賈海天，沈 堅(jiān)（蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 數(shù)字化校園管理中心，江蘇 蘇州215009）

基于防火墻和WAF安全設(shè)備的高校信息安全設(shè)計(jì)與應(yīng)用*

賈海天，沈 堅(jiān)
（蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 數(shù)字化校園管理中心，江蘇 蘇州215009）

伴隨著信息化進(jìn)程在高校不斷深入，蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的數(shù)字化建設(shè)取得了一定的成果，多年的信息化建設(shè)提升了學(xué)校信息化部門的工作水平與能力，當(dāng)前建設(shè)投入不斷增加以及應(yīng)用系統(tǒng)不斷豐富，信息安全問題已經(jīng)成為了一個(gè)重要課題，如何確保系統(tǒng)安全成為信息化管理部門一個(gè)嚴(yán)峻的任務(wù)。文章分析目前學(xué)校安全問題的現(xiàn)狀，以及采用防火墻和WAF安全設(shè)備完成對服務(wù)器區(qū)域的安全保護(hù)，信息安全工程是一個(gè)系統(tǒng)復(fù)雜的工程，也是數(shù)字化校園建設(shè)的一個(gè)重要組成部分，運(yùn)用積極有效的防御設(shè)備將對以后的智慧校園建設(shè)起到積極作用。

WAF；數(shù)字化校園；防火墻；DMZ

一、引言

蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的信息化建設(shè)經(jīng)過多年的發(fā)展已經(jīng)初見成效，當(dāng)前智慧校園建設(shè)已經(jīng)成為信息化建設(shè)的重要組成部分，在前期信息化建設(shè)的基礎(chǔ)上，網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用已經(jīng)成為目前建設(shè)的下一步重點(diǎn)工作。網(wǎng)絡(luò)可以看作智慧校園的“路”，系統(tǒng)可以看作在路上跑的“車”，應(yīng)用作為用戶最終的體驗(yàn)，可以看作是“貨物”。貨物流通的多少，最終直接決定著智慧校園建設(shè)的效果。當(dāng)注意力都集中在“路”、“車”、“貨”的時(shí)候，道路安全、車輛安全、貨物安全也成為了建設(shè)工程的重要組成部分。

自從2016年初開始，學(xué)校站群系統(tǒng)受到了大量木馬攻擊，與早期攻擊相比較，目前的攻擊策略具有了更大的隱蔽性和破壞性。由于多次被攻擊都是被動(dòng)發(fā)現(xiàn)，并且被網(wǎng)監(jiān)查到，領(lǐng)導(dǎo)非常重視，相關(guān)安全工作也已經(jīng)逐步展開。既然外面有矛指向?qū)W校的安全，必要的盾還是需要的，更重要的是如何使用盾牌來進(jìn)行防衛(wèi)，保障“路”、“車”、“貨物”系統(tǒng)安全。

二、安全設(shè)備工作原理

信息系統(tǒng)安全是很大的題目，信息系統(tǒng)的安全一般可以分為：設(shè)施的安全、系統(tǒng)的安全、網(wǎng)絡(luò)的安全、數(shù)據(jù)庫的安全等等。設(shè)施的安全主要是指系統(tǒng)主機(jī)所在的機(jī)房的安全，其中有接地安全、電磁安全、電源安全等；系統(tǒng)的安全主要是主機(jī)的操作系統(tǒng)的安全和開發(fā)的應(yīng)用系統(tǒng)的安全等；網(wǎng)絡(luò)的安全主要是網(wǎng)絡(luò)的邊界安全、防護(hù)安全、入侵檢測、病毒防護(hù)等；數(shù)據(jù)庫的安全主要是授權(quán)訪問、數(shù)據(jù)的完整性、防篡改等。本文主要側(cè)重介紹系統(tǒng)安全。

為了實(shí)現(xiàn)學(xué)校的系統(tǒng)安全，信息化部門采用了防火墻和WAF（Web Application Firewall）來完成信息系統(tǒng)安全工作。

1.防火墻工作原理

防火墻是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。

防火墻主要工作在網(wǎng)絡(luò)層和傳輸層。常用的防火墻包括：包過濾技術(shù)防火墻和代理類防火墻。①包過濾類防火墻也叫分組過濾防火墻。根據(jù)分組包的源、目的地址、端口號及協(xié)議類型、標(biāo)志位確定是否允許分組包通過。優(yōu)點(diǎn)是高效、透明；缺點(diǎn)是不支持應(yīng)用層協(xié)議，不能防范部分的黑客IP欺騙類攻擊。②代理類防火墻也叫應(yīng)用網(wǎng)關(guān)防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺運(yùn)行的服務(wù)程序；對每個(gè)新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。優(yōu)點(diǎn)是安全性高，提供應(yīng)用層的安全，檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征；缺點(diǎn)是性能差、伸縮性差、處理速度較慢。

