摘要：隨著信息技術(shù)、計算機(jī)技術(shù)的飛速發(fā)展，各級院校校園網(wǎng)建設(shè)都逐步向著數(shù)字化、智慧化發(fā)展，防火墻技術(shù)作為網(wǎng)絡(luò)安全防護(hù)的有效技術(shù)手段，在保障校園網(wǎng)絡(luò)安全方面的作用和地位越來越重要。該文首先分析了傳統(tǒng)防火墻在校園網(wǎng)安全中存在的問題，指出使用下一代防火墻的必要性，最后對下一代防火墻在職業(yè)院校校園網(wǎng)安全中的需求分析與應(yīng)用進(jìn)行了詳細(xì)的闡述。

關(guān)鍵詞：下一代防火墻;職業(yè)院校;校園網(wǎng);網(wǎng)絡(luò)安全

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）11-0038-03

隨著信息技術(shù)、計算機(jī)技術(shù)的飛速發(fā)展，各級院校的校園網(wǎng)建設(shè)都在逐步向數(shù)字化和智慧化發(fā)展。校園網(wǎng)作為各級院校信息化建設(shè)的重要基礎(chǔ)設(shè)施，為學(xué)校提供了教學(xué)、科研、行政管理、招生就業(yè)、后勤保障、資產(chǎn)管理、校園數(shù)字化生活及對外交流等重要數(shù)字化平臺[1]。然而，在數(shù)字化服務(wù)給校園網(wǎng)帶來高效便捷的同時，隨之而來的黑客攻擊、病毒攻擊、信息泄露、垃圾郵件、反動色情等網(wǎng)絡(luò)安全事件與過去相比呈指數(shù)級增長，給校園網(wǎng)正常運(yùn)維造成嚴(yán)重的破壞，成為校園網(wǎng)信息化建設(shè)中不容忽視的重要問題。

因此，防火墻技術(shù)作為一種有效的網(wǎng)絡(luò)安全防護(hù)技術(shù)手段，在保障校園網(wǎng)絡(luò)安全方面發(fā)揮著越來越重要的作用。

1 傳統(tǒng)防火墻在職業(yè)院校校園網(wǎng)安全防護(hù)中存在的缺陷

防火墻作為校園網(wǎng)與外網(wǎng)之間的唯一安全出入口，通過控制和檢測網(wǎng)絡(luò)中的信息交換和訪問行為、過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)、管理進(jìn)出網(wǎng)絡(luò)的訪問，從而攔截一些被禁止的行為，記錄通過防火墻的信息，檢測和告警網(wǎng)絡(luò)攻擊，從而實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。

但是，隨著網(wǎng)絡(luò)技術(shù)和黑客技術(shù)的日益開放和專業(yè)化，各種類型的網(wǎng)絡(luò)攻擊越來越頻繁，校園網(wǎng)中使用的路由器和傳統(tǒng)防火墻已不能完全、良好地防御網(wǎng)絡(luò)黑客攻擊。

1.1 基于端口和IP協(xié)議控制策略的局限性

傳統(tǒng)防火墻利用端口和IP協(xié)議進(jìn)行控制的固有缺陷明顯過時，基于端口/協(xié)議安全策略的相關(guān)性和效率越來越低。同時，利用僵尸網(wǎng)絡(luò)作為傳播手段的威脅也很難被察覺。

1.2 基于網(wǎng)絡(luò)層和傳輸層防護(hù)的局限性

目前，網(wǎng)絡(luò)的威脅主要是來自隱藏在數(shù)以萬計的網(wǎng)絡(luò)應(yīng)用中的攻擊。傳統(tǒng)防火墻主要工作在網(wǎng)絡(luò)層和傳輸層的，它只是基于簡單的包檢測機(jī)制，提供一般意義上的包檢測、轉(zhuǎn)發(fā)和攔截功能，不能很好地完成對深層包的檢測和過濾。而對應(yīng)用層的攻擊無能為力，已無法對應(yīng)用層進(jìn)行很好安全管控和保護(hù)。

2 下一代防火墻技術(shù)

2.1 下一代防火墻概述

下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款能夠全面應(yīng)對應(yīng)用層威脅的高性能防火墻?，F(xiàn)代網(wǎng)絡(luò)采用的是基于服務(wù)的架構(gòu)，同時隨著Web2.0使用的普及，傳統(tǒng)防火墻基于端口/協(xié)議類安全策略的安全防護(hù)效率越來越低。著名咨詢機(jī)構(gòu)Gartner認(rèn)為，如果要應(yīng)對當(dāng)前及未來新一代的網(wǎng)絡(luò)安全威脅，務(wù)必再次升級為“下一代防火墻”[2]。

