相景麗

(山西職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系，山西 太原 030006)

?

基于Web應(yīng)用防火墻的校園網(wǎng)設(shè)計(jì)方案

相景麗

(山西職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系，山西 太原 030006)

摘要：針對(duì)日益突出的Web網(wǎng)頁(yè)安全問(wèn)題和校園網(wǎng)對(duì)高網(wǎng)絡(luò)帶寬的升級(jí)需求，設(shè)計(jì)了一種基于Web應(yīng)用防火墻的校園網(wǎng)組網(wǎng)方案，該方案既能有效防御針對(duì)網(wǎng)絡(luò)應(yīng)用層的攻擊，還可以防護(hù)大量的未知攻擊，最大程度的保護(hù)Web應(yīng)用系統(tǒng)的安全，同時(shí)通過(guò)核心交換機(jī)的端口聚合和vlan劃分，不但提高了網(wǎng)絡(luò)帶寬，而且對(duì)校園的財(cái)務(wù)系統(tǒng)進(jìn)行了有效隔離。實(shí)踐表明，這種方案針對(duì)中小規(guī)模的校園網(wǎng)應(yīng)用非常高效、經(jīng)濟(jì)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；校園網(wǎng)規(guī)劃；Web應(yīng)用防火墻

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，Web技術(shù)得到了日益廣泛的應(yīng)用，越來(lái)越多的企業(yè)和單位對(duì)網(wǎng)絡(luò)的帶寬提出了更高的需求，但同時(shí)Web安全威脅已經(jīng)進(jìn)入快速發(fā)展階段。據(jù)Forrester統(tǒng)計(jì)[1]，2013年有超過(guò)半數(shù)的企業(yè)的Web應(yīng)用被泄露，其中不少因此遭到嚴(yán)重的財(cái)務(wù)損失。近年來(lái)，企業(yè)安全事件屢見(jiàn)報(bào)端：2011年，多家公司和政府網(wǎng)站被黑客攻擊；2012年的DDoS攻擊令眾多美國(guó)銀行網(wǎng)站癱瘓；更不用提那些造成數(shù)百萬(wàn)用戶信用卡信息泄露的網(wǎng)絡(luò)安全事故了。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系如防火墻，入侵檢測(cè)系統(tǒng)已無(wú)法招架，如今的黑客Web的攻擊手段也日新月異，如XSS跨站攻擊、網(wǎng)站SQL注入，導(dǎo)致網(wǎng)頁(yè)被篡改、網(wǎng)站被查封，這些攻擊手段甚至使Web成為傳播木馬給瀏覽網(wǎng)站用戶的一個(gè)載體。如何能應(yīng)對(duì)新形勢(shì)下的網(wǎng)絡(luò)攻擊是每個(gè)單位和企業(yè)需要迫切解決和面對(duì)的難題。

1Web應(yīng)用防火墻

1.1Web應(yīng)用防火墻簡(jiǎn)介

Web應(yīng)用防火墻，也被稱(chēng)為網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)(Web Application Firewall，以下簡(jiǎn)稱(chēng)：WAF)，按照國(guó)際公認(rèn)的定義，WAF是指通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的產(chǎn)品。它主要用于防御針對(duì)網(wǎng)絡(luò)應(yīng)用層的攻擊，例如SQL注入攻擊、跨站腳本攻擊、命令注入攻擊、Cookie/Session劫持、參數(shù)篡改、緩沖溢出攻擊、日志篡改、應(yīng)用平臺(tái)漏洞攻擊、DOS攻擊、HTTP類(lèi)攻擊等攻擊行為[2]。在眾多的Web攻擊方式中，SQL注入攻擊和XSS跨站攻擊能夠更直接獲取到用戶數(shù)據(jù)，從這兩種攻擊方式出現(xiàn)一直到今天，都是一直高居OWASP TOP 1O，而未來(lái)攻擊的發(fā)展趨勢(shì)，XSS跨站腳本攻擊會(huì)一直名列前茅，SQL注入攻擊也不會(huì)隨著防御意識(shí)的提高而消失。而這些攻擊手段，尤其是XSS和SQL注入都是傳統(tǒng)安全設(shè)備無(wú)法防御的安全威脅。WAF的定位是對(duì)原有信息安全架構(gòu)下如網(wǎng)絡(luò)防火墻，入侵防御系統(tǒng)等的一個(gè)有效補(bǔ)充，從而對(duì)企業(yè)信息系統(tǒng)的安全提供了有力的保障。