防火墻安全規(guī)則設(shè)置需要遵循如下原則：①防火墻安全規(guī)則遵循從上到下匹配的原則，一旦有一條匹配，剩余的都不進(jìn)行匹配。②如果所有的規(guī)則都沒有匹配到，數(shù)據(jù)包將被丟棄。③安全過濾規(guī)則主要包含源、目的地址和端口，TCP標(biāo)志位，應(yīng)用時(shí)間以及一些高級過濾選項(xiàng)。

實(shí)際工作中需要對應(yīng)用控制策略進(jìn)行詳細(xì)的分析與驗(yàn)證。

2.WAF工作原理

Web防火墻，主要是對Web特有入侵方式的加強(qiáng)防護(hù)，如DDOS防護(hù)、SQL注入、XML注入、XSS等。Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入。WAF防火墻主要是對DMZ（demilitarized zone）區(qū)中的Web服務(wù)器的防護(hù)。

WAF邏輯上位于客戶端和服務(wù)器程序之間的應(yīng)用層，它在服務(wù)器之前先接收到客戶端提交的請求，并在客戶端之前先接收到服務(wù)器發(fā)來的應(yīng)答。主動(dòng)安全防御的思想是讓W(xué)AF充分介入到客戶端和服務(wù)器程序的HTTP會(huì)話中，在服務(wù)器端向客戶端發(fā)送HTTP應(yīng)答時(shí)，主動(dòng)采用安全機(jī)制來保護(hù)相關(guān)的會(huì)話ID、隱藏按鈕和Cookie等狀態(tài)數(shù)據(jù)，然后將受保護(hù)的狀態(tài)數(shù)據(jù)發(fā)送給客戶端，保證其在客戶端的完整性，并在下一次客戶端向服務(wù)器端提交狀態(tài)數(shù)據(jù)時(shí)，對這些數(shù)據(jù)進(jìn)行驗(yàn)證、解除保護(hù)并發(fā)送給服務(wù)器端。

WAF主要采用以下4種方式對Web服務(wù)器進(jìn)行防護(hù)。

（1）代理服務(wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會(huì)話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。

（2）特征識別：識別出入侵者是防護(hù)它的前提。

（3）通過高效的算法實(shí)現(xiàn)特征識別，完成語義理解，快速識別攻擊類別。

（4）模式匹配：把攻擊行為歸納成一定模式，匹配后能確定是入侵行為。

Web防火墻最大的挑戰(zhàn)是識別率，這并不是一個(gè)容易測量的指標(biāo)，比如給網(wǎng)頁掛馬，很難察覺進(jìn)來的是哪一個(gè)，不知道當(dāng)然也無法統(tǒng)計(jì)。對于已知的攻擊方式，可以談識別率；對未知的攻擊方式，你也只好發(fā)現(xiàn)以后事后處理。

學(xué)校今年遇到了幾次掛馬情況都是事后發(fā)現(xiàn)，并且攻擊手段隱蔽，發(fā)現(xiàn)以后再處理就很被動(dòng)，學(xué)校也要承擔(dān)更大的壓力。所以采用具有“自學(xué)習(xí)”功能的WAF設(shè)備，它將會(huì)完成主動(dòng)防御，避免事后追溯問題來源，造成被動(dòng)應(yīng)對。

3.防火墻與WAF設(shè)備比較

防火墻主要工作在網(wǎng)絡(luò)層和傳輸層，完成IP地址和端口的過濾工作。WAF設(shè)備工作在應(yīng)用層，主要針對HTTP請求進(jìn)行檢測。WAF對HTTP請求和應(yīng)答進(jìn)行攻擊特征檢測，通過“自學(xué)習(xí)”功能建立自己的智能防御庫進(jìn)行防御。

三、建設(shè)方案

1.安全事件與漏洞描述

最近一段時(shí)間，學(xué)校Web站群服務(wù)器一直被掛馬，經(jīng)過專業(yè)公司檢測，主要是存在如下問題：

（1）服務(wù)器被上傳惡意廣告文件。

（2）Web中的FCK編輯器存在漏洞。

（3）后臺可以任意上傳漏洞。

（4）Web站群系統(tǒng)后臺權(quán)限問題。

（5）Web服務(wù)器管理端端口對外開放問題。

（6）服務(wù)器權(quán)限問題。

從系統(tǒng)安全角度分析，這些問題主要集中在系統(tǒng)、代碼和管理運(yùn)維方面。（4）屬于管理弱口令問題，（2）屬于系統(tǒng)代碼問題，（6）屬于操作系統(tǒng)本身問題。

