張風雷 霍旺

【摘要】 隨著網絡通信與計算機技術的飛速發(fā)展，新的Web技術以突出的互動性和實時性等眾多優(yōu)點迅速普及，新技術和新應用也引入了新的安全問題。在對各種Web攻擊深入分析的基礎上，結合攻擊模型設計了基于入侵檢測系統(tǒng)和防火墻阻斷聯(lián)動的防御體系。測試結果表明，聯(lián)動的防御體系架構可以很好地抵御典型的Web攻擊。

【關鍵詞】 IDS Web攻擊 防火墻

一、引言

當前，WEB類應用系統(tǒng)部署越來越廣泛，但是由于WEB安全事件頻繁發(fā)生，既損害了WEB系統(tǒng)建設單位的形象，也可能直接導致經濟上的損失，甚至產生嚴重的政治影響。2011年底曝出多網站泄密事件，事故發(fā)生主要原因在于網站存在漏洞，從而遭到黑客入侵拖庫。通過360網站安全檢測的統(tǒng)計，目前國內存在高危漏洞2011年底曝出多網站泄密事件，事故發(fā)生主要原因在于網站存在漏洞，從而遭到黑客入侵拖庫。通過360網站安全檢測的統(tǒng)計，目前國內存在高危漏洞的網站約站36%，中危漏洞的網站約占16%，而相對比較安全的網站僅有48%[1]。而根據(jù)CNCERT監(jiān)測數(shù)據(jù)，2012年9月境內被篡改網站數(shù)量多達2219個，數(shù)量最多的仍是COM類網站。其中，GOV類網站有182個（約占境內8.2%）[2]。網站安全是一個綜合性多元化問題，如何通過專業(yè)技術保障而減少對系統(tǒng)安全的威脅為本文所探討的重要內容。

二、常見WEB系統(tǒng)攻擊方式

如今黑客攻擊的趨勢逐漸由傳統(tǒng)的網絡層偏向應用層，應用WEB化趨勢更進一步加劇了WEB安全威脅的影響。Web應用系統(tǒng)的安全涵蓋了網絡安全、主機安全、數(shù)據(jù)庫安全、中間件安全、Web服務器安全與Web應用安全等多個層面。

2.1 SQL注入和XSS攻擊

SQL注入攻擊是一種傳播范圍廣、危害嚴重的主動攻擊方式。由于應用程序對通過SQL語句提交的用戶輸入內容缺乏必要的過濾機制，攻擊者可以在輸入的內容中加入SQL語句以及參數(shù)，從而實現(xiàn)數(shù)據(jù)庫操作，如查詢、插入、修改等[3]。利用SQL注入漏洞，攻擊者只需找到一個參數(shù)傳遞的地方，在應該輸入?yún)?shù)的地方同時輸入數(shù)據(jù)庫命令，使數(shù)據(jù)庫執(zhí)行命令，就可以輕松獲得非法的信息，導致信息泄漏、數(shù)據(jù)丟失、記錄篡改。

XSS攻擊（Cross.Site Scripting，跨站腳本攻擊）現(xiàn)在應用最廣泛，殺傷力也很大的漏洞。注入漏洞是因為字符過濾不嚴謹所造成的，可以得到管理員的帳號密碼等相關資料。在WEB應用中， 當用戶提交數(shù)據(jù)與服務器進行交互時， 攻擊者將惡意腳本隱藏在用戶提交的數(shù)據(jù)中，破壞服務器正常的響應頁面。通過社會工程學等方法，誘騙用戶點擊和訪問虛假的頁面，達到偷竊用戶信息、下載惡意腳本等目的。

2.2 訪問控制

缺少經驗的系統(tǒng)管理員往往沒有正確的設置服務器文件系統(tǒng)的權限當一個入侵者獲得到Web服務器上的較低的權限時，通常會想方設法的提升自己的權限，而服務器文件系統(tǒng)的權限系統(tǒng)沒有正確設置時，可以通過較低的權限下獲取到服務器上的敏感信息，為提升權限提供了條件。攻擊者在動態(tài)網頁的輸入中使用各種非法數(shù)據(jù)，以實現(xiàn)獲取服務器敏感數(shù)據(jù)的目的，沒有經過嚴密的代碼審核和測試就放到網上進行應用，一旦攻擊者發(fā)現(xiàn)漏洞，就可以訪問未授權的內容，還可以進行刪除、修改網站內容，甚至控制整個網站和服務器。

