下一代防火墙在职业院校校园网安全中的需求分析与应用

摘要：随着信息技术、计算机技术的飞速发展，各级院校校园网建设都逐步向着数字化、智慧化发展，防火墙技术作为网络安全防护的有效技术手段，在保障校园网络安全方面的作用和地位越来越重要。该文首先分析了传统防火墙在校园网安全中存在的问题，指出使用下一代防火墙的必要性，最后对下一代防火墙在职业院校校园网安全中的需求分析与应用进行了详细的阐述。

关键词：下一代防火墙;职业院校;校园网;网络安全

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）11-0038-03

随着信息技术、计算机技术的飞速发展，各级院校的校园网建设都在逐步向数字化和智慧化发展。校园网作为各级院校信息化建设的重要基础设施，为学校提供了教学、科研、行政管理、招生就业、后勤保障、资产管理、校园数字化生活及对外交流等重要数字化平台[1]。然而，在数字化服务给校园网带来高效便捷的同时，随之而来的黑客攻击、病毒攻击、信息泄露、垃圾邮件、反动色情等网络安全事件与过去相比呈指数级增长，给校园网正常运维造成严重的破坏，成为校园网信息化建设中不容忽视的重要问题。

因此，防火墙技术作为一种有效的网络安全防护技术手段，在保障校园网络安全方面发挥着越来越重要的作用。

1 传统防火墙在职业院校校园网安全防护中存在的缺陷

防火墙作为校园网与外网之间的唯一安全出入口，通过控制和检测网络中的信息交换和访问行为、过滤进出网络的数据、管理进出网络的访问，从而拦截一些被禁止的行为，记录通过防火墙的信息，检测和告警网络攻击，从而实现对网络安全的有效管理。

但是，随着网络技术和黑客技术的日益开放和专业化，各种类型的网络攻击越来越频繁，校园网中使用的路由器和传统防火墙已不能完全、良好地防御网络黑客攻击。

1.1 基于端口和IP协议控制策略的局限性

传统防火墙利用端口和IP协议进行控制的固有缺陷明显过时，基于端口/协议安全策略的相关性和效率越来越低。同时，利用僵尸网络作为传播手段的威胁也很难被察觉。

1.2 基于网络层和传输层防护的局限性

目前，网络的威胁主要是来自隐藏在数以万计的网络应用中的攻击。传统防火墙主要工作在网络层和传输层的，它只是基于简单的包检测机制，提供一般意义上的包检测、转发和拦截功能，不能很好地完成对深层包的检测和过滤。而对应用层的攻击无能为力，已无法对应用层进行很好安全管控和保护。

2 下一代防火墙技术

2.1 下一代防火墙概述

下一代防火墙，即Next Generation Firewall，简称NG Firewall，是一款能够全面应对应用层威胁的高性能防火墙。现代网络采用的是基于服务的架构，同时随着Web2.0使用的普及，传统防火墙基于端口/协议类安全策略的安全防护效率越来越低。著名咨询机构Gartner认为，如果要应对当前及未来新一代的网络安全威胁，务必再次升级为“下一代防火墙”[2]。

2.2 对下一代防火墙的认识

（1） 下一代防火墻通过高级安全功能保护组织，提供深度数据包检测、入侵防御（IPS） 、高级恶意软件检测、应用程序控制以及通过检测加密流量提高整体网络可见性等新功能。它可以使用在本地网络边缘到其内部边界的任何地方，也可以应用在公共或私有云中。

（2） 从架构上看，下一代防火墙采用集成化、单引擎，可以将应用层安全检测模块统一到一个检测引擎，各个功能模块还可以形成联动。

（3） 从应用上看，下一代防火墙提供更全面的L2-L7层攻击防护，不仅对web攻击、漏洞攻击、病毒木马等类型的应用层攻击有很好的防护效果，还能对服务器或终端外发的流量进行检查。

（4） 从防御体系上看，下一代防火墙的整套安全防御体系都是基于“动态云防护”设计的。可以通过“云”来收集安全威胁信息，快速寻找解决方案，及时更新攻击防护规则库，并以动态方式实时、准确地部署、更新到各用户设备去[3]。

