相景麗

(山西職業(yè)技術(shù)學院計算機工程系，山西 太原 030006)

?

基于Web應用防火墻的校園網(wǎng)設計方案

相景麗

(山西職業(yè)技術(shù)學院計算機工程系，山西 太原 030006)

摘要：針對日益突出的Web網(wǎng)頁安全問題和校園網(wǎng)對高網(wǎng)絡帶寬的升級需求，設計了一種基于Web應用防火墻的校園網(wǎng)組網(wǎng)方案，該方案既能有效防御針對網(wǎng)絡應用層的攻擊，還可以防護大量的未知攻擊，最大程度的保護Web應用系統(tǒng)的安全，同時通過核心交換機的端口聚合和vlan劃分，不但提高了網(wǎng)絡帶寬，而且對校園的財務系統(tǒng)進行了有效隔離。實踐表明，這種方案針對中小規(guī)模的校園網(wǎng)應用非常高效、經(jīng)濟。

關(guān)鍵詞：網(wǎng)絡安全；校園網(wǎng)規(guī)劃；Web應用防火墻

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，Web技術(shù)得到了日益廣泛的應用，越來越多的企業(yè)和單位對網(wǎng)絡的帶寬提出了更高的需求，但同時Web安全威脅已經(jīng)進入快速發(fā)展階段。據(jù)Forrester統(tǒng)計[1]，2013年有超過半數(shù)的企業(yè)的Web應用被泄露，其中不少因此遭到嚴重的財務損失。近年來，企業(yè)安全事件屢見報端：2011年，多家公司和政府網(wǎng)站被黑客攻擊；2012年的DDoS攻擊令眾多美國銀行網(wǎng)站癱瘓；更不用提那些造成數(shù)百萬用戶信用卡信息泄露的網(wǎng)絡安全事故了。傳統(tǒng)的網(wǎng)絡安全防護體系如防火墻，入侵檢測系統(tǒng)已無法招架，如今的黑客Web的攻擊手段也日新月異，如XSS跨站攻擊、網(wǎng)站SQL注入，導致網(wǎng)頁被篡改、網(wǎng)站被查封，這些攻擊手段甚至使Web成為傳播木馬給瀏覽網(wǎng)站用戶的一個載體。如何能應對新形勢下的網(wǎng)絡攻擊是每個單位和企業(yè)需要迫切解決和面對的難題。

1Web應用防火墻

1.1Web應用防火墻簡介

Web應用防火墻，也被稱為網(wǎng)站應用級入侵防御系統(tǒng)(Web Application Firewall，以下簡稱：WAF)，按照國際公認的定義，WAF是指通過執(zhí)行一系列針對HTTP/HTTPS的安全策略專門為Web應用提供保護的產(chǎn)品。它主要用于防御針對網(wǎng)絡應用層的攻擊，例如SQL注入攻擊、跨站腳本攻擊、命令注入攻擊、Cookie/Session劫持、參數(shù)篡改、緩沖溢出攻擊、日志篡改、應用平臺漏洞攻擊、DOS攻擊、HTTP類攻擊等攻擊行為[2]。在眾多的Web攻擊方式中，SQL注入攻擊和XSS跨站攻擊能夠更直接獲取到用戶數(shù)據(jù)，從這兩種攻擊方式出現(xiàn)一直到今天，都是一直高居OWASP TOP 1O，而未來攻擊的發(fā)展趨勢，XSS跨站腳本攻擊會一直名列前茅，SQL注入攻擊也不會隨著防御意識的提高而消失。而這些攻擊手段，尤其是XSS和SQL注入都是傳統(tǒng)安全設備無法防御的安全威脅。WAF的定位是對原有信息安全架構(gòu)下如網(wǎng)絡防火墻，入侵防御系統(tǒng)等的一個有效補充，從而對企業(yè)信息系統(tǒng)的安全提供了有力的保障。

1.2Web應用防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)的防火墻是位于兩個(或多個)網(wǎng)絡之間，它們是實施網(wǎng)間訪問控制的一組組件的集合，內(nèi)部和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)都必須經(jīng)過防火墻，而只有符合安全策略的數(shù)據(jù)流才能通過防火墻，它工作在開放系統(tǒng)互連參考模型(OSI)的網(wǎng)絡層，通過地址轉(zhuǎn)換、訪問控制機器的狀態(tài)檢測等功能，對企業(yè)網(wǎng)絡層數(shù)據(jù)進行保護。對于應用最廣泛的Web服務器，由于其工作在OSI的第七層即應用層，防火墻需要對外部網(wǎng)絡完全開放HTTP/HTTPS應用端口，這種安全策略對Web應用沒有任何的保護，因此基于網(wǎng)絡層的防護和包過濾技術(shù)無法對應用層的攻擊進行有效的欄截，沒有很好的保護Web應用程序的能力。