2.3 拒絕服務和緩沖區(qū)溢出攻擊

攻擊者通過構造大量的無效請求或利用系統(tǒng)漏洞構造非法請求，耗盡WEB服務器或帶寬的資源，導致WEB服務器崩潰，使Web服務器不能響應正常用的訪問。對于一個網絡應用程序而言，它不會很容易地分辨出攻擊和正常網絡通訊之間的差別，有許多的因素造成了這種情況，但是其中最重要的一點就是至今還沒有一種可靠的方法來確定請求來自何方，這也就為過濾掉那些惡意的請求造成了巨大的困難。對于分布式拒絕服務攻擊，Web應用程序很難區(qū)別這是一個真正的攻擊，還是成千上萬個用戶同時訪問[4]。

除了上面所列的幾種Web服務器常見的攻擊威脅外，Web服務器上所運行的動態(tài)腳本（ASP、ASP.NET、JSP和PHP等等）自身所帶的Bug也會給Web服務器的安全帶來極大的威脅[5]。惡意的攻擊者可能可以利用這些腳本中的Bug輕易的獲得Web服務器的權限。而有的管理員因為設置上的疏忽（數(shù)據(jù)庫的路徑沒有保護等等），給入侵者創(chuàng)造了攻擊條件。

三、安全模型

著名的美國互聯(lián)網安全系統(tǒng)公司ISS在PDR 模型的基礎上，提出以安全策略為中心的PPDR 模型。PPDR 的組成部分主要包括安全策略、防護、檢測和響應四個方面，其中安全策略作為整個模型的核心和安全實施的依據(jù)，其他各部分圍繞著安全策略，在網絡安全的不同層面上發(fā)揮著各自的作用。PPDR 安全模型以安全策略為中心，各環(huán)節(jié)相互影響、相互促進。防火墻處于內網網絡數(shù)據(jù)的出入口，通過預先設定的安全策略對進入內網的數(shù)據(jù)包進行檢查，過濾掉一部分入侵攻擊，而由于安全策略和防火墻的一些缺陷的存在，另一部分入侵者騙過了防火墻或者繞過防火墻成功進入到內部網絡。成功進入到內網的攻擊在內部網絡中再一次受到入侵檢測系統(tǒng)的排查。

當入侵檢測系統(tǒng)發(fā)現(xiàn)相關網絡異常之后，立即做出相應，向防火墻發(fā)出報警并傳送報警事件的相關信息。防火墻在接收到安全事件報警后，立即采取諸如阻斷連接之類的響應措施以阻止當前攻擊的進一步動作，并根據(jù)報警的相關內容及時調整安全策略，以防止類似的入侵事件再一次發(fā)生。

四、入侵防御系統(tǒng)架構的設計和測試結果

通過 PPDR 安全模型我們可以看出，防火墻和入侵檢測系統(tǒng)都是網絡安全體系中非常重要的一環(huán)。但單純的防火墻或是入侵檢測系統(tǒng)都不足以構成一個完整的網絡安全防御體系。防火墻執(zhí)行訪問控制策略，阻止來自外部網絡的攻擊行為，為內部網絡提供安全保護，可認為是PPDR 中的防護環(huán)節(jié)。顯然，將防火墻與入侵檢測系統(tǒng)相結合，在防護和檢測兩個環(huán)節(jié)中加入響應環(huán)節(jié)，將它們有效的結合起來，協(xié)同工作，相互補充，組成一個堅實的整體，才能為網絡提供充實的安全性保障。