2.3 下一代防火墙和传统防火墙的区别

传统防火墙跟踪记录流量来源域名及其流向的端口，而下一代防火墙则更多的是监视消息内容以防恶意软件和数据渗漏，同时还能实时反应阻止威胁。下一代防火墙还加入了行为分析、应用安全、内容监视，0-DAY攻击、恶意软件检测和对云环境的支持、终端防护。

2.3.1 功能的区别

下一代防火墙除了具备传统防火墙的所有功能之外，还被赋予了智能风险预知、深度安全防护、检测响应的能力，最终形成了全程保护、全程可视地融合安全体系。

（1） 事前预知。下一代防火墙能够在事前对内部的服务器进行自动识别，并且还能自动识别服务器上开放端口和存在的漏洞、弱密码等风险，同时还能判断识别出资产是否有对应的安全防护策略以及是否生效。

（2） 事中深度防护。下一代防火墙在事中防御层面融合了多种安全技术，提供了L2-7层完整的安全防御体系，还能通过安全联动功能加强防御体系的时效性和有效性，包括模块间的联动封锁，同云端安全联动，策略的智能联动等。

（3） 事后检测相应。下一代防火墙融合了事后检测及快速响应技术，即使在黑客入侵之后，也能够帮助用户及时发现入侵后的恶意行为，如检测僵尸主机发起的恶意行为、网页篡改、网站黑链植入及网站 Webshell 后门检测等，并快速推送告警事件，协助用户进行相应处置。

2.3.2 数据检测的区别

下一代防火墙提供深度包检测功能，通过检查网络数据包中携带的数据，完全超越了简单的端口和协议检查。

2.3.3 应对威胁的区别

下一代防火墙包含传统防火墙的功能，最主要的是增加了应用级检查、入侵防御以及对威胁情报服务提供的数据采取行动的能力，集成了新的威胁管理技术，可及时收集、过滤防火墙的各类信息，用于改进、优化阻止决策。在应用安全方面，可以随时针对各种应用层威胁做出深层次的识别。

3 职业院校校园网安全对下一代防火墙的需求分析

3.1 场景分析

3.1.1 对外发布场景分析：互联网及教科网出口对外门户网站

随着数字校园、智慧校园的建设，各级职业院校在信息化、信息安全的投入力度越来越大。然后，类似于对外门户网站的攻击篡改、考分系统的信息篡改等安全事故频频发生。从近几年数据来看，职业院校互联网及科教网出口对外门户网站的web防护方案需求更为迫切。

主要需求：（1） 互联网出口L2-7层安全防护;（2） 出口网站一站式安全防护。

差异化需求：（1） 机房电脑恶意外发流量检测;（2） 门户网站维护页面短信认证。

3.1.2 数据中心场景分析：选课系统、校园一卡通等系统安全防护

以往各职业院校数据中心主要采用防火墙对服务器做区域隔离，而现在应用层的安全防护优势较为凸显，各系统均存在SQL注入等web攻击的隐患。因此整个数据中心显得尤为重要[4]。

主要需求：（1） 各web服務器的web安全防护;（2） 各系统敏感信息防泄露。

3.2 需求分析

3.2.1 风险分析

（1） 网络互连带来的安全风险：校园网内的主机系统都不同程度地存在一些安全漏洞，攻击者可以利用这些漏洞进行破坏，最终引起数据被篡改、破坏、业务中断甚至服务器宕机，甚至造成校园网瘫痪。

（2） 攻击快速传播带来的安全风险：目前蠕虫、病毒、间谍软件、0-DAY攻击、垃圾邮件等威胁越来越多，传播更快，而网络杀毒系统是被动防护，本身技术缺陷导致无法检测到新的未知蠕虫[5]。

（3） 系统漏洞引发的安全风险：目前校园网服务器大多采用微软Windows操作系统，但是Windows操作系统本身存在很多安全漏洞，黑客可以利用这些漏洞进行攻击，这同时也是蠕虫病毒大量传播的原因之一。

