江光中+江明珠

摘 要 本文從為什么要構(gòu)建WEB應(yīng)用防火墻入手，分析建立WEB應(yīng)用防火墻的意義。從現(xiàn)狀描述、需求分析，制定方案，到詳細(xì)設(shè)計(jì)、建設(shè)原則、部署說明，從全面的防護(hù)與監(jiān)控、優(yōu)化應(yīng)用交付、深度數(shù)據(jù)分析、人性化運(yùn)維管理來要求建立防火墻，系統(tǒng)主要策略設(shè)置講述規(guī)則、配置流程，給出了日常使用要求，確保WEB安全。

關(guān)鍵詞 WEB 防火墻 策略設(shè)置

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

隨著煙草行業(yè)信息化進(jìn)程發(fā)展，地市公司的網(wǎng)絡(luò)建設(shè)逐步成熟，也面臨眾多信息安全危機(jī)，需要構(gòu)建WEB防火墻來保護(hù)網(wǎng)絡(luò)安全，筆者就其防火墻的建設(shè)方案，提供一種參考。

1 WEB系統(tǒng)安全概況

WEB應(yīng)用的發(fā)展，使WEB系統(tǒng)發(fā)揮了越來越重要的作用，與此同時(shí)，越來越多的WEB系統(tǒng)也因?yàn)榇嬖诎踩[患而頻繁遭受到各種攻擊，導(dǎo)致WEB系統(tǒng)核心數(shù)據(jù)、頁面被篡改，甚至成為傳播木馬的傀儡，最終會(huì)給煙草公司帶來嚴(yán)重?fù)p失。

2 WEB安全攻擊形式

由于針對WEB系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用，且一般只開放HTTP等必要的服務(wù)端口，因此黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式（查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞）攻擊網(wǎng)站。然而，Web應(yīng)用程序漏洞的存在更加普遍，隨著WEB應(yīng)用技術(shù)的深入普及，WEB應(yīng)用程序漏洞發(fā)掘和攻擊速度越來越快，基于WEB漏洞的攻擊更容易被利用，已經(jīng)成為黑客首選。據(jù)統(tǒng)計(jì)，現(xiàn)在對網(wǎng)站成功的攻擊中，超過7成都是基于WEB應(yīng)用層，而非網(wǎng)絡(luò)層。

2.1 WEB系統(tǒng)安全問題總結(jié)

WEB系統(tǒng)安全形勢堪憂，主要是因?yàn)榇嬖谝韵聨讉€(gè)方面的問題：

2.1.1大多數(shù)Web系統(tǒng)設(shè)計(jì)，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全

一個(gè)WEB系統(tǒng)設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮WEB系統(tǒng)開發(fā)過程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見，在正常使用過程中，即便存在安全漏洞，正常的使用者并不會(huì)察覺。對于WEB應(yīng)用程序的SQL注入漏洞，有試驗(yàn)表明，通過搜尋1000個(gè)網(wǎng)站取樣測試，檢測到有11.3%存在SQL注入漏洞。

2.1.2 黑客入侵后，未及時(shí)發(fā)現(xiàn)

有些黑客通過篡改網(wǎng)頁來傳播一些非法信息或，但篡改網(wǎng)頁之前，黑客肯定基于對漏洞的利用，獲得了WEB系統(tǒng)的控制權(quán)限。被種植木馬的煙草公司通常是在不知情的情況下，被黑客竊取了自身的機(jī)密信息，還成了黑客散布木馬的一個(gè)渠道：WEB系統(tǒng)本身雖然能夠提供正常服務(wù)，但WEB系統(tǒng)的訪問者卻遭受著持續(xù)的危害。

2.1.3 WEB系統(tǒng)防御措施滯后，甚至沒有真正的防御

大多數(shù)防御傳統(tǒng)訪問控制，入侵防御設(shè)備，保護(hù)WEB系統(tǒng)抵御黑客攻擊的效果不佳。比如對應(yīng)用層的SQL注入、XSS攻擊這種基于應(yīng)用層構(gòu)建的攻擊，防火墻束手無策，甚至是基于特征匹配技術(shù)的檢測產(chǎn)品，也由于這類攻擊特征不唯一性，不能精確阻斷攻擊。因此，導(dǎo)致目前有很多黑客將SQL注入，XSS攻擊作為入侵WEB系統(tǒng)的首選攻擊技術(shù)。

