杜躍忠+王麗春

【摘 要】在互聯(lián)網(wǎng)高速發(fā)展的今天，基于互聯(lián)網(wǎng)的Web應(yīng)用在各個領(lǐng)域快速發(fā)展，針對Web應(yīng)用的攻擊也呈爆發(fā)式發(fā)展。站群系統(tǒng)因用戶范圍廣、訪問量大、應(yīng)用廣，所受到的攻擊方式、攻擊數(shù)量也更多，而傳統(tǒng)的安全技術(shù)不能有效地抵御這些攻擊。論文從Web安全威脅的角度介紹了Web應(yīng)用防火墻技術(shù)，探索了Web應(yīng)用防火墻在站群系統(tǒng)建設(shè)和管理中的應(yīng)用方法，以保障站群系統(tǒng)的安全、穩(wěn)定運行。

【Abstract】Today， with the rapid development of internet， Web applications based on the internet are developing rapidly in various fields， and the attacks against on Web applications are explosive. Because of the wide range of users， large amount of access and wide application， the station group system has more attacks， the traditional security technologies can not effectively resist these attacks. The paper introduces Web application firewall technology from the angle of Web security threat， and explores the application method of Web application firewall in station group system construction and management， in order to ensure the safety and stable operation of station group system.

【關(guān)鍵詞】Web應(yīng)用防火墻；網(wǎng)絡(luò)安全；站群系統(tǒng)

【Keywords】Web application firewall； network security； station group system

【中圖分類號】TN915.08 【文獻標志碼】A 【文章編號】1673-1069（2017）08-0138-02

1 引言

因為Web應(yīng)用具有開發(fā)快速、部署要求低、使用方便等特點，政府企事業(yè)單位均將自己的IT業(yè)務(wù)通過Web應(yīng)用平臺來實現(xiàn)，云計算、云存儲的發(fā)展也促進了Web應(yīng)用的發(fā)展。Web應(yīng)用已經(jīng)在電子商務(wù)、電子政務(wù)、數(shù)字校園、辦公自動化等領(lǐng)域成為主流應(yīng)用模式，成為人們生活的重要組成部分。Web應(yīng)用的高速發(fā)展，使得針對Web應(yīng)用的安全攻擊事件越來越多，不少機構(gòu)因此產(chǎn)生了經(jīng)濟財產(chǎn)損失。

據(jù)權(quán)威機構(gòu)統(tǒng)計，當(dāng)前網(wǎng)絡(luò)上75%的攻擊是針對Web應(yīng)用的。網(wǎng)站作為機構(gòu)對外開展宣傳、發(fā)布通知公告、提供信息化服務(wù)的首選平臺，已成為使用最為廣泛的Web應(yīng)用平臺，受到的攻擊占了Web應(yīng)用攻擊的絕大部分。在包含多級子部門的環(huán)境下，站群系統(tǒng)是網(wǎng)站建設(shè)的首選方案，政府機關(guān)、高校一般采用站群系統(tǒng)構(gòu)建自己的網(wǎng)站。如何在站群系統(tǒng)上有效防范網(wǎng)絡(luò)安全攻擊，是網(wǎng)站建設(shè)和管理的首要工作。

2 Web應(yīng)用的常見安全攻擊

Web應(yīng)用的安全攻擊主要發(fā)生在Web應(yīng)用層和網(wǎng)絡(luò)層，Web應(yīng)用層的攻擊所占比例較大。常見的Web應(yīng)用層攻擊包括：SQL注入、跨站腳本攻擊、木馬上傳、跨站請求偽造、本地及遠程漏洞利用、重要信息竊取、認證繞過、文件篡改、Cookie和Session劫持、應(yīng)用層DOS攻擊等。Web應(yīng)用層攻擊成功之后，會導(dǎo)致機構(gòu)及用戶敏感信息泄露、數(shù)據(jù)丟失、服務(wù)器癱瘓、掛載非法信息、成為安全攻擊源等危險情況。傳統(tǒng)的安全技術(shù)，比如網(wǎng)絡(luò)防火墻、IDS或者IPS等，無法防范針對Web應(yīng)用層的攻擊[1]。

