陳國良

新疆人民廣播電臺，新疆烏魯木齊 830000

Web系統(tǒng)的網(wǎng)絡(luò)安全分析及應對方式

陳國良

新疆人民廣播電臺，新疆烏魯木齊 830000

隨著基于web環(huán)境的應用類型的日益豐富，而其Web應用系統(tǒng)多處于互聯(lián)網(wǎng)這樣一個相對開放的環(huán)境中，使得網(wǎng)絡(luò)安全問題變得愈發(fā)凸顯。本文針對基于WEB系統(tǒng)的網(wǎng)絡(luò)安全防護并結(jié)合新疆人民廣播電臺的部署情況，分析了Web應用系統(tǒng)受到的安全威脅，并詳述了如何針對安全威脅進行多層次、全面安全防護的方式。

Web安全；WAF；防篡改

1 WEB系統(tǒng)面臨的典型網(wǎng)絡(luò)安全威脅

近年來，我臺的Web 應用系統(tǒng)功能日趨豐富，但網(wǎng)站網(wǎng)站安全保障能力還相對薄弱，多次成為網(wǎng)絡(luò)攻擊的目標，造成網(wǎng)站服務(wù)中斷，主頁內(nèi)容被篡改，系統(tǒng)數(shù)據(jù)丟失等安全事件。針對各類WEB系統(tǒng)的攻擊（如DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等）正在日趨泛濫，使得我們在以下幾個方面的安全威脅日趨嚴峻。

1.1 頁面被篡改

廣播電臺網(wǎng)站作為本地媒體信息對外發(fā)布的交互平臺，代表了廣播電臺自身的社會形象，如果網(wǎng)站頁面被篡改，如出現(xiàn)反動言論、不良畫面或者造假數(shù)據(jù)等信息，不僅將影響正常業(yè)務(wù)的開展，更會給廣播電臺及宣傳媒體的形象及信譽帶來極其不好的影響。

1.2 網(wǎng)站被掛馬

網(wǎng)頁掛馬近年來一直是廣播電臺網(wǎng)站面臨的最嚴重的安全威脅之一，尤其在重要宣傳時期，一旦訪問被掛馬的網(wǎng)站，就會受到惡意木馬的入侵感染而受到惡意攻擊者的遠程控制，給網(wǎng)站造成嚴重的利益損害。

1.3 服務(wù)被攻擊

目前，廣播電臺對Web依賴性日益加強，辦公、文稿、媒資系統(tǒng)都借助網(wǎng)絡(luò)進行運行，一旦受到拒絕服務(wù)攻擊將造成服務(wù)癱瘓、終止，會嚴重影響臺里的正常業(yè)務(wù)工作。

由此可見，復雜多樣的Web安全問題，使得廣播電臺網(wǎng)站潛在著巨大的安全隱患和風險，也是信息化安全建設(shè)過程中亟需解決的重要問題之一。

2 WEB系統(tǒng)的網(wǎng)絡(luò)安全應對方案

隨著針對WEB系統(tǒng)的網(wǎng)絡(luò)攻擊的愈發(fā)頻繁，只針對網(wǎng)絡(luò)層面和終端層面防護手段的安全防護效果愈發(fā)不理想，總是處于一種非常被動的狀態(tài)，針對終端層面的防病毒解決方案并不能解決目前WEB系統(tǒng)不斷變化升級的安全威脅。因此我臺根據(jù)安全事件的事前、事中、事后三個時間周期，通過預防威脅、處理威脅以及分析威脅和網(wǎng)頁防篡改和優(yōu)化安全策略三個方面將網(wǎng)絡(luò)安全體系進行不斷的良性循環(huán)。現(xiàn)將方案做如下詳細介紹。

