浅谈高职院校校园信息网络安全的防护与管理

朱 林

（辽阳职业技术学院，辽宁 辽阳111004）

0 引言

《中华人民共和国网络安全法》于2017年6月1日起正式开始实施.回顾立法过程，国家仅仅用了不到两年的时间，便完成了三次审议和两次公开征求意见和修改，从立法的速度上可以看出，国家对于网络环境自理和网络安全防护的重视程度将越来越高，也越来越急迫.目前高职类院校都运行有自己的校园网络，而且在 “互联网＋”的大潮下，各个学校也都在积极地开展校园信息化的建设，各种网站平台和应用系统在不断的增多，网络服务的规模也在不断地增大.与此同时，随着发展而暴露出的问题也越来越多，特别是网络安全防护的问题，它已经成为校园信息化建设要解决的首要问题.

目前大多高职院校都存在着资金不足、技术水平有限、领导重视不够等现状，这些现状使得校园网的安全防护建设相对比较迟缓.而外部网络环境则随着 “互联网＋”的商业化运行，一些攻击手段层出不穷，特别是一些不法组织为了商业利益而使用一些挂马、黑链等手段，频繁对网站进行入侵和篡改.所以在这种双重压力下高职院校需要调整，通过有限的资金和技术，反击一切外来的不法入侵.在此我们将讨论校园网中常见的几种防护手段，通过对比和分析，选择合适的技术手段保证校园网络的安全.

1 硬件防火墙

防火墙 （Firewall）是指在需要防护的两个网络之间设置的一个防御系统，而硬件防护墙是专门设计用于完成这种防御功能的硬件设备.它大多串联在网络的主干位置或两种不同功用的网络之间，通过对内置的一些规则、特征库和相关阈值的设定，来实现网络访问的限制和防护功能.

防火墙的实现原理与ACL类似，也是根据规则对数据包进行过滤，从而来实现对数据访问的限制，与ACL不同的是它还加入了端口安全和对数据包进行统计分析的功能，通过设置相应的阈值来区分正常的数据通信和恶意的访问攻击.可以看出防火墙是对2～4层的报文信息进行过滤和限制，从而达到对网络访问进行防护的作用.

与ACL相比，硬件防火墙在实际部署中有着相当大的优势：首先，目前的硬件防火墙多采用界面化的形式进行操作，并在出厂前内置了多种规则集和默认的防攻击参数，用户只要通过简单的选择与设置即可实现防火墙的防护功能，这不但使网络的防护更加全面，而且极大地简化了管理人员的操作与维护；其次，实现限制的包过滤功能有了独立的硬件载体，它不受其他网络数据交换功能的影响，所以处理速度更快，功能更完善，稳定性也更高.

硬件防火墙在实际部署中也存在着自己的不足：首先，硬件防火墙多串联在网络主干位置或出口位置，以实现对整个网络的保护，因此它的配置决定着整个网络性能的优劣，所以它的配置需要根据网络的需求选择，这往往需要投入一定的资金；其次，由于资金投入的原因部署数量会很少，所以多数部署在网络的主干位置，与ACL相比灵活性较差.第三，硬件防火墙对数据的过滤层级仍然维持在2～4层防护，可防护的范围相对有限.

由此看出，在校园信息化建设过程中，硬件防火墙可以说是整个校园网的主要防护手段，一般将其部署在出口位置，成为阻挡外网的第一道防线.但从全面防护的角度来说，它的防护层级相对较低，对于一些应用层的入侵注入它仍旧无能为力，所以仍需其他防护手段进行辅助防御.

2 入侵检测系统与入侵防御系统

入侵检测系统简称IDS（Intrusion Detection Systems），一般分为实时入侵检测和事后入侵检测两种，它一般以旁路模式部署在网络的主干位置对网络中的数据进行监听，再通过特征库匹配、基于统计的分析和完整性分析等技术手段对数据进行分析，从而判定其中是否含有攻击的企图，并向管理员报告.它可以说是网络中的监视系统，对整个网络起着实时监控和事后分析的作用，是继硬件防火墙之后网络检测的第二种手段［1］.

