论文部分内容阅读
摘要:随着“互联网 ”教育的推进,高校网络安全日渐得到重视。然而作为多数高校网络安全的第一道防线“防火墙”却并没有得到充分的利用,多数院校从初始化配置之后就再未管理过。该文介绍了高校网络防火墙最常见的配置应用,对如何更加高效的使用网络防火墙进行论述。
关键词:网络防火墙;配置;管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)25-0026-02
1 网络防火墙的部署问题综述
为保证内网所有数据流量均通过防火墙过滤,从而保护内网用户的安全,一般情况下防火墙均部署在网络出口位置,上接路由器或链路负载均衡设备,下接三层核心交换机。防火墙的接口一般分为三类:内网口、外网口和DMZ口,校园网中网络防火墙的部署如下图所示:
内网口用于连接内网交换机,通常是核心交换,负责转发内网数据;外网口用于连接外网,或是路由设备的接口;DMZ口用于连接内网服务器,这个区域的设备或服务对外网公开,但通过配置可以隐藏内部地址。
防火墙的管理方式有两种:命令行和WebGUI。通常情况下命令行管理模式的权限是最高的,防火墙厂商不对用户公开;防火墙用户采取分级管理,一般包含超级管理员、系统管理员和日志管理员。
2 网络防火墙常用的配置
2.1策略配置
防火墙策略是网络安全管理中最常用的方式。策略配置通常分为三个步骤:
(1) 定义对象
对象即需要控制的源地址和目的地址,通常代表用户或访问者,也可以代表某个城市或是主机,表示需要控制的范围。
(2) 定义服务
服务通常是需要控制的时间段、或是某些特殊的端口,用于精确控制对象的某个方面,如在某个时间段不允许访问某个固定地址等。
(3) 定义规则
规则即对象与策略的集合,将对象和服务结合在一起,定义允许和禁止某对象的特定服务,多个规则结合在一起构成策略。
规则的执行按照自上而下的顺序,如两条规则的所涉及的范围有重复,则跳过下一条规则中所规定的,因此在日常防火墙的管理中,新定义的规则一般放在最上面,保证被优先执行,而制定新规则之后若原有服务出现异常,则应该检查是否是新规则在制定时是否对原有策略产生了影响。例如定义内网中的网段10.0.1.1/24不能访问某网站http://www.hacker.cn需要两条规则(不考虑其他规则的条件下),定义规则如下:
策略生效后,如10.0.0.0网段用户访问的是http://www.hacker.cn,则匹配第一条规则,禁止访问;而访问其他的地址的网站或其他服务,则匹配第二条规则,允许通过。两条规则相结合生成了这一策略。
2.2网络地址转换配置
网络地址转换配置在防火墙中主要有两个作用:首先是隐藏内部地址,主要作用于内网服务器对外公开,通过网络地址转换将内网地址隐藏起来,起到一定的保护作用;其次网络地址转换用于解决共有IP地址不足的问题,将内网私有地址转换成互联网中通用的IPV4地址,也就是源地址转换和目的地址。
源地址转换一般用于内网用户访问外网时,防火墙统一将私有IP地址转换成指定的公网IP,例如学校的外网IP是218.95.46.65,则内网所有用户的访问Internet时都统一转换成该IP地址。目的地址转换则是当外网用户访问DMZ区中的某个服务器时,防火墙根据访问的服务请求,将数据包送至对应提供服务的主机。
2.3 其他功能配置
高校购买的防火墙通常都会有很多高级功能,如反垃圾邮件、内容过滤、入侵防御等,多数高校都只是应用了防火墙最基本的功能,而对这部分功能缺乏开发和应用的经验。实际上如果高校能够很好地配置使用这些功能,对整个校园网的安全提升会起到非常重要的作用。如利用反垃圾邮件系统过滤垃圾邮件、使用内容过滤屏蔽非法网站的关键字,进行入侵防御等都能大大提高校园网络安全。
3 网络防火墙后期的管理与维护问题
3.1 管理策略
3.1.1 不断完善安全策略
很多高校网络防火墙的安全策略都是产品购买时厂家工程师依据客户要求设置了,经过多年的使用,原有的策略已经不能满足安全的需要,对于最新发现的木马、蠕虫病毒也没有进一步的策略防护,因此需要管理员根据实际情况不断调整安全策略,及时封堵最新具有安全威胁的地址和端口。
3.1.2 建立日志系统
日志系统是安全防护的最后一道关卡,它在安全管理中占据十分重要的地位。但是很多高校并没有十分重视日志系统的建立,导致入侵发生后无据可查。实际上由于防火墙是整个网络的唯一出口,利用防火墙建立一个日志系统将会在管理工作中起到事半功倍的作用。具体的做法是指定一台专用的服务器,通过第三方软件在防火墙上采集相应的数据,通过局域网传送到日志服务器上。
