摘 要 為加強(qiáng)校園信息系統(tǒng)的安全防護(hù) 文章首先對WAF 的基本原理及應(yīng)用場景進(jìn)行分析 并歸納了WAF 的5 種部署模式 即監(jiān)聽部署 串聯(lián)部署 單臂部署 反向代理部署 牽引部署模式 在此基礎(chǔ)上 結(jié)合策略類型和策略適用情況 提出了適用于校園信息系統(tǒng)的精細(xì)化策略 以保證學(xué)校信息系統(tǒng)的安全運(yùn)行

關(guān)鍵詞 校園信息系統(tǒng) WAF精細(xì)化策略

中圖法分類號tp393? ?文獻(xiàn)標(biāo)識碼a

隨著互聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)安全問題日益突出。根據(jù)２０２２ 年互聯(lián)網(wǎng)信息中心的公開數(shù)據(jù)，２０２１ 年我國Ｗｅｂ 安全問題突出，其中信息系統(tǒng)安全漏洞超１４０ ０００ 個，遭到拒絕服務(wù)攻擊７５ ３００ 起。校園網(wǎng)絡(luò)安全對學(xué)校的日常教學(xué)、運(yùn)行具有重要意義，為防止網(wǎng)絡(luò)攻擊，可采取部署ＷＡＦ 防火墻的措施，以加強(qiáng)信息系統(tǒng)的安全防護(hù)［１］ 。

１ ＷＡＦ 的原理及應(yīng)用

１．１ 基本原理

在國家網(wǎng)絡(luò)安全等級保護(hù)測評中，ＷＡＦ 是必須配備的安全設(shè)備［２］ 。ＷＡＦ 防火墻即Ｗｅｂ ＡｐｐｌｉｃａｔｉｏｎＦｉｒｅｗａｌｌ，具有豐富的策略類型，可根據(jù)不同的需求，部署多種模式。ＷＡＦ 能夠按照既定的策略對網(wǎng)絡(luò)系統(tǒng)進(jìn)行防護(hù)，識別攻擊、深度檢測流經(jīng)Ｗｅｂ 應(yīng)用的流量［３］ 。但由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，不同類別的Ｗｅｂ應(yīng)用需要與之相適應(yīng)的防護(hù)措施。因此，ＷＡＦ 須根據(jù)網(wǎng)絡(luò)系統(tǒng)的實際需求，對防范策略進(jìn)行精細(xì)化匹配。

１．２ 應(yīng)用

與傳統(tǒng)防火墻相比，ＷＡＦ 可對Ｗｅｂ 應(yīng)用協(xié)議流量進(jìn)行智能分析和實時監(jiān)測識別，可有效地解決各類問題，保護(hù)網(wǎng)絡(luò)信息系統(tǒng)。ＷＡＦ 的防護(hù)可應(yīng)用于Ｗｅｂ 應(yīng)用程序、應(yīng)用框架和Ｗｅｂ 服務(wù)發(fā)起的常見攻擊，如跨站攻擊、網(wǎng)頁篡改、ＤＤｏＳ 攻擊、惡意軟件、注入攻擊、緩沖區(qū)溢出、應(yīng)用層ＣＣ 攻擊、漏洞攻擊、信息泄露和腳本木馬等［４］ 。

２ ＷＡＦ 的部署模式

根據(jù)ＷＡＦ 在網(wǎng)絡(luò)系統(tǒng)中不同的應(yīng)用場景和位置，部署模式通常分為５ 種，分別是：監(jiān)聽部署、串聯(lián)部署、單臂部署、反向代理部署、牽引部署［５］ 。通常情況下， ＷＡＦ 進(jìn)行混合模式部署，如圖１ 所示。

