隨著國家大力推進數字校園建設發展,校園網路環境中的資訊保安問題日益凸顯,如果不能解決資訊保安問題,會嚴重製約網際網路技術和計算機技術的應用發展。目前,在各種網路環境中,防火牆技術作為安全屏障可以有效實現網路資訊保安,在網路安全防護中的應用越來越廣泛。防火牆技術屬於基於傳統網路安全技術的一種新型安全防護手段,由於執行安全穩定、防護效能良好,已經普遍應用於私人網路與公共網路之間。本文在分析了傳統防火牆技術存在的安全漏洞問題基礎上,提出了分散式代理防火牆在校園網路中的部署設計方案,具有一定的理論指導意義。
1 引言
隨著我國各大高校數字校園的發展建設,網路資訊保安問題已經成為了校園資訊化建設中不可忽視的重點問題。為了解決校園網路資訊保安問題,越來越多的現代資訊保安技術被廣泛應用於數字校園建設中,防火牆技術在網路安全防護建設中應用得最為普遍。但是,傳統的邊界防火牆技術存在效能較差和單點失效等明顯弊端,更需要基於網路拓撲結構來實現防火牆安全策略。因此,分散式防火牆技術在這種背景下應運而生,分散式防火牆技術通過在某些受保護的主機上進行部署,以解決傳統防火牆技術的瓶頸問題。本文主要對分散式代理防火牆在數字校園中的部署進行了方案設計。
2 傳統防火牆中存在的問題
(1)內部安全問題。傳統的防火牆技術無法對內部資料進行安全監控,更無法實現出現在網路內部攻擊的安全防護。
(2)效能瓶頸問題。傳統防火牆技術的效能較差,資料處理速度較慢,防護惡意攻擊的安全功能不夠完善。
(3)單點失效問題。整個網路的安全防護全部依賴防火牆技術,一旦惡意攻擊者翻越防火牆,或者防火牆配置出現問題,內部網路將完全暴露於攻擊人員面前。
(4)授權訪問問題。由於網路環境非常複雜,很容易造成惡意攻擊人員繞過防火牆設定直接與內部網路進行連線,給網路安全防護帶來極大威脅。
(5)端對端加密威脅。當基於新型網路協議進行資料加密時,傳統防火牆技術經常會由於沒有金鑰而無法識別合計檢查通過的資料包內容。
(6)安全模式簡單。傳統防火牆技術的安全防護策略主要針對的是內部網路,內部網路中部署的主機全部採用相同的安全模式,很容易造成資訊保安威脅。
3 分散式代理防火牆的部署設計
3.1體系結構設計
本文主要基於Linux系統環境下,通過代理伺服器部署防火牆策略,在代理防火牆基礎上進行安全策略協商,以確保各個代理防火牆可以協同工作,對整個網路系統進行安全防護,構建分散式防火牆系統的原型。分散式代理防火牆系統結構如圖1所示,採用對話控制方式的.協調機制,具有典型分散型防火牆系統的部署結構。
3.2控制中心結構設計
控制中心主要負責實現資料收集、相互對話、日誌管理和證書籤發功能。控制中心的各個節點處都配置了防火牆的安全策略庫、數字金鑰庫和數字證書等內容。控制中心的本質是CA認證中心,CA認證中心是分散式防火牆系統唯一授權和承認的數字證書籤發機構。控制中心結構主要包括策略模組、日誌模組、策略分析模組和策略協商模組。
3.3代理防火牆結構設計
代理防火牆的設計主要採用了分散式結構,以分擔網路資料流量的方法減少每個網路節點承擔的資料處理量。分散式防火牆的部署能夠有效避免某個網路節點感染木馬病毒而導致整個網路受到嚴重的安全威脅,每個網路節點必須針對需要經過的資料進行識別和檢查。代理防火牆系統的體系結構包括通用層介面、IP過濾模組、代理服務程式、聯動介面、衝突檢測、網路解析、策略協商和日誌管理等。介面層主要為使用者使用管理進行支援,IP過濾模組負責對生成的日誌資訊進行儲存,以記錄網路訪問地址。衝突檢測模組負責檢查各個資料輸入介面與防火牆連線的位置是否存在異常情況。安全解析模組負責解析安全版圖,將其轉換成為系統可以識別和執行的形式。策略協商模組負責利用控制中心實現其他代理防火牆的安全防護策略的協同執行。
4 結語
綜上所述,由於各大高校校園網路建設規模非常龐大,網路結構也十分複雜,本文提出了代理防火牆的部署方案,主要利用控制中心對安全防護策略進行協商,但這也可能會造成系統性能降低等問題,在下一步的設計研究中應該增加多個控制中心,由每個控制中心負責承擔部分代理防火牆安全策略的協商任務,再通過完善的資料通訊機制使各個控制中心之間實現協商策略的交換。同時,還可以將控制中心的各項功能與代理防火牆功能結合,防止由於過於依賴策略中心給系統代理安全漏洞和威脅。