1.2Web應(yīng)用防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)的防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)之間，它們是實(shí)施網(wǎng)間訪問(wèn)控制的一組組件的集合，內(nèi)部和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過(guò)防火墻，而只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻，它工作在開(kāi)放系統(tǒng)互連參考模型(OSI)的網(wǎng)絡(luò)層，通過(guò)地址轉(zhuǎn)換、訪問(wèn)控制機(jī)器的狀態(tài)檢測(cè)等功能，對(duì)企業(yè)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行保護(hù)。對(duì)于應(yīng)用最廣泛的Web服務(wù)器，由于其工作在OSI的第七層即應(yīng)用層，防火墻需要對(duì)外部網(wǎng)絡(luò)完全開(kāi)放HTTP/HTTPS應(yīng)用端口，這種安全策略對(duì)Web應(yīng)用沒(méi)有任何的保護(hù)，因此基于網(wǎng)絡(luò)層的防護(hù)和包過(guò)濾技術(shù)無(wú)法對(duì)應(yīng)用層的攻擊進(jìn)行有效的欄截，沒(méi)有很好的保護(hù)Web應(yīng)用程序的能力。

WAF工作在ISO互聯(lián)網(wǎng)參考模型的應(yīng)用層，它的數(shù)據(jù)中心主要針對(duì)網(wǎng)絡(luò)中新增加應(yīng)用程序，新的軟件模塊進(jìn)行相應(yīng)的監(jiān)聽(tīng)，發(fā)現(xiàn)不符合規(guī)則的訪問(wèn)，訪問(wèn)將會(huì)被阻止。對(duì)于現(xiàn)今常見(jiàn)的跨站腳本攻擊、SQL注入攻擊、DOS攻擊、HTTPS類(lèi)攻擊等攻擊行為都有很好的防御效果。

1.3Web應(yīng)用防火墻的部署方式

Web應(yīng)用防火墻的部署主要有透明模式、路由模式、旁路監(jiān)控模式以及HA雙擊模式來(lái)滿足用戶的各種不同網(wǎng)絡(luò)結(jié)構(gòu)的應(yīng)用需求[3]。

1) 透明部署方式

透明部署方式是在Web服務(wù)器和防火墻之間插入WAF，在透明模式下，Web應(yīng)用防火墻只對(duì)流經(jīng)OSI應(yīng)用層的數(shù)據(jù)進(jìn)行分析，而對(duì)其他層的流量不作控制，因此透明模式的最大特點(diǎn)就是快速、方便、簡(jiǎn)單。

2) 路由部署方式

部署網(wǎng)橋透明模式的WAF的設(shè)備，其“透明”概念與網(wǎng)橋透明模式中相似，可以將其看做一個(gè)路由設(shè)備，將其作為路由器進(jìn)行部署，同時(shí)確保要檢測(cè)的HTTP流量(指定IP和端口)經(jīng)過(guò)WAF設(shè)備即可。這種部署模式是網(wǎng)絡(luò)安全防護(hù)中保護(hù)程度最高的，但是需要對(duì)防火墻和Web應(yīng)用服務(wù)的路由設(shè)置做出一定的調(diào)整，對(duì)網(wǎng)絡(luò)管理員的要求較高。

3) 旁路部署方式

旁路部署模式是將WAF置于局域網(wǎng)交換機(jī)下，訪問(wèn)Web服務(wù)器的所有連接通過(guò)安全策略指向WAF。它的優(yōu)點(diǎn)是對(duì)網(wǎng)絡(luò)的影響較小，但是在該模式下，Web服務(wù)器無(wú)法獲取訪問(wèn)者的真實(shí)IP地址。

4) 離線部署模式

離線模式下WAF的防護(hù)引擎，通常是部署在交換機(jī)的鏡像口(需要交換機(jī)支持)上，其作為一個(gè)旁觀者、監(jiān)聽(tīng)者的角色，僅對(duì)HTTP數(shù)據(jù)流進(jìn)行檢測(cè)，并且記錄訪問(wèn)和攻擊信息，而不對(duì)攻擊進(jìn)行攔截。該種模式的優(yōu)點(diǎn)是，可以不對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行修改，并且對(duì)Web服務(wù)器的訪問(wèn)沒(méi)有任何的影響，可以通過(guò)部署離線模式，了解網(wǎng)站的訪問(wèn)情況和攻擊情況，并且調(diào)整WAF的配置參數(shù)，以適應(yīng)Web服務(wù)器的具體情況，為后續(xù)部署其他工作模式做好準(zhǔn)備。

