- 相關(guān)推薦
淺談分布式防火墻在數(shù)字化校園信息安全中的部署的優(yōu)秀論文
隨著國家大力推進(jìn)數(shù)字校園建設(shè)發(fā)展,校園網(wǎng)絡(luò)環(huán)境中的信息安全問題日益凸顯,如果不能解決信息安全問題,會嚴(yán)重制約互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)技術(shù)的應(yīng)用發(fā)展。目前,在各種網(wǎng)絡(luò)環(huán)境中,防火墻技術(shù)作為安全屏障可以有效實(shí)現(xiàn)網(wǎng)絡(luò)信息安全,在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用越來越廣泛。防火墻技術(shù)屬于基于傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的一種新型安全防護(hù)手段,由于運(yùn)行安全穩(wěn)定、防護(hù)性能良好,已經(jīng)普遍應(yīng)用于私人網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間。本文在分析了傳統(tǒng)防火墻技術(shù)存在的安全漏洞問題基礎(chǔ)上,提出了分布式代理防火墻在校園網(wǎng)絡(luò)中的部署設(shè)計(jì)方案,具有一定的理論指導(dǎo)意義。
1 引言
隨著我國各大高校數(shù)字校園的發(fā)展建設(shè),網(wǎng)絡(luò)信息安全問題已經(jīng)成為了校園信息化建設(shè)中不可忽視的重點(diǎn)問題。為了解決校園網(wǎng)絡(luò)信息安全問題,越來越多的現(xiàn)代信息安全技術(shù)被廣泛應(yīng)用于數(shù)字校園建設(shè)中,防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)建設(shè)中應(yīng)用得最為普遍。但是,傳統(tǒng)的邊界防火墻技術(shù)存在性能較差和單點(diǎn)失效等明顯弊端,更需要基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來實(shí)現(xiàn)防火墻安全策略。因此,分布式防火墻技術(shù)在這種背景下應(yīng)運(yùn)而生,分布式防火墻技術(shù)通過在某些受保護(hù)的主機(jī)上進(jìn)行部署,以解決傳統(tǒng)防火墻技術(shù)的瓶頸問題。本文主要對分布式代理防火墻在數(shù)字校園中的部署進(jìn)行了方案設(shè)計(jì)。
2 傳統(tǒng)防火墻中存在的問題
(1)內(nèi)部安全問題。傳統(tǒng)的防火墻技術(shù)無法對內(nèi)部數(shù)據(jù)進(jìn)行安全監(jiān)控,更無法實(shí)現(xiàn)出現(xiàn)在網(wǎng)絡(luò)內(nèi)部攻擊的安全防護(hù)。
(2)性能瓶頸問題。傳統(tǒng)防火墻技術(shù)的性能較差,數(shù)據(jù)處理速度較慢,防護(hù)惡意攻擊的安全功能不夠完善。
(3)單點(diǎn)失效問題。整個(gè)網(wǎng)絡(luò)的安全防護(hù)全部依賴防火墻技術(shù),一旦惡意攻擊者翻越防火墻,或者防火墻配置出現(xiàn)問題,內(nèi)部網(wǎng)絡(luò)將完全暴露于攻擊人員面前。
(4)授權(quán)訪問問題。由于網(wǎng)絡(luò)環(huán)境非常復(fù)雜,很容易造成惡意攻擊人員繞過防火墻設(shè)置直接與內(nèi)部網(wǎng)絡(luò)進(jìn)行連接,給網(wǎng)絡(luò)安全防護(hù)帶來極大威脅。
(5)端對端加密威脅。當(dāng)基于新型網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)加密時(shí),傳統(tǒng)防火墻技術(shù)經(jīng)常會由于沒有密鑰而無法識別合計(jì)檢查通過的數(shù)據(jù)包內(nèi)容。
(6)安全模式簡單。傳統(tǒng)防火墻技術(shù)的安全防護(hù)策略主要針對的是內(nèi)部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)中部署的主機(jī)全部采用相同的安全模式,很容易造成信息安全威脅。
3 分布式代理防火墻的部署設(shè)計(jì)
3.1體系結(jié)構(gòu)設(shè)計(jì)
