鄧 靜，龔 劍

1.安徽建筑大學(xué)信息網(wǎng)絡(luò)中心，安徽合肥，230601；2.安徽建筑大學(xué)體育教學(xué)部，安徽合肥，230601；

基于高校私有云的WAF研究

鄧 靜1，龔 劍2

1.安徽建筑大學(xué)信息網(wǎng)絡(luò)中心，安徽合肥，230601；2.安徽建筑大學(xué)體育教學(xué)部，安徽合肥，230601；

WAF(Web Application Firewall)即Web應(yīng)用防護(hù)系統(tǒng)，用以解決互聯(lián)網(wǎng)上針對(duì)Web應(yīng)用發(fā)起的諸多網(wǎng)絡(luò)攻擊帶來的安全問題。高校私有云是把復(fù)雜的校內(nèi)機(jī)構(gòu)、多個(gè)應(yīng)用系統(tǒng)等復(fù)雜的東西遮蓋起來，只對(duì)學(xué)?；驒C(jī)構(gòu)內(nèi)部人員提供云服務(wù)。目前在高校私有云平臺(tái)上的web應(yīng)用系統(tǒng)存在負(fù)載不均衡、數(shù)據(jù)篡改與泄露、拒絕服務(wù)攻擊等各類安全隱患問題。以旁路方式搭建的具有負(fù)載均衡功能的WAF對(duì)訪問web應(yīng)用系統(tǒng)的用戶進(jìn)行合理的服務(wù)分配與安全檢測與過濾，實(shí)現(xiàn)云平臺(tái)上web應(yīng)用安全漏洞的防護(hù)。

私有云；WAF；負(fù)載均衡；網(wǎng)絡(luò)攻擊

高校云是把復(fù)雜的校內(nèi)機(jī)構(gòu)、多個(gè)應(yīng)用系統(tǒng)等復(fù)雜的東西遮蓋起來，用以實(shí)現(xiàn)更高層次的應(yīng)用邏輯，從而吞噬高耗能、不合理的系統(tǒng)?；谠品?wù)提供者與使用者之間的所屬關(guān)系，云平臺(tái)可分為公有云、私有云與混合云。高校私有云是由單個(gè)高?；驒C(jī)構(gòu)承建，只在學(xué)?；驒C(jī)構(gòu)內(nèi)部使用的專用云環(huán)境[1]。高校私有云只對(duì)學(xué)校或機(jī)構(gòu)內(nèi)部人員提供云服務(wù)，并不對(duì)外開放，服務(wù)范圍往往與高?；驒C(jī)構(gòu)本身的業(yè)務(wù)相關(guān)。Web應(yīng)用是高校私有云提供的重要服務(wù)，但在校園網(wǎng)的交互性、開放性以及在Web應(yīng)用設(shè)計(jì)對(duì)信息的保密和系統(tǒng)安全性考慮不夠完善的情況下，Web服務(wù)易受攻擊、訪問速度慢、審計(jì)分析能力弱等問題影響了Web應(yīng)用的高速發(fā)展。WAF(Web Application Firewall)即web應(yīng)用防護(hù)系統(tǒng)，工作在OSI七層模型的應(yīng)用層，用以解決互聯(lián)網(wǎng)上針對(duì)Web應(yīng)用發(fā)起的諸多網(wǎng)絡(luò)攻擊帶來的安全問題。WAF是在允許訪問Web之前，對(duì)來訪的內(nèi)容進(jìn)行有效的分析和識(shí)別，將木馬、釣魚等不安全內(nèi)容進(jìn)行過濾處理，從而達(dá)到凈化的作用。私有云平臺(tái)上的WAF主要是將以往的物理服務(wù)器轉(zhuǎn)換為私有云平臺(tái)上的虛擬服務(wù)器，并通過以旁路方式搭建的具有負(fù)載均衡功能的WAF對(duì)來訪的用戶進(jìn)行合理的服務(wù)分配，并實(shí)現(xiàn)安全漏洞上的防護(hù)。