２．１ 監(jiān)聽部署

監(jiān)聽部署模式接入網(wǎng)絡(luò)的方式為旁路三層通信接口，當(dāng)需要對流量進(jìn)行分析時，ＷＡＦ 首先采用鏡像的方式進(jìn)行獲取，待分析完成后將結(jié)果輸出［６］ 。這樣既可以達(dá)到監(jiān)聽的目的，也不會對網(wǎng)絡(luò)系統(tǒng)的流量造成影響。當(dāng)出口防火墻與ＷＡＦ 聯(lián)動部署時，多采用監(jiān)聽模式。在監(jiān)聽過程中，若檢測到網(wǎng)絡(luò)系統(tǒng)受到攻擊，則出口防火墻將會收到ＷＡＦ 報送的ＩＰ 地址，并對其進(jìn)行阻斷。

２．２ 串聯(lián)部署

串聯(lián)部署模式如圖２ 所示，其接入網(wǎng)絡(luò)的方式為串聯(lián)二層透明（橋接）［７］ 。在該模式中，ＷＡＦ 安全防護(hù)的方式為快速識別、攔截網(wǎng)絡(luò)流量中的Ｗｅｂ 應(yīng)用流量。該模式可有效防護(hù)流經(jīng)所有Ｗｅｂ 應(yīng)用的流量且無需對網(wǎng)絡(luò)設(shè)備配置拓?fù)溥M(jìn)行改變，ＷＡＦ 對Ｗｅｂ 服務(wù)器、客戶端等不可見，是目前大多數(shù)校園網(wǎng)絡(luò)的部署方式。

２．３ 單臂部署

單臂部署模式的工作方式類似于反向代理模式，接入網(wǎng)絡(luò)的方式與監(jiān)聽部署模式相同［８］ 。采用該模式，當(dāng)ＷＡＦ 出現(xiàn)故障時不會對整個網(wǎng)絡(luò)造成影響，可以均衡Ｗｅｂ 服務(wù)器的負(fù)載。

２．４ 反向代理

反向代理模式接入網(wǎng)絡(luò)的方式為串聯(lián)三層通信接口［９］ 。在該模式下，通過配置ＩＰ 地址，在進(jìn)行安全防護(hù)處理后，ＷＡＦ 再與Ｗｅｂ 服務(wù)器通信；而Ｗｅｂ 客戶端可直接與ＷＡＦ 進(jìn)行通信。通過該模式，ＷＡＦ 能夠均勻提高Ｗｅｂ 服務(wù)器的負(fù)載，從而提升訪問速度。該模式具有安全性較好的特點(diǎn)，但也存在較大弊端，即ＷＡＦ 發(fā)生故障將會影響整個Ｗｅｂ 服務(wù)器。

２．５ 牽引部署

牽引部署模式的網(wǎng)絡(luò)接入方式為旁路接入。在該模式中，首先通過路由器將Ｗｅｂ 訪問流量傳輸至ＷＡＦ；處理完成后，ＷＡＦ 再經(jīng)路由器，將流量傳輸至Ｗｅｂ 服務(wù)器。該模式的缺點(diǎn)是：ＷＡＦ 配置復(fù)雜，須為Ｗｅｂ 應(yīng)用創(chuàng)建牽引路由。該模式的優(yōu)點(diǎn)是：部署速度快，既能夠?qū)Γ祝澹?服務(wù)器進(jìn)行安全防護(hù)，又能減小對網(wǎng)絡(luò)系統(tǒng)的影響。

３ ＷＡＦ 精細(xì)化策略

３．１ 策略類型

ＷＡＦ 對Ｗｅｂ 進(jìn)行安全防護(hù)的策略為不同攻擊類型的防護(hù)規(guī)則，即當(dāng)某種攻擊流量屬于某種規(guī)則時，ＷＡＦ 就會對其檢測識別并采取處理措施。策略主要包括以下８ 種：用戶會話跟蹤策略、ＩＰ 防護(hù)策略、虛擬補(bǔ)丁策略、內(nèi)容改寫、ＡＰＩ 防護(hù)策略、自學(xué)習(xí)策略、訪問控制策略、安全策略。

