朱 林

（遼陽職業(yè)技術(shù)學院，遼寧 遼陽111004）

0 引言

《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起正式開始實施.回顧立法過程，國家僅僅用了不到兩年的時間，便完成了三次審議和兩次公開征求意見和修改，從立法的速度上可以看出，國家對于網(wǎng)絡(luò)環(huán)境自理和網(wǎng)絡(luò)安全防護的重視程度將越來越高，也越來越急迫.目前高職類院校都運行有自己的校園網(wǎng)絡(luò)，而且在 “互聯(lián)網(wǎng)＋”的大潮下，各個學校也都在積極地開展校園信息化的建設(shè)，各種網(wǎng)站平臺和應(yīng)用系統(tǒng)在不斷的增多，網(wǎng)絡(luò)服務(wù)的規(guī)模也在不斷地增大.與此同時，隨著發(fā)展而暴露出的問題也越來越多，特別是網(wǎng)絡(luò)安全防護的問題，它已經(jīng)成為校園信息化建設(shè)要解決的首要問題.

目前大多高職院校都存在著資金不足、技術(shù)水平有限、領(lǐng)導(dǎo)重視不夠等現(xiàn)狀，這些現(xiàn)狀使得校園網(wǎng)的安全防護建設(shè)相對比較遲緩.而外部網(wǎng)絡(luò)環(huán)境則隨著 “互聯(lián)網(wǎng)＋”的商業(yè)化運行，一些攻擊手段層出不窮，特別是一些不法組織為了商業(yè)利益而使用一些掛馬、黑鏈等手段，頻繁對網(wǎng)站進行入侵和篡改.所以在這種雙重壓力下高職院校需要調(diào)整，通過有限的資金和技術(shù)，反擊一切外來的不法入侵.在此我們將討論校園網(wǎng)中常見的幾種防護手段，通過對比和分析，選擇合適的技術(shù)手段保證校園網(wǎng)絡(luò)的安全.

1 硬件防火墻

防火墻 （Firewall）是指在需要防護的兩個網(wǎng)絡(luò)之間設(shè)置的一個防御系統(tǒng)，而硬件防護墻是專門設(shè)計用于完成這種防御功能的硬件設(shè)備.它大多串聯(lián)在網(wǎng)絡(luò)的主干位置或兩種不同功用的網(wǎng)絡(luò)之間，通過對內(nèi)置的一些規(guī)則、特征庫和相關(guān)閾值的設(shè)定，來實現(xiàn)網(wǎng)絡(luò)訪問的限制和防護功能.

防火墻的實現(xiàn)原理與ACL類似，也是根據(jù)規(guī)則對數(shù)據(jù)包進行過濾，從而來實現(xiàn)對數(shù)據(jù)訪問的限制，與ACL不同的是它還加入了端口安全和對數(shù)據(jù)包進行統(tǒng)計分析的功能，通過設(shè)置相應(yīng)的閾值來區(qū)分正常的數(shù)據(jù)通信和惡意的訪問攻擊.可以看出防火墻是對2～4層的報文信息進行過濾和限制，從而達到對網(wǎng)絡(luò)訪問進行防護的作用.

與ACL相比，硬件防火墻在實際部署中有著相當大的優(yōu)勢：首先，目前的硬件防火墻多采用界面化的形式進行操作，并在出廠前內(nèi)置了多種規(guī)則集和默認的防攻擊參數(shù)，用戶只要通過簡單的選擇與設(shè)置即可實現(xiàn)防火墻的防護功能，這不但使網(wǎng)絡(luò)的防護更加全面，而且極大地簡化了管理人員的操作與維護；其次，實現(xiàn)限制的包過濾功能有了獨立的硬件載體，它不受其他網(wǎng)絡(luò)數(shù)據(jù)交換功能的影響，所以處理速度更快，功能更完善，穩(wěn)定性也更高.

