版),电子工业出版社,1999;
[2]楚狂等,网络安全与防火墙技术,人民邮电出版社,2000.04;
[3]舒朗,新型分布式防火墙,电子科技大学硕士论文,2005;
[4]陈丹伟陈春玲,分布式防火墙体系结构的研究,计算机应用与软件,2004.10;
[5]王海燕张华贵,浅析网络安全中的防火墙技术,电脑知识与技术,2010.05;
[6]韩彬,防火墙技术在网络安全中的实际应用,科技资讯,2010.01;
[7]邓安远胡慧,一种基于智能分布式防火墙的校园安全模型,商场现代化,2006.09月(下旬刊);
[8]芦鸿雁,防火墙技术浅析,信息与电脑,2010.03。