賈海天，沈 堅（蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 數(shù)字化校園管理中心，江蘇 蘇州215009）

基于防火墻和WAF安全設(shè)備的高校信息安全設(shè)計與應(yīng)用*

賈海天，沈 堅
（蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 數(shù)字化校園管理中心，江蘇 蘇州215009）

伴隨著信息化進程在高校不斷深入，蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的數(shù)字化建設(shè)取得了一定的成果，多年的信息化建設(shè)提升了學(xué)校信息化部門的工作水平與能力，當前建設(shè)投入不斷增加以及應(yīng)用系統(tǒng)不斷豐富，信息安全問題已經(jīng)成為了一個重要課題，如何確保系統(tǒng)安全成為信息化管理部門一個嚴峻的任務(wù)。文章分析目前學(xué)校安全問題的現(xiàn)狀，以及采用防火墻和WAF安全設(shè)備完成對服務(wù)器區(qū)域的安全保護，信息安全工程是一個系統(tǒng)復(fù)雜的工程，也是數(shù)字化校園建設(shè)的一個重要組成部分，運用積極有效的防御設(shè)備將對以后的智慧校園建設(shè)起到積極作用。

WAF；數(shù)字化校園；防火墻；DMZ

一、引言

蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的信息化建設(shè)經(jīng)過多年的發(fā)展已經(jīng)初見成效，當前智慧校園建設(shè)已經(jīng)成為信息化建設(shè)的重要組成部分，在前期信息化建設(shè)的基礎(chǔ)上，網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用已經(jīng)成為目前建設(shè)的下一步重點工作。網(wǎng)絡(luò)可以看作智慧校園的“路”，系統(tǒng)可以看作在路上跑的“車”，應(yīng)用作為用戶最終的體驗，可以看作是“貨物”。貨物流通的多少，最終直接決定著智慧校園建設(shè)的效果。當注意力都集中在“路”、“車”、“貨”的時候，道路安全、車輛安全、貨物安全也成為了建設(shè)工程的重要組成部分。

自從2016年初開始，學(xué)校站群系統(tǒng)受到了大量木馬攻擊，與早期攻擊相比較，目前的攻擊策略具有了更大的隱蔽性和破壞性。由于多次被攻擊都是被動發(fā)現(xiàn)，并且被網(wǎng)監(jiān)查到，領(lǐng)導(dǎo)非常重視，相關(guān)安全工作也已經(jīng)逐步展開。既然外面有矛指向?qū)W校的安全，必要的盾還是需要的，更重要的是如何使用盾牌來進行防衛(wèi)，保障“路”、“車”、“貨物”系統(tǒng)安全。

二、安全設(shè)備工作原理

信息系統(tǒng)安全是很大的題目，信息系統(tǒng)的安全一般可以分為：設(shè)施的安全、系統(tǒng)的安全、網(wǎng)絡(luò)的安全、數(shù)據(jù)庫的安全等等。設(shè)施的安全主要是指系統(tǒng)主機所在的機房的安全，其中有接地安全、電磁安全、電源安全等；系統(tǒng)的安全主要是主機的操作系統(tǒng)的安全和開發(fā)的應(yīng)用系統(tǒng)的安全等；網(wǎng)絡(luò)的安全主要是網(wǎng)絡(luò)的邊界安全、防護安全、入侵檢測、病毒防護等；數(shù)據(jù)庫的安全主要是授權(quán)訪問、數(shù)據(jù)的完整性、防篡改等。本文主要側(cè)重介紹系統(tǒng)安全。

為了實現(xiàn)學(xué)校的系統(tǒng)安全，信息化部門采用了防火墻和WAF（Web Application Firewall）來完成信息系統(tǒng)安全工作。

1.防火墻工作原理

防火墻是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。

防火墻主要工作在網(wǎng)絡(luò)層和傳輸層。常用的防火墻包括：包過濾技術(shù)防火墻和代理類防火墻。①包過濾類防火墻也叫分組過濾防火墻。根據(jù)分組包的源、目的地址、端口號及協(xié)議類型、標志位確定是否允許分組包通過。優(yōu)點是高效、透明；缺點是不支持應(yīng)用層協(xié)議，不能防范部分的黑客IP欺騙類攻擊。②代理類防火墻也叫應(yīng)用網(wǎng)關(guān)防火墻。每個代理需要一個不同的應(yīng)用進程，或一個后臺運行的服務(wù)程序；對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。優(yōu)點是安全性高，提供應(yīng)用層的安全，檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征；缺點是性能差、伸縮性差、處理速度較慢。