2.2 對下一代防火墻的認(rèn)識

（1） 下一代防火墻通過高級安全功能保護(hù)組織，提供深度數(shù)據(jù)包檢測、入侵防御（IPS） 、高級惡意軟件檢測、應(yīng)用程序控制以及通過檢測加密流量提高整體網(wǎng)絡(luò)可見性等新功能。它可以使用在本地網(wǎng)絡(luò)邊緣到其內(nèi)部邊界的任何地方，也可以應(yīng)用在公共或私有云中。

（2） 從架構(gòu)上看，下一代防火墻采用集成化、單引擎，可以將應(yīng)用層安全檢測模塊統(tǒng)一到一個檢測引擎，各個功能模塊還可以形成聯(lián)動。

（3） 從應(yīng)用上看，下一代防火墻提供更全面的L2-L7層攻擊防護(hù)，不僅對web攻擊、漏洞攻擊、病毒木馬等類型的應(yīng)用層攻擊有很好的防護(hù)效果，還能對服務(wù)器或終端外發(fā)的流量進(jìn)行檢查。

（4） 從防御體系上看，下一代防火墻的整套安全防御體系都是基于“動態(tài)云防護(hù)”設(shè)計的?？梢酝ㄟ^“云”來收集安全威脅信息，快速尋找解決方案，及時更新攻擊防護(hù)規(guī)則庫，并以動態(tài)方式實(shí)時、準(zhǔn)確地部署、更新到各用戶設(shè)備去[3]。

2.3 下一代防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)防火墻跟蹤記錄流量來源域名及其流向的端口，而下一代防火墻則更多的是監(jiān)視消息內(nèi)容以防惡意軟件和數(shù)據(jù)滲漏，同時還能實(shí)時反應(yīng)阻止威脅。下一代防火墻還加入了行為分析、應(yīng)用安全、內(nèi)容監(jiān)視，0-DAY攻擊、惡意軟件檢測和對云環(huán)境的支持、終端防護(hù)。

2.3.1 功能的區(qū)別

下一代防火墻除了具備傳統(tǒng)防火墻的所有功能之外，還被賦予了智能風(fēng)險預(yù)知、深度安全防護(hù)、檢測響應(yīng)的能力，最終形成了全程保護(hù)、全程可視地融合安全體系。

（1） 事前預(yù)知。下一代防火墻能夠在事前對內(nèi)部的服務(wù)器進(jìn)行自動識別，并且還能自動識別服務(wù)器上開放端口和存在的漏洞、弱密碼等風(fēng)險，同時還能判斷識別出資產(chǎn)是否有對應(yīng)的安全防護(hù)策略以及是否生效。

（2） 事中深度防護(hù)。下一代防火墻在事中防御層面融合了多種安全技術(shù)，提供了L2-7層完整的安全防御體系，還能通過安全聯(lián)動功能加強(qiáng)防御體系的時效性和有效性，包括模塊間的聯(lián)動封鎖，同云端安全聯(lián)動，策略的智能聯(lián)動等。

（3） 事后檢測相應(yīng)。下一代防火墻融合了事后檢測及快速響應(yīng)技術(shù)，即使在黑客入侵之后，也能夠幫助用戶及時發(fā)現(xiàn)入侵后的惡意行為，如檢測僵尸主機(jī)發(fā)起的惡意行為、網(wǎng)頁篡改、網(wǎng)站黑鏈植入及網(wǎng)站 Webshell 后門檢測等，并快速推送告警事件，協(xié)助用戶進(jìn)行相應(yīng)處置。

2.3.2 數(shù)據(jù)檢測的區(qū)別

下一代防火墻提供深度包檢測功能，通過檢查網(wǎng)絡(luò)數(shù)據(jù)包中攜帶的數(shù)據(jù)，完全超越了簡單的端口和協(xié)議檢查。

2.3.3 應(yīng)對威脅的區(qū)別

下一代防火墻包含傳統(tǒng)防火墻的功能，最主要的是增加了應(yīng)用級檢查、入侵防御以及對威脅情報服務(wù)提供的數(shù)據(jù)采取行動的能力，集成了新的威脅管理技術(shù)，可及時收集、過濾防火墻的各類信息，用于改進(jìn)、優(yōu)化阻止決策。在應(yīng)用安全方面，可以隨時針對各種應(yīng)用層威脅做出深層次的識別。

