探究基于WEB防火墻的校園網(wǎng)絡(luò)安全解決策略

◆李 貞

（晉中職業(yè)技術(shù)學(xué)院電子信息系 山西 030600）

探究基于WEB防火墻的校園網(wǎng)絡(luò)安全解決策略

◆李 貞

（晉中職業(yè)技術(shù)學(xué)院電子信息系 山西 030600）

隨著社會(huì)經(jīng)濟(jì)技術(shù)的不斷發(fā)展，社會(huì)對(duì)人才的需求量越來(lái)越大，同時(shí)對(duì)人才的質(zhì)量也提出很高的要求。目前，許多高校紛紛擴(kuò)招，學(xué)校的規(guī)模也不斷增大，學(xué)校人數(shù)不斷增加，在網(wǎng)絡(luò)信息技術(shù)不斷推廣發(fā)展的情況下，學(xué)校對(duì)網(wǎng)絡(luò)的需求量也越來(lái)越大。隨著網(wǎng)絡(luò)自動(dòng)化辦公逐漸成為主流，網(wǎng)絡(luò)安全問(wèn)題也逐漸在網(wǎng)絡(luò)應(yīng)用過(guò)程中顯示出來(lái)。對(duì)于網(wǎng)絡(luò)安全問(wèn)題，許多人都使用網(wǎng)絡(luò)工具，但是對(duì)網(wǎng)絡(luò)安全卻非常的陌生。因此，為了更好地解決網(wǎng)絡(luò)問(wèn)題，需要網(wǎng)絡(luò)專(zhuān)業(yè)技術(shù)人員提出一套行之有效的解決方案，以此來(lái)保證校園網(wǎng)絡(luò)安全。本文就WEB防火墻技術(shù)在校園網(wǎng)絡(luò)安全方面的應(yīng)用進(jìn)行深入的分析探討，希望該技術(shù)能夠被推廣并應(yīng)用在更多的網(wǎng)絡(luò)安全防護(hù)中。

WEB防火墻；校園網(wǎng)絡(luò)安全；解決策略

0 引言

當(dāng)今社會(huì)，互聯(lián)網(wǎng)飛速發(fā)展，給人們的生活帶來(lái)極大的方便，也解決人們生活中的許多問(wèn)題。網(wǎng)絡(luò)信息技術(shù)的推廣運(yùn)用，改變了人們的生活方式，但是，在信息技術(shù)不斷發(fā)展的同時(shí)，也暴露出了許多問(wèn)題。而對(duì)于信息網(wǎng)絡(luò)技術(shù)方面的問(wèn)題，許多人并不是特別地了解。學(xué)校是互聯(lián)網(wǎng)運(yùn)用需求量比較大的區(qū)域之一。隨著辦公自動(dòng)化的逐漸普及推廣，同時(shí)也為了讓學(xué)生的網(wǎng)絡(luò)信息技術(shù)運(yùn)用有一個(gè)安全的環(huán)境，在網(wǎng)絡(luò)安全防護(hù)中運(yùn)用防火墻技術(shù)，可以對(duì)網(wǎng)絡(luò)運(yùn)用進(jìn)行安全防護(hù)。

1 校園WEB信息系統(tǒng)安全現(xiàn)狀

B/S 架構(gòu)是校園WEB信息系統(tǒng)通常采用的方式，在WEB的客戶端訪問(wèn)中，由于大多數(shù)客戶端應(yīng)用是動(dòng)態(tài)的網(wǎng)頁(yè)瀏覽，并且在動(dòng)態(tài)的網(wǎng)頁(yè)瀏覽過(guò)程中沒(méi)有任何進(jìn)一步的防護(hù)技術(shù)操作，因此，校園WEB信息網(wǎng)站也是黑客或惡意程序經(jīng)常攻擊的首選目標(biāo)。如果在網(wǎng)絡(luò)應(yīng)用程序開(kāi)發(fā)過(guò)程中，程序的開(kāi)發(fā)人員沒(méi)有強(qiáng)烈的安全意識(shí)，對(duì)自己設(shè)計(jì)開(kāi)發(fā)的程序參數(shù)輸入檢查不仔細(xì)不嚴(yán)格，就會(huì)出現(xiàn)WEB網(wǎng)站的安全漏洞現(xiàn)象，進(jìn)一步導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)，給使用網(wǎng)絡(luò)的用戶帶來(lái)許多負(fù)面影響，并且也會(huì)導(dǎo)致一些機(jī)密文件及機(jī)密信息泄露，造成不必要的損失[1]。對(duì)于WEB網(wǎng)站安全漏洞問(wèn)題，下面進(jìn)行一一分析。

