基于防火墻和WAF安全設備的高校信息安全設計與應用

賈海天+沈堅

摘 要：伴隨著信息化進程在高校不斷深入，蘇州經貿職業技術學院的數字化建設取得了一定的成果，多年的信息化建設提升了學校信息化部門的工作水平與能力，當前建設投入不斷增加以及應用系統不斷豐富，信息安全問題已經成為了一個重要課題，如何確保系統安全成為信息化管理部門一個嚴峻的任務。文章分析目前學校安全問題的現狀，以及采用防火墻和WAF安全設備完成對服務器區域的安全保護，信息安全工程是一個系統復雜的工程，也是數字化校園建設的一個重要組成部分，運用積極有效的防御設備將對以后的智慧校園建設起到積極作用。

關鍵詞：WAF；數字化校園； 防火墻； DMZ

中圖分類號：TP393 文獻標志碼：B 文章編號：1673-8454（2016）18-0075-03

一、引言

蘇州經貿職業技術學院的信息化建設經過多年的發展已經初見成效，當前智慧校園建設已經成為信息化建設的重要組成部分，在前期信息化建設的基礎上，網絡、系統、應用已經成為目前建設的下一步重點工作。網絡可以看作智慧校園的“路”，系統可以看作在路上跑的“車”，應用作為用戶最終的體驗，可以看作是“貨物”。貨物流通的多少，最終直接決定著智慧校園建設的效果。當注意力都集中在“路”、“車”、“貨”的時候，道路安全、車輛安全、貨物安全也成為了建設工程的重要組成部分。

自從2016年初開始，學校站群系統受到了大量木馬攻擊，與早期攻擊相比較，目前的攻擊策略具有了更大的隱蔽性和破壞性。由于多次被攻擊都是被動發現，并且被網監查到，領導非常重視，相關安全工作也已經逐步展開。既然外面有矛指向學校的安全，必要的盾還是需要的，更重要的是如何使用盾牌來進行防衛，保障“路”、“車”、“貨物”系統安全。

二、安全設備工作原理

信息系統安全是很大的題目，信息系統的安全一般可以分為：設施的安全、系統的安全、網絡的安全、數據庫的安全等等。設施的安全主要是指系統主機所在的機房的安全，其中有接地安全、電磁安全、電源安全等；系統的安全主要是主機的操作系統的安全和開發的應用系統的安全等；網絡的安全主要是網絡的邊界安全、防護安全、入侵檢測、病毒防護等；數據庫的安全主要是授權訪問、數據的完整性、防篡改等。本文主要側重介紹系統安全。

為了實現學校的系統安全，信息化部門采用了防火墻和WAF（Web Application Firewall）來完成信息系統安全工作。

1.防火墻工作原理

防火墻是一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的唯一通道，能根據企業有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。

防火墻主要工作在網絡層和傳輸層。常用的防火墻包括：包過濾技術防火墻和代理類防火墻。①包過濾類防火墻也叫分組過濾防火墻。根據分組包的源、目的地址、端口號及協議類型、標志位確定是否允許分組包通過。優點是高效、透明；缺點是不支持應用層協議，不能防范部分的黑客IP欺騙類攻擊。②代理類防火墻也叫應用網關防火墻。每個代理需要一個不同的應用進程，或一個后臺運行的服務程序；對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。優點是安全性高，提供應用層的安全，檢查應用層、傳輸層和網絡層的協議特征；缺點是性能差、伸縮性差、處理速度較慢。

防火墻安全規則設置需要遵循如下原則：①防火墻安全規則遵循從上到下匹配的原則，一旦有一條匹配，剩余的都不進行匹配。②如果所有的規則都沒有匹配到，數據包將被丟棄。③安全過濾規則主要包含源、目的地址和端口，TCP標志位，應用時間以及一些高級過濾選項。

實際工作中需要對應用控制策略進行詳細的分析與驗證。

2.WAF 工作原理

Web防火墻，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。Web防火墻產品部署在Web服務器的前面，串行接入。WAF防火墻主要是對DMZ（demilitarized zone）區中的Web服務器的防護。

WAF邏輯上位于客戶端和服務器程序之間的應用層，它在服務器之前先接收到客戶端提交的請求，并在客戶端之前先接收到服務器發來的應答。主動安全防御的思想是讓WAF充分介入到客戶端和服務器程序的HTTP會話中，在服務器端向客戶端發送HTTP應答時，主動采用安全機制來保護相關的會話ID、隱藏按鈕和Cookie 等狀態數據，然后將受保護的狀態數據發送給客戶端，保證其在客戶端的完整性，并在下一次客戶端向服務器端提交狀態數據時，對這些數據進行驗證、解除保護并發送給服務器端。

