分布式防火墙在数字化校园信息安全中的部署

　　随着国家大力推进数字校园建设发展，校园网络环境中的信息安全问题日益凸显，如果不能解决信息安全问题，会严重制约互联网技术和计算机技术的应用发展。目前，在各种网络环境中，防火墙技术作为安全屏障可以有效实现网络信息安全，在网络安全防护中的应用越来越广泛。防火墙技术属于基于传统网络安全技术的一种新型安全防护手段，由于运行安全稳定、防护性能良好，已经普遍应用于私人网络与公共网络之间。本文在分析了传统防火墙技术存在的安全漏洞问题基础上，提出了分布式代理防火墙在校园网络中的部署设计方案，具有一定的理论指导意义。

　　1引言

　　随着我国各大高校数字校园的发展建设，网络信息安全问题已经成为了校园信息化建设中不可忽视的重点问题。为了解决校园网络信息安全问题，越来越多的现代信息安全技术被广泛应用于数字校园建设中，防火墙技术在网络安全防护建设中应用得最为普遍。但是，传统的边界防火墙技术存在性能较差和单点失效等明显弊端，更需要基于网络拓扑结构来实现防火墙安全策略。因此，分布式防火墙技术在这种背景下应运而生，分布式防火墙技术通过在某些受保护的主机上进行部署，以解决传统防火墙技术的瓶颈问题。本文主要对分布式代理防火墙在数字校园中的部署进行了方案设计。

　　2传统防火墙中存在的问题

　　(1)内部安全问题。传统的防火墙技术无法对内部数据进行安全监控，更无法实现出现在网络内部攻击的安全防护。(2)性能瓶颈问题。传统防火墙技术的性能较差，数据处理速度较慢，防护恶意攻击的安全功能不够完善。(3)单点失效问题。整个网络的安全防护全部依赖防火墙技术，一旦恶意攻击者翻越防火墙，或者防火墙配置出现问题，内部网络将完全暴露于攻击人员面前。(4)授权访问问题。由于网络环境非常复杂，很容易造成恶意攻击人员绕过防火墙设置直接与内部网络进行连接，给网络安全防护带来极大威胁。(5)端对端加密威胁。当基于新型网络协议进行数据加密时，传统防火墙技术经常会由于没有密钥而无法识别合计检查通过的数据包内容。(6)安全模式简单。传统防火墙技术的安全防护策略主要针对的是内部网络，内部网络中部署的主机全部采用相同的安全模式，很容易造成信息安全威胁。

　　3分布式代理防火墙的部署设计

　　3.1体系结构设计

　　本文主要基于Linux系统环境下，通过代理服务器部署防火墙策略，在代理防火墙基础上进行安全策略协商，以确保各个代理防火墙可以协同工作，对整个网络系统进行安全防护，构建分布式防火墙系统的原型。分布式代理防火墙系统结构如图1所示，采用对话控制方式的协调机制，具有典型分散型防火墙系统的部署结构。

　　3.2控制中心结构设计

　　控制中心主要负责实现资料收集、相互对话、日志管理和证书签发功能。控制中心的各个节点处都配置了防火墙的安全策略库、数字密钥库和数字证书等内容。控制中心的本质是CA认证中心，CA认证中心是分布式防火墙系统唯一授权和承认的数字证书签发机构。控制中心结构主要包括策略模块、日志模块、策略分析模块和策略协商模块。

　　3.3代理防火墙结构设计

　　代理防火墙的设计主要采用了分布式结构，以分担网络数据流量的方法减少每个网络节点承担的数据处理量。分布式防火墙的部署能够有效避免某个网络节点感染木马病毒而导致整个网络受到严重的安全威胁，每个网络节点必须针对需要经过的数据进行识别和检查。代理防火墙系统的体系结构包括通用层接口、IP过滤模块、代理服务程序、联动接口、冲突检测、网络解析、策略协商和日志管理等。接口层主要为用户使用管理进行支持，IP过滤模块负责对生成的日志信息进行保存，以记录网络访问地址。冲突检测模块负责检查各个数据输入接口与防火墙连接的位置是否存在异常情况。安全解析模块负责解析安全版图，将其转换成为系统可以识别和执行的形式。策略协商模块负责利用控制中心实现其他代理防火墙的安全防护策略的协同运行。

　　4结语

　　综上所述，由于各大高校校园网络建设规模非常庞大，网络结构也十分复杂，本文提出了代理防火墙的部署方案，主要利用控制中心对安全防护策略进行协商，但这也可能会造成系统性能降低等问题，在下一步的设计研究中应该增加多个控制中心，由每个控制中心负责承担部分代理防火墙安全策略的协商任务，再通过完善的数据通信机制使各个控制中心之间实现协商策略的交换。同时，还可以将控制中心的各项功能与代理防火墙功能结合，防止由于过于依赖策略中心给系统代理安全漏洞和威胁。

　　作者：杨年中 来源：数字技术与应用 2016年5期