贾海天+沈坚

摘 要：伴随着信息化进程在高校不断深入，苏州经贸职业技术学院的数字化建设取得了一定的成果，多年的信息化建设提升了学校信息化部门的工作水平与能力，当前建设投入不断增加以及应用系统不断丰富，信息安全问题已经成为了一个重要课题，如何确保系统安全成为信息化管理部门一个严峻的任务。文章分析目前学校安全问题的现状，以及采用防火墙和WAF安全设备完成对服务器区域的安全保护，信息安全工程是一个系统复杂的工程，也是数字化校园建设的一个重要组成部分，运用积极有效的防御设备将对以后的智慧校园建设起到积极作用。

关键词：WAF；数字化校园； 防火墙； DMZ

中图分类号：TP393 文献标志码：B 文章编号：1673-8454（2016）18-0075-03

一、引言

苏州经贸职业技术学院的信息化建设经过多年的发展已经初见成效，当前智慧校园建设已经成为信息化建设的重要组成部分，在前期信息化建设的基础上，网络、系统、应用已经成为目前建设的下一步重点工作。网络可以看作智慧校园的“路”，系统可以看作在路上跑的“车”，应用作为用户最终的体验，可以看作是“货物”。货物流通的多少，最终直接决定着智慧校园建设的效果。当注意力都集中在“路”、“车”、“货”的时候，道路安全、车辆安全、货物安全也成为了建设工程的重要组成部分。

自从2016年初开始，学校站群系统受到了大量木马攻击，与早期攻击相比较，目前的攻击策略具有了更大的隐蔽性和破坏性。由于多次被攻击都是被动发现，并且被网监查到，领导非常重视，相关安全工作也已经逐步展开。既然外面有矛指向学校的安全，必要的盾还是需要的，更重要的是如何使用盾牌来进行防卫，保障“路”、“车”、“货物”系统安全。

二、安全设备工作原理

信息系统安全是很大的题目，信息系统的安全一般可以分为：设施的安全、系统的安全、网络的安全、数据库的安全等等。设施的安全主要是指系统主机所在的机房的安全，其中有接地安全、电磁安全、电源安全等；系统的安全主要是主机的操作系统的安全和开发的应用系统的安全等；网络的安全主要是网络的边界安全、防护安全、入侵检测、病毒防护等；数据库的安全主要是授权访问、数据的完整性、防篡改等。本文主要侧重介绍系统安全。

为了实现学校的系统安全，信息化部门采用了防火墙和WAF（Web Application Firewall）来完成信息系统安全工作。

1.防火墙工作原理

防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

防火墙主要工作在网络层和传输层。常用的防火墙包括：包过滤技术防火墙和代理类防火墙。①包过滤类防火墙也叫分组过滤防火墙。根据分组包的源、目的地址、端口号及协议类型、标志位确定是否允许分组包通过。优点是高效、透明；缺点是不支持应用层协议，不能防范部分的黑客IP欺骗类攻击。②代理类防火墙也叫应用网关防火墙。每个代理需要一个不同的应用进程，或一个后台运行的服务程序；对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。优点是安全性高，提供应用层的安全，检查应用层、传输层和网络层的协议特征；缺点是性能差、伸缩性差、处理速度较慢。

防火墙安全规则设置需要遵循如下原则：①防火墙安全规则遵循从上到下匹配的原则，一旦有一条匹配，剩余的都不进行匹配。②如果所有的规则都没有匹配到，数据包将被丢弃。③安全过滤规则主要包含源、目的地址和端口，TCP标志位，应用时间以及一些高级过滤选项。

实际工作中需要对应用控制策略进行详细的分析与验证。

2.WAF 工作原理

Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。Web防火墙产品部署在Web服务器的前面，串行接入。WAF防火墙主要是对DMZ（demilitarized zone）区中的Web服务器的防护。

WAF逻辑上位于客户端和服务器程序之间的应用层，它在服务器之前先接收到客户端提交的请求，并在客户端之前先接收到服务器发来的应答。主动安全防御的思想是让WAF充分介入到客户端和服务器程序的HTTP会话中，在服务器端向客户端发送HTTP应答时，主动采用安全机制来保护相关的会话ID、隐藏按钮和Cookie 等状态数据，然后将受保护的状态数据发送给客户端，保证其在客户端的完整性，并在下一次客户端向服务器端提交状态数据时，对这些数据进行验证、解除保护并发送给服务器端。

