防火墻技術及其在高校信息系統安全中的應用研究

◆閆實1 劉占波1 石莉1 王曉麗1 付佳2

防火墻技術及其在高校信息系統安全中的應用研究

◆閆實1 劉占波1 石莉1 王曉麗1 付佳2通訊作者

（1.牡丹江醫學院現代教育技術中心 黑龍江 157011；2.牡丹江醫學院圖書館 黑龍江 157011）

信息技術的高速發展在給高校師生提供便利的同時也帶來了諸多信息安全威脅。防火墻技術作為信息系統安全防護的有效措施，已經得到了廣泛應用。本文對防火墻技術及其在高校信息系統安全中的應用開展研究，首先介紹了防火墻的基本概念和特征，然后介紹了幾類典型防火墻的基本工作原理和優缺點，包括數據包過濾型防火墻、應用級網關型防火墻、代理服務型防火墻和復合型防火墻等，最后介紹了防火墻技術在高校信息系統安全中實際應用時的部署方式，以及在減少惡意代碼攻擊、阻斷SQL注入攻擊、阻斷跨站腳本攻擊、阻斷操作系統命令注入攻擊、減輕DoS攻擊等幾種典型應用場景下的工作原理。

防火墻；數據包過濾；信息安全；Web防護

1 引言

近年來，網絡技術和信息技術高速發展。防火墻作為高校信息系統安全防護的重要手段，已經在實際應用中發揮了重要作用。它能夠在校園內部網絡和外部網絡之間建立起一道安全的防護屏障，對內部網絡系統的安全性提供基本保障[1]。相對于其他安全防護技術，防火墻技術具有使用方便、安全性高等諸多優勢，因此近年來得到了廣泛應用。如何將防火墻高效合理的應用于高校的信息系統防護中是需要研究的關鍵問題之一，具有重要的研究價值和現實意義。本文對防火墻技術的基本工作原理及其在高校信息系統安全中的應用進行深入研究，預期可為相關研究人員和用戶提供指導和借鑒。

2 防火墻技術概述

2.1 防火墻的概念和特征

防火墻通常是指根據網絡系統的工作特點和管理需求，在內部網絡和外部網絡之間或不同的網絡安全域之間設置的一組軟件和硬件設備，能夠在內部網絡和外部網絡之間或不同的網絡安全域之間建立起一道保護網絡系統安全的隔離屏障。防火墻在網絡系統的整個結構中充當著分離器、限制器或分析器的作用，能夠盡可能對兩個不同網絡之間流經的數據進行監控，從而確保其防護網絡系統的安全性[2]。僅從其功能上來看，其基本功能是在不同的網絡之間起到隔離作用，通過設定相應的過濾或攔截規則來提高內部網絡系統的安全性，其基本特征主要包括以下幾個方面：

（1）能夠自動對內部網絡主機上數據的輸入輸出之間的通信鏈路進行操作和控制，根據預先設定或建立的過濾和攔截規則對流經的數據和網絡請求進行判斷，對符合通過規則的數據允許流通，對需要過濾的數據進行攔截。

（2）對內部網絡主機或應用程序的訪問進行管理，如對內部網絡主機的管理身份進行認證，使其能夠正常合法訪問內部網絡和主機。

（3）具有審計功能，能夠對可能的安全事件進行響應，記錄安全事件的相關信息，并存儲到文件中，對發現的可疑數據或非法請求進行報警。

2.2 防火墻的分類和關鍵技術

防火墻可以根據安全防范的方式和重點，分為數據包過濾型防火墻、應用級網關型防火墻、代理服務型防火墻和復合型防火墻。

數據包過濾型防火墻采用數據包過濾技術，在網絡層依據系統預先設置的過濾規則和過濾邏輯（即訪問控制表，Access Control Table）對流經設備的數據包進行選擇[3]。在選擇數據包時，依據流經數據包的源IP、目的IP、端口號、使用的網絡協議及協議狀態等信息，或將這些進行組合，來共同判斷該數據包是否應當允許通過。

應用級網關型防火墻工作在網絡應用層上，通過對特定的網絡應用服務協議設定過濾和轉發規則，來對內部網絡進行保護。該類防火墻使用特定的數據過濾邏輯，同時對數據包進行過濾、分析和相應的登記和統計，并形成工作報告。

代理服務型防火墻本質上屬于應用級防火墻的一類，這種防火墻可將跨越防火墻的網絡鏈路分割成兩段，對防火墻與外部系統之間的鏈接使用兩個終止代理服務器實現，使得來自外部系統的鏈接僅能夠連接到代理服務器，無法直接連接內部系統的計算機。代理服務型防火墻同樣對流經的數據進行分析和登記，發現疑似攻擊請求時向用戶發出警報提醒。

復合型防火墻相比于上述防火墻，具有更高的安全性，這種防火墻將包過濾技術與應用代理技術相結合而形成。復合型防火墻通常采用屏蔽主機防火墻體系結構和屏蔽子網防火墻體系結構兩種方案。其中，屏蔽主機防火墻體系結構中，將分組過濾路由器與互聯網直接連接，同時在內部系統安裝堡壘機，使得來自互聯網的鏈接僅能夠到達堡壘機，從而保證內部網絡不會受到攻擊；屏蔽子網防火墻體系結構中，將堡壘機設置在子網內，同時將兩個過濾路由器設置在該子網的來兩端，共同構成防火墻的安全基礎。

