◆闫实¹ 刘占波¹ 石莉¹ 王晓丽¹ 付佳²

防火墙技术及其在高校信息系统安全中的应用研究

◆闫实¹ 刘占波¹ 石莉¹ 王晓丽¹ 付佳²通讯作者

（1.牡丹江医学院现代教育技术中心 黑龙江 157011；2.牡丹江医学院图书馆 黑龙江 157011）

信息技术的高速发展在给高校师生提供便利的同时也带来了诸多信息安全威胁。防火墙技术作为信息系统安全防护的有效措施，已经得到了广泛应用。本文对防火墙技术及其在高校信息系统安全中的应用开展研究，首先介绍了防火墙的基本概念和特征，然后介绍了几类典型防火墙的基本工作原理和优缺点，包括数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙和复合型防火墙等，最后介绍了防火墙技术在高校信息系统安全中实际应用时的部署方式，以及在减少恶意代码攻击、阻断SQL注入攻击、阻断跨站脚本攻击、阻断操作系统命令注入攻击、减轻DoS攻击等几种典型应用场景下的工作原理。

防火墙；数据包过滤；信息安全；Web防护

1 引言

近年来，网络技术和信息技术高速发展。防火墙作为高校信息系统安全防护的重要手段，已经在实际应用中发挥了重要作用。它能够在校园内部网络和外部网络之间建立起一道安全的防护屏障，对内部网络系统的安全性提供基本保障[1]。相对于其他安全防护技术，防火墙技术具有使用方便、安全性高等诸多优势，因此近年来得到了广泛应用。如何将防火墙高效合理的应用于高校的信息系统防护中是需要研究的关键问题之一，具有重要的研究价值和现实意义。本文对防火墙技术的基本工作原理及其在高校信息系统安全中的应用进行深入研究，预期可为相关研究人员和用户提供指导和借鉴。

2 防火墙技术概述

2.1 防火墙的概念和特征

防火墙通常是指根据网络系统的工作特点和管理需求，在内部网络和外部网络之间或不同的网络安全域之间设置的一组软件和硬件设备，能够在内部网络和外部网络之间或不同的网络安全域之间建立起一道保护网络系统安全的隔离屏障。防火墙在网络系统的整个结构中充当着分离器、限制器或分析器的作用，能够尽可能对两个不同网络之间流经的数据进行监控，从而确保其防护网络系统的安全性[2]。仅从其功能上来看，其基本功能是在不同的网络之间起到隔离作用，通过设定相应的过滤或拦截规则来提高内部网络系统的安全性，其基本特征主要包括以下几个方面：

（1）能够自动对内部网络主机上数据的输入输出之间的通信链路进行操作和控制，根据预先设定或建立的过滤和拦截规则对流经的数据和网络请求进行判断，对符合通过规则的数据允许流通，对需要过滤的数据进行拦截。

（2）对内部网络主机或应用程序的访问进行管理，如对内部网络主机的管理身份进行认证，使其能够正常合法访问内部网络和主机。

（3）具有审计功能，能够对可能的安全事件进行响应，记录安全事件的相关信息，并存储到文件中，对发现的可疑数据或非法请求进行报警。

2.2 防火墙的分类和关键技术

防火墙可以根据安全防范的方式和重点，分为数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙和复合型防火墙。

数据包过滤型防火墙采用数据包过滤技术，在网络层依据系统预先设置的过滤规则和过滤逻辑（即访问控制表，Access Control Table）对流经设备的数据包进行选择[3]。在选择数据包时，依据流经数据包的源IP、目的IP、端口号、使用的网络协议及协议状态等信息，或将这些进行组合，来共同判断该数据包是否应当允许通过。

应用级网关型防火墙工作在网络应用层上，通过对特定的网络应用服务协议设定过滤和转发规则，来对内部网络进行保护。该类防火墙使用特定的数据过滤逻辑，同时对数据包进行过滤、分析和相应的登记和统计，并形成工作报告。

代理服务型防火墙本质上属于应用级防火墙的一类，这种防火墙可将跨越防火墙的网络链路分割成两段，对防火墙与外部系统之间的链接使用两个终止代理服务器实现，使得来自外部系统的链接仅能够连接到代理服务器，无法直接连接内部系统的计算机。代理服务型防火墙同样对流经的数据进行分析和登记，发现疑似攻击请求时向用户发出警报提醒。

复合型防火墙相比于上述防火墙，具有更高的安全性，这种防火墙将包过滤技术与应用代理技术相结合而形成。复合型防火墙通常采用屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构两种方案。其中，屏蔽主机防火墙体系结构中，将分组过滤路由器与互联网直接连接，同时在内部系统安装堡垒机，使得来自互联网的链接仅能够到达堡垒机，从而保证内部网络不会受到攻击；屏蔽子网防火墙体系结构中，将堡垒机设置在子网内，同时将两个过滤路由器设置在该子网的来两端，共同构成防火墙的安全基础。

