防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用研究

◆閆實(shí)1 劉占波1 石莉1 王曉麗1 付佳2

防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用研究

◆閆實(shí)1 劉占波1 石莉1 王曉麗1 付佳2通訊作者

（1.牡丹江醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 黑龍江 157011；2.牡丹江醫(yī)學(xué)院圖書館 黑龍江 157011）

信息技術(shù)的高速發(fā)展在給高校師生提供便利的同時(shí)也帶來了諸多信息安全威脅。防火墻技術(shù)作為信息系統(tǒng)安全防護(hù)的有效措施，已經(jīng)得到了廣泛應(yīng)用。本文對(duì)防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用開展研究，首先介紹了防火墻的基本概念和特征，然后介紹了幾類典型防火墻的基本工作原理和優(yōu)缺點(diǎn)，包括數(shù)據(jù)包過濾型防火墻、應(yīng)用級(jí)網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻和復(fù)合型防火墻等，最后介紹了防火墻技術(shù)在高校信息系統(tǒng)安全中實(shí)際應(yīng)用時(shí)的部署方式，以及在減少惡意代碼攻擊、阻斷SQL注入攻擊、阻斷跨站腳本攻擊、阻斷操作系統(tǒng)命令注入攻擊、減輕DoS攻擊等幾種典型應(yīng)用場(chǎng)景下的工作原理。

防火墻；數(shù)據(jù)包過濾；信息安全；Web防護(hù)

1 引言

近年來，網(wǎng)絡(luò)技術(shù)和信息技術(shù)高速發(fā)展。防火墻作為高校信息系統(tǒng)安全防護(hù)的重要手段，已經(jīng)在實(shí)際應(yīng)用中發(fā)揮了重要作用。它能夠在校園內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立起一道安全的防護(hù)屏障，對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性提供基本保障[1]。相對(duì)于其他安全防護(hù)技術(shù)，防火墻技術(shù)具有使用方便、安全性高等諸多優(yōu)勢(shì)，因此近年來得到了廣泛應(yīng)用。如何將防火墻高效合理的應(yīng)用于高校的信息系統(tǒng)防護(hù)中是需要研究的關(guān)鍵問題之一，具有重要的研究?jī)r(jià)值和現(xiàn)實(shí)意義。本文對(duì)防火墻技術(shù)的基本工作原理及其在高校信息系統(tǒng)安全中的應(yīng)用進(jìn)行深入研究，預(yù)期可為相關(guān)研究人員和用戶提供指導(dǎo)和借鑒。

2 防火墻技術(shù)概述

2.1 防火墻的概念和特征

防火墻通常是指根據(jù)網(wǎng)絡(luò)系統(tǒng)的工作特點(diǎn)和管理需求，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間或不同的網(wǎng)絡(luò)安全域之間設(shè)置的一組軟件和硬件設(shè)備，能夠在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間或不同的網(wǎng)絡(luò)安全域之間建立起一道保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的隔離屏障。防火墻在網(wǎng)絡(luò)系統(tǒng)的整個(gè)結(jié)構(gòu)中充當(dāng)著分離器、限制器或分析器的作用，能夠盡可能對(duì)兩個(gè)不同網(wǎng)絡(luò)之間流經(jīng)的數(shù)據(jù)進(jìn)行監(jiān)控，從而確保其防護(hù)網(wǎng)絡(luò)系統(tǒng)的安全性[2]。僅從其功能上來看，其基本功能是在不同的網(wǎng)絡(luò)之間起到隔離作用，通過設(shè)定相應(yīng)的過濾或攔截規(guī)則來提高內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性，其基本特征主要包括以下幾個(gè)方面：

（1）能夠自動(dòng)對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)上數(shù)據(jù)的輸入輸出之間的通信鏈路進(jìn)行操作和控制，根據(jù)預(yù)先設(shè)定或建立的過濾和攔截規(guī)則對(duì)流經(jīng)的數(shù)據(jù)和網(wǎng)絡(luò)請(qǐng)求進(jìn)行判斷，對(duì)符合通過規(guī)則的數(shù)據(jù)允許流通，對(duì)需要過濾的數(shù)據(jù)進(jìn)行攔截。