3 職業(yè)院校校園網(wǎng)安全對下一代防火墻的需求分析

3.1 場景分析

3.1.1 對外發(fā)布場景分析：互聯(lián)網(wǎng)及教科網(wǎng)出口對外門戶網(wǎng)站

隨著數(shù)字校園、智慧校園的建設(shè)，各級職業(yè)院校在信息化、信息安全的投入力度越來越大。然后，類似于對外門戶網(wǎng)站的攻擊篡改、考分系統(tǒng)的信息篡改等安全事故頻頻發(fā)生。從近幾年數(shù)據(jù)來看，職業(yè)院?；ヂ?lián)網(wǎng)及科教網(wǎng)出口對外門戶網(wǎng)站的web防護(hù)方案需求更為迫切。

主要需求：（1） 互聯(lián)網(wǎng)出口L2-7層安全防護(hù);（2） 出口網(wǎng)站一站式安全防護(hù)。

差異化需求：（1） 機(jī)房電腦惡意外發(fā)流量檢測;（2） 門戶網(wǎng)站維護(hù)頁面短信認(rèn)證。

3.1.2 數(shù)據(jù)中心場景分析：選課系統(tǒng)、校園一卡通等系統(tǒng)安全防護(hù)

以往各職業(yè)院校數(shù)據(jù)中心主要采用防火墻對服務(wù)器做區(qū)域隔離，而現(xiàn)在應(yīng)用層的安全防護(hù)優(yōu)勢較為凸顯，各系統(tǒng)均存在SQL注入等web攻擊的隱患。因此整個數(shù)據(jù)中心顯得尤為重要[4]。

主要需求：（1） 各web服務(wù)器的web安全防護(hù);（2） 各系統(tǒng)敏感信息防泄露。

3.2 需求分析

3.2.1 風(fēng)險分析

（1） 網(wǎng)絡(luò)互連帶來的安全風(fēng)險：校園網(wǎng)內(nèi)的主機(jī)系統(tǒng)都不同程度地存在一些安全漏洞，攻擊者可以利用這些漏洞進(jìn)行破壞，最終引起數(shù)據(jù)被篡改、破壞、業(yè)務(wù)中斷甚至服務(wù)器宕機(jī)，甚至造成校園網(wǎng)癱瘓。

（2） 攻擊快速傳播帶來的安全風(fēng)險：目前蠕蟲、病毒、間諜軟件、0-DAY攻擊、垃圾郵件等威脅越來越多，傳播更快，而網(wǎng)絡(luò)殺毒系統(tǒng)是被動防護(hù)，本身技術(shù)缺陷導(dǎo)致無法檢測到新的未知蠕蟲[5]。

（3） 系統(tǒng)漏洞引發(fā)的安全風(fēng)險：目前校園網(wǎng)服務(wù)器大多采用微軟Windows操作系統(tǒng)，但是Windows操作系統(tǒng)本身存在很多安全漏洞，黑客可以利用這些漏洞進(jìn)行攻擊，這同時也是蠕蟲病毒大量傳播的原因之一。

3.2.2 安全分析

根據(jù)對校園網(wǎng)網(wǎng)絡(luò)出口的風(fēng)險分析，校園網(wǎng)出口的信息安全需求主要存在以下方面：

（1） 抵御外部威脅，防止蠕蟲、網(wǎng)絡(luò)病毒、間諜軟件和黑客帶來的安全損失，提升校園網(wǎng)整體抗攻擊能力。

（2） 防御內(nèi)部威脅，防止校園網(wǎng)服務(wù)器遭受攻擊和破壞，保障校園網(wǎng)業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

（3） 有效控制濫用校園網(wǎng)絡(luò)資源，限制各類即時通信軟件、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)視頻、P2P下載及各類瘋狂下載等行為，加速網(wǎng)絡(luò)暢通。

（4） 隨時監(jiān)控校園網(wǎng)的安全運(yùn)行，全面掌握安全狀況，尤其是容易出現(xiàn)安全問題的設(shè)備應(yīng)及時發(fā)現(xiàn)安全隱患，防止安全事故的發(fā)生。

（5） 及時掌握內(nèi)網(wǎng)的安全狀況，包括安全隱患和漏洞，并及時修復(fù)這些漏洞，防止安全事件的發(fā)生。

4 下一代防火墻在職業(yè)院校校園網(wǎng)安全中的應(yīng)用

4.1 校園網(wǎng)對外發(fā)布業(yè)務(wù)出口的安全防護(hù)

隨著智慧校園建設(shè)推進(jìn)和信息化建設(shè)的需要，各類職業(yè)院校搭建了眾多需要對外發(fā)布的Web業(yè)務(wù)系統(tǒng)。對外發(fā)布的服務(wù)器上保存了大量重要而又敏感的業(yè)務(wù)數(shù)據(jù)，業(yè)務(wù)系統(tǒng)的各類漏洞容易被黑客利用，導(dǎo)致教師、學(xué)生私人數(shù)據(jù)甚至教育科研等重要數(shù)據(jù)泄露，對學(xué)校聲譽(yù)和學(xué)校利益造成重大影響。

