浅谈校园网络安全防护的几点看法(二)

四、防火墙部署

防火墙通常就是指在信息软件使用过程中，企业本地网络与外界网络之间构建的防御系统。防火墙能够有效的将信息传递的安全性进行细致的筛查，最终决定外界信息是否能够进入本地的网络，从而最大程度上保证互联网内部信息不被病毒所侵害的目的。

防火墙实现方法可以分为硬件防火墙和软件防火墙两种，根据结构可以分成包过滤(packet filtering)、状态检测(State inspection)、应用层代理(即application proxies)、内容过滤/状态包过滤(content filtering/state packet filtering)防火墙。防火墙结构如图1所示

图1 典型防火墙结构

网络防火墙能够最大程度上保障企业网络的健康运行，通过对大量信息用户的有效处理与监控，避免病毒在信息传递过程中的传播。软件防火墙和硬件防火墙是一个相对应性的模式，通常情况下，防火墙就是对软件信息加以处理，硬件防火墙主要就是将防火墙与部分的硬件设施加以绑定，避免硬件设施当中病毒的产生。软件防火墙则是针对较为底层的硬件加以防控，通常会被安装在windows等系统当中直接被使用。

根据防火墙具体工作的原理可以看出，防火墙在具体工作知识通常是分为数据获取、应用处理以及数据传输三个层面。一般情况下，数据获取和传输都是由软硬件系统共同推进的，硬件部分通常情况下是被作为防火墙设备的网络接口。

五、虚拟专用网

虚拟专用网并不是一种真正的专门应用网络，但是其却能够实现专用网络的具体有效功能。虚拟专用网通常情况下是借助ISP和NSP进行有效工作的，虚拟专用网通常是被设定在公共网络当中，并借助数据通信网络技术来实现其自身功能。虚拟专用网可以借助其中的任意节点加以连接，与传统的专用网络连接方式存在较大的差异。

虚拟专用网通常情况下可以分为三种形式：远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。虚拟专用网络的三种形式能够与企业内部的相关网络构成有效的连接，从而推动企业内部信息的有效管控。

六、入侵检测

为了不断强化对于互联网安全性能的建设，就需要制定入侵检测技术加以防控，从而实现对于网络入侵信息的时效性检测，最大程度上对于网络活动以及系统信息运转进行有效的把控。实时入侵检测强调时效性，在具体信息监控的过程当中，必须要呈现出连续不断的状态，一旦存在入侵信息就需要对其进行及时的管控。

计算机信息网络系统制定了系列的防火墙技术之后，虽然可以在一定程度上减少病毒的传播，但是防火墙系统并不能够杜绝不良信息的传递，因此必须要强化对于入侵检测能力的把控。通常情况下，如果攻击人从网络内部进行攻击，防火墙就无法对其进行及时有效的防控。入侵检测系统的模式，如图2所示。

图2 简单IDS系统

入侵检测功能主要就是通过监视分析用户在互联网系统使用过程中信息具体传递状况，及时的把控互联网信息传递过程当中所存在的系统漏洞，并能够分析出具体活动模式过程当中所存在的外部进攻状况，给予及时的预警信息提示，除此之外还能够对信息进行系统的评估，保证数据文件的整体性与完整性。

防火墙与入侵系统这两种技术模式在互联网系统信息运转过程中能起到一定的相互补充性作用。切实实现入侵检测和防火墙之间发挥互动连通作用，通常情况下可以通过两种形式加以实现。第一种，将入侵检测和防火墙系统进行紧密结合，把入侵检测系统放置于防火墙系统当中，使入侵检测系统更加切实有效地检测到防火墙当中的数据状况，所有的互联网信息不仅要接受防火墙系统的防控，还需要经过入侵检测系统的有效检测。但在实际具体运用的过程当中，将防火墙与入侵检测系统紧密结合在技术方面存在一定的实施难度，并且结合之后两者并不能够完全发挥其自身功能，因此当前并未完全推广防火墙与入侵检测两种技术有机结合的系统，当前对其研究仅处于理论阶段。第二种，就是通过开放接口来强化入侵检测与防护墙之间的有效联动，将防火墙或入侵检测系统开放一个专门性的接口，并通过一定的技术措施，实现两者之间在通信报警传输信息方面的有机结合，当前采用该种形式进行信息安全检测的厂商较多，该种模式具有自身独有的灵活性，并且不会阻碍防火墙与入侵检测两种系统自身功能发挥。