3 防火墻技術在高校信息系統安全中的應用

在高校中，各種信息系統通常運行在校園網中，因此，在高校中使用較多的是Web應用防火墻。本文以Web應用防火墻為例，詳細介紹其在高校信息系統安全中的應用。

3.1 部署方式

Web應用防火墻通常與Web服務器進行串聯部署，部署模式包括透明、反向代理、路由代理、端口鏡像等幾種。在實際應用中，為防止防火墻宕機，通常采用雙機部署防火墻，其中一臺用作備份。路由代理模式與橋模式的原理類似，但是在轉發時采用路由模式。端口鏡像模式中，將HTTP流量鏡像到防火墻，利用防火墻對其進行監聽，且不對會話進行阻攔[4]。

3.2 典型應用場景

高校Web應用面臨的攻擊方式較多，下面本文詳細分析防火墻在高校信息系統安全防護中具體實際應用。

（1）通過檢查HTTP協議的合規性，減少惡意代碼攻擊。HTTP協議工作在TCP之上，是一種較為簡單且典型的通信協議，利用該協議，客戶端可以向服務器發送指定的消息并得到相應的響應。在通信過程中，發送和接收消息通常以ASCII碼的形式進行。

（2）通過檢查網站應用流量，阻斷SQL注入攻擊。防火墻通過對網站應用流量進行監測和檢查，判斷來自請求中數據庫命令或數據庫查詢語句是否存在安全風險，例如判斷數據庫查詢語句是否被插入到HTTP請求中，來實現對風險請求的攔截，阻斷SQL注入攻擊[5]。

（3）通過檢查應用流量，阻斷跨站腳本攻擊?？缯灸_本攻擊，也稱為XSS，攻擊者將惡意代碼插入到頁面中，一旦用戶訪問該頁面惡意代碼即自動執行，導致用戶被攻擊。設置防火墻后，可以對Web應用的流量進行檢查，判斷HTTP請求中是否存在惡意腳本，對可能存在安全風險的請求進行攔截，從而保護內部系統安全。

（4）通過檢測危險命令，阻斷操作系統命令注入攻擊。在操作系統命令注入攻擊中，攻擊者將命令字符串隱藏到存在漏洞的網頁中，從而獲取目標服務器或數據庫的操作權限，實現對目標用戶的攻擊。防火墻技術通過對Web應用流量進行檢查，檢測HTTP請求中是否存在危險的系統命令，根據檢測結果判斷是否對該請求進行攔截，從而實現阻斷操作系統命令注入攻擊的目的。

（5）通過限制HTTP請求，減輕DoS攻擊。拒絕服務器攻擊，即DoS攻擊，這種攻擊的目的是使目標計算機或網絡癱瘓，無法提供正常的網絡服務，如網絡帶寬攻擊、連通性攻擊等。可利用防火墻技術對HTTP請求進行限制，同時也對來自客戶的鏈接的傳輸速率進行約束，能夠有效緩解DoS攻擊。

（6）通過刪除敏感信息，隱藏Web站點。任何系統都無法保證不存在漏洞。很多攻擊者利用漏洞掃描工具獲取互聯網上Web應用程序的漏洞，通過對這些漏洞的利用實現其攻擊的目的。為了阻斷這種攻擊，防火墻技術給客戶端發送HTTP響應消息時，將其首部和返回狀態代碼刪除，可使得攻擊者無法獲得服務器的真實的IP，所有的Web請求都將經過防火墻，客戶端無法直接連接服務器，從而有效對Web站點進行隱藏，提高Web站點的安全性。

4 結論

隨著網絡技術和計算機技術的飛速發展，高校的正常運轉對信息技術的依賴程度越來越高，因此如何對高校信息系統安全進行有效防護成了高校面臨的重要挑戰之一。防火墻技術經過多年的發展，網絡安全防護技術相對較為成熟，目前已經在高校的信息系統安全防護工作中發揮重要作用。對防火墻進行合理配置，可在不影響高校信息系統正常運轉的同時提高其安全性。本文對防火墻技術及其在高校信息系統安全中的應用進行了研究和分析，分析了防火墻在各類應用場景中的基本工作原理和取得的效果。但是，由于各種新型網絡攻擊手段不斷出現，防火墻技術往往也難以有效應對所有攻擊，網絡安全威脅難以徹底阻斷，因此未來還需投入大量的人力物力開展安全防護技術研究。

[1]曾祥容. 基于防火墻和WAF安全設備的高校信息安全設計與應用[J]. 電子技術與軟件工程，2018，000（009）：201-202.

[2]王樂，王葉靜，葛永興，等. Web應用防火墻在高校信息安全中的應用[J]. 長春師范學院學報（自然科學版），2020， 039（004）：80-82，104.

[3]張剛剛，武金相，胡迎賓. 基于防火墻策略處理高校突發網絡安全事件的方法研究與設計[J]. 網絡安全技術與應用， 2018，216（12）：92-93+95.

[4]張柳. WAF在高校網站系統中的部署實例研究[J]. 海峽科技與產業，2019，237（04）：100-102.

[5]趙江. 高校圖書館Web應用安全問題與對策[J]. 電腦知識與技術：學術版，2018，14（33）：51-52.

黑龍江省高等教育教學改革一般研究項目（SJGY20180531）；黑龍江省省屬高等學?；究蒲袠I務費科研項目（2018-KYYWFMY-0091）