2.1 事前——網(wǎng)絡(luò)區(qū)域的劃分，網(wǎng)站漏洞掃描

2.1.1 網(wǎng)絡(luò)區(qū)域的劃分

為了更好地進行安全防護，我臺將內(nèi)部網(wǎng)絡(luò)規(guī)劃為多個網(wǎng)絡(luò)區(qū)域，不同業(yè)務(wù)系統(tǒng)根據(jù)業(yè)務(wù)需要部署在不同的網(wǎng)絡(luò)區(qū)域內(nèi)，在不同區(qū)域上通不同防護技術(shù)手段進行多層次的安全防護。通過部署防火墻，將網(wǎng)絡(luò)分為三個區(qū)域，互聯(lián)網(wǎng)外網(wǎng)、對外服務(wù)區(qū)、內(nèi)部數(shù)據(jù)中心，

互聯(lián)網(wǎng)外網(wǎng)通過出口路由器進行網(wǎng)絡(luò)互聯(lián)，完成內(nèi)外網(wǎng)的互聯(lián)互通。 WEB服務(wù)器區(qū)部署在外網(wǎng)防火墻的DMZ區(qū)域，內(nèi)部數(shù)據(jù)中心部署在內(nèi)網(wǎng)防火墻的內(nèi)部區(qū)域。

互聯(lián)網(wǎng)和對外發(fā)布網(wǎng)絡(luò)之間部署外部防火墻，在防火墻上部署NAT地址轉(zhuǎn)換協(xié)議，完成對外發(fā)布服務(wù)器集群的NAT映射和互聯(lián)網(wǎng)訪問的NAT轉(zhuǎn)換。同時，防火墻的部署讓內(nèi)部地址相對外部做到了有效的保護和隔離，使內(nèi)部網(wǎng)絡(luò)的IP不會輕易被外部網(wǎng)絡(luò)進行探測和攻擊。同時在網(wǎng)絡(luò)攻擊的檢測和防護功能方面，防火墻進行了顯著地加強，通過部署相應的安全防護策略有效地保護內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)絡(luò)及相關(guān)系統(tǒng)的正常運行。

在對外服務(wù)器區(qū)和內(nèi)部數(shù)據(jù)中心之間部署內(nèi)部防火墻，防火墻采用透明橋接方式，部署嚴格的安全策略控制。通過網(wǎng)絡(luò)區(qū)域的劃分，將內(nèi)部數(shù)據(jù)庫隱藏在數(shù)據(jù)中心的安全區(qū)域，對其訪問權(quán)限進行嚴格限定，最大限度地保護系統(tǒng)數(shù)據(jù)庫的安全。

2.1.2 漏洞掃描

通過運用漏洞掃描系統(tǒng)對WEB系統(tǒng)的應用漏洞的掃描，將SQL注入、跨站腳本及決絕服務(wù)等WEB常見漏洞進行重點掃描。并且根據(jù)業(yè)務(wù)情況調(diào)整漏洞掃描的時間周期。通過掃描結(jié)束后自動生成全網(wǎng)站漏洞分析報告，直觀地了解到網(wǎng)站存在的安全漏洞情況，并根據(jù)漏洞安全報告針對WEB系統(tǒng)的進行相關(guān)系統(tǒng)的修補工作。

2.2 事中——WAF的部署

網(wǎng)絡(luò)邊界防火墻雖然是網(wǎng)絡(luò)安全策略中不可缺少的重要模塊，但受限于自身的產(chǎn)品架構(gòu)和功能，無法對千變?nèi)f化的Web應用攻擊提供周密而完善的解決方案。因此，在We b 服務(wù)區(qū)邊界，部署了一臺WEB應用防火墻（WAF），WAF通過檢測引擎進行協(xié)議分析、模式識別、URL過濾技術(shù)、統(tǒng)計閥值和流量異常監(jiān)視等綜合技術(shù)手段來判斷入侵行為，可以準確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)惡意攻擊，從而實現(xiàn)防SQL注入、防跨站攻擊等安全防護。