有很多系統(tǒng)管理員對WEB系統(tǒng)的價(jià)值認(rèn)識(shí)僅僅是一臺(tái)服務(wù)器或者是系統(tǒng)的建設(shè)成本，只有在WEB系統(tǒng)遭受攻擊后，造成的損失遠(yuǎn)超過WEB系統(tǒng)本身造價(jià)之后才意識(shí)Web系統(tǒng)安全問題的嚴(yán)重性。

2.1.4 發(fā)現(xiàn)安全問題不能徹底解決

關(guān)注重點(diǎn)不同，絕大多數(shù)的WEB系統(tǒng)開發(fā)對WEB系統(tǒng)安全代碼設(shè)計(jì)方面了解甚少，發(fā)現(xiàn)WEB系統(tǒng)安全存在問題和漏洞，其修補(bǔ)方式只能停留在頁面修復(fù)，很難針對WEB系統(tǒng)具體的漏洞原理對源代碼進(jìn)行改造，很少有人能夠準(zhǔn)確的了解WEB系統(tǒng)安全漏洞解決的問題是否徹底。

2.2 WEB系統(tǒng)安全問題帶來的最終危害

隨著WEB應(yīng)用技術(shù)的深入普及，WEB系統(tǒng)攻擊的技術(shù)門檻在不斷降低，當(dāng)攻擊跟利益、政治陰謀聯(lián)系在一起的時(shí)候，我們的WEB系統(tǒng)很可能已經(jīng)處于多個(gè)攻擊者的視線之內(nèi)。正因?yàn)槿绱?，網(wǎng)頁掛馬、數(shù)據(jù)篡改等WEB系統(tǒng)安全事件層出不窮，WEB系統(tǒng)被攻擊而遭受損失的媒體報(bào)道屢見不鮮。

3 建設(shè)方案總體概述

3.1 現(xiàn)狀描述

煙草地市公司當(dāng)前業(yè)務(wù)主要包括經(jīng)營、物流、市場管理、企業(yè)管理（行業(yè)信息）、聲訊等五大類子業(yè)務(wù)。隨著平臺(tái)訪問用戶數(shù)量的持續(xù)增長，各承載業(yè)務(wù)系統(tǒng)網(wǎng)站的社會(huì)影響力也在逐步增大，因此此類網(wǎng)站的政治影響力和隨之帶來的商業(yè)利益，會(huì)吸引更多的非法企圖惡意入侵者的注意力，遭受惡意非法攻擊的可能性大大增加。

當(dāng)前集成整合平臺(tái)現(xiàn)有大部分服務(wù)器及安全防護(hù)產(chǎn)品為一、二期采購的設(shè)備，設(shè)備老舊、故障率高。且安全產(chǎn)品技術(shù)落后，防護(hù)能力較弱。缺少對當(dāng)前主流WEB應(yīng)用威脅的防護(hù)手段。

本次項(xiàng)目建設(shè)方案針對各平臺(tái)涉及外網(wǎng)網(wǎng)站的系統(tǒng)部署WEB應(yīng)用防火墻，以防護(hù)外網(wǎng)網(wǎng)站應(yīng)用安全。通過部署WEB應(yīng)用防火墻，完善WEB應(yīng)用安全防護(hù)能力，將目前各平臺(tái)全部對外發(fā)布網(wǎng)站納入WEB應(yīng)用防火墻的保護(hù)之下。對HTTP、HTTPS的請求和響應(yīng)進(jìn)行實(shí)時(shí)掃描和過濾，在非法入侵實(shí)施前進(jìn)行及時(shí)有效阻斷，徹底切斷互聯(lián)網(wǎng)上的非法入侵途徑，保證各網(wǎng)站的安全性。

3.2需求分析

需要進(jìn)行針對WEB的應(yīng)用層安全防護(hù)，傳統(tǒng)的防火墻、IPS技術(shù)能夠從某些層面上解決一些通用的安全問題，對于針對WEB應(yīng)用所產(chǎn)生的特定性應(yīng)用層攻擊無法做到貼身防護(hù)，需要能夠基于應(yīng)用層會(huì)話來實(shí)現(xiàn)實(shí)時(shí)雙向防護(hù)機(jī)制的安全防護(hù)設(shè)備采取反向代理技術(shù)來進(jìn)行應(yīng)用級(jí)別的防護(hù)。