在实际部署中，由于入侵检测系统是以旁路模式在网络中对数据进行监听，所以它可以在不影响网络性能的情况下对网络中的入侵行为进行检测，但同时也存在误报、漏报、检测技术有缺陷等不足，尤其是它对检测出的入侵行为没有有效的处理机制，也就是说，IDS只能检测、报告和事后分析，而无法对检测出的入侵行为进行主动防御.高职院校网络安全的主要威胁是来自外网的攻击，而只检测不防御的IDS只对内网排障和监控有作用，所以IDS在高职院校的实际使用中有很大局限.

入侵防御系统简称IPS（Intrusion Prevention System），它一般串联在网络的主干位置对数据进行监听，再通过各种内置规则的过滤器对数据进行过滤，它可以有效阻止攻击者利用2～7层漏洞发起的攻击，可以说它是一种带防御功能的IDS.

在实际部署中，IPS与IDS的旁路监听不同，它是串联在网络主干中，对流经它的数据进行2～7层全面的扫描和过滤.所以数据流量越大，IPS的运行压力就越大，对其硬件性能的要求就越高，因此IPS往往最容易成为网络中的一个瓶颈.而高性能的IPS设备则需要较大的资金投入，对于高职院校来说投入产出比相对有些偏高.

3 Web应用防火墙

Web应用防火墙简称WAF（Web Application Firewall），有的资料也称网站应用级入侵防御系统，可以看出它是针对网站的防护而专门开发的一种入侵防御系统.它通过执行一系列针对HTTP／HTTPS服务的安全策略，来专门为Web应用提供保护.它可以运行在OSI参考模型的应用层，也就是说它可以对网站提供2～7层的全方位防护，它可以说是为网站专门设计的 “贴身保镖”.在实际部署中大多串联在服务器汇聚交换机的上连位置，以此来对整个服务器群进行防护［2］.

Web应用防火墙实现原理与IPS相同，它是将SQL注入、网页篡改、网页挂马等攻击手段以及操作系统和数据库等软件的漏洞制成相应的特征库，再通过代理服务、特征识别、算法识别、模式匹配等技术手段实现对数据包的过滤，并通过对特征库的不断更新，以应对最新的攻击手段和系统漏洞.

与其他防护手段相比，Web应用防火墙在实际部署中有着自己独特的优势：首先，Web应用防火墙集成了大量的针对应用层的系统漏洞和攻击手段的特征库，管理人员只需要通过界面化的简单配置就可以有效的完成对网站系统的全面防护；其次，目前高职院校对外提供的服务主要是Web服务，而面临外部攻击威胁最多的也是Web服务，而Web应用防火墙可以有效地实现对网站的2～7层全面防护，所以说它是解决高职院校网络防护中最有效的设备.

Web应用防火墙在实际部署中也存在着自己的不足：首先，Web应用防火墙大多串联在服务器群的主干位置，而且它需要对2～7的数据进行校验，所以它的性能高低直接决定整个服务器群效率的优劣；其次，Web应用防火墙的首次投入和后期特征库的更新和维护都需要一定的资金投入；第三，对应用层的数据校验需要占用一定的硬件资源，所以为了提高设备的使用效率，Web应用防火墙一般只针对几个端口 （如80端口等）进行防护，防护范围相对较小.由此看出，在校园信息化建设过程中，Web应用防火墙可以说是针对网站系统最有效的防护手段，一般我们把它部署在服务器群上连位置，使其成为服务器群的贴身防线.但由于它只针对几个Web服务端口进行防护，所以从全局防护来看，它仍需要与其他防护手段来配合使用，以充分发挥其长处，弥补其不足.

4 结语

高职院校在发展校园信息化建设时，由于在资金和技术方面有一定的局限性，所以需要更加高效的方案来实现网络安全的防护.因此我们首先需要在网络各主干位置的最前端利用ACL技术和硬件防火墙将不必要的端口全部关闭，以减轻其他防护设备的压力.其次我们还需要使用Web应用防火墙对服务器群开放的端口进行专项防护，以保障Web服务的正常运行.而IPS和IDS则可以作为辅助手段对全网进行监控和防护.这种 “前后主防，中间辅助”的网络防护方案，应该是一种最适合高职院校校园信息化建设的网络安全防护方案.