WAF主要采用以下4种方式对Web服务器进行防护。

（1）代理服务：代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。

（2）特征识别：识别出入侵者是防护它的前提。

（3）通过高效的算法实现特征识别，完成语义理解，快速识别攻击类别。

（4）模式匹配：把攻击行为归纳成一定模式，匹配后能确定是入侵行为。

Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，比如给网页挂马，很难察觉进来的是哪一个，不知道当然也无法统计。对于已知的攻击方式，可以谈识别率；对未知的攻击方式，你也只好发现以后事后处理。

学校今年遇到了几次挂马情况都是事后发现，并且攻击手段隐蔽，发现以后再处理就很被动，学校也要承担更大的压力。所以采用具有“自学习”功能的WAF设备，它将会完成主动防御，避免事后追溯问题来源，造成被动应对。

3.防火墙与WAF设备比较

防火墙主要工作在网络层和传输层，完成IP地址和端口的过滤工作。WAF设备工作在应用层，主要针对HTTP请求进行检测。WAF对HTTP 请求和应答进行攻击特征检测，通过“自学习”功能建立自己的智能防御库进行防御。

2.基于微信公众平台的碎片化知识针对性强，但是却缺乏适用性

微信公众平台根据我们的兴趣推送了相应的学习内容之后，这种内容很符合我们的需求，但是却缺乏实际情境的验证。它仅仅是一种问题的单一解决方法，如果迁移到其他情境中就无法适用。比如：我们在学习操作性的知识时，它是必须要结合实践进行的，而碎片化知识只能知道问题解决的方法，却不知道问题的原因，在实际解决时，我们又不知道怎样办。

3.微信公众平台缺乏多样的交互

虽然微信公众平台可以根据关键词进行回复，但是这种回复是不是学习者想要的答案或者对学习者有没有用处，这些都是未知的。另一方面，微信公众号在推送了相应的学习内容之后，学习者是否有效地阅读，或者学习者在阅读了相应的学习内容之后，无法直接进行提问，也得不到针对性的解答。

五、思考与建议

微信公众平台在为碎片化学习提供支持之外，也存在一些问题。但是并不能因为存在问题我们就要拒绝这些碎片化知识。因此怎样把这些碎片化知识建构到自己的知识体系，与已有知识之间建立联系就显得至关重要。

1.建立碎片化学习体系是基础

我们在接受碎片化知识时除了要系统地学习、思考、分析之外，最重要的是找到一个自己感兴趣的知识点，以此为根节点，不断扩充其分支。也就是说要建立一个系统的知识体系。或者将这些知识点纳入到自己已有的知识体系中，找到它们之间的联系。

2.“思维导图”就是一种将放射性碎片化思考具体化的方法

研究表明，思维导图的建立有利于人们对其思考的问题进行全方位和系统的描述与分析。同时它又是灵活的，个性化的，具有无限的发展性的，这些特点非常符合碎片化学习的特征，因此对于碎片化思考具体化它是一个很有效的方法，同时，它有助于提高学习者的学习能力，有助于一个学习者真正实现终身学习的目标。现在随着移动技术的发展，手机端也有很多使用方便的软件，比如：极品思维导图、思维简图等等，它们可以结合微信公众号进行使用。

3.检验和输出是完善碎片化学习知识体系最关键的环节

在建立相应的知识体系之后，并不是所有的碎片化知识都能纳入其中，我们需要对这些知识进行检验，也就是说，我们要弄清楚它与已有知识之间的联系，如果联系不大或者它根本没有价值，我们要果断舍弃。而对于输出，即碎片化知识的巩固和迁移，其中最简单的方法就是，可以将碎片化知识进行转述给其他人，或者将借助一些外部工具做笔记，建立思维导图等等。

碎片化学习作为非正式学习的一种，它不仅仅只可以通过微信公众平台获得，还有很多其他途径，但是它的特点和利弊都普遍存在，我们一定要理性辩证地思考它的利弊，合理检验与输出，从而真正实现随时随地的碎片化学习。

参考文献：

[1]顾小清.超越碎片化学习——语义图示与深度学习[J].中国电化教育.2015（3）.

[2]王竹立.零存整取：网络时代的学习策略[J].远程教育杂志，2013（3）.

[3]朱学伟，朱昱，徐小丽.基于碎片化应用的微型学习研究[J].现代教育技术，2011（12）.

[4]王承博，李小平，赵丰年，张琳.大数据时代碎片化学习研究[J].电化教育研究，2015（10）.

[5]柳玉婷.微信公众平台在移动学习中的应用研究[J].软件导刊，2013（10）.

[6]张志辉，彭立，王宏艳，公海霞.基于微信的非正式学习的应用研究[J].软件导刊.2015（7）.（编辑：郭桂真）