王曉霞

摘? 要： Web數(shù)據(jù)的快速發(fā)展令其應(yīng)用服務(wù)功能越來越強(qiáng)大，但由于其自身特性，也存在較高的安全隱患，需要合理部署Web應(yīng)用防火墻，滿足實(shí)際業(yè)務(wù)需求。本文首先對Web應(yīng)用防火墻的工作原理和總體設(shè)計(jì)思路進(jìn)行分析，進(jìn)而探討Web應(yīng)用防火墻的功能設(shè)計(jì)與實(shí)現(xiàn)，包括訪問控制機(jī)制、用戶管理、日志分析模型的構(gòu)建等。在此基礎(chǔ)上，以多媒體資源管理系統(tǒng)為例，探討Web應(yīng)用防火墻技術(shù)的具體應(yīng)用。

關(guān)鍵詞： Web應(yīng)用防火墻;多媒體;資源管理系統(tǒng)

【Abstract】： With rapid development of Web data， it has more powerful function of application services， but because of characteristics， it also has high security risks. It is necessary to deploy Web application firewall reasonably to meet actual business needs. Firstly， the article analyzes working principle and general design thought of Web application firewall， then discusses its function design and implementation， including access control mechanism， user management， construction of log analysis model， etc. On the basis， taking multimedia resource management system as an example， the article discusses specific application of Web application firewall technology.

【Key words】： Web application firewall; Multimedia; Resource management system

0? 引言

防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的重要手段，通過隔絕內(nèi)網(wǎng)與外網(wǎng)，并采取一定的過濾機(jī)制，保證內(nèi)網(wǎng)的安全性。Web應(yīng)用防火墻是采用Web應(yīng)用網(wǎng)關(guān)代理服務(wù)器，接收外部連接請求，經(jīng)過安全檢查后，與應(yīng)用服務(wù)器建立連接，實(shí)現(xiàn)對外部網(wǎng)絡(luò)訪問的有效控制。同時(shí)，Web應(yīng)用網(wǎng)關(guān)代理服務(wù)器也具有日志記錄和分析功能，能夠自動(dòng)收集安全漏洞信息，促進(jìn)安全防護(hù)水平的逐步提升。相比于傳統(tǒng)防火墻技術(shù)，Web應(yīng)用防火墻的安全保護(hù)功能更加可靠。

1? Web應(yīng)用防火墻工作原理及總體設(shè)計(jì)

1.1? 工作原理

Web應(yīng)用防火墻是基于反向代理機(jī)制和虛擬主機(jī)技術(shù)實(shí)現(xiàn)的一種網(wǎng)絡(luò)安全防護(hù)手段，其運(yùn)行原理如圖1所示。在該運(yùn)行模式下，每個(gè)Web服務(wù)其可以看作獨(dú)立存在的一個(gè)虛擬主機(jī)，通過在受保護(hù)Web服務(wù)器端建立虛擬主機(jī)，為每個(gè)虛擬主機(jī)提供安全策略，實(shí)現(xiàn)有效保護(hù)目的。由于Web應(yīng)用防火墻采取反向代理服務(wù)器，在出現(xiàn)外網(wǎng)連接請求時(shí)，代理服務(wù)器對外相當(dāng)于目標(biāo)Web服務(wù)器，對內(nèi)則負(fù)責(zé)請求轉(zhuǎn)發(fā)，并將內(nèi)部反饋數(shù)據(jù)傳遞給外網(wǎng)。由于代理服務(wù)器中沒有存儲(chǔ)任何真實(shí)數(shù)據(jù)，即使受到外部攻擊或感染病毒，也不會(huì)對內(nèi)網(wǎng)安全性造成威脅。在此情況下，可以有效增強(qiáng)真實(shí)Web服務(wù)器的應(yīng)用安全性，利用代理服務(wù)器實(shí)現(xiàn)攻擊屏蔽，保證內(nèi)部系統(tǒng)的正常運(yùn)行[1]。

1.2? 總體設(shè)計(jì)