防火墻安全規(guī)則設(shè)置需要遵循如下原則：①防火墻安全規(guī)則遵循從上到下匹配的原則，一旦有一條匹配，剩余的都不進行匹配。②如果所有的規(guī)則都沒有匹配到，數(shù)據(jù)包將被丟棄。③安全過濾規(guī)則主要包含源、目的地址和端口，TCP標志位，應(yīng)用時間以及一些高級過濾選項。

實際工作中需要對應(yīng)用控制策略進行詳細的分析與驗證。

2.WAF工作原理

Web防火墻，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入。WAF防火墻主要是對DMZ（demilitarized zone）區(qū)中的Web服務(wù)器的防護。

WAF邏輯上位于客戶端和服務(wù)器程序之間的應(yīng)用層，它在服務(wù)器之前先接收到客戶端提交的請求，并在客戶端之前先接收到服務(wù)器發(fā)來的應(yīng)答。主動安全防御的思想是讓W(xué)AF充分介入到客戶端和服務(wù)器程序的HTTP會話中，在服務(wù)器端向客戶端發(fā)送HTTP應(yīng)答時，主動采用安全機制來保護相關(guān)的會話ID、隱藏按鈕和Cookie等狀態(tài)數(shù)據(jù)，然后將受保護的狀態(tài)數(shù)據(jù)發(fā)送給客戶端，保證其在客戶端的完整性，并在下一次客戶端向服務(wù)器端提交狀態(tài)數(shù)據(jù)時，對這些數(shù)據(jù)進行驗證、解除保護并發(fā)送給服務(wù)器端。

WAF主要采用以下4種方式對Web服務(wù)器進行防護。

（1）代理服務(wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。

（2）特征識別：識別出入侵者是防護它的前提。

（3）通過高效的算法實現(xiàn)特征識別，完成語義理解，快速識別攻擊類別。

（4）模式匹配：把攻擊行為歸納成一定模式，匹配后能確定是入侵行為。

Web防火墻最大的挑戰(zhàn)是識別率，這并不是一個容易測量的指標，比如給網(wǎng)頁掛馬，很難察覺進來的是哪一個，不知道當然也無法統(tǒng)計。對于已知的攻擊方式，可以談識別率；對未知的攻擊方式，你也只好發(fā)現(xiàn)以后事后處理。

學(xué)校今年遇到了幾次掛馬情況都是事后發(fā)現(xiàn)，并且攻擊手段隱蔽，發(fā)現(xiàn)以后再處理就很被動，學(xué)校也要承擔更大的壓力。所以采用具有“自學(xué)習”功能的WAF設(shè)備，它將會完成主動防御，避免事后追溯問題來源，造成被動應(yīng)對。

3.防火墻與WAF設(shè)備比較

防火墻主要工作在網(wǎng)絡(luò)層和傳輸層，完成IP地址和端口的過濾工作。WAF設(shè)備工作在應(yīng)用層，主要針對HTTP請求進行檢測。WAF對HTTP請求和應(yīng)答進行攻擊特征檢測，通過“自學(xué)習”功能建立自己的智能防御庫進行防御。

三、建設(shè)方案

1.安全事件與漏洞描述

最近一段時間，學(xué)校Web站群服務(wù)器一直被掛馬，經(jīng)過專業(yè)公司檢測，主要是存在如下問題：

（1）服務(wù)器被上傳惡意廣告文件。

（2）Web中的FCK編輯器存在漏洞。

（3）后臺可以任意上傳漏洞。

（4）Web站群系統(tǒng)后臺權(quán)限問題。

（5）Web服務(wù)器管理端端口對外開放問題。

（6）服務(wù)器權(quán)限問題。

從系統(tǒng)安全角度分析，這些問題主要集中在系統(tǒng)、代碼和管理運維方面。（4）屬于管理弱口令問題，（2）屬于系統(tǒng)代碼問題，（6）屬于操作系統(tǒng)本身問題。