3 Web應(yīng)用防火墻技術(shù)介紹

Web應(yīng)用防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的新興技術(shù)，通過執(zhí)行一系列針對HTTP/HTTPS協(xié)議的安全策略，實現(xiàn)Web應(yīng)用安全防范的技術(shù)[2]。Web應(yīng)用的體系架構(gòu)一般包含客戶端瀏覽器和遠端服務(wù)器，基于HTTP/HTTPS協(xié)議實現(xiàn)業(yè)務(wù)流程。瀏覽器通過HTTP協(xié)議，向服務(wù)器發(fā)出Get、Post、會話等請求，服務(wù)器端也通過HTTP協(xié)議完成請求的響應(yīng)。針對Web應(yīng)用層要完成攻擊操作，需要基于HTTP/HTTPS協(xié)議完成數(shù)據(jù)或者命令的發(fā)送。Web應(yīng)用防火墻對瀏覽器發(fā)送的各類請求進行內(nèi)容檢測與驗證，阻斷非法訪問，過濾非法數(shù)據(jù)，從而實現(xiàn)對Web應(yīng)用的保護。

Web應(yīng)用防火墻有如下特點：①實現(xiàn)基于攻擊行為的保護：該類保護能有效防范常見的攻擊行為。②基于自學(xué)習(xí)特征建模的保護：通過流量學(xué)習(xí)或者主動頁面抓取分析，對網(wǎng)站的動態(tài)提交參數(shù)進行建模。③提供會話保護機制：通過加密機制建立安全、可靠的會話，有效防范基于會話的攻擊。④提供運行狀態(tài)下的更新機制：采取處理內(nèi)核和策略分離的方法，在不停機的狀態(tài)下更新策略數(shù)據(jù)，實現(xiàn)無間斷保護。

4 站群系統(tǒng)介紹

站群系統(tǒng)是現(xiàn)在流行的網(wǎng)站建設(shè)與管理方法，是指利用軟件系統(tǒng)建立在統(tǒng)一技術(shù)架構(gòu)之上的網(wǎng)站群，實現(xiàn)了統(tǒng)一建站、統(tǒng)一管理、統(tǒng)一信息發(fā)布等功能。站群系統(tǒng)有效提高了機構(gòu)網(wǎng)站的建設(shè)效果，特別是在多級子部門的環(huán)境下，站群系統(tǒng)的作用得到了充分發(fā)揮。

站群系統(tǒng)主要有以下功能：①站群系統(tǒng)在一個系統(tǒng)上建設(shè)網(wǎng)站群，避免了建設(shè)子網(wǎng)站的重復(fù)投資，大大降低了網(wǎng)站建設(shè)成本，提高了子網(wǎng)站的建設(shè)水平和管理效率。②站群系統(tǒng)提供了一整套從網(wǎng)絡(luò)環(huán)境、硬件服務(wù)器、操作系統(tǒng)到技術(shù)架構(gòu)方面的安全防范措施，提高了網(wǎng)站群的安全防范水平。③站群系統(tǒng)實現(xiàn)了子網(wǎng)站間的信息共享和交換，模板資源能有效實現(xiàn)功能的復(fù)用。④提供了完善的多級角色權(quán)限管理制度，網(wǎng)站資源權(quán)限劃分清晰，方便實現(xiàn)多用戶環(huán)境下的高效率管理。endprint

5 站群系統(tǒng)應(yīng)用Web應(yīng)用防火墻的方法

根據(jù)站群系統(tǒng)的系統(tǒng)架構(gòu)、網(wǎng)絡(luò)運行環(huán)境、服務(wù)器連接方法，合理部署Web應(yīng)用防火墻，制定全面的防范策略，以有效實現(xiàn)網(wǎng)絡(luò)安全防范功能。