Web應(yīng)用防火墻設(shè)計(jì)總體可分為后臺管理系統(tǒng)設(shè)計(jì)、內(nèi)部資源訪問設(shè)計(jì)兩大部分。這兩大功能模塊的實(shí)現(xiàn)，可以較為全面的包含Web應(yīng)用防火墻的各項(xiàng)功能。在其運(yùn)行過程中，用戶登錄后，首先由系統(tǒng)判斷用戶類型，如果用戶為系統(tǒng)管理員，則進(jìn)入后臺管理系統(tǒng)操作。其主要功能包括用戶管理、安全策略設(shè)置、查看日志及日志分析等。如果用戶為保護(hù)服務(wù)器用戶，則根據(jù)其具體設(shè)定，賦予相應(yīng)的訪問權(quán)限，使用系統(tǒng)功能。如果用戶未通過驗(yàn)證，則判定為非法用戶，系統(tǒng)會(huì)拒絕其訪問內(nèi)網(wǎng)，并將其攻擊行為自動(dòng)記錄到日志中，方便后續(xù)的分析和處理。在后臺管理系統(tǒng)與內(nèi)部資源訪問控制機(jī)制的相互配合下，可以實(shí)現(xiàn)對系統(tǒng)訪問者的有效控制，從而保證系統(tǒng)使用的安全性，并對用戶使用操作權(quán)限加以區(qū)分[2]。

2? Web應(yīng)用防火墻的功能設(shè)計(jì)與實(shí)現(xiàn)

2.1? 訪問控制機(jī)制

傳統(tǒng)防火墻技術(shù)主要采用BLP模型實(shí)現(xiàn)訪問控制，具體是將主體定義為行為發(fā)起實(shí)體，比如進(jìn)程，將客體定義為行為承擔(dān)實(shí)體，比如文件和數(shù)據(jù)。通過設(shè)置主體對客體的訪問方式，包括只讀、讀寫、執(zhí)行等，劃分主體訪問權(quán)限。Web應(yīng)用防火墻的訪問控制機(jī)制對BLP權(quán)限劃分進(jìn)行了改進(jìn)，使其能夠滿足Web應(yīng)用層的安全權(quán)限劃分需求。具體是根據(jù)HTTP請求方式進(jìn)行劃分，包括GET命令、POST命令、PUT命令、DELETE命令、OPTIONS命令、HEAD命令、TRACE命令等。比如GET命令是獲取文件的命令，在Web服務(wù)器中獲取文件，需要向服務(wù)器發(fā)送統(tǒng)一資源標(biāo)識符URI，通過制定端口進(jìn)行通信，返回所需文檔。PUT指令是允許用戶傳輸簡單文件，利用HTML編輯器實(shí)現(xiàn)，也帶有一個(gè)目的參數(shù)URI，將數(shù)據(jù)存放在URI制定位置。通過采用這些HTTP協(xié)議中的控制指令，可以實(shí)現(xiàn)對Web應(yīng)用層訪問請求的細(xì)粒度劃分，從而滿足不同安全級別的控制需求。這種控制方式自身也符合Web應(yīng)用層的運(yùn)行特點(diǎn)，是一種適用的訪問控制機(jī)制[3]。

2.2? 用戶管理

在用戶管理設(shè)計(jì)方面，主要由Web應(yīng)用防火墻用戶管理模塊實(shí)現(xiàn)，具體負(fù)責(zé)分配用戶角色，進(jìn)行用戶身份認(rèn)證，控制用戶訪問權(quán)限。在設(shè)計(jì)過程中，還需要建立用戶角色、權(quán)限之間的對應(yīng)關(guān)系。其中，用戶代表訪問主體，其實(shí)體屬性主要包括用戶名、密碼等，用戶要獲得某種內(nèi)網(wǎng)資源的訪問權(quán)限，需要通過角色關(guān)聯(lián)。角色就是權(quán)限的基本使用單位，每個(gè)角色擁有數(shù)量不等的權(quán)限，在賦權(quán)過程中加以確定。權(quán)限具體指的是用戶具備的某方面程序操作功能，比如增刪改查等。除此之外，Web應(yīng)用防火墻還需要對用戶認(rèn)證方式進(jìn)行定義，在各種項(xiàng)屬性中，角色決定安全級別，安全級別決定使用功能，具體如圖2所示。用戶認(rèn)證字段則是用戶登錄方式的劃分，主要分為基本認(rèn)證和摘要認(rèn)證兩種方式，以滿足Web應(yīng)用層的實(shí)際運(yùn)行需求。一切來自外網(wǎng)的訪問，都需要先通過用戶認(rèn)證，得到系統(tǒng)賦予權(quán)限后，才能調(diào)用內(nèi)網(wǎng)的系統(tǒng)功能和數(shù)據(jù)資源[4]。