本文主要基于Linux系統(tǒng)環(huán)境下,通過代理服務(wù)器部署防火墻策略,在代理防火墻基礎(chǔ)上進(jìn)行安全策略協(xié)商,以確保各個(gè)代理防火墻可以協(xié)同工作,對整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防護(hù),構(gòu)建分布式防火墻系統(tǒng)的原型。分布式代理防火墻系統(tǒng)結(jié)構(gòu)如圖1所示,采用對話控制方式的協(xié)調(diào)機(jī)制,具有典型分散型防火墻系統(tǒng)的部署結(jié)構(gòu)。
3.2控制中心結(jié)構(gòu)設(shè)計(jì)
控制中心主要負(fù)責(zé)實(shí)現(xiàn)資料收集、相互對話、日志管理和證書簽發(fā)功能。控制中心的各個(gè)節(jié)點(diǎn)處都配置了防火墻的安全策略庫、數(shù)字密鑰庫和數(shù)字證書等內(nèi)容。控制中心的本質(zhì)是CA認(rèn)證中心,CA認(rèn)證中心是分布式防火墻系統(tǒng)唯一授權(quán)和承認(rèn)的數(shù)字證書簽發(fā)機(jī)構(gòu)。控制中心結(jié)構(gòu)主要包括策略模塊、日志模塊、策略分析模塊和策略協(xié)商模塊。
3.3代理防火墻結(jié)構(gòu)設(shè)計(jì)
代理防火墻的設(shè)計(jì)主要采用了分布式結(jié)構(gòu),以分擔(dān)網(wǎng)絡(luò)數(shù)據(jù)流量的方法減少每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)承擔(dān)的數(shù)據(jù)處理量。分布式防火墻的部署能夠有效避免某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)感染木馬病毒而導(dǎo)致整個(gè)網(wǎng)絡(luò)受到嚴(yán)重的安全威脅,每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)必須針對需要經(jīng)過的數(shù)據(jù)進(jìn)行識別和檢查。代理防火墻系統(tǒng)的體系結(jié)構(gòu)包括通用層接口、IP過濾模塊、代理服務(wù)程序、聯(lián)動接口、沖突檢測、網(wǎng)絡(luò)解析、策略協(xié)商和日志管理等。接口層主要為用戶使用管理進(jìn)行支持,IP過濾模塊負(fù)責(zé)對生成的日志信息進(jìn)行保存,以記錄網(wǎng)絡(luò)訪問地址。沖突檢測模塊負(fù)責(zé)檢查各個(gè)數(shù)據(jù)輸入接口與防火墻連接的位置是否存在異常情況。安全解析模塊負(fù)責(zé)解析安全版圖,將其轉(zhuǎn)換成為系統(tǒng)可以識別和執(zhí)行的形式。策略協(xié)商模塊負(fù)責(zé)利用控制中心實(shí)現(xiàn)其他代理防火墻的安全防護(hù)策略的協(xié)同運(yùn)行。
4 結(jié)語
綜上所述,由于各大高校校園網(wǎng)絡(luò)建設(shè)規(guī)模非常龐大,網(wǎng)絡(luò)結(jié)構(gòu)也十分復(fù)雜,本文提出了代理防火墻的部署方案,主要利用控制中心對安全防護(hù)策略進(jìn)行協(xié)商,但這也可能會造成系統(tǒng)性能降低等問題,在下一步的設(shè)計(jì)研究中應(yīng)該增加多個(gè)控制中心,由每個(gè)控制中心負(fù)責(zé)承擔(dān)部分代理防火墻安全策略的協(xié)商任務(wù),再通過完善的數(shù)據(jù)通信機(jī)制使各個(gè)控制中心之間實(shí)現(xiàn)協(xié)商策略的交換。同時(shí),還可以將控制中心的各項(xiàng)功能與代理防火墻功能結(jié)合,防止由于過于依賴策略中心給系統(tǒng)代理安全漏洞和威脅。
【淺談分布式防火墻在數(shù)字化校園信息安全中的部署的優(yōu)秀論文】相關(guān)文章:
淺談防火墻審計(jì)12-10
優(yōu)秀論文:淺談小學(xué)美術(shù)課中的剪紙教學(xué)05-31
淺談文化時(shí)代的防火墻03-27
淺談病案信息在醫(yī)院管理中的應(yīng)用12-11
淺談信息系統(tǒng)全面數(shù)據(jù)質(zhì)量管理研究的優(yōu)秀論文12-03
淺談數(shù)字化變電站中的光電互感器03-18
淺談小學(xué)信息技術(shù)中的鍵盤教學(xué)11-22