解決方案如圖1所示。

（1） 在信息中心DMZ區(qū)邊界部署下一代防火墻，開啟網(wǎng)站防篡改功能，驗(yàn)證網(wǎng)站內(nèi)容修改行為的合法性，防止網(wǎng)站內(nèi)容被非法篡改。

（2） 檢測并攔截來自互聯(lián)網(wǎng)的非法掃描和滲透，抵御不法分子發(fā)起的如SQL注入、XSS攻擊、網(wǎng)站掛馬等應(yīng)用層攻擊行為，保障發(fā)布業(yè)務(wù)的安全可用性。

（3） 依托安全SaaS互聯(lián)網(wǎng)資產(chǎn)風(fēng)險監(jiān)測平臺，實(shí)時探測校園網(wǎng)關(guān)聯(lián)資產(chǎn)及資產(chǎn)風(fēng)險情況，聚合監(jiān)測數(shù)據(jù)可視化展示，識別風(fēng)險后微信告警、一鍵處置，實(shí)現(xiàn)立體化的校園網(wǎng)防護(hù)方案。

4.2 校園網(wǎng)出口安全防護(hù)

解決方案如圖2所示。

在校園網(wǎng)出口部署下一代防火墻，基于多維度、設(shè)置精細(xì)化的訪問控制策略，保證獲得授權(quán)的用戶才能正常訪問網(wǎng)絡(luò)，規(guī)避數(shù)據(jù)被非法竊取和破壞;同時提供防病毒、抗蠕蟲、檢測并處置僵尸主機(jī)等防護(hù)機(jī)制，減少內(nèi)部威脅擴(kuò)散的發(fā)生。

4.3 校園網(wǎng)數(shù)據(jù)中心安全防護(hù)

解決方案如圖3所示。

在數(shù)據(jù)中心邊界出口以HA方式部署兩臺數(shù)據(jù)中心防火墻，為數(shù)據(jù)中心各類服務(wù)應(yīng)用提供一站式安全防護(hù)。中心防火墻通過精細(xì)化的訪問控制策略，對來自內(nèi)外部的訪問加以管控，防范重要業(yè)務(wù)數(shù)據(jù)被非法竊取和篡改[6]。

5 結(jié)束語

校園網(wǎng)安全問題不能完全依賴防火墻，不能因?yàn)樵O(shè)置了防火墻及下一代防火墻就可以高枕無憂，還需要認(rèn)真地從多個方面進(jìn)行綜合考慮：

（1） 雖然傳統(tǒng)防火墻過于簡單，但下一代防火墻的復(fù)雜性和處理負(fù)擔(dān)是其最大的弱點(diǎn)。因此必須根據(jù)具體需求、以平衡安全功能和性能的方式選擇傳統(tǒng)防火墻和下一代防火墻。

（2） 對于大部分客戶的需求，傳統(tǒng)防火墻基本能夠滿足。當(dāng)然，下一代防火墻也占據(jù)了一定的市場份額，下一代防火墻必將代替?zhèn)鹘y(tǒng)防火墻，這也是網(wǎng)絡(luò)安全防護(hù)不可抗拒的發(fā)展趨勢。

（3） 強(qiáng)化管理者安全意識。在日常工作中，還要提高管理者、使用者的自身網(wǎng)絡(luò)安全意識，加強(qiáng)安全知識學(xué)習(xí)，并結(jié)合有效的網(wǎng)絡(luò)管理措施，形成層次化、縱深的校園網(wǎng)安全防御體系。

參考文獻(xiàn)：

[1] 黃超.網(wǎng)絡(luò)防火墻技術(shù)在校園網(wǎng)安全中的應(yīng)用研究[J].黑龍江科學(xué)，2018，9（1）：132-133.

[2] 陳傳偉.下一代防火墻NGFW技術(shù)探討[J].科技創(chuàng)新與應(yīng)用，2016（17）：87.

[3] 向建均.高校圖書館網(wǎng)絡(luò)安全解決方案探析——以四川外國語大學(xué)圖書館為例[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2020（12）：79-80，82.

[4] 鄭傳德.下一代防火墻在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（6）：12-13.

[5] 陳尚春.新背景下計算機(jī)網(wǎng)絡(luò)信息安全和防火墻技術(shù)應(yīng)用分析[J].數(shù)字技術(shù)與應(yīng)用，2018，36（10）：196，236.

[6] 睢貴芳.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（2）：57，66.

收稿日期：2021-11-02

作者簡介：張小秋（1974—） ，男，河南焦作人，高級講師，本科，主要研究方向?yàn)橛嬎銠C(jī)應(yīng)用技術(shù)。