2.3? 日志分析模型構(gòu)建

Web應(yīng)用防火墻有自動(dòng)記錄日志的功能，這是為了通過進(jìn)行日志分析，識別新的黑客攻擊手段，為完善Web防火墻功能奠定基礎(chǔ)。日志分析，具體是在每天產(chǎn)生的大量日志文件中，挖掘有用信息，采用一定的分析處理算法，對原始數(shù)據(jù)進(jìn)行轉(zhuǎn)換，使其成為能夠被系統(tǒng)管理員容易識別的信息。目前Web日志分析功能已經(jīng)成為解決Web應(yīng)用層安全需求的重要手段，除了現(xiàn)有的安全防護(hù)措施外，還要不斷尋找潛在攻擊行為。Web日志分析是基于關(guān)聯(lián)規(guī)則實(shí)現(xiàn)的，從給定事務(wù)數(shù)據(jù)庫中，采用數(shù)據(jù)挖掘算法，找到滿足預(yù)訂設(shè)置最小可信度閾值的強(qiáng)關(guān)聯(lián)規(guī)則。其挖掘過程分為兩個(gè)步驟，一是在事務(wù)數(shù)據(jù)庫中尋找所有頻繁項(xiàng)集，二是由頻繁項(xiàng)集得出強(qiáng)關(guān)聯(lián)規(guī)則。其中，第一步找到所有頻繁項(xiàng)集十分重要，對關(guān)聯(lián)規(guī)則適用性有直接影響，用支持度、可信度衡量關(guān)聯(lián)規(guī)則的可靠性。這些指標(biāo)同時(shí)也是衡量用戶的關(guān)聯(lián)規(guī)則感興趣程度指標(biāo)，對幫助用戶發(fā)現(xiàn)數(shù)據(jù)潛在規(guī)律有重要幫助[5]。

在關(guān)聯(lián)規(guī)則基礎(chǔ)上，可采用Apriori算法構(gòu)建日志分析模型，這是關(guān)聯(lián)規(guī)則中的經(jīng)典算法，也分為兩個(gè)步驟，一是迭代計(jì)算，用來檢索事務(wù)數(shù)據(jù)庫的頻繁項(xiàng)集，即支持度大于等于用戶設(shè)定閾值的所有項(xiàng)集。二是根據(jù)頻繁項(xiàng)集，構(gòu)造用戶最小信任度規(guī)則。首先找出頻繁項(xiàng)集1，記為L1，利用L1產(chǎn)生候選項(xiàng)集C2，在根據(jù)一定的判定規(guī)則，挖掘出頻繁項(xiàng)集L2，通過迭代計(jì)算，找到所有的頻繁項(xiàng)集，在對任意一層Lk進(jìn)行挖掘時(shí)，需要掃描一遍事務(wù)數(shù)據(jù)庫。在迭代計(jì)算過程中，輸入項(xiàng)為事務(wù)數(shù)據(jù)庫D和最小閾值min-sup，輸出項(xiàng)為事務(wù)數(shù)據(jù)庫D中的頻繁項(xiàng)集L。通過采取這種算法，可以從海量的日志數(shù)據(jù)中，篩選出對攻擊行為分析有用的數(shù)據(jù)，以此為基礎(chǔ)對Web應(yīng)用防火墻功能加以完善。

3? Web應(yīng)用防火墻在多媒體資源管理中的具體應(yīng)用

3.1? 安全策略設(shè)置

下面以Web應(yīng)用防火墻技術(shù)在多媒體資源管理中的應(yīng)用為例，研究其具體功能和應(yīng)用價(jià)值。多媒體資源管理系統(tǒng)主要通過Web瀏覽器獲得系統(tǒng)資源，資源類型包括文本、圖像、音頻、視頻等。這種基于B/S架構(gòu)實(shí)現(xiàn)的管理系統(tǒng)，對多媒體資源進(jìn)行操作，也是通過瀏覽器實(shí)現(xiàn)的，主要具備用戶管理、媒體資源下載管理、網(wǎng)上交易首付款等功能。無論是從數(shù)據(jù)安全性還是財(cái)產(chǎn)安全性考慮，都需要制定較為完善的安全防護(hù)策略，為其運(yùn)行安全提供保障。選擇Web應(yīng)用防火墻這種面向Web的安全防護(hù)措施，可以滿足其安全部署需求。在Web應(yīng)用防火墻部署過程中，可以結(jié)合Apache、Tomcat平衡負(fù)載，改善系統(tǒng)的管理性能。其中，Apache可以作為負(fù)載平衡器，并采用多個(gè)Tomcat服務(wù)器以對稱方式組成一個(gè)服務(wù)器集合。在此情況下，每個(gè)服務(wù)器都處于均等地位，存有一個(gè)多媒體資源管理系統(tǒng)副本，可單獨(dú)向外提供服務(wù)。當(dāng)用戶登入管理系統(tǒng)并通過驗(yàn)證后，可在管理后臺添加多媒體資源管理系統(tǒng)保護(hù)站點(diǎn)，具體為系統(tǒng)名稱、IP地址、訪問端口。然后根據(jù)實(shí)際需求啟動(dòng)相應(yīng)的安全防護(hù)策略，包括SQL注入、IP黑名單、URL攔截和SSL加密保護(hù)等。管理員用戶可隨時(shí)對這些內(nèi)容進(jìn)行修改，通過點(diǎn)擊WAF按鈕，執(zhí)行新的安全防護(hù)策略[6]。

