◆閆實1 劉占波1 石莉1 王曉麗1 付佳2

防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用研究

◆閆實1 劉占波1 石莉1 王曉麗1 付佳2通訊作者

（1.牡丹江醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 黑龍江 157011；2.牡丹江醫(yī)學(xué)院圖書館 黑龍江 157011）

信息技術(shù)的高速發(fā)展在給高校師生提供便利的同時也帶來了諸多信息安全威脅。防火墻技術(shù)作為信息系統(tǒng)安全防護的有效措施，已經(jīng)得到了廣泛應(yīng)用。本文對防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用開展研究，首先介紹了防火墻的基本概念和特征，然后介紹了幾類典型防火墻的基本工作原理和優(yōu)缺點，包括數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻和復(fù)合型防火墻等，最后介紹了防火墻技術(shù)在高校信息系統(tǒng)安全中實際應(yīng)用時的部署方式，以及在減少惡意代碼攻擊、阻斷SQL注入攻擊、阻斷跨站腳本攻擊、阻斷操作系統(tǒng)命令注入攻擊、減輕DoS攻擊等幾種典型應(yīng)用場景下的工作原理。

防火墻；數(shù)據(jù)包過濾；信息安全；Web防護

1 引言

近年來，網(wǎng)絡(luò)技術(shù)和信息技術(shù)高速發(fā)展。防火墻作為高校信息系統(tǒng)安全防護的重要手段，已經(jīng)在實際應(yīng)用中發(fā)揮了重要作用。它能夠在校園內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立起一道安全的防護屏障，對內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性提供基本保障[1]。相對于其他安全防護技術(shù)，防火墻技術(shù)具有使用方便、安全性高等諸多優(yōu)勢，因此近年來得到了廣泛應(yīng)用。如何將防火墻高效合理的應(yīng)用于高校的信息系統(tǒng)防護中是需要研究的關(guān)鍵問題之一，具有重要的研究價值和現(xiàn)實意義。本文對防火墻技術(shù)的基本工作原理及其在高校信息系統(tǒng)安全中的應(yīng)用進行深入研究，預(yù)期可為相關(guān)研究人員和用戶提供指導(dǎo)和借鑒。

2 防火墻技術(shù)概述

2.1 防火墻的概念和特征

防火墻通常是指根據(jù)網(wǎng)絡(luò)系統(tǒng)的工作特點和管理需求，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間或不同的網(wǎng)絡(luò)安全域之間設(shè)置的一組軟件和硬件設(shè)備，能夠在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間或不同的網(wǎng)絡(luò)安全域之間建立起一道保護網(wǎng)絡(luò)系統(tǒng)安全的隔離屏障。防火墻在網(wǎng)絡(luò)系統(tǒng)的整個結(jié)構(gòu)中充當(dāng)著分離器、限制器或分析器的作用，能夠盡可能對兩個不同網(wǎng)絡(luò)之間流經(jīng)的數(shù)據(jù)進行監(jiān)控，從而確保其防護網(wǎng)絡(luò)系統(tǒng)的安全性[2]。僅從其功能上來看，其基本功能是在不同的網(wǎng)絡(luò)之間起到隔離作用，通過設(shè)定相應(yīng)的過濾或攔截規(guī)則來提高內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性，其基本特征主要包括以下幾個方面：

（1）能夠自動對內(nèi)部網(wǎng)絡(luò)主機上數(shù)據(jù)的輸入輸出之間的通信鏈路進行操作和控制，根據(jù)預(yù)先設(shè)定或建立的過濾和攔截規(guī)則對流經(jīng)的數(shù)據(jù)和網(wǎng)絡(luò)請求進行判斷，對符合通過規(guī)則的數(shù)據(jù)允許流通，對需要過濾的數(shù)據(jù)進行攔截。

（2）對內(nèi)部網(wǎng)絡(luò)主機或應(yīng)用程序的訪問進行管理，如對內(nèi)部網(wǎng)絡(luò)主機的管理身份進行認(rèn)證，使其能夠正常合法訪問內(nèi)部網(wǎng)絡(luò)和主機。

（3）具有審計功能，能夠?qū)赡艿陌踩录M行響應(yīng)，記錄安全事件的相關(guān)信息，并存儲到文件中，對發(fā)現(xiàn)的可疑數(shù)據(jù)或非法請求進行報警。

2.2 防火墻的分類和關(guān)鍵技術(shù)

防火墻可以根據(jù)安全防范的方式和重點，分為數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻和復(fù)合型防火墻。