2基于Waf的校園網(wǎng)設(shè)計(jì)方案

2.1校園網(wǎng)需求分析

山西職業(yè)技術(shù)學(xué)院是一所隸屬于山西省教育廳的普通高等職業(yè)技術(shù)院校，學(xué)院下設(shè)四個(gè)學(xué)院，現(xiàn)有在校生1萬(wàn)余人。目前，隨著招生規(guī)模的不斷擴(kuò)大，已有的網(wǎng)絡(luò)帶寬已經(jīng)不能滿足日益增長(zhǎng)的需求，同時(shí)，校園網(wǎng)主要面臨的兩方面的安全問(wèn)題，一方面來(lái)自因特網(wǎng)的攻擊行為和攻擊手段越來(lái)越嚴(yán)重，主要形式有：SQL注入、XSS攻擊、網(wǎng)頁(yè)篡改和木馬上傳，尤其是SQL注入和XSS攻擊對(duì)學(xué)院的財(cái)務(wù)信息、教務(wù)信息、學(xué)生個(gè)人信息、教工信息會(huì)造成最為直接的威脅。另一方面，校園網(wǎng)內(nèi)部用戶的不規(guī)范行為也會(huì)對(duì)學(xué)院的財(cái)務(wù)信息的保護(hù)構(gòu)成致命的威脅?；谝陨蠈?shí)際情況，針對(duì)我院網(wǎng)絡(luò)布局提出了新的需求：

1) 將已有的校園網(wǎng)的上行網(wǎng)絡(luò)帶寬從原來(lái)的1G提高到2G，從而滿足更多用戶的上網(wǎng)需求。

2) 從安全角度考慮，將財(cái)務(wù)部和其他部門(mén)的PC進(jìn)行隔離。財(cái)務(wù)部的PC內(nèi)部使用，不需要上網(wǎng)；

3) 在不增加更多預(yù)算的情況下，對(duì)學(xué)院的安全防御系統(tǒng)進(jìn)行改造，從而提升校園網(wǎng)的安全防御能力。

2.2基于WAF的校園網(wǎng)設(shè)計(jì)方案

1) WAF的部署方式

在本設(shè)計(jì)方案中WAF部署采用網(wǎng)橋透明模式，如圖1所示，該模式需要將WAF部署在交換機(jī)和Web服務(wù)器之間，使得WAF設(shè)備和Web服務(wù)器處于同一個(gè)局域網(wǎng)子網(wǎng)內(nèi)。網(wǎng)橋透明模式下的WAF，是基于網(wǎng)橋工作的，可以將它看做是一個(gè)具有代理防護(hù)功能的集線器或者交換機(jī)設(shè)備，需要確保要檢測(cè)的HTTP流量(指定IP和端口)需要流經(jīng)該設(shè)備。WAF可以對(duì)指定的HTTP流量進(jìn)行攻擊識(shí)別和攔截。此外選用這種模式的一個(gè)更重要的原因是幾乎不需要改動(dòng)原來(lái)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，對(duì)于升級(jí)校園網(wǎng)系統(tǒng)非常的方便。

2) 增加了一臺(tái)型號(hào)為s1526的H3C交換機(jī)，該交換機(jī)既能支持vlan劃分，又具有端口聚合功能，其編號(hào)為25和26的兩個(gè)端口為千兆端口，通過(guò)對(duì)25和26兩個(gè)千兆端口的聚合使得校園網(wǎng)的上行帶寬達(dá)到2 Gbps，滿足了帶寬提升的需求。針對(duì)財(cái)務(wù)部分的財(cái)務(wù)信息安全問(wèn)題，在s1526交換機(jī)上做了基于端口的vlan劃分，將其端口劃分在vlan20中，這樣保證了校園網(wǎng)內(nèi)部的其它部門(mén)不能訪問(wèn)財(cái)務(wù)系統(tǒng)，把能夠上網(wǎng)的用戶劃分在vlan10和vlan1中，同時(shí)分別把聚合端口25和26劃分在vlan1和vlan10中，這樣既限制了財(cái)務(wù)部門(mén)的人員因?yàn)樵L問(wèn)因特網(wǎng)而帶來(lái)的潛在安全風(fēng)險(xiǎn)，同時(shí)又實(shí)現(xiàn)了網(wǎng)絡(luò)流量的負(fù)載均衡。遠(yuǎn)程計(jì)算機(jī)可以實(shí)現(xiàn)對(duì)s1526的遠(yuǎn)程配置和管理，方便了管理員的系統(tǒng)配置和管理。