需要具備針對WEB的脆弱性管理機(jī)制，一切的攻擊和威脅都是通過借由系統(tǒng)或應(yīng)用本身的脆弱性來實(shí)現(xiàn)的，所以若想治標(biāo)治本，必須在攻擊發(fā)起之前對自身脆弱性及時(shí)發(fā)現(xiàn)并進(jìn)行補(bǔ)救，，WEB應(yīng)用的掃描功能是脆弱性管理所必須的。

針對主流攻擊技術(shù)和安全威脅方法的識(shí)別，根據(jù)國際權(quán)威WEB安全組織OWASP的WEB攻擊熱點(diǎn)TOP10的結(jié)果顯示來看，SQL注入、XSS跨站腳本攻擊、CSRF跨站請求偽造、認(rèn)證暴力猜解等流行攻擊行為已經(jīng)占到WEB攻擊行為的大半部分，需要采取精確的檢測和防護(hù)手段來進(jìn)行必要保護(hù)，避免由這些攻擊導(dǎo)致網(wǎng)站的安全性問題。endprint

針對HTTPS的加密流量的清洗，對于電子商務(wù)類的交易型網(wǎng)站而言，通信過程中所涉及的安全問題顯然是早已被考慮在內(nèi)的，現(xiàn)在絕大多數(shù)的通信加密都是基于SSL的客戶端采取HTTPS協(xié)議來進(jìn)行訪問，如何在這樣一些加密訪問中識(shí)別出可能的威脅并加以阻止顯然是WEB防護(hù)手段中必要的一環(huán)。

雙向內(nèi)容過濾，一方面對于互聯(lián)網(wǎng)客戶端提交的內(nèi)容信息交易過濾，保證惡意腳本不被上傳，杜絕網(wǎng)站掛馬中招的威脅；另外一方面，也不得不提防由于服務(wù)器端暴露過多的敏感信息而使得攻擊者有機(jī)可乘，WEB應(yīng)用訪問流量的清洗在以保障網(wǎng)站安全為目的的情況下不僅僅是單方向上的內(nèi)容過濾，雙向內(nèi)容檢測和過濾機(jī)制是必要的安全手段。

WEB防護(hù)系統(tǒng)本身的安全性和易用性，安全設(shè)備的目的是為了減少管理和運(yùn)營人員對系統(tǒng)的安全管理工作壓力，選擇適合管理人員技術(shù)水平和理解能力的安全產(chǎn)品才能使安全防護(hù)工作效果產(chǎn)生事半功倍的效果，中文界面的支持、安全策略的人性化設(shè)置、漏洞知識(shí)和解決方案的完整等等，這些都是產(chǎn)品易用性的直接體現(xiàn)，此外，對于安全產(chǎn)品自身的管理和數(shù)據(jù)交互應(yīng)該采取加密手段，安全產(chǎn)品系統(tǒng)應(yīng)采用經(jīng)過安全加固的專用操作系統(tǒng)。

4 建設(shè)方案詳細(xì)設(shè)計(jì)

4.1 建設(shè)原則

網(wǎng)絡(luò)安全性：對網(wǎng)絡(luò)結(jié)構(gòu)的影響應(yīng)盡可能小，且不會(huì)帶來新的故障點(diǎn)。

信息安全性：系統(tǒng)應(yīng)提供完善的用戶鑒權(quán)、訪問控制、安全日志管理、操作員權(quán)限管理等多種安全手段，以保證系統(tǒng)中內(nèi)容、報(bào)表數(shù)據(jù)等不被非法盜用和修改偽造，保證數(shù)據(jù)不因意外情況丟失和損壞。另外，保證傳輸過程中數(shù)據(jù)安全，確保數(shù)據(jù)不被中途篡改、丟失、破解。

可用性：系統(tǒng)應(yīng)達(dá)到電信級(jí)產(chǎn)品的可用性，正常工作時(shí)間達(dá)到99.999%。

準(zhǔn)確性：系統(tǒng)應(yīng)保證數(shù)據(jù)處理的準(zhǔn)確性和一致性，并提供多種核查手段。

開放性：系統(tǒng)應(yīng)采用符合標(biāo)準(zhǔn)接口協(xié)議，以保證系統(tǒng)對各種外部系統(tǒng)的互連能力。

擴(kuò)展性：系統(tǒng)應(yīng)具備平滑擴(kuò)容的能力，擴(kuò)容時(shí)應(yīng)不改變組網(wǎng)結(jié)構(gòu)，不降低系統(tǒng)性能，能滿足XXX單位業(yè)務(wù)發(fā)展的需求。