2.防火墻安全策略設(shè)置

防火墻部分采用包過濾模式，通過分析TCP/IP數(shù)據(jù)包源IP、端口、區(qū)域和訪問目的區(qū)域的IP、端口和區(qū)域，同時(shí)進(jìn)行時(shí)間、日志設(shè)置。防火墻主要是對IP和端口進(jìn)行設(shè)置，設(shè)置串聯(lián)在網(wǎng)絡(luò)里面的出入口，完成防護(hù)功能?？蚣苋鐖D1所示，上半部分是防火墻安全設(shè)置區(qū)域，用于進(jìn)行安全保護(hù)。DMZ作為服務(wù)器區(qū)域，限制外部網(wǎng)絡(luò)對其端口攻擊。

通過防火墻安全策略設(shè)置完成了對安全事件的（5）、（6）的安全保護(hù)。

3.WAF安全策略測試

WAF（Web Application Firewalls）網(wǎng)絡(luò)安全設(shè)備通過應(yīng)用層的URL，對域名進(jìn)行保護(hù)。WAF設(shè)備通過重組、解析、理解HTTP請求和應(yīng)答，并根據(jù)內(nèi)置的HTTP攻擊特征實(shí)現(xiàn)攻擊檢測和阻斷。框架如圖1所示，中間部分是WAF安全設(shè)置區(qū)域，用于對Web服務(wù)器進(jìn)行安全保護(hù)。DMZ作為服務(wù)器區(qū)域，限制外部對其系統(tǒng)進(jìn)行域名攻擊。

通過WAF安全策略設(shè)置完成了對安全事件的（1）、（3）、（4）的安全保護(hù)。

四、結(jié)果分析

根據(jù)安全工程實(shí)施前后數(shù)據(jù)統(tǒng)計(jì)，安全設(shè)備上架之前的入侵趨勢一直在2000以上，在安裝并且調(diào)試安全設(shè)備以后，入侵趨勢一直呈現(xiàn)快速下降趨勢。入侵控制盡量控制在最小范圍以內(nèi)。目前安全系統(tǒng)存在的主要漏洞在于：①由于弱口令，同時(shí)更方便用戶對系統(tǒng)的使用，安全策略沒有做到顆?；?；②個(gè)別系統(tǒng)由于已使用多年，漏洞來自于80端口，而80端口作為信息發(fā)布端口不能屏蔽。入侵趨勢如圖2所示，防火墻和WAF設(shè)備經(jīng)過安裝與調(diào)試已經(jīng)可以阻斷大部分的攻擊。

圖2　入侵趨勢圖

五、結(jié)束語

數(shù)字化校園安全建設(shè)是系統(tǒng)建設(shè)的基礎(chǔ)，隨著信息安全技術(shù)的不斷提升，安全設(shè)備正向著分布式、嵌入式和智能化的方向發(fā)展，越來越多的信息化技術(shù)被融入到安全技術(shù)中，由防火墻和WAF設(shè)備組成的數(shù)字化校園安全系統(tǒng)平臺，從網(wǎng)絡(luò)層、應(yīng)用層為學(xué)校的信息化建設(shè)提供了技術(shù)保障。但是安全問題是一個(gè)需要長期研究和學(xué)習(xí)的問題，任何堅(jiān)固的盾最后都可能被鋒利的矛所擊穿。這時(shí)候更多的安全措施需要管理方面給予支持，用于彌補(bǔ)技術(shù)方面不能涉及到的問題。

［1］雷震甲.計(jì)算機(jī)網(wǎng)絡(luò)管理［M］.西安：西安電子科技大學(xué)出版社，2006.

［2］邵波，王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用［M］.北京：電子工業(yè)出版社，2005.

［3］周良洪.信息網(wǎng)絡(luò)安全概論［M］.北京：群眾出版社，2005.

［4］鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全［M］.北京：人民郵電出版社，2004.

［5］黎連業(yè)等.防火墻及其應(yīng)用技術(shù)［M］.北京：清華大學(xué)出版社，2004.

［6］（美）KeithE.Strassberg等著，李昂等譯.防火墻技術(shù)大全［M］.北京：機(jī)械工業(yè)出版社，2003.

［7］袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)［M］.北京：清華大學(xué)出版社，2002.

［8］蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)［M］.北京：中國水利水電出版社，2002.

［9］蕭文龍.企業(yè)網(wǎng)絡(luò)安全［M］.北京：中國鐵道出版社，2001.

［10］凌雨欣，常紅.網(wǎng)絡(luò)安全技術(shù)與反黑客［M］.北京：冶金工業(yè)出版社，2001.

（編輯：魯利瑞）

TP393

B

1673-8454（2016）18-0075-03

*2015年蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院立項(xiàng)課題，項(xiàng)目編號：KY-ZR1518。