康玉虎
(蘭州城市學院信息網(wǎng)絡中心,蘭州 730070)
對學校門戶網(wǎng)站、各類校內(nèi)網(wǎng)站等Web應用的保護是高校網(wǎng)絡安全工作的重點,在傳統(tǒng)模式下,Web應用都是獨立部署在物理服務器上,此時Web應用防火墻只需以透明代理串接模式部署在Web應用服務器接入交換機之前,對此交換機下接入的各個Web應用服務器進行保護。然而,在虛擬化環(huán)境下,多臺物理服務器構成服務器資源池,通過數(shù)據(jù)中心接入交換機接入到校園網(wǎng)核心設備,Web應用服務器是與其他各類應用一起以虛擬機的形式運行在云計算虛擬化平臺上,無法從物理鏈路上去很好的區(qū)分、歸類Web應用服務器。在尚沒有經(jīng)費投入來購買支持虛擬化的虛擬Web應用防火墻的情況下,如何正確的部署傳統(tǒng)硬件Web應用防火墻來保護這些Web應用是虛擬化環(huán)境下Web應用防護工作中遇到的重要問題。
Web 應用防火墻(Web Application Firewall,WAF),是指通過執(zhí)行一系列針對HTTP/HTTPS的安全策略專門對Web 應用提供保護的產(chǎn)品。WAF可應對Web 應用面臨的各類安全威脅,如SQL 注入、跨站腳本攻擊(XSS)、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應用層DDoS等,能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題,充分保障Web應用的高可用性和可靠性[1]。WAF的產(chǎn)品形態(tài)包括硬件WAF、軟件WAF 以及云WAF 等,本文討論的主要是硬件WAF[2]。
在傳統(tǒng)模式下,Web應用是以物理服務器的形式獨立部署的,物理鏈路可區(qū)分,因此,WAF的部署模式相對簡單,可采用透明代理串接模式。如果只有單臺Web應用服務器,只需將WAF串接在服務器接入交換機與Web應用服務器之間即可。如果有多臺Web應用服務器,那么可以先將各個Web應用服務器全部連接至一臺接入交換機,與其他業(yè)務服務器在鏈路上獨立出來,然后將這臺接入交換機連接至核心交換機,最后將WAF串接在接入交換機與核心交換機之間即可。圖1為多臺Web應用服務器環(huán)境下WAF的透明代理串接模式部署拓撲。
圖1 多臺Web應用服務器環(huán)境下WAF的透明代理串接模式部署拓撲
在虛擬化環(huán)境下,多臺物理服務器作為計算節(jié)點構成了服務器虛擬化資源池,各類應用不再是直接部署在物理服務器上,而是在云計算虛擬化平臺上以虛擬機的形式部署,虛擬機會根據(jù)物理服務器的負載情況在多個物理服務器之間動態(tài)遷移。因此,無法通過物理鏈路來區(qū)分出Web應用服務器所在的物理服務器。如果把WAF部署在核心交換機和數(shù)據(jù)中心接入交換機之間,云計算虛擬化平臺上的所有應用的流量都將通過WAF,這樣WAF的負載很高,而且造成單點故障,即WAF出現(xiàn)故障,不僅影響Web應用,其他應用也將受到影響。
因此,如圖2所示,我們將各類Web應用服務虛擬機都綁定到計算節(jié)點1,使其不再遷移。將計算節(jié)點1原來分別連接至兩個數(shù)據(jù)中心接入交換機的兩條鏈路分別接入到WAF的兩個IN口,再將WAF對應的兩個OUT口連接至兩臺數(shù)據(jù)中心接入交換機上。在WAF中將這兩對IN、OUT接口放入到一個保護組。這樣WAF仍然以透明代理串接的模式部署在計算節(jié)點1和數(shù)據(jù)中心接入交換機之間,做為一個透明設備,它不影響計算節(jié)點兩個網(wǎng)口的綁定及主備關系,計算節(jié)點和虛擬化平臺感受不到WAF的存在。當WAF出現(xiàn)故障時,只影響計算節(jié)點1上的虛擬機業(yè)務,而且可以通過設置WAF為Bypass模式迅速恢復故障。
WAF部署好后,計算節(jié)點1上所運行的Web應用的上下行流量都將受到WAF的檢測,可以很好的保障Web應用的安全、穩(wěn)定運行。而對計算節(jié)點1上的其他應用,可以在WAF中不做保護配置,其流量經(jīng)過WAF也不會進行任何處理,不影響其他應用的正常運行。其他計算節(jié)點的流量由于無需流經(jīng)WAF,因此保持原有模式不變。
圖2 虛擬化環(huán)境下WAF的透明代理串接模式部署拓撲
本文介紹的虛擬化環(huán)境下WAF的透明代理串接模式部署方案解決了傳統(tǒng)硬件WAF在虛擬化環(huán)境下的部署問題,對于在虛擬化環(huán)境下運行的Web應用的保護,提供了參考方案。但是,由于此方案將Web應用綁定到特定的計算節(jié)點上,當該計算節(jié)點故障時,Web應用無法自動遷移至其他計算節(jié)點,需要手動遷移來恢復業(yè)務并暫時脫離WAF的保護。要進一步解決這個問題,需要采購并部署虛擬Web應用防火墻,這也是以后需要研究的內(nèi)容。