數(shù)據(jù)包過濾型防火墻采用數(shù)據(jù)包過濾技術(shù)，在網(wǎng)絡(luò)層依據(jù)系統(tǒng)預(yù)先設(shè)置的過濾規(guī)則和過濾邏輯（即訪問控制表，Access Control Table）對流經(jīng)設(shè)備的數(shù)據(jù)包進行選擇[3]。在選擇數(shù)據(jù)包時，依據(jù)流經(jīng)數(shù)據(jù)包的源IP、目的IP、端口號、使用的網(wǎng)絡(luò)協(xié)議及協(xié)議狀態(tài)等信息，或?qū)⑦@些進行組合，來共同判斷該數(shù)據(jù)包是否應(yīng)當(dāng)允許通過。

應(yīng)用級網(wǎng)關(guān)型防火墻工作在網(wǎng)絡(luò)應(yīng)用層上，通過對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議設(shè)定過濾和轉(zhuǎn)發(fā)規(guī)則，來對內(nèi)部網(wǎng)絡(luò)進行保護。該類防火墻使用特定的數(shù)據(jù)過濾邏輯，同時對數(shù)據(jù)包進行過濾、分析和相應(yīng)的登記和統(tǒng)計，并形成工作報告。

代理服務(wù)型防火墻本質(zhì)上屬于應(yīng)用級防火墻的一類，這種防火墻可將跨越防火墻的網(wǎng)絡(luò)鏈路分割成兩段，對防火墻與外部系統(tǒng)之間的鏈接使用兩個終止代理服務(wù)器實現(xiàn)，使得來自外部系統(tǒng)的鏈接僅能夠連接到代理服務(wù)器，無法直接連接內(nèi)部系統(tǒng)的計算機。代理服務(wù)型防火墻同樣對流經(jīng)的數(shù)據(jù)進行分析和登記，發(fā)現(xiàn)疑似攻擊請求時向用戶發(fā)出警報提醒。

復(fù)合型防火墻相比于上述防火墻，具有更高的安全性，這種防火墻將包過濾技術(shù)與應(yīng)用代理技術(shù)相結(jié)合而形成。復(fù)合型防火墻通常采用屏蔽主機防火墻體系結(jié)構(gòu)和屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)兩種方案。其中，屏蔽主機防火墻體系結(jié)構(gòu)中，將分組過濾路由器與互聯(lián)網(wǎng)直接連接，同時在內(nèi)部系統(tǒng)安裝堡壘機，使得來自互聯(lián)網(wǎng)的鏈接僅能夠到達(dá)堡壘機，從而保證內(nèi)部網(wǎng)絡(luò)不會受到攻擊；屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，將堡壘機設(shè)置在子網(wǎng)內(nèi)，同時將兩個過濾路由器設(shè)置在該子網(wǎng)的來兩端，共同構(gòu)成防火墻的安全基礎(chǔ)。

3 防火墻技術(shù)在高校信息系統(tǒng)安全中的應(yīng)用

在高校中，各種信息系統(tǒng)通常運行在校園網(wǎng)中，因此，在高校中使用較多的是Web應(yīng)用防火墻。本文以Web應(yīng)用防火墻為例，詳細(xì)介紹其在高校信息系統(tǒng)安全中的應(yīng)用。

3.1 部署方式

Web應(yīng)用防火墻通常與Web服務(wù)器進行串聯(lián)部署，部署模式包括透明、反向代理、路由代理、端口鏡像等幾種。在實際應(yīng)用中，為防止防火墻宕機，通常采用雙機部署防火墻，其中一臺用作備份。路由代理模式與橋模式的原理類似，但是在轉(zhuǎn)發(fā)時采用路由模式。端口鏡像模式中，將HTTP流量鏡像到防火墻，利用防火墻對其進行監(jiān)聽，且不對會話進行阻攔[4]。

3.2 典型應(yīng)用場景

高校Web應(yīng)用面臨的攻擊方式較多，下面本文詳細(xì)分析防火墻在高校信息系統(tǒng)安全防護中具體實際應(yīng)用。

（1）通過檢查HTTP協(xié)議的合規(guī)性，減少惡意代碼攻擊。HTTP協(xié)議工作在TCP之上，是一種較為簡單且典型的通信協(xié)議，利用該協(xié)議，客戶端可以向服務(wù)器發(fā)送指定的消息并得到相應(yīng)的響應(yīng)。在通信過程中，發(fā)送和接收消息通常以ASCII碼的形式進行。

（2）通過檢查網(wǎng)站應(yīng)用流量，阻斷SQL注入攻擊。防火墻通過對網(wǎng)站應(yīng)用流量進行監(jiān)測和檢查，判斷來自請求中數(shù)據(jù)庫命令或數(shù)據(jù)庫查詢語句是否存在安全風(fēng)險，例如判斷數(shù)據(jù)庫查詢語句是否被插入到HTTP請求中，來實現(xiàn)對風(fēng)險請求的攔截，阻斷SQL注入攻擊[5]。