３．２ 策略適用情況

ＷＡＦ 可設(shè)置通用策略，若Ｗｅｂ 應(yīng)用數(shù)量過多，則防護(hù)類型的需求也就越大，在此情況下，通用策略則不能滿足要求。通常情況下，校園網(wǎng)絡(luò)開放的信息系統(tǒng)包括課程中心、門戶主頁、教務(wù)管理、網(wǎng)辦大廳、部門院系網(wǎng)、實驗室預(yù)約、新聞網(wǎng)和統(tǒng)一身份管理等。網(wǎng)站的交互式功能包括文件上傳和下載、動態(tài)和靜態(tài)頁面、提交表單、信息系統(tǒng)賬號登錄等。這些網(wǎng)站采用不同的ＴＣＰ 服務(wù)端口，通常在不同類型的Ｗｅｂ 應(yīng)用上部署。因此，需分析不同的業(yè)務(wù)場景、系統(tǒng)功能和應(yīng)用類型，從而匹配適用的ＷＡＦ 策略，最終實現(xiàn)策略精細(xì)化。

３．３ 策略設(shè)置方式

在策略初始設(shè)置時，可選擇寬松、常規(guī)、嚴(yán)格檢測和調(diào)試４ 種通用策略，這４ 種策略級別由低到高。其中常規(guī)檢測可適用于大部分業(yè)務(wù)場景。策略配置時，可通過收集用戶反饋、剖析Ｗｅｂ 場景以及分析系統(tǒng)防護(hù)日志等方式，找到適用的策略，以達(dá)到最優(yōu)的防護(hù)效果。

（ １）對預(yù)定義規(guī)則的參數(shù)閾值進(jìn)行調(diào)整，ＷＡＦ 安全策略預(yù)定義包括以下７ 種類型的防護(hù)規(guī)則，分別是：惡意軟件、探測訪問、ＨＴＴＰ 協(xié)議異常、信息泄露、特殊漏洞攻擊、跨站攻擊、注入攻擊。這些防護(hù)規(guī)則既可以調(diào)整閾值，也可以發(fā)現(xiàn)新的漏洞或?qū)π滦偷墓暨M(jìn)行自定義防護(hù)。

（２）Ｗｅｂ 應(yīng)用防篡改防護(hù)方法為開啟防篡改策略，通過對網(wǎng)頁基線文件進(jìn)行周期性校驗，以防止Ｗｅｂ 應(yīng)用被非法篡改。

（３）排查私設(shè)未備案或疏漏未防護(hù)的Ｗｅｂ 應(yīng)用的方法：開啟定時Ｗｅｂ 應(yīng)用發(fā)現(xiàn)策略，對協(xié)議流量進(jìn)行監(jiān)測，檢測２００，３０１ 等響應(yīng)代碼，將非法的Ｗｅｂ 應(yīng)用加入防護(hù)列表。

（４）由于目前采用的ＴＬＳ１．１，ＴＬＳｖ１．０ 和ＳＳＬｖ３ 協(xié)議版本過低，容易被攻擊，存在安全漏洞，因此需要修改為更高版本的協(xié)議，如ＴＬＳｖ１．３，ＴＬＳｖ１．２ 等。

（５）對于夜間訪問量較少的網(wǎng)站或信息系統(tǒng)（如課程中心、實驗室預(yù)約、教務(wù)管理等），設(shè)置Ｗｅｂ 應(yīng)用訪問時間策略。通過ＷＡＦ 設(shè)置，在００：００ 至７：００，僅允許校園網(wǎng)訪問，關(guān)閉互聯(lián)網(wǎng)訪問權(quán)限，從而減少被攻擊的風(fēng)險。

（６）為防止Ｗｅｂ 應(yīng)用ＩＰ 地址被假域名訪問，對ＷＡＦ 進(jìn)行設(shè)置，拒絕錯誤域名訪問，僅允許Ｗｅｂ 應(yīng)用的正確域名對ＩＰ 地址進(jìn)行訪問。