硬件防火墻在實際部署中也存在著自己的不足：首先，硬件防火墻多串聯(lián)在網(wǎng)絡(luò)主干位置或出口位置，以實現(xiàn)對整個網(wǎng)絡(luò)的保護，因此它的配置決定著整個網(wǎng)絡(luò)性能的優(yōu)劣，所以它的配置需要根據(jù)網(wǎng)絡(luò)的需求選擇，這往往需要投入一定的資金；其次，由于資金投入的原因部署數(shù)量會很少，所以多數(shù)部署在網(wǎng)絡(luò)的主干位置，與ACL相比靈活性較差.第三，硬件防火墻對數(shù)據(jù)的過濾層級仍然維持在2～4層防護，可防護的范圍相對有限.

由此看出，在校園信息化建設(shè)過程中，硬件防火墻可以說是整個校園網(wǎng)的主要防護手段，一般將其部署在出口位置，成為阻擋外網(wǎng)的第一道防線.但從全面防護的角度來說，它的防護層級相對較低，對于一些應(yīng)用層的入侵注入它仍舊無能為力，所以仍需其他防護手段進行輔助防御.

2 入侵檢測系統(tǒng)與入侵防御系統(tǒng)

入侵檢測系統(tǒng)簡稱IDS（Intrusion Detection Systems），一般分為實時入侵檢測和事后入侵檢測兩種，它一般以旁路模式部署在網(wǎng)絡(luò)的主干位置對網(wǎng)絡(luò)中的數(shù)據(jù)進行監(jiān)聽，再通過特征庫匹配、基于統(tǒng)計的分析和完整性分析等技術(shù)手段對數(shù)據(jù)進行分析，從而判定其中是否含有攻擊的企圖，并向管理員報告.它可以說是網(wǎng)絡(luò)中的監(jiān)視系統(tǒng)，對整個網(wǎng)絡(luò)起著實時監(jiān)控和事后分析的作用，是繼硬件防火墻之后網(wǎng)絡(luò)檢測的第二種手段［1］.

在實際部署中，由于入侵檢測系統(tǒng)是以旁路模式在網(wǎng)絡(luò)中對數(shù)據(jù)進行監(jiān)聽，所以它可以在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)中的入侵行為進行檢測，但同時也存在誤報、漏報、檢測技術(shù)有缺陷等不足，尤其是它對檢測出的入侵行為沒有有效的處理機制，也就是說，IDS只能檢測、報告和事后分析，而無法對檢測出的入侵行為進行主動防御.高職院校網(wǎng)絡(luò)安全的主要威脅是來自外網(wǎng)的攻擊，而只檢測不防御的IDS只對內(nèi)網(wǎng)排障和監(jiān)控有作用，所以IDS在高職院校的實際使用中有很大局限.

入侵防御系統(tǒng)簡稱IPS（Intrusion Prevention System），它一般串聯(lián)在網(wǎng)絡(luò)的主干位置對數(shù)據(jù)進行監(jiān)聽，再通過各種內(nèi)置規(guī)則的過濾器對數(shù)據(jù)進行過濾，它可以有效阻止攻擊者利用2～7層漏洞發(fā)起的攻擊，可以說它是一種帶防御功能的IDS.

在實際部署中，IPS與IDS的旁路監(jiān)聽不同，它是串聯(lián)在網(wǎng)絡(luò)主干中，對流經(jīng)它的數(shù)據(jù)進行2～7層全面的掃描和過濾.所以數(shù)據(jù)流量越大，IPS的運行壓力就越大，對其硬件性能的要求就越高，因此IPS往往最容易成為網(wǎng)絡(luò)中的一個瓶頸.而高性能的IPS設(shè)備則需要較大的資金投入，對于高職院校來說投入產(chǎn)出比相對有些偏高.