（3）通過檢查應(yīng)用流量，阻斷跨站腳本攻擊?？缯灸_本攻擊，也稱為XSS，攻擊者將惡意代碼插入到頁面中，一旦用戶訪問該頁面惡意代碼即自動執(zhí)行，導(dǎo)致用戶被攻擊。設(shè)置防火墻后，可以對Web應(yīng)用的流量進行檢查，判斷HTTP請求中是否存在惡意腳本，對可能存在安全風(fēng)險的請求進行攔截，從而保護內(nèi)部系統(tǒng)安全。

（4）通過檢測危險命令，阻斷操作系統(tǒng)命令注入攻擊。在操作系統(tǒng)命令注入攻擊中，攻擊者將命令字符串隱藏到存在漏洞的網(wǎng)頁中，從而獲取目標(biāo)服務(wù)器或數(shù)據(jù)庫的操作權(quán)限，實現(xiàn)對目標(biāo)用戶的攻擊。防火墻技術(shù)通過對Web應(yīng)用流量進行檢查，檢測HTTP請求中是否存在危險的系統(tǒng)命令，根據(jù)檢測結(jié)果判斷是否對該請求進行攔截，從而實現(xiàn)阻斷操作系統(tǒng)命令注入攻擊的目的。

（5）通過限制HTTP請求，減輕DoS攻擊。拒絕服務(wù)器攻擊，即DoS攻擊，這種攻擊的目的是使目標(biāo)計算機或網(wǎng)絡(luò)癱瘓，無法提供正常的網(wǎng)絡(luò)服務(wù)，如網(wǎng)絡(luò)帶寬攻擊、連通性攻擊等?？衫梅阑饓夹g(shù)對HTTP請求進行限制，同時也對來自客戶的鏈接的傳輸速率進行約束，能夠有效緩解DoS攻擊。

（6）通過刪除敏感信息，隱藏Web站點。任何系統(tǒng)都無法保證不存在漏洞。很多攻擊者利用漏洞掃描工具獲取互聯(lián)網(wǎng)上Web應(yīng)用程序的漏洞，通過對這些漏洞的利用實現(xiàn)其攻擊的目的。為了阻斷這種攻擊，防火墻技術(shù)給客戶端發(fā)送HTTP響應(yīng)消息時，將其首部和返回狀態(tài)代碼刪除，可使得攻擊者無法獲得服務(wù)器的真實的IP，所有的Web請求都將經(jīng)過防火墻，客戶端無法直接連接服務(wù)器，從而有效對Web站點進行隱藏，提高Web站點的安全性。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)和計算機技術(shù)的飛速發(fā)展，高校的正常運轉(zhuǎn)對信息技術(shù)的依賴程度越來越高，因此如何對高校信息系統(tǒng)安全進行有效防護成了高校面臨的重要挑戰(zhàn)之一。防火墻技術(shù)經(jīng)過多年的發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)相對較為成熟，目前已經(jīng)在高校的信息系統(tǒng)安全防護工作中發(fā)揮重要作用。對防火墻進行合理配置，可在不影響高校信息系統(tǒng)正常運轉(zhuǎn)的同時提高其安全性。本文對防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用進行了研究和分析，分析了防火墻在各類應(yīng)用場景中的基本工作原理和取得的效果。但是，由于各種新型網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，防火墻技術(shù)往往也難以有效應(yīng)對所有攻擊，網(wǎng)絡(luò)安全威脅難以徹底阻斷，因此未來還需投入大量的人力物力開展安全防護技術(shù)研究。

[1]曾祥容. 基于防火墻和WAF安全設(shè)備的高校信息安全設(shè)計與應(yīng)用[J]. 電子技術(shù)與軟件工程，2018，000（009）：201-202.

[2]王樂，王葉靜，葛永興，等. Web應(yīng)用防火墻在高校信息安全中的應(yīng)用[J]. 長春師范學(xué)院學(xué)報（自然科學(xué)版），2020， 039（004）：80-82，104.

[3]張剛剛，武金相，胡迎賓. 基于防火墻策略處理高校突發(fā)網(wǎng)絡(luò)安全事件的方法研究與設(shè)計[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018，216（12）：92-93+95.

[4]張柳. WAF在高校網(wǎng)站系統(tǒng)中的部署實例研究[J]. 海峽科技與產(chǎn)業(yè)，2019，237（04）：100-102.

[5]趙江. 高校圖書館Web應(yīng)用安全問題與對策[J]. 電腦知識與技術(shù)：學(xué)術(shù)版，2018，14（33）：51-52.

黑龍江省高等教育教學(xué)改革一般研究項目（SJGY20180531）；黑龍江省省屬高等學(xué)?；究蒲袠I(yè)務(wù)費科研項目（2018-KYYWFMY-0091）