4.1 防火墻及其局限性

防火墻（Firewall）是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列安全部件的組合。從防火墻技術來分，可以分為包過濾型和應用代理型兩大類。盡管防火墻經過幾代的發(fā)展，在主動性檢測力面有所提高，仍然不能有效檢測數(shù)據(jù)包。如果利用防火墻對數(shù)據(jù)包進行檢測會導致網絡效率大大降低，網絡費用相應提高。

4.2 入侵檢測系統(tǒng)及其局限性

入侵檢測系統(tǒng)（IDS，Intrusion Detection System）是對防火墻有益的補充，作為一種積極主動的安全防御技術，入侵檢測技術能夠協(xié)助系統(tǒng)對付來自網絡內部和外部的各種入侵攻擊以及合法用戶的誤操作行為，盡可能的降低入侵對網絡帶來的危害。

4.3 防火墻與入侵檢測聯(lián)動防御系統(tǒng)設計

動態(tài)的網絡需要動態(tài)的安全防御措施。防火墻與入侵檢測聯(lián)動防御系統(tǒng)的流程圖如圖 1所示。入侵檢測系統(tǒng)積極主動的收集網絡中的數(shù)據(jù)包及主機相關日志，實時監(jiān)視網絡狀況，以發(fā)現(xiàn)網絡中存在的入侵攻擊行為，并把發(fā)現(xiàn)了的攻擊行為傳送給防火墻進行有效的攔截處理。

首先，防護環(huán)節(jié)實施安全策略，對網絡系統(tǒng)實施保護；IDS檢測監(jiān)視網絡的現(xiàn)行狀況，發(fā)現(xiàn)網絡中的異常狀況，防火墻監(jiān)督安全策略的有效實施。當發(fā)現(xiàn)問題時，檢測轉向響應環(huán)節(jié)，通過各種應急措施減小安全事故對系統(tǒng)帶來的危害，并修正防護環(huán)節(jié)存在的缺陷，達到對防護環(huán)節(jié)的有利補充。整個系統(tǒng)通過不斷的“防護——檢測——響應——再防護”的循環(huán)往復，使得系統(tǒng)的安全性呈現(xiàn)一種螺旋上升的趨勢。

典型的應用部署內容層包括Web類應用系統(tǒng)生成、處理、存儲或傳輸?shù)拿舾行畔热?，例如客戶隱私信息與公司機密等。應用層特指Web應用程序，通常由HTML、Javascript、Java、ASP.NET、PHP等語言編寫而成，運行于Web服務器或應用服務器環(huán)境，并向用戶瀏覽器提供業(yè)務功能訪問界面。設備層主要包含承載Web類應用系統(tǒng)的服務器、網絡連接設備和存儲設備。例如Web服務器、應用服務器、中間件、數(shù)據(jù)庫服務器、操作系統(tǒng)、路由器與防火墻等。網絡層包括Web類應用系統(tǒng)的網絡架構與互聯(lián)網出口設計。例如安全域劃分、冗余設計、邊界防護等。物理層包括維護Web類應用系統(tǒng)的機房物理安全與訪問控制等。同時入侵系統(tǒng)所檢測的結果在一定程度上為防火墻技術的安全管理作業(yè)提供了最可靠的依據(jù)，從而將防火墻技術的智能控制訪問能力得到大幅度的提升。

五、結論

把防火墻安全技術跟入侵檢測系統(tǒng)結合起來，實行防火墻安全技術不但能獲取入侵檢測系統(tǒng)反應出的網絡安全數(shù)據(jù)，還可以將傳統(tǒng)入侵系統(tǒng)檢測不可以自主控制的難題給完美解決掉；由于防火墻技術與入侵檢測技術有較強的互補性，實現(xiàn)防火墻與入侵檢測的聯(lián)動是目前較理想的網絡安全防御措施。

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個：一個是虛警率太高，一個是檢測速度太慢?，F(xiàn)有的入侵檢測系統(tǒng)還有其他技術上的致命弱點。因此，可以這樣說，入侵檢測產品仍具有較大的發(fā)展空間，從技術途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術（模式識別和完整性檢測）外，應重點加強統(tǒng)計分析的相關技術研究。