论高校网络防火墙的配置与管理.doc

论高校网络防火墙的配置与管理 　　摘要：随着“互联网+”教育的推进，高校网络安全日渐得到重视。然而作为多数高校网络安全的第一道防线“防火墙”却并没有得到充分的利用，多数院校从初始化配置之后就再未管理过。该文介绍了高校网络防火墙最常见的配置应用，对如何更加高效的使用网络防火墙进行论述。 　　关键词：网络防火墙；配置；管理 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）25-0026-02 　　1 网络防火墙的部署问题综述 　　为保证内网所有数据流量均通过防火墙过滤，从而保护内网用户的安全，一般情况下防火墙均部署在网络出口位置，上接路由器或链路负载均衡设备，下接三层核心交换机。防火墙的接口一般分为三类：内网口、外网口和DMZ口，校园网中网络防火墙的部署如下图所示： 　　内网口用于连接内网交换机，通常是核心交换，负责转发内网数据；外网口用于连接外网，或是路由设备的接口；DMZ口用于连接内网服务器，这个区域的设备或服务对外网公开，但通过配置可以隐藏内部地址。 　　防火墙的管理方式有两种：命令行和WebGUI。通常情况下命令行管理模式的权限是最高的，防火墙厂商不对用户公开；防火墙用户采取分级管理，一般包含超级管理员、系统管理员和日志管理员。 　　2 网络防火墙常用的配置 　　2.1策略配置 　　防火墙策略是网络安全管理中最常用的方式。策略配置通常分为三个步骤： 　　（1） 定义对象 　　对象即需要控制的源地址和目的地址，通常代表用户或访问者，也可以代表某个城市或是主机，表示需要控制的范围。 　　（2） 定义服务 　　服务通常是需要控制的时间段、或是某些特殊的端口，用于精确控制对象的某个方面，如在某个时间段不允许访问某个固定地址等。 　　（3） 定义规则 　　规则即对象与策略的集合，将对象和服务结合在一起，定义允许和禁止某对象的特定服务，多个规则结合在一起构成策略。 　　规则的执行按照自上而下的顺序，如两条规则的所涉及的范围有重复，则跳过下一条规则中所规定的，因此在日常防火墙的管理中，新定义的规则一般放在最上面，保证被优先执行，而制定新规则之后若原有服务出现异常，则应该检查是否是新规则在制定时是否对原有策略产生了影响。例如定义内网中的网段/24不能访问某网站http：//需要两条规则（不考虑其他规则的条件下），定义规则如下： 　　策略生效后，如网段用户访问的是http：//，则匹配第一条规则，禁止访问；而访问其他的地址的网站或其他服务，则匹配第二条规则，允许通过。两条规则相结合生成了这一策略。 　　2.2网络地址转换配置 　　网络地址转换配置在防火墙中主要有两个作用：首先是隐藏内部地址，主要作用于内网服务器对外公开，通过网络地址转换将内网地址隐藏起来，起到一定的保护作用；其次网络地址转换用于解决共有IP地址不足的问题，将内网私有地址转换成互联网中通用的IPV4地址，也就是源地址转换和目的地址。 　　源地址转换一般用于内网用户访问外网时，防火墙统一将私有IP地址转换成指定的公网IP，例如学校的外网IP是5，则内网所有用户的访问Internet时都统一转换成该IP地址。目的地址转换则是当外网用户访问DMZ区中的某个服务器时，防火墙根据访问的服务请求，将数据包送至对应提供服务的主机。 　　2.3 其他功能配置 　　高校购买的防火墙通常都会有很多高级功能，如反垃圾邮件、内容过滤、入侵防御等，多数高校都只是应用了防火墙最基本的功能，而对这部分功能缺乏开发和应用的经验。实际上如果高校能够很好地配置使用这些功能，对整个校园网的安全提升会起到非常重要的作用。如利用反垃圾邮件系统过滤垃圾邮件、使用内容过滤屏蔽非法网站的关键字，进行入侵防御等都能大大提高校园网络安全。 　　3 网络防火墙后期的管理与维护问题 　　3.1 管理策略 　　3.1.1 不断完善安全策略 　　很多高校网络防火墙的安全策略都是产品购买时厂家工程师依据客户要求设置了，经过多年的使用，原有的策略已经不能满足安全的需要，对于最新发现的木马、蠕虫病毒也没有进一步的策略防护，因此需要管理员根据实际情况不断调整安全策略，及时封堵最新具有安全威胁的地址和端口。 　　3.1.2 建立日志系统 　　日志系统是安全防护的最后一道关卡，它在安全管理中占据十分重要的地位。但是很多高校并没有十分重视日志系统的建立，导致入侵发生后无据可查。实际上由于防火墙是整个网络的唯一出口，利用防火墙建立一个日志系统将会在管理工作中起到事半功倍的作用。具体的做法是指定一台专用的服务器，通过第三方软件在防火墙上采集相应的数据，通过局域网传送到日志服务器上。 　　3.2 维护策略 　　3.2.1 账号维护 　　账号维护是防