...使用Web应用防火墙调查报告
黄琳
摘 要:对校园网防火墙部署进行分析,从防火墙体系的建立和防火墙体系目标的实现展开高职院校多层次防火墙体系的构建。
关键词:防火墙部署;体系;构建
1 校园网防火墙部署目标的分析
高校校园网中,用户多、使用面广、内部服务器访问量大,在网络中存在的安全隐患和漏洞相对较广泛。鉴于多方面不安全的因素,有必要为通过对防火墙的部署来构建安全的校园网络结构体系。在整体校园网防火墙安全体系结构中,防火墙主要用于连接不同安全区域的网络,为适应校园公网和各专网优化后结构的安全性,构建多层次校园防火墙体系,全面提升校园网络的整体安全性能,校园防火墙的部署应实现以下目标:
(1)全面性。根据校园网络优化后的结构,在不同安全区域节点处全面部署防火墙,覆盖各区域内网络的出入口。不同安全区域节点不仅仅指校园公网与各专网之间的节点,也包括校园公网中用户终端与服务器群之间的节点、专网中接入终端与应用服务器之间节点、专网中应用服务器和数据库服务器之间节点等等。网络结构的优化是全面区分不同网络安全区域的指南针,也是全面部署防火墙设备的导航灯。全面性也是多层次防火墙体系的重要基础。
(2)差异性。在整个校园网防火墙体系中,从校岡网络出口防火墙到服务器群防火墙、再到数据库防火墙,在网络拓扑的垂直链路使用不同厂商的防火墙,确保链路区域不会因同一厂商防火墙可能存在安全漏洞而第二次攻破。而在并列平行区域从管理性角度出发可考虑使用同一厂商的防火墙,如服务器群所划分的四类区域的出口、各专网同服务器群连接的出口。
(3)多样性。目前硬件防火墙都集成了众多功能,包括网络层的任过滤访问控制以及各种应用层的监测、验证功能,在防火墙性能允许的条件下,使用更多的功能不断确保网络安全。同时针对不同安全区域内的网络安全,有侧重地选择不同类型的防火墙。如服务器群防火墙生要用于用户对服务器访问时检查,因此可选用过滤防火墙。
(4)冗余性。作为连接不同网络区域的节点设备,其在网络结构中的重要性不言而喻,因此防火墙设备的冗余性不可或缺,尤其是校园网出口防火墙以及服务器群防火墙,在条件允许的情况下逐步实现防火墙的冗余,不断完善校园多层次防火墙体系结构。
2 高职院校多层次防火墙体系的构建
网络结构的优化进一步明确了防火墙部署的位置,同时防火墙的部署也进一步区分了各网络安全域的区域,防火墙是不断完善网络安全的重要手段,因此构建多层次防火墙体系是优化网络安全的必然要求。
(1)防火墙体系的建立
在校园网络结构优化的基础上,防火墙体系结构总体分为校园公网和内部专网两大类,校园公网和各内部专网间分别部署防火墙保证不同网络安全域之间的相对独立。
在内部专网防火墙体系中,以一卡通专网为例,分别是前端应用区、中端服务区以及后端数据区,在三个安全域之间分别部署一卡通应用防火墙、一卡通数据库防火墙。
在校园公网防火墙体系中,其结构同专网防火墙结构相类似,至上而下同样分为前端应用区、中端服务区以及后端数据区,这里的前端应用指的是校园网的用户,终端服务区指的是提供校内外各种服务的服务器,后端数据同样指的数据库。稍微有点不同是,校园公网多出一块internet外网区域,需在前端应用层之前额外部署一台防火墙。因此将校园公网划分为四个区域后,则需要用三层防火墙进行隔离,分别为校园公网出口防火墙、服务器群防火墙(校外信息宣传、校内信息管理、网络教学平台、图书馆电子资源)和公网数据库防火墙。
(2)防火墙体系目标的实现
校园公网调用内部专网数据时通过各专网的数据交换防火墙实现连接,校园公网防火墙体系、内部专网防火墙体系以及通过专网数据交换防火墙的连接构成了整个校园网络多层次防火墙的体系。此体系实现了防火墙部署的全面性、差掉性、多样性、冗余性的目标。
全面性体现在通过校园网络各专网各安全域的划分,在不同等级安全域之间全面布置防火墙,保证各安全域的相对独立以及相互之间的网络安全。差异性体现在校园公网防火墙体系中,校园公网出口防火墙、服务器群防火墙以及公网数据库防火墙使用不同厂商的防火墙,以防止网络攻击通过同一手段直接攻破三层防火墙体系,专网防火墙体系中亦是如此。而在专网相同结构的体系中,由于是完全独立的两个专网,因此可使用相同型号的防火墙。
多样性体现在防火墙选型的多样性以及应用的多样性。在选型上,根据安全域的需求选择不同类型的防火墙。
冗余性在目前校园网络结构实现上相对欠缺,只有校园公网出口防火墙实现了冗余,随着下一步资金到位后设备的成功采购,按防火墙所处位置的重要性,逐步实现防火墙的双机冗余,进一步确保校园多层次防火墙体系的完善。
3 结束语
在网络调整和优化过程中,一定要从学校的实际情况发出,正确把握网络的现状以及调整的目标,统筹全局,科学规划,在每一次网络进行调整前做好周密的部署及预案,充分考虑每一次调整可能对全局产生的影响,确保网络在调整中不断优化。
参考文献:
[1]赵刚.浅谈校园网地址设计原则[J].西昌学院学报.2011.
[2]曾勘炜,盛鸿宇.防火墙技术标准教积[M].北京理工大学出版社.2007.
[3]张静.高校异构数据集成的分析与设计[J].科技经济市场,2010(7).