（2）對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)或應(yīng)用程序的訪問進(jìn)行管理，如對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)的管理身份進(jìn)行認(rèn)證，使其能夠正常合法訪問內(nèi)部網(wǎng)絡(luò)和主機(jī)。

（3）具有審計(jì)功能，能夠?qū)赡艿陌踩录M(jìn)行響應(yīng)，記錄安全事件的相關(guān)信息，并存儲(chǔ)到文件中，對(duì)發(fā)現(xiàn)的可疑數(shù)據(jù)或非法請(qǐng)求進(jìn)行報(bào)警。

2.2 防火墻的分類和關(guān)鍵技術(shù)

防火墻可以根據(jù)安全防范的方式和重點(diǎn)，分為數(shù)據(jù)包過濾型防火墻、應(yīng)用級(jí)網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻和復(fù)合型防火墻。

數(shù)據(jù)包過濾型防火墻采用數(shù)據(jù)包過濾技術(shù)，在網(wǎng)絡(luò)層依據(jù)系統(tǒng)預(yù)先設(shè)置的過濾規(guī)則和過濾邏輯（即訪問控制表，Access Control Table）對(duì)流經(jīng)設(shè)備的數(shù)據(jù)包進(jìn)行選擇[3]。在選擇數(shù)據(jù)包時(shí)，依據(jù)流經(jīng)數(shù)據(jù)包的源IP、目的IP、端口號(hào)、使用的網(wǎng)絡(luò)協(xié)議及協(xié)議狀態(tài)等信息，或?qū)⑦@些進(jìn)行組合，來共同判斷該數(shù)據(jù)包是否應(yīng)當(dāng)允許通過。

應(yīng)用級(jí)網(wǎng)關(guān)型防火墻工作在網(wǎng)絡(luò)應(yīng)用層上，通過對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議設(shè)定過濾和轉(zhuǎn)發(fā)規(guī)則，來對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)。該類防火墻使用特定的數(shù)據(jù)過濾邏輯，同時(shí)對(duì)數(shù)據(jù)包進(jìn)行過濾、分析和相應(yīng)的登記和統(tǒng)計(jì)，并形成工作報(bào)告。

代理服務(wù)型防火墻本質(zhì)上屬于應(yīng)用級(jí)防火墻的一類，這種防火墻可將跨越防火墻的網(wǎng)絡(luò)鏈路分割成兩段，對(duì)防火墻與外部系統(tǒng)之間的鏈接使用兩個(gè)終止代理服務(wù)器實(shí)現(xiàn)，使得來自外部系統(tǒng)的鏈接僅能夠連接到代理服務(wù)器，無法直接連接內(nèi)部系統(tǒng)的計(jì)算機(jī)。代理服務(wù)型防火墻同樣對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行分析和登記，發(fā)現(xiàn)疑似攻擊請(qǐng)求時(shí)向用戶發(fā)出警報(bào)提醒。

復(fù)合型防火墻相比于上述防火墻，具有更高的安全性，這種防火墻將包過濾技術(shù)與應(yīng)用代理技術(shù)相結(jié)合而形成。復(fù)合型防火墻通常采用屏蔽主機(jī)防火墻體系結(jié)構(gòu)和屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)兩種方案。其中，屏蔽主機(jī)防火墻體系結(jié)構(gòu)中，將分組過濾路由器與互聯(lián)網(wǎng)直接連接，同時(shí)在內(nèi)部系統(tǒng)安裝堡壘機(jī)，使得來自互聯(lián)網(wǎng)的鏈接僅能夠到達(dá)堡壘機(jī)，從而保證內(nèi)部網(wǎng)絡(luò)不會(huì)受到攻擊；屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，將堡壘機(jī)設(shè)置在子網(wǎng)內(nèi)，同時(shí)將兩個(gè)過濾路由器設(shè)置在該子網(wǎng)的來兩端，共同構(gòu)成防火墻的安全基礎(chǔ)。