1 基于私有云的Web應(yīng)用系統(tǒng)安全隱患

Web應(yīng)用通常由C/S(Client/Server)模式和B/S(Browser/Server)模式構(gòu)建，采用超文本傳輸協(xié)議規(guī)定節(jié)點(diǎn)之間信息傳輸?shù)恼Z義、語法和時(shí)序。Web應(yīng)用系統(tǒng)即提供訪問者瀏覽的演示型靜態(tài)網(wǎng)頁，又提供由服務(wù)器端運(yùn)行處理的具有實(shí)時(shí)互動(dòng)的動(dòng)態(tài)網(wǎng)頁[2]。

1.1 網(wǎng)絡(luò)層安全隱患

網(wǎng)絡(luò)體系結(jié)構(gòu)本身的不完善性是基于網(wǎng)絡(luò)層攻擊屢見不鮮的深層次原因，國際上普遍應(yīng)用的TCP/IP、SMTP、Telnet、FTP等協(xié)議由于計(jì)算機(jī)和通信技術(shù)發(fā)展階段與水平不同，安全漏洞在協(xié)議設(shè)計(jì)之初就存在其中。利用其漏洞，否認(rèn)服務(wù)、IP欺騙攻擊、拒絕服務(wù)、數(shù)據(jù)非法截取及數(shù)據(jù)非法纂改是網(wǎng)絡(luò)層存在的主要攻擊方式。分布式拒絕服務(wù)(DDos)是目前主要存在于Web應(yīng)用系統(tǒng)上的網(wǎng)絡(luò)攻擊行為,安徽各高校的Web服務(wù)器也多次遭受到DDos攻擊。這類攻擊主要利用大量被植入木馬的肉機(jī)發(fā)出虛假請(qǐng)求,以致接受請(qǐng)求的Web服務(wù)器耗盡資源，無力負(fù)荷,導(dǎo)致用戶不能訪問[3]。

1.2 Web Server層

動(dòng)態(tài)網(wǎng)站具有交互性和實(shí)時(shí)性的特點(diǎn)，動(dòng)態(tài)網(wǎng)頁運(yùn)行原理是根據(jù)瀏覽者提出的訪問請(qǐng)求，在服務(wù)器端運(yùn)行相應(yīng)的腳本程序，將執(zhí)行的結(jié)果網(wǎng)頁發(fā)送回瀏覽器端，攻擊者利用其互動(dòng)操作獲得非法權(quán)限，攻擊其應(yīng)用服務(wù)器。

1.3 數(shù)據(jù)庫層

Web應(yīng)用和數(shù)據(jù)庫技術(shù)密不可分，高校里諸多Web應(yīng)用系統(tǒng)如教學(xué)管理系統(tǒng)、學(xué)工管理系統(tǒng)、電子政務(wù)系統(tǒng)都需要數(shù)據(jù)庫的支持。基于B/S模式下的訪問形式，數(shù)據(jù)庫的安全策略配置不合理、用戶口存儲(chǔ)安全問題以及數(shù)據(jù)庫軟件存在的“后門”都讓數(shù)據(jù)庫層的安全受到威脅。

1.4 應(yīng)用程序?qū)蛹翱蛻舳藢?/p>

應(yīng)用程序?qū)蛹翱蛻舳藢游挥贠SI分層模型的最高層，與用戶直接交互，因而應(yīng)用層上的漏洞暴露在網(wǎng)絡(luò)攻擊者的最前端，Web應(yīng)用系統(tǒng)程序上的任何bug都會(huì)是惡意代碼注入的窗口。應(yīng)用程序的安全性是保證只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進(jìn)行合法的操作, 一是保證應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限; 二是保證應(yīng)用程序?qū)τ脩舻暮戏?quán)限[4]。

2 高校私有云平臺(tái)上的WAF

2.1 拓?fù)浣Y(jié)構(gòu)圖的改變

以安徽某高校為例，多臺(tái)物理服務(wù)器移植至高校私有云平臺(tái)改變其原有拓?fù)浣Y(jié)構(gòu)，將校內(nèi)私有云平臺(tái)上WAF進(jìn)行相應(yīng)調(diào)整，圖1是物理服務(wù)器的WAF防護(hù)拓?fù)鋱D，圖2是高校私有云平臺(tái)上的WAF防護(hù)拓?fù)鋱D。