圖1　基于WAF的校園網(wǎng)的組網(wǎng)方案

3) WAF設(shè)備的選購(gòu)

Web應(yīng)用防火墻進(jìn)入了IT安全領(lǐng)域的時(shí)間也就是最近十來(lái)年左右，最早提供這類(lèi)產(chǎn)品的供應(yīng)商是幾家新興公司，如Perfecto、KaVaDo和NetContinuum。早期產(chǎn)品存在諸多缺點(diǎn)，比如誤報(bào)率高，給受保護(hù)應(yīng)用的性能帶來(lái)負(fù)面影響，又很難有效地管理。2005年前后，國(guó)內(nèi)的大牌網(wǎng)絡(luò)供應(yīng)商或收購(gòu)或開(kāi)發(fā)了Web層監(jiān)控技術(shù)，WAF隨之成為一道公認(rèn)的邊界安全防線。目前商業(yè)化的WAF產(chǎn)品比較成熟，但是價(jià)格過(guò)高，一般的中小企業(yè)由于對(duì)安全問(wèn)題的不夠重視不愿花更多的錢(qián)購(gòu)買(mǎi)。幸運(yùn)的是國(guó)內(nèi)外出現(xiàn)的一些開(kāi)源、免費(fèi)、非商業(yè)性的WAF軟件包無(wú)論在性能上還是功能上都達(dá)到了一定的水準(zhǔn)，基本上能滿足中小企業(yè)的需求。我們計(jì)算機(jī)系的教師在國(guó)外的開(kāi)源WAF包的基礎(chǔ)上對(duì)界面和功能做了簡(jiǎn)單的二次開(kāi)發(fā)，然后部署到校園網(wǎng)上，獲得了較高的性?xún)r(jià)比。

3結(jié)束語(yǔ)

本文提出了基于Web應(yīng)用防火墻的校園網(wǎng)設(shè)計(jì)方案，該方案在基本上不改變?cè)行@網(wǎng)拓?fù)浜团渲玫幕A(chǔ)上增加了校園網(wǎng)的上行帶寬，有效的防御了來(lái)自互聯(lián)網(wǎng)外部的Web攻擊，同時(shí)通過(guò)增加智能交換機(jī)的vlan劃分阻止了內(nèi)網(wǎng)對(duì)學(xué)院財(cái)務(wù)信息的威脅。通過(guò)近一年來(lái)的網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)數(shù)據(jù)顯示，在增加了WAF設(shè)備以后，校園遭受互聯(lián)網(wǎng)的Web攻擊事件大大減少了，學(xué)院財(cái)務(wù)信息也沒(méi)發(fā)生一次泄露事件，同時(shí)校園網(wǎng)的外網(wǎng)訪問(wèn)速度也明顯得到了提升。

參考文獻(xiàn)

[1]Editor008.網(wǎng)絡(luò)安全的未來(lái)—WAF應(yīng)當(dāng)具備的十大特性[OL].http://www.d1net.com/security/news/278218.html，2014-08-03.

[2]張玉清.網(wǎng)絡(luò)攻擊與防御技術(shù)[M].北京:清華大學(xué)出版社,2011.

[3]姚琳琳.基于分布式對(duì)等架構(gòu)的Web應(yīng)用防火墻的設(shè)計(jì)與實(shí)現(xiàn)[D].桂林:桂林電子科技大學(xué),2012.

Design Scheme of Campus Network Based on Web Application Firewall

Xiang Jingli

(DepartmentofComputerEngineering,ShanxiPolytechnicCollege,TaiyuanShanxi030006,China)

Abstract:In order to improving the network bandwidth of campus network and protecting the increasing issues on web page security, the article designs a scheme of campus network based on Web application firewall. The scheme can not only effectively prevent attacks from the network application layer, but also protect a large number of unknown attacks. So it provides a greatest protection for the security of web application system. By mean of port trunking and vlan dividing on the core switch, it can improves the network bandwidth and isolates the financial system from campus network effectively. The practice shows that this scheme is very efficient and economical for small and medium scale campus network application.

Key words:network security; campus network planning; Web application firewall

中圖分類(lèi)號(hào)：TP393.08

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1674- 4578(2016)01- 0068- 02

作者簡(jiǎn)介：相景麗(1970- )，女，山西運(yùn)城人 講師，碩士研究生，研究方向：網(wǎng)絡(luò)安全，圖像處理，人工智能。

收稿日期：2015-10-29