3 防火墻技術(shù)在高校信息系統(tǒng)安全中的應(yīng)用

在高校中，各種信息系統(tǒng)通常運(yùn)行在校園網(wǎng)中，因此，在高校中使用較多的是Web應(yīng)用防火墻。本文以Web應(yīng)用防火墻為例，詳細(xì)介紹其在高校信息系統(tǒng)安全中的應(yīng)用。

3.1 部署方式

Web應(yīng)用防火墻通常與Web服務(wù)器進(jìn)行串聯(lián)部署，部署模式包括透明、反向代理、路由代理、端口鏡像等幾種。在實(shí)際應(yīng)用中，為防止防火墻宕機(jī)，通常采用雙機(jī)部署防火墻，其中一臺(tái)用作備份。路由代理模式與橋模式的原理類似，但是在轉(zhuǎn)發(fā)時(shí)采用路由模式。端口鏡像模式中，將HTTP流量鏡像到防火墻，利用防火墻對(duì)其進(jìn)行監(jiān)聽，且不對(duì)會(huì)話進(jìn)行阻攔[4]。

3.2 典型應(yīng)用場(chǎng)景

高校Web應(yīng)用面臨的攻擊方式較多，下面本文詳細(xì)分析防火墻在高校信息系統(tǒng)安全防護(hù)中具體實(shí)際應(yīng)用。

（1）通過檢查HTTP協(xié)議的合規(guī)性，減少惡意代碼攻擊。HTTP協(xié)議工作在TCP之上，是一種較為簡(jiǎn)單且典型的通信協(xié)議，利用該協(xié)議，客戶端可以向服務(wù)器發(fā)送指定的消息并得到相應(yīng)的響應(yīng)。在通信過程中，發(fā)送和接收消息通常以ASCII碼的形式進(jìn)行。

（2）通過檢查網(wǎng)站應(yīng)用流量，阻斷SQL注入攻擊。防火墻通過對(duì)網(wǎng)站應(yīng)用流量進(jìn)行監(jiān)測(cè)和檢查，判斷來自請(qǐng)求中數(shù)據(jù)庫(kù)命令或數(shù)據(jù)庫(kù)查詢語(yǔ)句是否存在安全風(fēng)險(xiǎn)，例如判斷數(shù)據(jù)庫(kù)查詢語(yǔ)句是否被插入到HTTP請(qǐng)求中，來實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)請(qǐng)求的攔截，阻斷SQL注入攻擊[5]。

（3）通過檢查應(yīng)用流量，阻斷跨站腳本攻擊。跨站腳本攻擊，也稱為XSS，攻擊者將惡意代碼插入到頁(yè)面中，一旦用戶訪問該頁(yè)面惡意代碼即自動(dòng)執(zhí)行，導(dǎo)致用戶被攻擊。設(shè)置防火墻后，可以對(duì)Web應(yīng)用的流量進(jìn)行檢查，判斷HTTP請(qǐng)求中是否存在惡意腳本，對(duì)可能存在安全風(fēng)險(xiǎn)的請(qǐng)求進(jìn)行攔截，從而保護(hù)內(nèi)部系統(tǒng)安全。

（4）通過檢測(cè)危險(xiǎn)命令，阻斷操作系統(tǒng)命令注入攻擊。在操作系統(tǒng)命令注入攻擊中，攻擊者將命令字符串隱藏到存在漏洞的網(wǎng)頁(yè)中，從而獲取目標(biāo)服務(wù)器或數(shù)據(jù)庫(kù)的操作權(quán)限，實(shí)現(xiàn)對(duì)目標(biāo)用戶的攻擊。防火墻技術(shù)通過對(duì)Web應(yīng)用流量進(jìn)行檢查，檢測(cè)HTTP請(qǐng)求中是否存在危險(xiǎn)的系統(tǒng)命令，根據(jù)檢測(cè)結(jié)果判斷是否對(duì)該請(qǐng)求進(jìn)行攔截，從而實(shí)現(xiàn)阻斷操作系統(tǒng)命令注入攻擊的目的。