3.2? 多媒體資源瀏覽認(rèn)證

多媒體資源管理系統(tǒng)為用戶提供了一般資源瀏覽模式，但要執(zhí)行一些特殊操作，則必須通過用戶身份認(rèn)證，獲取相應(yīng)的操作權(quán)限。首先簡單了解一下多媒體資源管理平臺的配置情況，在其后臺由三個(gè)Tomcat服務(wù)器存放著三個(gè)系統(tǒng)副本，分別與后臺數(shù)據(jù)庫相連。Web應(yīng)用防火墻服務(wù)器、Tomcat服務(wù)器、數(shù)據(jù)庫服務(wù)器的配置均能夠滿足實(shí)際應(yīng)用需求，并通過采用平衡負(fù)載技術(shù)提升系統(tǒng)響應(yīng)效率。這為多媒體資源瀏覽認(rèn)證管理奠定了基礎(chǔ)，在實(shí)現(xiàn)安全保護(hù)功能的同時(shí)，不會(huì)過多的對用戶正常使用產(chǎn)生影響。Web防火墻中設(shè)定了不同的用戶訪問級別，對應(yīng)著服務(wù)器目錄下存儲(chǔ)的不同多媒體資源，通過將兩者聯(lián)系起來，可以保證非授權(quán)用戶無法訪問更高等級的多媒體資源。在進(jìn)行用戶認(rèn)證時(shí)，則通過采用上述的訪問控制機(jī)制，將訪問細(xì)化為HTTP請求，根據(jù)用戶請求和用戶角色權(quán)限，判定是否通過請求[7-8]。

3.3? 多媒體資源防護(hù)措施

在多媒體資源管理中，后臺管理頁面不對普通用戶展示，管理員登錄需要經(jīng)過單獨(dú)的頁面認(rèn)證。采取HTTP摘要認(rèn)證方式，其輸入的密碼也是經(jīng)過加密后傳輸?shù)胶笈_驗(yàn)證的，可以避免在網(wǎng)絡(luò)傳輸過程中出現(xiàn)身份驗(yàn)證信息泄露。此外，多媒體資源防護(hù)措施還包括非法下載防護(hù)和數(shù)據(jù)庫防破壞措施。在Web服務(wù)器上存儲(chǔ)著大量多媒體資源，非法訪問者或黑客，不按常規(guī)方式進(jìn)行多媒體資源下載，比如直接在瀏覽器地址中輸入嵌有目錄遍歷供給編碼的URL，讀取Web服務(wù)器目錄上的文件，并進(jìn)行下載，這種方式成為目錄遍歷攻擊。還有一種攻擊行為是在URL中嵌入SQL輸入語句，在服務(wù)器端執(zhí)行SQL命令時(shí)，達(dá)到操作數(shù)據(jù)庫內(nèi)容的目的，有可能造成數(shù)據(jù)被惡意篡改或刪除。針對這些攻擊手段，Web應(yīng)用防火墻通過采用Web防護(hù)引擎的定義規(guī)則，對多媒體資源管理系統(tǒng)后臺文件和數(shù)據(jù)庫進(jìn)行保護(hù)，系統(tǒng)管理員在布置防護(hù)措施時(shí)，可根據(jù)不同攻擊方式特點(diǎn)，定義不同的防護(hù)規(guī)則，避免因上述情況出現(xiàn)資源損失[9]。