3.2.2 安全分析

根据对校园网网络出口的风险分析，校园网出口的信息安全需求主要存在以下方面：

（1） 抵御外部威胁，防止蠕虫、网络病毒、间谍软件和黑客带来的安全损失，提升校园网整体抗攻击能力。

（2） 防御内部威胁，防止校园网服务器遭受攻击和破坏，保障校园网业务系统的正常运行。

（3） 有效控制滥用校园网络资源，限制各类即时通信软件、网络游戏、网络视频、P2P下载及各类疯狂下载等行为，加速网络畅通。

（4） 随时监控校园网的安全运行，全面掌握安全状况，尤其是容易出现安全问题的设备应及时发现安全隐患，防止安全事故的发生。

（5） 及时掌握内网的安全状况，包括安全隐患和漏洞，并及时修复这些漏洞，防止安全事件的发生。

4 下一代防火墙在职业院校校园网安全中的应用

4.1 校园网对外发布业务出口的安全防护

随着智慧校园建设推进和信息化建设的需要，各类职业院校搭建了众多需要对外发布的Web业务系统。对外发布的服务器上保存了大量重要而又敏感的业务数据，业务系统的各类漏洞容易被黑客利用，导致教师、学生私人数据甚至教育科研等重要数据泄露，对学校声誉和学校利益造成重大影响。

解决方案如图1所示。

（1） 在信息中心DMZ区边界部署下一代防火墙，开启网站防篡改功能，验证网站内容修改行为的合法性，防止网站内容被非法篡改。

（2） 检测并拦截来自互联网的非法扫描和渗透，抵御不法分子发起的如SQL注入、XSS攻击、网站挂马等应用层攻击行为，保障发布业务的安全可用性。

（3） 依托安全SaaS互联网资产风险监测平台，实时探测校园网关联资产及资产风险情况，聚合监测数据可视化展示，识别风险后微信告警、一键处置，实现立体化的校园网防护方案。

4.2 校园网出口安全防护

解决方案如图2所示。

在校园网出口部署下一代防火墙，基于多维度、设置精细化的访问控制策略，保证获得授权的用户才能正常访问网络，规避数据被非法窃取和破坏;同时提供防病毒、抗蠕虫、检测并处置僵尸主机等防护机制，减少内部威胁扩散的发生。

4.3 校园网数据中心安全防护

解决方案如图3所示。

在数据中心边界出口以HA方式部署两台数据中心防火墙，为数据中心各类服务应用提供一站式安全防护。中心防火墙通过精细化的访问控制策略，对来自内外部的访问加以管控，防范重要业务数据被非法窃取和篡改[6]。

5 结束语

校园网安全问题不能完全依赖防火墙，不能因为设置了防火墙及下一代防火墙就可以高枕无忧，还需要认真地从多个方面进行综合考虑：

（1） 虽然传统防火墙过于简单，但下一代防火墙的复杂性和处理负担是其最大的弱点。因此必须根据具体需求、以平衡安全功能和性能的方式选择传统防火墙和下一代防火墙。

（2） 对于大部分客户的需求，传统防火墙基本能够满足。当然，下一代防火墙也占据了一定的市场份额，下一代防火墙必将代替传统防火墙，这也是网络安全防护不可抗拒的发展趋势。

（3） 强化管理者安全意识。在日常工作中，还要提高管理者、使用者的自身网络安全意识，加强安全知识学习，并结合有效的网络管理措施，形成层次化、纵深的校园网安全防御体系。

参考文献：

[1] 黄超.网络防火墙技术在校园网安全中的应用研究[J].黑龙江科学，2018，9（1）：132-133.

[2] 陈传伟.下一代防火墙NGFW技术探讨[J].科技创新与应用，2016（17）：87.

[3] 向建均.高校图书馆网络安全解决方案探析——以四川外国语大学图书馆为例[J].内蒙古科技与经济，2020（12）：79-80，82.

[4] 郑传德.下一代防火墙在网络安全防护中的应用[J].网络安全技术与应用，2021（6）：12-13.

[5] 陈尚春.新背景下计算机网络信息安全和防火墙技术应用分析[J].数字技术与应用，2018，36（10）：196，236.

[6] 睢贵芳.防火墙技术及其在校园网络安全中的应用探究[J].网络安全技术与应用，2019（2）：57，66.

收稿日期：2021-11-02

作者简介：张小秋（1974—） ，男，河南焦作人，高级讲师，本科，主要研究方向为计算机应用技术。