3 Web應(yīng)用防火墻

Web應(yīng)用防火墻簡稱WAF（Web Application Firewall），有的資料也稱網(wǎng)站應(yīng)用級入侵防御系統(tǒng)，可以看出它是針對網(wǎng)站的防護而專門開發(fā)的一種入侵防御系統(tǒng).它通過執(zhí)行一系列針對HTTP／HTTPS服務(wù)的安全策略，來專門為Web應(yīng)用提供保護.它可以運行在OSI參考模型的應(yīng)用層，也就是說它可以對網(wǎng)站提供2～7層的全方位防護，它可以說是為網(wǎng)站專門設(shè)計的 “貼身保鏢”.在實際部署中大多串聯(lián)在服務(wù)器匯聚交換機的上連位置，以此來對整個服務(wù)器群進行防護［2］.

Web應(yīng)用防火墻實現(xiàn)原理與IPS相同，它是將SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等攻擊手段以及操作系統(tǒng)和數(shù)據(jù)庫等軟件的漏洞制成相應(yīng)的特征庫，再通過代理服務(wù)、特征識別、算法識別、模式匹配等技術(shù)手段實現(xiàn)對數(shù)據(jù)包的過濾，并通過對特征庫的不斷更新，以應(yīng)對最新的攻擊手段和系統(tǒng)漏洞.

與其他防護手段相比，Web應(yīng)用防火墻在實際部署中有著自己獨特的優(yōu)勢：首先，Web應(yīng)用防火墻集成了大量的針對應(yīng)用層的系統(tǒng)漏洞和攻擊手段的特征庫，管理人員只需要通過界面化的簡單配置就可以有效的完成對網(wǎng)站系統(tǒng)的全面防護；其次，目前高職院校對外提供的服務(wù)主要是Web服務(wù)，而面臨外部攻擊威脅最多的也是Web服務(wù)，而Web應(yīng)用防火墻可以有效地實現(xiàn)對網(wǎng)站的2～7層全面防護，所以說它是解決高職院校網(wǎng)絡(luò)防護中最有效的設(shè)備.

Web應(yīng)用防火墻在實際部署中也存在著自己的不足：首先，Web應(yīng)用防火墻大多串聯(lián)在服務(wù)器群的主干位置，而且它需要對2～7的數(shù)據(jù)進行校驗，所以它的性能高低直接決定整個服務(wù)器群效率的優(yōu)劣；其次，Web應(yīng)用防火墻的首次投入和后期特征庫的更新和維護都需要一定的資金投入；第三，對應(yīng)用層的數(shù)據(jù)校驗需要占用一定的硬件資源，所以為了提高設(shè)備的使用效率，Web應(yīng)用防火墻一般只針對幾個端口 （如80端口等）進行防護，防護范圍相對較小.由此看出，在校園信息化建設(shè)過程中，Web應(yīng)用防火墻可以說是針對網(wǎng)站系統(tǒng)最有效的防護手段，一般我們把它部署在服務(wù)器群上連位置，使其成為服務(wù)器群的貼身防線.但由于它只針對幾個Web服務(wù)端口進行防護，所以從全局防護來看，它仍需要與其他防護手段來配合使用，以充分發(fā)揮其長處，彌補其不足.

4 結(jié)語

高職院校在發(fā)展校園信息化建設(shè)時，由于在資金和技術(shù)方面有一定的局限性，所以需要更加高效的方案來實現(xiàn)網(wǎng)絡(luò)安全的防護.因此我們首先需要在網(wǎng)絡(luò)各主干位置的最前端利用ACL技術(shù)和硬件防火墻將不必要的端口全部關(guān)閉，以減輕其他防護設(shè)備的壓力.其次我們還需要使用Web應(yīng)用防火墻對服務(wù)器群開放的端口進行專項防護，以保障Web服務(wù)的正常運行.而IPS和IDS則可以作為輔助手段對全網(wǎng)進行監(jiān)控和防護.這種 “前后主防，中間輔助”的網(wǎng)絡(luò)防護方案，應(yīng)該是一種最適合高職院校校園信息化建設(shè)的網(wǎng)絡(luò)安全防護方案.