3.4? 數(shù)據(jù)傳輸管理

數(shù)據(jù)傳輸管理是多媒體資源管理系統(tǒng)安全防護(hù)的一個(gè)重要環(huán)節(jié)，系統(tǒng)的用戶注冊、交易功能等，都會(huì)涉及到大量保密數(shù)據(jù)，在用戶瀏覽這些數(shù)據(jù)并進(jìn)行操作時(shí)，Web應(yīng)用防火墻可以提供保護(hù)，確保敏感數(shù)據(jù)不被盜取。這主要是通過采用SSL數(shù)據(jù)加密傳輸技術(shù)實(shí)現(xiàn)的，Web應(yīng)用防火墻利用Apache中的URL重定向技術(shù)，轉(zhuǎn)到SSL，對數(shù)據(jù)實(shí)施加密，從而在保密狀態(tài)下完成相關(guān)功能操作。比如在多媒體資源管理系統(tǒng)的交易模塊中，采用數(shù)字簽名技術(shù)，為客戶端發(fā)放數(shù)字證書，以此來保證用戶交易的合法性。當(dāng)然，也不是所有數(shù)據(jù)的傳輸過程都需要進(jìn)行加密，這樣做會(huì)大幅度增加網(wǎng)絡(luò)資源開銷，進(jìn)而導(dǎo)致網(wǎng)絡(luò)超負(fù)荷。因此，在Web應(yīng)用防火墻系統(tǒng)的設(shè)置過程中，需要根據(jù)不同目錄下存儲(chǔ)的數(shù)據(jù)重要性，分類設(shè)計(jì)數(shù)據(jù)加密等級，按照不同等級的加密規(guī)則進(jìn)行加密。此外，Web應(yīng)用防火墻技術(shù)還提供了HTTP壓縮傳輸功能，可提高數(shù)據(jù)傳輸速度，解決加密傳輸中的資源占用問題[10]。

3.5? 日志記錄及分析

在整個(gè)Web應(yīng)用防火墻的運(yùn)行過程中，會(huì)自動(dòng)對多媒體資源管理系統(tǒng)受到的外部攻擊進(jìn)行檢測和記錄，然后對其實(shí)施分類管理。日志記錄的過程中，會(huì)根據(jù)預(yù)處理設(shè)置，篩選出管理員所需的數(shù)據(jù)，然后以圖表等形式，顯示用戶攻擊行為，方便系統(tǒng)管理員查詢?nèi)罩?，獲得有用信息。在日志分析過程中，還可以對攻擊IP地址進(jìn)行解讀，得到實(shí)際地理位置。并對攻擊者的攻擊行為方式進(jìn)行分析，判斷Web應(yīng)用防火墻系統(tǒng)是否存在漏洞，然后根據(jù)攻擊行為分析結(jié)果，對系統(tǒng)漏洞進(jìn)行修補(bǔ)，使其能夠不斷應(yīng)對新的攻擊方式，保證系統(tǒng)的安全性。

4? 結(jié)論

綜上所述，Web應(yīng)用防火墻系統(tǒng)在多媒體資源管理系統(tǒng)中的應(yīng)用，能夠滿足系統(tǒng)資源安全防護(hù)的需要，有效識別非法訪問和攻擊行為，采取相應(yīng)的防護(hù)措施，避免系統(tǒng)資源被盜取或受到破壞。通過合理部署Web應(yīng)用防火墻的安全規(guī)則，可以為目標(biāo)系統(tǒng)提供全面、可靠的安全防護(hù)。

參考文獻(xiàn)

張華英. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效應(yīng)用分析[J]. 計(jì)算機(jī)產(chǎn)品與流通， 2018（10）： 4.

王準(zhǔn)， 田松沅， 袁智超. 計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用探討[J]. 計(jì)算機(jī)產(chǎn)品與流通， 2018（09）： 48.

康玉虎. 傳統(tǒng)硬件Web應(yīng)用防火墻在虛擬化環(huán)境下的部署[J]. 數(shù)字通信世界， 2018（09）： 124+109.

張瑋. 飛塔防火墻的SSL VPN技術(shù)在企業(yè)遠(yuǎn)程辦公中的應(yīng)用[J]. 油氣藏評價(jià)與開發(fā)， 2018， 8（04）： 77-80.

金莉. 新環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防火墻技術(shù)應(yīng)用[J]. 電子技術(shù)與軟件工程， 2018（15）： 193.

段忠祥. 一種“互聯(lián)網(wǎng)+”背景下“線上”課程資源的改進(jìn)數(shù)據(jù)加密算法[J]. 軟件， 2018， 39（10）： 6-9.

劉迷迷， 蔡永銘. 基于多層感知神經(jīng)網(wǎng)絡(luò)的糖尿病并發(fā)癥預(yù)測研究[J]. 軟件， 2018， 39（10）： 30-35.

韓婷， 劉暢， 趙若晗， 等. 基于C語言和MATLAB的混合編程在醫(yī)學(xué)圖像處理課程中的應(yīng)用[J]. 軟件， 2018， 39（10）： 26-29.

畢連旭. 基于流媒體技術(shù)實(shí)現(xiàn)廣播新媒體收聽互動(dòng)的研究[D]. 天津大學(xué)， 2017.

張遠(yuǎn)安. 企業(yè)級數(shù)據(jù)分布式拓展系統(tǒng)設(shè)計(jì)及實(shí)現(xiàn)[D]. 華中科技大學(xué)， 2016.