5.1 部署Web應(yīng)用防火墻

為了實現(xiàn)靈活的功能設(shè)置，Web應(yīng)用防火墻提供了多種部署方法，一般包括透明網(wǎng)橋模式、旁路反向代理模式、路由模式、混合部署模式、虛擬化部署模式、單 IP 虛擬化部署模式等。透明網(wǎng)橋模式指在兩臺運行的設(shè)備中間部署Web應(yīng)用防火墻，及時阻斷、過濾來自 Web 應(yīng)用層的攻擊，讓其他正常的網(wǎng)絡(luò)數(shù)據(jù)通過。在互聯(lián)網(wǎng)上，站群系統(tǒng)主要提供信息的檢索、瀏覽、分享功能。與其他部署方式相比，透明網(wǎng)橋部署模式更適合站群系統(tǒng)，防范快速、簡便，可做到即插即用，先部署后配置[3]。透明網(wǎng)橋模式常用的部署結(jié)構(gòu)如圖1所示。

5.2 以基于攻擊行為的保護為主，全面配置防范功能

基于攻擊行為的保護主要防范SQL 注入攻擊、XSS跨站腳本攻擊、執(zhí)行操作系統(tǒng)命令、危險存儲過程執(zhí)行、木馬上傳

等[4]。基于攻擊行為的保護能防范大部分網(wǎng)絡(luò)安全攻擊，保障整個網(wǎng)站群的安全運行。除此之外，可以通過基于自學(xué)習(xí)特征建模的防護、基于過濾輸出的防護、木馬統(tǒng)計與行為溯源分析、掃描器掃描防護、數(shù)據(jù)庫防篡改等功能，全面保護站群系統(tǒng)。

5.3 合理利用Web應(yīng)用防火墻阻斷與訪問控制功能

為了保證站群系統(tǒng)的可訪問性，需要有針對性地合理利用Web應(yīng)用防火墻的阻斷、訪問控制功能，既實現(xiàn)防范攻擊，又保護合法訪問?？梢允褂玫姆阑饓r截方法包括阻斷、包過濾、入侵檢測、放行，合理設(shè)置阻斷的IP和時間。訪問控制可以針對內(nèi)置規(guī)則或者自定義規(guī)則，提供細粒度的控制。針對來源IP、目的IP、域名、URL 規(guī)則（集）進行精細控制。

5.4 使用統(tǒng)計、分析功能

利用Web應(yīng)用防火墻記錄站群系統(tǒng)受到的每次攻擊的情況，包括攻擊方法、攻擊時間、攻擊者的IP、物理地址等，查看告警日志、審計日志，對記錄進行統(tǒng)計、分析，以便在特定網(wǎng)絡(luò)攻擊爆發(fā)的期間，快速掌握不同時間遭受網(wǎng)絡(luò)攻擊的狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢。

6 結(jié)語

目前我國已經(jīng)陸續(xù)出臺多項與網(wǎng)絡(luò)安全工作相關(guān)的法律法規(guī)，在站群系統(tǒng)的建設(shè)與管理中，必須高度重視網(wǎng)絡(luò)安全工作。Web應(yīng)用防火墻不僅有效地防范了針對Web應(yīng)用層的網(wǎng)絡(luò)攻擊，而且可以在不影響正常訪問的數(shù)據(jù)流量下實現(xiàn)阻斷和訪問控制，有效地保障了站群系統(tǒng)的安全。

【參考文獻】

【1】劉宗田.Web站點安全與防火墻技術(shù)[M].北京：機械工業(yè)出版社， 2007.

【2】王宇，陸松年.Web 應(yīng)用防火墻的設(shè)計與實現(xiàn)[J].信息安全與通信保密，2011（5）：104-106.

【3】趙越.高校網(wǎng)站建設(shè)及管理存在的問題與對策[J].產(chǎn)業(yè)與科技論壇，2011（02）：20-45.

【4】陳楠，薛質(zhì).注入攻擊的實現(xiàn)和防范[J].信息安全與通信保密，2005（01）：48-50.endprint