圖1中，WAF通過光纖接入核心交換機(jī)，三臺(tái)物理Web服務(wù)器連接到WAF，Web服務(wù)器其分別使用獨(dú)域名jw1.aiai.edu.cn、jw2.aiai.edu.cn、jw3.aiai.edu.cn，師生通過域名訪問服務(wù)器時(shí)由WAF進(jìn)行檢測，發(fā)現(xiàn)攻擊立即阻斷。

圖2 高校私有云平臺(tái)上的WAF拓?fù)鋱D

圖2中,高校私有云平臺(tái)的虛擬Web服務(wù)器由三臺(tái)增加到多臺(tái)，虛擬Web服務(wù)器分別設(shè)置校內(nèi)IP地址，云平臺(tái)可以根據(jù)業(yè)務(wù)需要?jiǎng)討B(tài)增減虛擬服務(wù)器的數(shù)量，而不需要增加任何成本。WAF設(shè)置IP為219.231.0.180并綁定jw1.ahjuz.edu.cn域名。學(xué)校師生通過域名訪問Web服務(wù)器，WAF首先對(duì)其訪問請(qǐng)求進(jìn)行安全檢測，通過檢測的訪問請(qǐng)求給予放行并分配給相應(yīng)虛擬服務(wù)器。由于云平臺(tái)上運(yùn)行眾多服務(wù)器，WAF拓?fù)浣Y(jié)構(gòu)調(diào)整為旁路接入，即不會(huì)影響其他服務(wù)器的運(yùn)行，又有效地對(duì)需要進(jìn)行防護(hù)的虛擬Web服務(wù)器進(jìn)行了安全防護(hù)。

2.2 負(fù)載均衡

高校應(yīng)用服務(wù)器會(huì)出現(xiàn)短時(shí)間內(nèi)訪問量劇增的狀況，比如選課時(shí)期，教務(wù)Web的請(qǐng)求連接數(shù)能達(dá)到3000/1s，如不進(jìn)行Web防護(hù)，多臺(tái)Web服務(wù)器無法在短時(shí)間承受巨大的訪問量，造成服務(wù)器無法正常響應(yīng)[5]。為了解決這一問題，使用WAF對(duì)多臺(tái)虛擬服務(wù)器進(jìn)行負(fù)載均衡。WAF作為服務(wù)器前的安全設(shè)備，提供負(fù)載均衡功能的同時(shí)，必須考慮服務(wù)器的安全特性，而且Web服務(wù)器作為最前端的業(yè)務(wù)是負(fù)載均衡模塊和安全考慮的重點(diǎn)。

負(fù)載均衡有三種模式：壓力分發(fā)、源ip分發(fā)、平均分發(fā)，高校Web應(yīng)用登錄形式多為驗(yàn)證碼形式，如果選擇平均分發(fā)模式，WAF將請(qǐng)求發(fā)給一臺(tái)虛擬服務(wù)器后，驗(yàn)證碼會(huì)隨機(jī)分發(fā)給另一臺(tái)虛擬服務(wù)器，造成師生用戶登錄時(shí)會(huì)出現(xiàn)驗(yàn)證碼出錯(cuò)而無法登錄的情況。同時(shí)，高校為提高校園網(wǎng)的安全性，在外層防火墻上將所有的校內(nèi)用戶ip都轉(zhuǎn)換成NAT池里的同一個(gè)ip進(jìn)行訪問。如果Web防護(hù)使用源ip模式進(jìn)行分發(fā)請(qǐng)求，則會(huì)出現(xiàn)所有校內(nèi)用戶都分發(fā)至同一虛擬Web服務(wù)器，造成服務(wù)器壓力過大而無法正常響應(yīng)。經(jīng)過測試，最后設(shè)置為壓力形式進(jìn)行分發(fā)，WAF根據(jù)虛擬服務(wù)器各項(xiàng)壓力參數(shù)來進(jìn)行請(qǐng)求任務(wù)數(shù)的分發(fā)，從而實(shí)現(xiàn)多臺(tái)虛擬Web服務(wù)器的負(fù)載均衡。