1.1 信息泄露問(wèn)題

如今利用網(wǎng)絡(luò)信息技術(shù)就可以完成許多操作，比如：網(wǎng)絡(luò)購(gòu)物的支付操作、網(wǎng)絡(luò)報(bào)名操作等。為了進(jìn)一步確認(rèn)操作者的身份，在進(jìn)行網(wǎng)絡(luò)操作的過(guò)程中，需要操作人員填寫(xiě)自己的真實(shí)信息。如果在填寫(xiě)操作過(guò)程中，WEB信息服務(wù)在處理用戶提交的用戶名、密碼等關(guān)鍵信息時(shí)，如果處理不好，就會(huì)導(dǎo)致用戶信息泄露。如果用戶填寫(xiě)的是個(gè)人資料，泄露會(huì)給個(gè)人帶來(lái)極大隱患；如果用戶是一個(gè)企業(yè)，那么信息泄露后，有可能會(huì)導(dǎo)致機(jī)密技術(shù)或企業(yè)秘密信息的泄露，這帶來(lái)的危害是非常嚴(yán)重的。

1.2 跨站請(qǐng)求偽造CSRF，進(jìn)而盜取信息

在網(wǎng)絡(luò)用戶與服務(wù)器進(jìn)行數(shù)據(jù)交互時(shí)，網(wǎng)絡(luò)黑客將惡意腳本隱藏在用戶操作提交的數(shù)據(jù)中，從而竊取和篡改用戶敏感信息，黑客是網(wǎng)絡(luò)信息中常見(jiàn)的安全隱患之一。

1.3 SQL注入攻擊，造成主機(jī)敏感信息泄露

在用戶提交CGI參數(shù)數(shù)據(jù)過(guò)程中，WEB的應(yīng)用程序還要對(duì)其進(jìn)行檢查過(guò)濾。如果在檢查過(guò)濾過(guò)程不嚴(yán)格，就會(huì)導(dǎo)致SQL代碼的惡意插入，給網(wǎng)絡(luò)信息安全帶來(lái)隱患。后臺(tái)數(shù)據(jù)庫(kù)將被惡意人員操作，并對(duì)其進(jìn)行非法修改，致使數(shù)據(jù)庫(kù)的主機(jī)敏感信息被泄露[2]。主機(jī)是操作核心，如果主機(jī)的信息遭到泄露或篡改，就會(huì)給其他計(jì)算機(jī)的操作運(yùn)行帶來(lái)極大的負(fù)面影響。

1.4 aps漏洞是導(dǎo)致信息泄露的主要原因之一

在WEB信息系統(tǒng)管理過(guò)程中，如國(guó)WEB管理后臺(tái)的程序配置不當(dāng)，就會(huì)造成aps漏洞，在漏洞出現(xiàn)后，如果不及時(shí)修復(fù)，或不及時(shí)操作處理，就會(huì)讓黑客種下木馬病毒，進(jìn)入信息系統(tǒng)的內(nèi)核[3]。我們?cè)谑褂糜?jì)算機(jī)時(shí)，會(huì)看到或聽(tīng)到與木馬病毒或木馬查殺有關(guān)的信息，為了避免信息泄露，用戶要按照程序要求進(jìn)行操作。