為了使WEB防護更具有針對性，同時又不影響DMZ區(qū)域內(nèi)WEB以外其他業(yè)務(wù)數(shù)據(jù)的正常運行，我們采用旁路方式進行WAF的部署工作。通過路由調(diào)度，將目標網(wǎng)站IP的流量牽引至WAF設(shè)備，WAF設(shè)備通過多層的攻擊流量識別與凈化功能，將Web攻擊流量從混合流量中過濾，最后將經(jīng)過WAF過濾之后的合法流量被重新回注給WEB系統(tǒng)。針對返回流量，WEB系統(tǒng)響應的HTTP流量在返回給客戶端之前，流經(jīng)WAF設(shè)備，經(jīng)WAF進行安全檢測后的流量最終返回給客戶端。

2.3 事后——網(wǎng)頁防篡改系統(tǒng)和安全管理平臺的部署

為了更好得針對WEB系統(tǒng)進行全方位的防護，針對WEB業(yè)務(wù)系統(tǒng)有針對性地部署了網(wǎng)頁防篡改系統(tǒng)。系統(tǒng)支持對動態(tài)、靜態(tài)網(wǎng)頁的實時檢測與防護，通過內(nèi)置自學習功能獲取web站點的頁面信息，對整個站點進行爬行，一旦發(fā)現(xiàn)頁面被篡改，通過重定向的方式實現(xiàn)事后的主動恢復并進行告警，記錄防篡改日志。針對WEB全局環(huán)境進行監(jiān)控與分析，實現(xiàn)集中、統(tǒng)一管理，針對WEB系統(tǒng)進行掛馬監(jiān)控、安全漏洞監(jiān)控、安全狀態(tài)監(jiān)控。

通過上述方案的部署，在網(wǎng)絡(luò)安全的三個時間階段通過多層次、全方位整體性的解決方案網(wǎng)站防護方案，方案針對安全事件發(fā)生的整個周期實施周密的策略部署，進而全面加強了對WEB系統(tǒng)的安全防護。

3 后續(xù)完善思路

隨著業(yè)務(wù)的不斷發(fā)展，WEB系統(tǒng)的安全性和業(yè)務(wù)性能隨著業(yè)務(wù)的不斷更新需要進行相應的擴容，同時單防護節(jié)點的可靠性需要進一步完善。因此后續(xù)需要新增一臺WAF，實現(xiàn)負載均衡雙冗余部署方式。

通過WAF的HA主-主模式（AA模式）解決非對稱鏈路情況下業(yè)務(wù)流量的暢通問題。

同時，WAF在本身提供輕量級的DDoS防護功能的基礎(chǔ)上，新部署專業(yè)抗拒絕服務(wù)攻擊的ADS，構(gòu)成流量清洗中心，和WAF進行聯(lián)動，達到分層清洗的目的。在業(yè)務(wù)正常運行時，WAF的TCP Flood防護功能對一定閾值的拒絕服務(wù)攻擊進行防護。一旦攻擊流量超過了WAF本身的防護閾值時，WAF向上游的ADS清洗中心發(fā)出通告，請求上游的ADS牽引并清洗到達WAF防護站點的攻擊流量。ADS牽引并清洗成功后，WAF退出本身的TCP Flood防護。當WAF發(fā)現(xiàn)到達上游ADS的攻擊流量小于通告值時，申請取消上游ADS對流量的牽引和清洗，同時將自身的TCP Flood防護開啟。通過WAF和ADS的配合作業(yè)，WEB系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力將會進一步提升。

4 結(jié)論

通過針對WEB系統(tǒng)多層次、全方位整體性解決方案的部署，我臺WEB系統(tǒng)的安全防護能力得到了明顯地加強，網(wǎng)站被掛馬、網(wǎng)頁內(nèi)容被篡改、數(shù)據(jù)被竊取等攻擊事件明顯減少。但WEB系統(tǒng)的安全防護工作是一個長期持續(xù)的艱巨任務(wù)，隨著我臺WEB系統(tǒng)安全防護實踐的逐步深入，我們也會繼續(xù)探索更加有效的安全解決方案。

TP3

A

1674-6708（2015）144-0037-02