3.2 维护策略
3.2.1 账号维护
账号维护是防火墙维护中的一项重要任务,主要包括权限维护和密码维护两个方面的内容。权限维护是指管理员账户应该分级管理,出现不同分工时应该及时调整账号权限;而密码维护则是要求各管理员至少每三个月就应更换一次密码,密码应包含字母、数字和字符串并且保证8位以上。
3.2.2 备份管理
防火墙的备份管理也是维护工作中的重要一环,当发生系统故障时可以及时通过备份迅速恢复配置,保证网络的顺畅运行。备份的频率是至少保证每月1次,配置发生变动时应及时备份,并且应该将备份文件放置在异地服务器上,避免防火墙硬件发生损坏时能及时从服务器中找回原有配置。
4 网络防火墙常见的故障及解决方案
4.1OS故障
网络防火墙的OS一般都比较稳定,出现故障的概率较小,但是系统升级时比较容易出现OS故障。笔者工作时使用的防火墙在系统升级时就曾经发生过系统故障,升级完成后不能正常工作,恢复原有系统后通讯正常,原因一般都是OS来源不当或是在传输过程中部分文件丢失,因此在升级时应该通过厂家进行并在升级前做好备份工作。
4.2配置故障
配置故障发生的主要原因是因为很多高校管理员将防火墙同路由器等同配置,虽然防火墙在某些功能上可以替代路由器,但其在转发效率上是远低于路由器的,并且很多配置也不尽相同,管理员只有充分掌握防火墙的原理和配置方法后才能在实际工作中尽量少失误。因此我们配置防火墙时如发生配置故障应迅速恢复原有配置保证网络通畅,再查找配置上的错误。
5 小结
本文从网络防火墙的部署、常用配置、管理与维护和常见故障与解决方案四个方面讨论了高校网络防火墙的配置与管理工作,网络管理员应充分掌握本校网络防火墙的管理方法,不断调整安全策略,尽量避免故障的发生,才能最大限度地保障校园网络安全的运行。
参考文献:
[1] 姚爽.计算机安全与防火墙技术[J].电子技术与软件工程,2016,(9)223.
[2] 蒋远辉,闫保权.高校网络防火墙部署应用[J].信息通信,2016,(4)184-185.
[3] 代晓黎.防火墙技术在维护校园网络应用分析[J].网络安全技术与应用,2016,(6)31-32.
关键词:网络防火墙;配置;管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)25-0026-02
1 网络防火墙的部署问题综述
为保证内网所有数据流量均通过防火墙过滤,从而保护内网用户的安全,一般情况下防火墙均部署在网络出口位置,上接路由器或链路负载均衡设备,下接三层核心交换机。防火墙的接口一般分为三类:内网口、外网口和DMZ口,校园网中网络防火墙的部署如下图所示:
内网口用于连接内网交换机,通常是核心交换,负责转发内网数据;外网口用于连接外网,或是路由设备的接口;DMZ口用于连接内网服务器,这个区域的设备或服务对外网公开,但通过配置可以隐藏内部地址。
防火墙的管理方式有两种:命令行和WebGUI。通常情况下命令行管理模式的权限是最高的,防火墙厂商不对用户公开;防火墙用户采取分级管理,一般包含超级管理员、系统管理员和日志管理员。
2 网络防火墙常用的配置
2.1策略配置
防火墙策略是网络安全管理中最常用的方式。策略配置通常分为三个步骤:
(1) 定义对象
对象即需要控制的源地址和目的地址,通常代表用户或访问者,也可以代表某个城市或是主机,表示需要控制的范围。
(2) 定义服务
服务通常是需要控制的时间段、或是某些特殊的端口,用于精确控制对象的某个方面,如在某个时间段不允许访问某个固定地址等。
(3) 定义规则
规则即对象与策略的集合,将对象和服务结合在一起,定义允许和禁止某对象的特定服务,多个规则结合在一起构成策略。
规则的执行按照自上而下的顺序,如两条规则的所涉及的范围有重复,则跳过下一条规则中所规定的,因此在日常防火墙的管理中,新定义的规则一般放在最上面,保证被优先执行,而制定新规则之后若原有服务出现异常,则应该检查是否是新规则在制定时是否对原有策略产生了影响。例如定义内网中的网段10.0.1.1/24不能访问某网站http://www.hacker.cn需要两条规则(不考虑其他规则的条件下),定义规则如下:
策略生效后,如10.0.0.0网段用户访问的是http://www.hacker.cn,则匹配第一条规则,禁止访问;而访问其他的地址的网站或其他服务,则匹配第二条规则,允许通过。两条规则相结合生成了这一策略。
2.2网络地址转换配置
网络地址转换配置在防火墙中主要有两个作用:首先是隐藏内部地址,主要作用于内网服务器对外公开,通过网络地址转换将内网地址隐藏起来,起到一定的保护作用;其次网络地址转换用于解决共有IP地址不足的问题,将内网私有地址转换成互联网中通用的IPV4地址,也就是源地址转换和目的地址。
源地址转换一般用于内网用户访问外网时,防火墙统一将私有IP地址转换成指定的公网IP,例如学校的外网IP是218.95.46.65,则内网所有用户的访问Internet时都统一转换成该IP地址。目的地址转换则是当外网用户访问DMZ区中的某个服务器时,防火墙根据访问的服务请求,将数据包送至对应提供服务的主机。
2.3 其他功能配置
高校购买的防火墙通常都会有很多高级功能,如反垃圾邮件、内容过滤、入侵防御等,多数高校都只是应用了防火墙最基本的功能,而对这部分功能缺乏开发和应用的经验。实际上如果高校能够很好地配置使用这些功能,对整个校园网的安全提升会起到非常重要的作用。如利用反垃圾邮件系统过滤垃圾邮件、使用内容过滤屏蔽非法网站的关键字,进行入侵防御等都能大大提高校园网络安全。
3 网络防火墙后期的管理与维护问题
3.1 管理策略
3.1.1 不断完善安全策略
很多高校网络防火墙的安全策略都是产品购买时厂家工程师依据客户要求设置了,经过多年的使用,原有的策略已经不能满足安全的需要,对于最新发现的木马、蠕虫病毒也没有进一步的策略防护,因此需要管理员根据实际情况不断调整安全策略,及时封堵最新具有安全威胁的地址和端口。
3.1.2 建立日志系统
日志系统是安全防护的最后一道关卡,它在安全管理中占据十分重要的地位。但是很多高校并没有十分重视日志系统的建立,导致入侵发生后无据可查。实际上由于防火墙是整个网络的唯一出口,利用防火墙建立一个日志系统将会在管理工作中起到事半功倍的作用。具体的做法是指定一台专用的服务器,通过第三方软件在防火墙上采集相应的数据,通过局域网传送到日志服务器上。
3.2 维护策略
3.2.1 账号维护
账号维护是防火墙维护中的一项重要任务,主要包括权限维护和密码维护两个方面的内容。权限维护是指管理员账户应该分级管理,出现不同分工时应该及时调整账号权限;而密码维护则是要求各管理员至少每三个月就应更换一次密码,密码应包含字母、数字和字符串并且保证8位以上。
3.2.2 备份管理
防火墙的备份管理也是维护工作中的重要一环,当发生系统故障时可以及时通过备份迅速恢复配置,保证网络的顺畅运行。备份的频率是至少保证每月1次,配置发生变动时应及时备份,并且应该将备份文件放置在异地服务器上,避免防火墙硬件发生损坏时能及时从服务器中找回原有配置。
4 网络防火墙常见的故障及解决方案
4.1OS故障
网络防火墙的OS一般都比较稳定,出现故障的概率较小,但是系统升级时比较容易出现OS故障。笔者工作时使用的防火墙在系统升级时就曾经发生过系统故障,升级完成后不能正常工作,恢复原有系统后通讯正常,原因一般都是OS来源不当或是在传输过程中部分文件丢失,因此在升级时应该通过厂家进行并在升级前做好备份工作。
4.2配置故障
配置故障发生的主要原因是因为很多高校管理员将防火墙同路由器等同配置,虽然防火墙在某些功能上可以替代路由器,但其在转发效率上是远低于路由器的,并且很多配置也不尽相同,管理员只有充分掌握防火墙的原理和配置方法后才能在实际工作中尽量少失误。因此我们配置防火墙时如发生配置故障应迅速恢复原有配置保证网络通畅,再查找配置上的错误。
5 小结
本文从网络防火墙的部署、常用配置、管理与维护和常见故障与解决方案四个方面讨论了高校网络防火墙的配置与管理工作,网络管理员应充分掌握本校网络防火墙的管理方法,不断调整安全策略,尽量避免故障的发生,才能最大限度地保障校园网络安全的运行。
参考文献:
[1] 姚爽.计算机安全与防火墙技术[J].电子技术与软件工程,2016,(9)223.
[2] 蒋远辉,闫保权.高校网络防火墙部署应用[J].信息通信,2016,(4)184-185.
[3] 代晓黎.防火墙技术在维护校园网络应用分析[J].网络安全技术与应用,2016,(6)31-32.