3 防火墙技术在高校信息系统安全中的应用

在高校中，各种信息系统通常运行在校园网中，因此，在高校中使用较多的是Web应用防火墙。本文以Web应用防火墙为例，详细介绍其在高校信息系统安全中的应用。

3.1 部署方式

Web应用防火墙通常与Web服务器进行串联部署，部署模式包括透明、反向代理、路由代理、端口镜像等几种。在实际应用中，为防止防火墙宕机，通常采用双机部署防火墙，其中一台用作备份。路由代理模式与桥模式的原理类似，但是在转发时采用路由模式。端口镜像模式中，将HTTP流量镜像到防火墙，利用防火墙对其进行监听，且不对会话进行阻拦[4]。

3.2 典型应用场景

高校Web应用面临的攻击方式较多，下面本文详细分析防火墙在高校信息系统安全防护中具体实际应用。

（1）通过检查HTTP协议的合规性，减少恶意代码攻击。HTTP协议工作在TCP之上，是一种较为简单且典型的通信协议，利用该协议，客户端可以向服务器发送指定的消息并得到相应的响应。在通信过程中，发送和接收消息通常以ASCII码的形式进行。

（2）通过检查网站应用流量，阻断SQL注入攻击。防火墙通过对网站应用流量进行监测和检查，判断来自请求中数据库命令或数据库查询语句是否存在安全风险，例如判断数据库查询语句是否被插入到HTTP请求中，来实现对风险请求的拦截，阻断SQL注入攻击[5]。

（3）通过检查应用流量，阻断跨站脚本攻击。跨站脚本攻击，也称为XSS，攻击者将恶意代码插入到页面中，一旦用户访问该页面恶意代码即自动执行，导致用户被攻击。设置防火墙后，可以对Web应用的流量进行检查，判断HTTP请求中是否存在恶意脚本，对可能存在安全风险的请求进行拦截，从而保护内部系统安全。

（4）通过检测危险命令，阻断操作系统命令注入攻击。在操作系统命令注入攻击中，攻击者将命令字符串隐藏到存在漏洞的网页中，从而获取目标服务器或数据库的操作权限，实现对目标用户的攻击。防火墙技术通过对Web应用流量进行检查，检测HTTP请求中是否存在危险的系统命令，根据检测结果判断是否对该请求进行拦截，从而实现阻断操作系统命令注入攻击的目的。

（5）通过限制HTTP请求，减轻DoS攻击。拒绝服务器攻击，即DoS攻击，这种攻击的目的是使目标计算机或网络瘫痪，无法提供正常的网络服务，如网络带宽攻击、连通性攻击等。可利用防火墙技术对HTTP请求进行限制，同时也对来自客户的链接的传输速率进行约束，能够有效缓解DoS攻击。

（6）通过删除敏感信息，隐藏Web站点。任何系统都无法保证不存在漏洞。很多攻击者利用漏洞扫描工具获取互联网上Web应用程序的漏洞，通过对这些漏洞的利用实现其攻击的目的。为了阻断这种攻击，防火墙技术给客户端发送HTTP响应消息时，将其首部和返回状态代码删除，可使得攻击者无法获得服务器的真实的IP，所有的Web请求都将经过防火墙，客户端无法直接连接服务器，从而有效对Web站点进行隐藏，提高Web站点的安全性。

4 结论

随着网络技术和计算机技术的飞速发展，高校的正常运转对信息技术的依赖程度越来越高，因此如何对高校信息系统安全进行有效防护成了高校面临的重要挑战之一。防火墙技术经过多年的发展，网络安全防护技术相对较为成熟，目前已经在高校的信息系统安全防护工作中发挥重要作用。对防火墙进行合理配置，可在不影响高校信息系统正常运转的同时提高其安全性。本文对防火墙技术及其在高校信息系统安全中的应用进行了研究和分析，分析了防火墙在各类应用场景中的基本工作原理和取得的效果。但是，由于各种新型网络攻击手段不断出现，防火墙技术往往也难以有效应对所有攻击，网络安全威胁难以彻底阻断，因此未来还需投入大量的人力物力开展安全防护技术研究。

[1]曾祥容. 基于防火墙和WAF安全设备的高校信息安全设计与应用[J]. 电子技术与软件工程，2018，000（009）：201-202.

[2]王乐，王叶静，葛永兴，等. Web应用防火墙在高校信息安全中的应用[J]. 长春师范学院学报（自然科学版），2020， 039（004）：80-82，104.

[3]张刚刚，武金相，胡迎宾. 基于防火墙策略处理高校突发网络安全事件的方法研究与设计[J]. 网络安全技术与应用， 2018，216（12）：92-93+95.

[4]张柳. WAF在高校网站系统中的部署实例研究[J]. 海峡科技与产业，2019，237（04）：100-102.

[5]赵江. 高校图书馆Web应用安全问题与对策[J]. 电脑知识与技术：学术版，2018，14（33）：51-52.

黑龙江省高等教育教学改革一般研究项目（SJGY20180531）；黑龙江省省属高等学校基本科研业务费科研项目（2018-KYYWFMY-0091）