易用性：系統(tǒng)應(yīng)具有良好的人機(jī)操作界面、更好的提示信息，方便使用。

高效性：系統(tǒng)應(yīng)具有較高的處理能力、較低的能耗和較少的占地空間，符合國家節(jié)能減排的政策。

4.2 部署說明

一般而言，web防火墻設(shè)備是采用串聯(lián)的方式部署在網(wǎng)路中，并支持透明代理的部署方式，作為WEB客戶端和服務(wù)器端的中間人，避免Web服務(wù)器直接暴露于互聯(lián)網(wǎng)上，監(jiān)控HTTP/HTTPS雙向流量，對網(wǎng)絡(luò)層、WEB Server/Application層雙向數(shù)據(jù)實(shí)施檢測和保護(hù)，可以降低WEB站點(diǎn)安全風(fēng)險(xiǎn)。修改網(wǎng)絡(luò)及服務(wù)器配置，透明部署在防火墻和Web服務(wù)器群之間，對WEB服務(wù)器群的出入流量進(jìn)行有效監(jiān)控，從而確保Web應(yīng)用的安全。

在集成整合平臺(tái)項(xiàng)目中，將所有對公網(wǎng)提供WEB服務(wù)的系統(tǒng)都遷移至交換機(jī)處匯聚。在匯聚交換機(jī)上游部署WEB應(yīng)用防火墻，以透明模式串行接入網(wǎng)絡(luò)，防護(hù)集成整合平臺(tái)所有外網(wǎng)網(wǎng)站；將WEB應(yīng)用防火墻管理口接入安全VPN，安全管理人員可以訪問WEB應(yīng)用防火墻對各項(xiàng)配置進(jìn)行調(diào)整，并對系統(tǒng)日志進(jìn)行審計(jì)。

整體WEB應(yīng)用防火墻網(wǎng)絡(luò)連接示意圖如圖1所示：

4.3 系統(tǒng)特點(diǎn)

4.3.1全面的防護(hù)與監(jiān)控

采用雙向數(shù)據(jù)檢測機(jī)制，對進(jìn)出WEB服務(wù)器的HTTP/HTTPS相關(guān)內(nèi)容進(jìn)行深度分析過濾，阻止如SQL注入、XSS、CSRF等攻擊，有效應(yīng)對OWASP Top 10定義的威脅及其變種。

采用主動(dòng)監(jiān)測與被動(dòng)跟蹤相互結(jié)合的防護(hù)技術(shù)，能夠?qū)YN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等各類帶寬及資源耗盡型拒絕服務(wù)攻擊攻擊進(jìn)行有效識(shí)別，并通過特有的機(jī)制實(shí)時(shí)對這些攻擊流量進(jìn)行阻斷。確保了網(wǎng)站業(yè)務(wù)的可用性及連續(xù)性。

內(nèi)置的HTTPS網(wǎng)守應(yīng)用在不需要修改應(yīng)用程序代碼及服務(wù)器配置的情況下，能夠?yàn)榫W(wǎng)站客戶端提供無縫的HTTPS服務(wù)，從而最大限度的保護(hù)網(wǎng)站客戶數(shù)據(jù)的安全性。

4.3.2深度數(shù)據(jù)分析

詳細(xì)記錄各類網(wǎng)站攻擊信息，對安全事件進(jìn)行整體還原，運(yùn)維人員可以通過分析相關(guān)數(shù)據(jù)對網(wǎng)站實(shí)施更有針對性的安全策略。

基于對用戶行為的追蹤及研究，對網(wǎng)站訪問數(shù)據(jù)進(jìn)行深入分析。根據(jù)分析結(jié)果，管理者可以有針對性的調(diào)整網(wǎng)站業(yè)務(wù)策略，實(shí)現(xiàn)網(wǎng)站作用最大化。

可通過表格、圖示等多種方式展現(xiàn)統(tǒng)計(jì)數(shù)據(jù)。運(yùn)維人員或管理者可直觀了解網(wǎng)站安全及業(yè)務(wù)狀況。