2 解決思路及拓?fù)浣Y(jié)構(gòu)整體方案

由于學(xué)校對(duì)網(wǎng)絡(luò)需求比較大，為了讓學(xué)校的網(wǎng)絡(luò)信息安全防護(hù)更加的完善，下面提出相應(yīng)的解決方案。主要將下一代防火墻技術(shù)、WEB 應(yīng)用防火墻技術(shù)、以及上網(wǎng)行為管理和智能流量管理等整合成一套完整的解決方案，從而提供更加系統(tǒng)化的網(wǎng)絡(luò)安全管控與網(wǎng)絡(luò)優(yōu)化方式。

首先，將下一代防火墻在出口路由器與核心交換機(jī)之間部署，這種部署方式主要是為防護(hù)內(nèi)網(wǎng)，從而確保網(wǎng)絡(luò)安全。此外，還要將WEB應(yīng)用防火墻安排在業(yè)務(wù)系統(tǒng)匯聚交換機(jī)與核心交換機(jī)之間，主要對(duì)服務(wù)器的安全做一保障。為了進(jìn)一步保障服務(wù)器的安全，還要在服務(wù)器上安裝專(zhuān)業(yè)的防篡改客戶軟件，并與WEB應(yīng)用防火墻聯(lián)動(dòng)，進(jìn)一步防護(hù)WEB應(yīng)用服務(wù)器，同時(shí)對(duì)于外訪問(wèn)內(nèi)部服務(wù)安全和內(nèi)部訪問(wèn)服務(wù)器的安全也能夠進(jìn)行防護(hù)。

其次，對(duì)于上網(wǎng)行為管理設(shè)備模式的部署，主要通過(guò)核心交換機(jī)的鏡像傳過(guò)來(lái)的信息數(shù)據(jù)，將流量傳送到上網(wǎng)行為管理設(shè)備上之后，上網(wǎng)行為會(huì)對(duì)被傳送的這部分流量做一個(gè)記錄，并對(duì)其進(jìn)行仔細(xì)審核，然后自動(dòng)生成日志，如果以后需要查詢，可以提供方便的查詢資源。

最后，在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)中，為了能夠讓網(wǎng)絡(luò)結(jié)構(gòu)的運(yùn)行能夠日常的網(wǎng)絡(luò)使用提供更好的服務(wù)，最佳的方式是采用新建與列舊相結(jié)合的方式，具體操作是，網(wǎng)絡(luò)工作人員可以將原有的網(wǎng)絡(luò)設(shè)備列舊，并對(duì)原有的上網(wǎng)行為管理設(shè)備進(jìn)行列舊，將其集中部署在學(xué)校的某一教學(xué)樓，與網(wǎng)絡(luò)運(yùn)行設(shè)備相連接，對(duì)前來(lái)上網(wǎng)用戶的上網(wǎng)行為進(jìn)行設(shè)計(jì)，確保其操作行為無(wú)高風(fēng)險(xiǎn)[4]。

3 WEB防火墻技術(shù)各功能的概述

3.1 下一代防火墻技術(shù)

下一代防火墻技術(shù)能夠全面應(yīng)對(duì)應(yīng)用層面高性能防火墻的威脅，通過(guò)對(duì)上網(wǎng)流量中的用戶、應(yīng)用、以及內(nèi)容的觀察，分析上網(wǎng)行為中是否有不安全因素，然后借助全新的先進(jìn)技術(shù)，也就是高性能單路徑異構(gòu)并行處理，就能使下一代防火墻為用戶提供有效的應(yīng)用層一體化安全防護(hù)，在安全防護(hù)下幫助用戶安全的開(kāi)展業(yè)務(wù)交流。在防火墻技術(shù)中，全并行流檢測(cè)引擎在使用的系統(tǒng)資源方面比較少，并且在并行掃描會(huì)話和開(kāi)啟其它多項(xiàng)功能時(shí)提高了功能的可用性，在攻擊防御原理的基礎(chǔ)上，能夠提高攻擊檢測(cè)率，同時(shí)也能夠降低攻擊誤判率。