WAF工作在ISO互聯(lián)網(wǎng)參考模型的應用層，它的數(shù)據(jù)中心主要針對網(wǎng)絡中新增加應用程序，新的軟件模塊進行相應的監(jiān)聽，發(fā)現(xiàn)不符合規(guī)則的訪問，訪問將會被阻止。對于現(xiàn)今常見的跨站腳本攻擊、SQL注入攻擊、DOS攻擊、HTTPS類攻擊等攻擊行為都有很好的防御效果。

1.3Web應用防火墻的部署方式

Web應用防火墻的部署主要有透明模式、路由模式、旁路監(jiān)控模式以及HA雙擊模式來滿足用戶的各種不同網(wǎng)絡結(jié)構(gòu)的應用需求[3]。

1) 透明部署方式

透明部署方式是在Web服務器和防火墻之間插入WAF，在透明模式下，Web應用防火墻只對流經(jīng)OSI應用層的數(shù)據(jù)進行分析，而對其他層的流量不作控制，因此透明模式的最大特點就是快速、方便、簡單。

2) 路由部署方式

部署網(wǎng)橋透明模式的WAF的設備，其“透明”概念與網(wǎng)橋透明模式中相似，可以將其看做一個路由設備，將其作為路由器進行部署，同時確保要檢測的HTTP流量(指定IP和端口)經(jīng)過WAF設備即可。這種部署模式是網(wǎng)絡安全防護中保護程度最高的，但是需要對防火墻和Web應用服務的路由設置做出一定的調(diào)整，對網(wǎng)絡管理員的要求較高。

3) 旁路部署方式

旁路部署模式是將WAF置于局域網(wǎng)交換機下，訪問Web服務器的所有連接通過安全策略指向WAF。它的優(yōu)點是對網(wǎng)絡的影響較小，但是在該模式下，Web服務器無法獲取訪問者的真實IP地址。

4) 離線部署模式

離線模式下WAF的防護引擎，通常是部署在交換機的鏡像口(需要交換機支持)上，其作為一個旁觀者、監(jiān)聽者的角色，僅對HTTP數(shù)據(jù)流進行檢測，并且記錄訪問和攻擊信息，而不對攻擊進行攔截。該種模式的優(yōu)點是，可以不對現(xiàn)有的網(wǎng)絡進行修改，并且對Web服務器的訪問沒有任何的影響，可以通過部署離線模式，了解網(wǎng)站的訪問情況和攻擊情況，并且調(diào)整WAF的配置參數(shù)，以適應Web服務器的具體情況，為后續(xù)部署其他工作模式做好準備。

2基于Waf的校園網(wǎng)設計方案

2.1校園網(wǎng)需求分析

山西職業(yè)技術(shù)學院是一所隸屬于山西省教育廳的普通高等職業(yè)技術(shù)院校，學院下設四個學院，現(xiàn)有在校生1萬余人。目前，隨著招生規(guī)模的不斷擴大，已有的網(wǎng)絡帶寬已經(jīng)不能滿足日益增長的需求，同時，校園網(wǎng)主要面臨的兩方面的安全問題，一方面來自因特網(wǎng)的攻擊行為和攻擊手段越來越嚴重，主要形式有：SQL注入、XSS攻擊、網(wǎng)頁篡改和木馬上傳，尤其是SQL注入和XSS攻擊對學院的財務信息、教務信息、學生個人信息、教工信息會造成最為直接的威脅。另一方面，校園網(wǎng)內(nèi)部用戶的不規(guī)范行為也會對學院的財務信息的保護構(gòu)成致命的威脅。基于以上實際情況，針對我院網(wǎng)絡布局提出了新的需求：

1) 將已有的校園網(wǎng)的上行網(wǎng)絡帶寬從原來的1G提高到2G，從而滿足更多用戶的上網(wǎng)需求。

2) 從安全角度考慮，將財務部和其他部門的PC進行隔離。財務部的PC內(nèi)部使用，不需要上網(wǎng)；

3) 在不增加更多預算的情況下，對學院的安全防御系統(tǒng)進行改造，從而提升校園網(wǎng)的安全防御能力。

2.2基于WAF的校園網(wǎng)設計方案

1) WAF的部署方式

在本設計方案中WAF部署采用網(wǎng)橋透明模式，如圖1所示，該模式需要將WAF部署在交換機和Web服務器之間，使得WAF設備和Web服務器處于同一個局域網(wǎng)子網(wǎng)內(nèi)。網(wǎng)橋透明模式下的WAF，是基于網(wǎng)橋工作的，可以將它看做是一個具有代理防護功能的集線器或者交換機設備，需要確保要檢測的HTTP流量(指定IP和端口)需要流經(jīng)該設備。WAF可以對指定的HTTP流量進行攻擊識別和攔截。此外選用這種模式的一個更重要的原因是幾乎不需要改動原來網(wǎng)絡的拓撲結(jié)構(gòu)，對于升級校園網(wǎng)系統(tǒng)非常的方便。