WAF主要采用以下4種方式對Web服務器進行防護。

（1）代理服務：代理方式本身就是一種安全網關，基于會話的雙向代理，中斷了用戶與服務器的直接連接，適用于各種加密協議，這也是Web的Cache應用中最常用的技術。

（2）特征識別：識別出入侵者是防護它的前提。

（3）通過高效的算法實現特征識別，完成語義理解，快速識別攻擊類別。

（4）模式匹配：把攻擊行為歸納成一定模式，匹配后能確定是入侵行為。

Web防火墻最大的挑戰是識別率，這并不是一個容易測量的指標，比如給網頁掛馬，很難察覺進來的是哪一個，不知道當然也無法統計。對于已知的攻擊方式，可以談識別率；對未知的攻擊方式，你也只好發現以后事后處理。

學校今年遇到了幾次掛馬情況都是事后發現，并且攻擊手段隱蔽，發現以后再處理就很被動，學校也要承擔更大的壓力。所以采用具有“自學習”功能的WAF設備，它將會完成主動防御，避免事后追溯問題來源，造成被動應對。

3.防火墻與WAF設備比較

防火墻主要工作在網絡層和傳輸層，完成IP地址和端口的過濾工作。WAF設備工作在應用層，主要針對HTTP請求進行檢測。WAF對HTTP 請求和應答進行攻擊特征檢測，通過“自學習”功能建立自己的智能防御庫進行防御。

2.基于微信公眾平臺的碎片化知識針對性強，但是卻缺乏適用性

微信公眾平臺根據我們的興趣推送了相應的學習內容之后，這種內容很符合我們的需求，但是卻缺乏實際情境的驗證。它僅僅是一種問題的單一解決方法，如果遷移到其他情境中就無法適用。比如：我們在學習操作性的知識時，它是必須要結合實踐進行的，而碎片化知識只能知道問題解決的方法，卻不知道問題的原因，在實際解決時，我們又不知道怎樣辦。

3.微信公眾平臺缺乏多樣的交互

雖然微信公眾平臺可以根據關鍵詞進行回復，但是這種回復是不是學習者想要的答案或者對學習者有沒有用處，這些都是未知的。另一方面，微信公眾號在推送了相應的學習內容之后，學習者是否有效地閱讀，或者學習者在閱讀了相應的學習內容之后，無法直接進行提問，也得不到針對性的解答。

五、思考與建議

微信公眾平臺在為碎片化學習提供支持之外，也存在一些問題。但是并不能因為存在問題我們就要拒絕這些碎片化知識。因此怎樣把這些碎片化知識建構到自己的知識體系，與已有知識之間建立聯系就顯得至關重要。

1.建立碎片化學習體系是基礎

我們在接受碎片化知識時除了要系統地學習、思考、分析之外，最重要的是找到一個自己感興趣的知識點，以此為根節點，不斷擴充其分支。也就是說要建立一個系統的知識體系。或者將這些知識點納入到自己已有的知識體系中，找到它們之間的聯系。

2.“思維導圖”就是一種將放射性碎片化思考具體化的方法

研究表明，思維導圖的建立有利于人們對其思考的問題進行全方位和系統的描述與分析。同時它又是靈活的，個性化的，具有無限的發展性的，這些特點非常符合碎片化學習的特征，因此對于碎片化思考具體化它是一個很有效的方法，同時，它有助于提高學習者的學習能力，有助于一個學習者真正實現終身學習的目標。現在隨著移動技術的發展，手機端也有很多使用方便的軟件，比如：極品思維導圖、思維簡圖等等，它們可以結合微信公眾號進行使用。

3.檢驗和輸出是完善碎片化學習知識體系最關鍵的環節

在建立相應的知識體系之后，并不是所有的碎片化知識都能納入其中，我們需要對這些知識進行檢驗，也就是說，我們要弄清楚它與已有知識之間的聯系，如果聯系不大或者它根本沒有價值，我們要果斷舍棄。而對于輸出，即碎片化知識的鞏固和遷移，其中最簡單的方法就是，可以將碎片化知識進行轉述給其他人，或者將借助一些外部工具做筆記，建立思維導圖等等。

碎片化學習作為非正式學習的一種，它不僅僅只可以通過微信公眾平臺獲得，還有很多其他途徑，但是它的特點和利弊都普遍存在，我們一定要理性辯證地思考它的利弊，合理檢驗與輸出，從而真正實現隨時隨地的碎片化學習。

參考文獻：

[1]顧小清.超越碎片化學習——語義圖示與深度學習[J].中國電化教育.2015（3）.

[2]王竹立.零存整取：網絡時代的學習策略[J].遠程教育雜志，2013（3）.

[3]朱學偉，朱昱，徐小麗.基于碎片化應用的微型學習研究[J].現代教育技術，2011（12）.

[4]王承博，李小平，趙豐年，張琳.大數據時代碎片化學習研究[J].電化教育研究，2015（10）.

[5]柳玉婷.微信公眾平臺在移動學習中的應用研究[J].軟件導刊，2013（10）.

[6]張志輝，彭立，王宏艷，公海霞.基于微信的非正式學習的應用研究[J].軟件導刊.2015（7）.（編輯：郭桂真）