2.防火墻安全策略設(shè)置

防火墻部分采用包過濾模式，通過分析TCP/IP數(shù)據(jù)包源IP、端口、區(qū)域和訪問目的區(qū)域的IP、端口和區(qū)域，同時進行時間、日志設(shè)置。防火墻主要是對IP和端口進行設(shè)置，設(shè)置串聯(lián)在網(wǎng)絡(luò)里面的出入口，完成防護功能?？蚣苋鐖D1所示，上半部分是防火墻安全設(shè)置區(qū)域，用于進行安全保護。DMZ作為服務(wù)器區(qū)域，限制外部網(wǎng)絡(luò)對其端口攻擊。

通過防火墻安全策略設(shè)置完成了對安全事件的（5）、（6）的安全保護。

3.WAF安全策略測試

WAF（Web Application Firewalls）網(wǎng)絡(luò)安全設(shè)備通過應(yīng)用層的URL，對域名進行保護。WAF設(shè)備通過重組、解析、理解HTTP請求和應(yīng)答，并根據(jù)內(nèi)置的HTTP攻擊特征實現(xiàn)攻擊檢測和阻斷。框架如圖1所示，中間部分是WAF安全設(shè)置區(qū)域，用于對Web服務(wù)器進行安全保護。DMZ作為服務(wù)器區(qū)域，限制外部對其系統(tǒng)進行域名攻擊。

通過WAF安全策略設(shè)置完成了對安全事件的（1）、（3）、（4）的安全保護。

四、結(jié)果分析

根據(jù)安全工程實施前后數(shù)據(jù)統(tǒng)計，安全設(shè)備上架之前的入侵趨勢一直在2000以上，在安裝并且調(diào)試安全設(shè)備以后，入侵趨勢一直呈現(xiàn)快速下降趨勢。入侵控制盡量控制在最小范圍以內(nèi)。目前安全系統(tǒng)存在的主要漏洞在于：①由于弱口令，同時更方便用戶對系統(tǒng)的使用，安全策略沒有做到顆粒化；②個別系統(tǒng)由于已使用多年，漏洞來自于80端口，而80端口作為信息發(fā)布端口不能屏蔽。入侵趨勢如圖2所示，防火墻和WAF設(shè)備經(jīng)過安裝與調(diào)試已經(jīng)可以阻斷大部分的攻擊。

圖2　入侵趨勢圖

五、結(jié)束語

數(shù)字化校園安全建設(shè)是系統(tǒng)建設(shè)的基礎(chǔ)，隨著信息安全技術(shù)的不斷提升，安全設(shè)備正向著分布式、嵌入式和智能化的方向發(fā)展，越來越多的信息化技術(shù)被融入到安全技術(shù)中，由防火墻和WAF設(shè)備組成的數(shù)字化校園安全系統(tǒng)平臺，從網(wǎng)絡(luò)層、應(yīng)用層為學(xué)校的信息化建設(shè)提供了技術(shù)保障。但是安全問題是一個需要長期研究和學(xué)習的問題，任何堅固的盾最后都可能被鋒利的矛所擊穿。這時候更多的安全措施需要管理方面給予支持，用于彌補技術(shù)方面不能涉及到的問題。

［1］雷震甲.計算機網(wǎng)絡(luò)管理［M］.西安：西安電子科技大學(xué)出版社，2006.

［2］邵波，王其和.計算機網(wǎng)絡(luò)安全技術(shù)及應(yīng)用［M］.北京：電子工業(yè)出版社，2005.

［3］周良洪.信息網(wǎng)絡(luò)安全概論［M］.北京：群眾出版社，2005.

［4］鄧亞平.計算機網(wǎng)絡(luò)安全［M］.北京：人民郵電出版社，2004.

［5］黎連業(yè)等.防火墻及其應(yīng)用技術(shù)［M］.北京：清華大學(xué)出版社，2004.

［6］（美）KeithE.Strassberg等著，李昂等譯.防火墻技術(shù)大全［M］.北京：機械工業(yè)出版社，2003.

［7］袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù)［M］.北京：清華大學(xué)出版社，2002.

［8］蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)［M］.北京：中國水利水電出版社，2002.

［9］蕭文龍.企業(yè)網(wǎng)絡(luò)安全［M］.北京：中國鐵道出版社，2001.

［10］凌雨欣，常紅.網(wǎng)絡(luò)安全技術(shù)與反黑客［M］.北京：冶金工業(yè)出版社，2001.

（編輯：魯利瑞）

TP393

B

1673-8454（2016）18-0075-03

*2015年蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院立項課題，項目編號：KY-ZR1518。