2) 增加了一臺型號為s1526的H3C交換機，該交換機既能支持vlan劃分，又具有端口聚合功能，其編號為25和26的兩個端口為千兆端口，通過對25和26兩個千兆端口的聚合使得校園網(wǎng)的上行帶寬達到2 Gbps，滿足了帶寬提升的需求。針對財務部分的財務信息安全問題，在s1526交換機上做了基于端口的vlan劃分，將其端口劃分在vlan20中，這樣保證了校園網(wǎng)內(nèi)部的其它部門不能訪問財務系統(tǒng)，把能夠上網(wǎng)的用戶劃分在vlan10和vlan1中，同時分別把聚合端口25和26劃分在vlan1和vlan10中，這樣既限制了財務部門的人員因為訪問因特網(wǎng)而帶來的潛在安全風險，同時又實現(xiàn)了網(wǎng)絡流量的負載均衡。遠程計算機可以實現(xiàn)對s1526的遠程配置和管理，方便了管理員的系統(tǒng)配置和管理。

圖1　基于WAF的校園網(wǎng)的組網(wǎng)方案

3) WAF設備的選購

Web應用防火墻進入了IT安全領(lǐng)域的時間也就是最近十來年左右，最早提供這類產(chǎn)品的供應商是幾家新興公司，如Perfecto、KaVaDo和NetContinuum。早期產(chǎn)品存在諸多缺點，比如誤報率高，給受保護應用的性能帶來負面影響，又很難有效地管理。2005年前后，國內(nèi)的大牌網(wǎng)絡供應商或收購或開發(fā)了Web層監(jiān)控技術(shù)，WAF隨之成為一道公認的邊界安全防線。目前商業(yè)化的WAF產(chǎn)品比較成熟，但是價格過高，一般的中小企業(yè)由于對安全問題的不夠重視不愿花更多的錢購買。幸運的是國內(nèi)外出現(xiàn)的一些開源、免費、非商業(yè)性的WAF軟件包無論在性能上還是功能上都達到了一定的水準，基本上能滿足中小企業(yè)的需求。我們計算機系的教師在國外的開源WAF包的基礎上對界面和功能做了簡單的二次開發(fā)，然后部署到校園網(wǎng)上，獲得了較高的性價比。

3結(jié)束語

本文提出了基于Web應用防火墻的校園網(wǎng)設計方案，該方案在基本上不改變原有校園網(wǎng)拓撲和配置的基礎上增加了校園網(wǎng)的上行帶寬，有效的防御了來自互聯(lián)網(wǎng)外部的Web攻擊，同時通過增加智能交換機的vlan劃分阻止了內(nèi)網(wǎng)對學院財務信息的威脅。通過近一年來的網(wǎng)絡運行監(jiān)測數(shù)據(jù)顯示，在增加了WAF設備以后，校園遭受互聯(lián)網(wǎng)的Web攻擊事件大大減少了，學院財務信息也沒發(fā)生一次泄露事件，同時校園網(wǎng)的外網(wǎng)訪問速度也明顯得到了提升。

參考文獻

[1]Editor008.網(wǎng)絡安全的未來—WAF應當具備的十大特性[OL].http://www.d1net.com/security/news/278218.html，2014-08-03.

[2]張玉清.網(wǎng)絡攻擊與防御技術(shù)[M].北京:清華大學出版社,2011.

[3]姚琳琳.基于分布式對等架構(gòu)的Web應用防火墻的設計與實現(xiàn)[D].桂林:桂林電子科技大學,2012.

Design Scheme of Campus Network Based on Web Application Firewall

Xiang Jingli

(DepartmentofComputerEngineering,ShanxiPolytechnicCollege,TaiyuanShanxi030006,China)

Abstract:In order to improving the network bandwidth of campus network and protecting the increasing issues on web page security, the article designs a scheme of campus network based on Web application firewall. The scheme can not only effectively prevent attacks from the network application layer, but also protect a large number of unknown attacks. So it provides a greatest protection for the security of web application system. By mean of port trunking and vlan dividing on the core switch, it can improves the network bandwidth and isolates the financial system from campus network effectively. The practice shows that this scheme is very efficient and economical for small and medium scale campus network application.

Key words:network security; campus network planning; Web application firewall

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1674- 4578(2016)01- 0068- 02

作者簡介：相景麗(1970- )，女，山西運城人 講師，碩士研究生，研究方向：網(wǎng)絡安全，圖像處理，人工智能。

收稿日期：2015-10-29