2.3 典型網(wǎng)絡(luò)攻擊防護(hù)2.3.1 防護(hù)DDos攻擊

高校的Web應(yīng)用遭受DDos攻擊的次數(shù)逐年上升。Web防護(hù)采用如圖3所示的主動(dòng)監(jiān)測加被動(dòng)跟蹤相互結(jié)合的防護(hù)技術(shù)，將所有提交到Web服務(wù)器的Tcp/Ip請(qǐng)求以混合流量進(jìn)入Web防護(hù)系統(tǒng)，啟動(dòng)DDos引擎對(duì)Tcp/Ip請(qǐng)求進(jìn)行采樣、分析，并模擬執(zhí)行，將分析結(jié)果與攻擊特征庫中的規(guī)則進(jìn)行匹配[6]。若發(fā)現(xiàn)攻擊特征值，判定為異常流量，進(jìn)行清洗并啟用阻斷，實(shí)現(xiàn)對(duì)DDoS攻擊的過濾和防護(hù)，從而確保服務(wù)器可以正常提供服務(wù)。

圖3 DDOS防護(hù)引擎結(jié)構(gòu)圖

2.3.2 網(wǎng)頁防篡改

信息篡改是網(wǎng)絡(luò)通信里較為突出的安全問題，為了防止從網(wǎng)關(guān)防護(hù)的殘余進(jìn)入Web系統(tǒng)，WAF里的防篡改監(jiān)測組件嵌入到操作系統(tǒng)內(nèi)核中，以事件觸發(fā)方式對(duì)網(wǎng)頁文件內(nèi)容進(jìn)行自動(dòng)監(jiān)測。防篡改監(jiān)測組件隨機(jī)摘取網(wǎng)頁數(shù)據(jù)特征字符串，經(jīng)散列函數(shù)產(chǎn)生定長的散列值，通過散列值進(jìn)行實(shí)時(shí)監(jiān)測，若發(fā)現(xiàn)網(wǎng)頁數(shù)據(jù)變更，立即阻斷篡改行為[7]。

2.4 多維防護(hù)體系

為了防護(hù)不同層次的網(wǎng)絡(luò)攻擊，WAF采用特征值檢測技術(shù)形成攻擊特征規(guī)則庫，并將其固化于系統(tǒng)中，對(duì)目前主要的網(wǎng)站攻擊手段進(jìn)行有效防護(hù)。

2.4.1 緩沖區(qū)溢出攻擊及防護(hù)

緩沖區(qū)是內(nèi)存或是操作系統(tǒng)預(yù)先劃定的一定區(qū)域的外存存儲(chǔ)空間,用來存儲(chǔ)事先確定的、有限數(shù)據(jù)的存儲(chǔ)區(qū)域[9]。當(dāng)某個(gè)程序試圖將大于緩沖區(qū)容量的數(shù)據(jù)寫入其中時(shí)，就會(huì)發(fā)生緩沖區(qū)溢出，從而導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)崩潰等不安全問題。Web用戶提交的數(shù)據(jù)首先經(jīng)WAF檢查，如果與WAF內(nèi)置的特征規(guī)則庫里的攻擊參數(shù)相匹配，立即發(fā)現(xiàn)并阻斷攻擊行為。

2.4.2 SQL注入攻擊及防護(hù)

SQL注入攻擊是由于Web應(yīng)用系統(tǒng)開發(fā)者在B/S模式下編程時(shí)，沒有進(jìn)行用戶輸入數(shù)據(jù)合法性檢測，從而導(dǎo)致安全問題。SQL注入具有較強(qiáng)的隱蔽性，它同正常的Web一樣通過80端口訪問服務(wù)器，所以在訪問形式上與一般網(wǎng)頁完全相同，這類攻擊行為在很長一段時(shí)間內(nèi)都不易被察覺。WAF針對(duì)SQL注入進(jìn)行基于特征規(guī)則庫的分析與識(shí)別，并對(duì)于攻擊者在注入代碼的逃逸檢測手段模塊進(jìn)行有效識(shí)別，一經(jīng)發(fā)現(xiàn)立即阻斷并告警。

2.4.3 跨站漏洞攻擊及防護(hù)