在交互式功能的信息系統(tǒng)中，若有表單數(shù)據(jù)提交功能，則需將惡意行為策略的ＰＯＳＴ 頻次閾值調(diào)高；若有上傳或下載文件功能，則需將允許上傳下載文件的策略開啟；若有后臺管理功能，則需將不允許被互聯(lián)網(wǎng)訪問的管理網(wǎng)站屏蔽。

（７）對ＷＡＦ 分析報表和系統(tǒng)防護(hù)日志進(jìn)行定期查閱，查閱頻率可根據(jù)實際需求確定。通過ＷＡＦ 黑名單策略阻止存在風(fēng)險的ＩＰ 地址。

（８）開啟響應(yīng)體內(nèi)容檢測策略。不僅對Ｗｅｂ 用戶發(fā)送給服務(wù)器的內(nèi)容進(jìn)行檢測，針對重要的信息系統(tǒng)，還應(yīng)該通過該策略，對服務(wù)器發(fā)送給Ｗｅｂ 應(yīng)用的信息進(jìn)行排查。

４ 結(jié)束語

ＷＡＦ 在國家網(wǎng)絡(luò)安全等級保護(hù)測評中，是必須配備的安全設(shè)備，具有廣泛的應(yīng)用場景。ＷＡＦ 的部署模式有：監(jiān)聽部署、串聯(lián)部署、單臂部署、反向代理部署、牽引部署。在進(jìn)行策略設(shè)置時，需根據(jù)策略類型、策略適用性和網(wǎng)絡(luò)系統(tǒng)的需求進(jìn)行綜合考慮。

參考文獻(xiàn)：

［１］ 王樂．基于ＷＡＦ 的高校信息系統(tǒng)ＨＴＴＰＳ 加密傳輸部署［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２３（１）：１８?２０．

［２］ 何杰，蔡瑞杰，尹小康，等．面向Ｃｉｓｃｏ ＩＯＳ?ＸＥ 的Ｗｅｂ 命令注入漏洞檢測［Ｊ］．計算機(jī)科學(xué)，２０２３，５０（４）：３４３?３５０．

［３］ 李露，魏學(xué)明，李峰．配網(wǎng)終端Ｗｅｂ 通信安全架構(gòu)設(shè)計［Ｊ］．自動化儀表，２０２２，４３（１２）：８６?９１．

［４］ 高峰．大數(shù)據(jù)時代視頻網(wǎng)站策略研究［Ｊ］．中國新通信，２０２２，２４（２０）：５３?５６．

［５］ 鄭楷，田秀霞，盧官宇，等．基于聚類和重排序的ＸＡＣＭＬ 策略評估優(yōu)化方法［Ｊ］．計算機(jī)仿真，２０２２，３９（１０）：５１９?５２５．

［６］ 韋磊，寧玉文，高東懷，等． ＨＴＴＰＳ 協(xié)議下的高校Ｗｅｂ 應(yīng)用防火墻部署模式研究［Ｊ］．自動化與儀器儀表，２０２１（１２）：１０９?１１２＋１２４．

［７］ 宮旭，唐曉梅．中國計算機(jī)用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會２０２１ 年第二十五屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會論文集［Ｃ］ ／ ／ 中國計算機(jī)用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會：北京聯(lián)合大學(xué)北京市信息服務(wù)工程重點(diǎn)實驗室，２０２１：２８４?２８７．

［８］ 王樂．Ｗｅｂ 應(yīng)用系統(tǒng)加入ＷＡＦ 故障診斷方法研究［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２０（１１）：２２?２４．

［９］ 張林．Ｗｅｂ 應(yīng)用防火墻關(guān)于ｇｚｉｐ 文件的檢測研究［Ｊ］．電子設(shè)計工程，２０２０，２８（１９）：１１３?１１７＋１２５．

作者簡介：

白楊（１９９３—），碩士，助教，研究方向：物聯(lián)網(wǎng)技術(shù)。