3.2 WEB應(yīng)用防火墻技術(shù)

WEB防火墻技術(shù)與下一代防火墻不同，它能夠提前發(fā)現(xiàn)預(yù)警，并針對(duì)發(fā)現(xiàn)的預(yù)警危險(xiǎn)信號(hào)做出及時(shí)防護(hù)和事后的分析，WEB防火墻技術(shù)融合了WEB掃描、事中WEB防護(hù)、事后WEB篡改等防護(hù)系統(tǒng)，并融合了它們的優(yōu)點(diǎn)，從WEB安全掃描互動(dòng)、網(wǎng)絡(luò)層、應(yīng)用層等，建立了立體式的防護(hù)網(wǎng)絡(luò)，從而對(duì)WEB防護(hù)提供了一套全方面的安全系統(tǒng)。網(wǎng)頁(yè)防篡改軟件是安全服務(wù)器上一套安全的防篡改插件，主要對(duì)文件進(jìn)行驅(qū)動(dòng)保護(hù)，確保系統(tǒng)資源不被浪費(fèi)，并且還有利于阻斷WEB威脅，采用文件驅(qū)動(dòng)保護(hù)技術(shù)，在用戶對(duì)每個(gè)受保護(hù)的網(wǎng)頁(yè)進(jìn)行訪問(wèn)時(shí)，WEB服務(wù)器都要對(duì)其進(jìn)行全面檢查，以此確保網(wǎng)頁(yè)的真實(shí)性，從而避免網(wǎng)頁(yè)的篡改現(xiàn)象，也避免了用戶訪問(wèn)被篡改的網(wǎng)頁(yè)，使網(wǎng)絡(luò)使用比較規(guī)范、安全[5]。

3.3 上網(wǎng)行為管理

上網(wǎng)行為管理主要有效避免了不良信息的擴(kuò)散，在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)，在確保用戶個(gè)人信息的情況下，還要確保用戶訪問(wèn)的網(wǎng)頁(yè)內(nèi)容信息的合法、健康性。同時(shí)，也有利于保障網(wǎng)絡(luò)資源的合理使用，提高網(wǎng)絡(luò)資源的可管理性，從而推動(dòng)網(wǎng)絡(luò)資源的行政管理，最終推動(dòng)校園忘了能夠?qū)崿F(xiàn)安全、高效、健康的互聯(lián)網(wǎng)環(huán)境。讓校園師生在使用網(wǎng)絡(luò)資源的情況確保網(wǎng)絡(luò)環(huán)境的安全。

4 結(jié)束語(yǔ)

通過(guò)綜合研究校園WEB信息系統(tǒng)的安全性，發(fā)現(xiàn)校園網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中還存在許多問(wèn)題，它們對(duì)校園網(wǎng)絡(luò)安全產(chǎn)生很大的威脅。網(wǎng)絡(luò)專(zhuān)業(yè)研究人員針對(duì)這些問(wèn)題提出了新的方案，并通過(guò)進(jìn)一步的檢驗(yàn)，最終讓校園網(wǎng)絡(luò)向建立了一個(gè)統(tǒng)一、規(guī)范的網(wǎng)站群方向發(fā)展，并進(jìn)一步開(kāi)放互聯(lián)網(wǎng)環(huán)境。在高校網(wǎng)絡(luò)管理者對(duì)WEB信息應(yīng)用系統(tǒng)的安全現(xiàn)狀及安全技術(shù)的討論下，也為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)業(yè)務(wù)水平的發(fā)展途徑提出明確的方向。讓人們?cè)谑褂镁W(wǎng)絡(luò)技術(shù)的同時(shí)還要具備網(wǎng)絡(luò)安全方面的知識(shí)，從而避免網(wǎng)絡(luò)安全問(wèn)題。

[1]祝虹，桑靜，吉承平.基于校園Web服務(wù)安全策略的應(yīng)用與研究[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014.

[2]張杰.基于數(shù)字電視雙向網(wǎng)絡(luò)的EPG廣告技術(shù)探究[J].電視技術(shù)，2014.

[3]劉小斌.防火墻技術(shù)的應(yīng)用[J].電腦知識(shí)與技術(shù)，2014.

[4]鄧體俊.論校園無(wú)線局域網(wǎng)通信安全策略[J].電腦知識(shí)與技術(shù)，2015.

[5]向征.基于WEB防火墻的校園網(wǎng)絡(luò)安全解決策略[J].科技展望，2015.