4.3.3人性化運(yùn)維管理

能自動(dòng)學(xué)習(xí)到虛擬主機(jī)環(huán)境下站點(diǎn)的域名信息，并將其加入到防護(hù)列表中，啟用服務(wù)器防護(hù)策略。避免用戶逐一手動(dòng)對站點(diǎn)進(jìn)行添加配置，節(jié)省操作時(shí)間。

提供了豐富的人性化系統(tǒng)運(yùn)維管理數(shù)據(jù)，并通過直觀的圖形化統(tǒng)計(jì)分析界面進(jìn)行展現(xiàn)，讓運(yùn)維人員快速掌握系統(tǒng)整體的情況。

在復(fù)雜的分布式環(huán)境中，日志集中管理功能將大大減輕管理開銷。通過對安全日志進(jìn)行統(tǒng)一收集、統(tǒng)一存放及統(tǒng)一查詢，實(shí)現(xiàn)對網(wǎng)站安全數(shù)據(jù)的統(tǒng)一管理和分析。

4.4 系統(tǒng)主要策略設(shè)置

4.4.1 防護(hù)策略概述

常見的WEB攻擊，分為兩類：一是利用WEB服務(wù)器的漏洞進(jìn)行攻擊，如緩沖區(qū)溢出、目錄遍歷漏洞利用等攻擊；二是利用WEB網(wǎng)頁自身的安全漏洞進(jìn)行攻擊，如SQL注入、跨站腳本攻擊等。

常見的針對網(wǎng)頁即WEB應(yīng)用的攻擊有：

緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令。

目錄遍歷——攻擊者通過訪問根目錄，發(fā)送一系列的../字符，或通過根目錄訪問Web應(yīng)用所在目錄之外路徑來實(shí)現(xiàn)遍歷更高層目錄。

遠(yuǎn)程文件包含——攻擊者可以利用php腳本對用戶提交的輸入缺少正確檢查指定包含遠(yuǎn)程服務(wù)器上的任意文件，以Web權(quán)限在系統(tǒng)上執(zhí)行任意命令。

非法輸入——在動(dòng)態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)。

強(qiáng)制訪問——訪問未授權(quán)的網(wǎng)頁。

隱藏變量篡改——對網(wǎng)頁中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序。

拒絕服務(wù)攻擊——構(gòu)造大量的非法請求，使Web服務(wù)器不能響應(yīng)正常用戶的訪問。

跨站腳本攻擊——提交非法腳本，其他用戶瀏覽時(shí)盜取用戶賬號(hào)等信息。

SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)。

4.4.2 規(guī)則、規(guī)則集及策略的相互關(guān)系

安全防護(hù)功能是通過策略的方式實(shí)現(xiàn)的，而策略是由包含若干規(guī)則的規(guī)則集構(gòu)成。規(guī)則、規(guī)則集和策略之間的關(guān)系如圖2所示。

每個(gè)類型的規(guī)則都有兩類：

內(nèi)置規(guī)則：又叫系統(tǒng)預(yù)定義規(guī)則，是系統(tǒng)內(nèi)置的規(guī)則，只能編輯，不能刪除。

自定義規(guī)則：用戶自定義的規(guī)則，可以編輯和刪除。

規(guī)則需要和策略配合使用，天融信WAF的規(guī)則和策略的對應(yīng)關(guān)系，如表1所示。

4.4.3 防護(hù)策略配置流程

防護(hù)策略的配置流程如圖3所示，其中站點(diǎn)管理對象的配置是可選的。建議用戶配置站點(diǎn)管理對象，這樣在需要配置多個(gè)策略的時(shí)候，可以直接引用站點(diǎn)，簡化策略配置。

5日常使用建議

任何時(shí)候，安全都是動(dòng)態(tài)的。在這種情況下，有效的使用和維護(hù)安全產(chǎn)品和安全策略，才能使安全產(chǎn)品發(fā)揮其最大的效應(yīng)，建議如下：

5.1保障規(guī)則升級(jí)

離線下載或使用廠商提供的定期升級(jí)包進(jìn)行在線更新；

5.2日志自動(dòng)備份策略

設(shè)置報(bào)警日志定期備份策略，防止出現(xiàn)日志溢出或意外丟失的情況；

5.3定期分析與報(bào)告策略

每月對報(bào)告進(jìn)行綜合分析，對疑難問題，尋求安全廠商的支持。endprint