跨站漏洞攻擊也稱為跨站腳本攻擊，這類攻擊對(duì)象以靜態(tài)網(wǎng)頁為主，攻擊者將其編寫的惡意腳本代碼嵌入在html靜態(tài)頁面的head部分，當(dāng)用戶訪問置入惡意代碼的網(wǎng)頁時(shí)，腳本代碼會(huì)自動(dòng)執(zhí)行，可能導(dǎo)致用戶帳號(hào)被盜、網(wǎng)站權(quán)限被截獲等安全問題。

2.4.4 其他網(wǎng)站攻擊及防護(hù)

對(duì)于蠕蟲及其變形類的網(wǎng)站攻擊，WAF從兩方面來進(jìn)行防護(hù)：一是破壞蠕蟲實(shí)體的組成部分，瓦解其完整性，從而起到阻斷蠕蟲的破壞作用；二是破壞蠕蟲某個(gè)功能組成部分，使其不能正常運(yùn)行。對(duì)于混合型攻擊，WAF進(jìn)行多重檢查機(jī)制和智能分析，確保對(duì)高安全風(fēng)險(xiǎn)級(jí)別攻擊事件的準(zhǔn)確識(shí)別率，同時(shí)有效避免告警誤報(bào)率高為用戶帶來的告警風(fēng)暴。對(duì)于不符合RFC標(biāo)準(zhǔn)的畸形包，采用協(xié)議異常檢測技術(shù)，進(jìn)行識(shí)別和過濾。

3 結(jié)束語

高校私有云平臺(tái)上的Web應(yīng)用仍然存在來自網(wǎng)絡(luò)的各類惡意攻擊，對(duì)Web服務(wù)器的安全性造成了極大的威脅。為解決這一問題，將WAF部署在云平臺(tái)上，在允許用戶訪問Web之前，WAF將可能存在的攻擊特征與特征庫中的規(guī)則進(jìn)行匹配，可以有效規(guī)避惡意客戶端對(duì)Web的網(wǎng)絡(luò)攻擊，增強(qiáng)高校Web應(yīng)用的整體安全性。

[1]王慶波,金氵幸,何樂等.虛擬化與云計(jì)算[M].北京：電子工業(yè)出版社,2009：123-124

[2]李馥娟.從頻發(fā)的信息泄露事件分Web服務(wù)安全[J].信息網(wǎng)絡(luò)安全，2012(7):84-85

[3]張安杰，張碌，李軍懷，等.Web信息系統(tǒng)安全研究與應(yīng)用[J].西安理工大學(xué)學(xué)報(bào),2007(6):205-206

[4]田永.信息系統(tǒng)的安全評(píng)估方法[J].宿州學(xué)院學(xué)報(bào),2007,22(4)：91-92

[5]李莉，翟征德.一種基于Web應(yīng)用防火墻的主動(dòng)安全加固方案[J].計(jì)算機(jī)工程與應(yīng)用,2011,47(25):104-106

[6]彭淮光.談?dòng)?jì)算機(jī)網(wǎng)絡(luò)的安全問題[J].宿州學(xué)院學(xué)報(bào),2009,24(1):99-101

[7]李新.高校Web管理安全的研究[J].科技管理研究,2010(1):105-106

[8]賀紅,徐寶文.Web信息系統(tǒng)的安全隱患與網(wǎng)絡(luò)管理員對(duì)策[J].計(jì)算機(jī)工程與應(yīng)用2005(18):151-153

[9]傅建明，彭國軍，張煥國.病毒分析與對(duì)抗[M].武漢：武漢大學(xué)出版社，2009:155-157

2013-10-30

安徽省教育廳人文社會(huì)科學(xué)重點(diǎn)研究基地“宿州學(xué)院大學(xué)文化研究中心”一般項(xiàng)目‘大學(xué)文化體系及構(gòu)建研究'(SK2012B608)。

鄧靜(1980-)，女，四川眉山人，碩士，講師，主要研究方向：計(jì)算機(jī)輔助教育。

10.3969/j.issn.1673-2006.2014.01.023

TP391.9

A

1673-2006(2014)01-0080-03

(責(zé)任編輯汪材印)