（5）通過限制HTTP請(qǐng)求，減輕DoS攻擊。拒絕服務(wù)器攻擊，即DoS攻擊，這種攻擊的目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)癱瘓，無法提供正常的網(wǎng)絡(luò)服務(wù)，如網(wǎng)絡(luò)帶寬攻擊、連通性攻擊等。可利用防火墻技術(shù)對(duì)HTTP請(qǐng)求進(jìn)行限制，同時(shí)也對(duì)來自客戶的鏈接的傳輸速率進(jìn)行約束，能夠有效緩解DoS攻擊。

（6）通過刪除敏感信息，隱藏Web站點(diǎn)。任何系統(tǒng)都無法保證不存在漏洞。很多攻擊者利用漏洞掃描工具獲取互聯(lián)網(wǎng)上Web應(yīng)用程序的漏洞，通過對(duì)這些漏洞的利用實(shí)現(xiàn)其攻擊的目的。為了阻斷這種攻擊，防火墻技術(shù)給客戶端發(fā)送HTTP響應(yīng)消息時(shí)，將其首部和返回狀態(tài)代碼刪除，可使得攻擊者無法獲得服務(wù)器的真實(shí)的IP，所有的Web請(qǐng)求都將經(jīng)過防火墻，客戶端無法直接連接服務(wù)器，從而有效對(duì)Web站點(diǎn)進(jìn)行隱藏，提高Web站點(diǎn)的安全性。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的飛速發(fā)展，高校的正常運(yùn)轉(zhuǎn)對(duì)信息技術(shù)的依賴程度越來越高，因此如何對(duì)高校信息系統(tǒng)安全進(jìn)行有效防護(hù)成了高校面臨的重要挑戰(zhàn)之一。防火墻技術(shù)經(jīng)過多年的發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)相對(duì)較為成熟，目前已經(jīng)在高校的信息系統(tǒng)安全防護(hù)工作中發(fā)揮重要作用。對(duì)防火墻進(jìn)行合理配置，可在不影響高校信息系統(tǒng)正常運(yùn)轉(zhuǎn)的同時(shí)提高其安全性。本文對(duì)防火墻技術(shù)及其在高校信息系統(tǒng)安全中的應(yīng)用進(jìn)行了研究和分析，分析了防火墻在各類應(yīng)用場(chǎng)景中的基本工作原理和取得的效果。但是，由于各種新型網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，防火墻技術(shù)往往也難以有效應(yīng)對(duì)所有攻擊，網(wǎng)絡(luò)安全威脅難以徹底阻斷，因此未來還需投入大量的人力物力開展安全防護(hù)技術(shù)研究。

[1]曾祥容. 基于防火墻和WAF安全設(shè)備的高校信息安全設(shè)計(jì)與應(yīng)用[J]. 電子技術(shù)與軟件工程，2018，000（009）：201-202.

[2]王樂，王葉靜，葛永興，等. Web應(yīng)用防火墻在高校信息安全中的應(yīng)用[J]. 長(zhǎng)春師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2020， 039（004）：80-82，104.

[3]張剛剛，武金相，胡迎賓. 基于防火墻策略處理高校突發(fā)網(wǎng)絡(luò)安全事件的方法研究與設(shè)計(jì)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018，216（12）：92-93+95.

[4]張柳. WAF在高校網(wǎng)站系統(tǒng)中的部署實(shí)例研究[J]. 海峽科技與產(chǎn)業(yè)，2019，237（04）：100-102.

[5]趙江. 高校圖書館Web應(yīng)用安全問題與對(duì)策[J]. 電腦知識(shí)與技術(shù)：學(xué)術(shù)版，2018，14（33）：51-52.

黑龍江省高等教育教學(xué)改革一般研究項(xiàng)目（SJGY20180531）；黑龍江省省屬高等學(xué)校基本科研業(yè)務(wù)費(fèi)科研項(xiàng)目（2018-KYYWFMY-0091）