◆王樂

操作系統(tǒng)、網(wǎng)絡(luò)體系與服務(wù)器技術(shù)

Web應(yīng)用系統(tǒng)加入WAF故障診斷方法研究

◆王樂

（東北師范大學(xué)信息化管理與規(guī)劃辦公室 吉林 130024）

為了針對性地保護(hù)Web應(yīng)用系統(tǒng)，高校一般都采用了Web應(yīng)用防火墻（Web application firewall，WAF）技術(shù)。在安全防護(hù)實(shí)施的過程中，既要為業(yè)務(wù)和邏輯各不相同的應(yīng)用系統(tǒng)制定符合其運(yùn)行需求的安全防護(hù)方案，又要在應(yīng)用系統(tǒng)出現(xiàn)使用功能故障時，快速定位原因并解決。才能達(dá)到保障高校Web應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行的目標(biāo)。本文結(jié)合高校實(shí)際Web應(yīng)用防護(hù)場景，提出了Web應(yīng)用系統(tǒng)加入WAF故障診斷分析法，能在被防護(hù)的Web應(yīng)用系統(tǒng)出現(xiàn)功能異常的情況下，快速定位異常的原因并解決。保障應(yīng)用系統(tǒng)能正常提供服務(wù)，同時又使安全隱患最小化。

Web應(yīng)用安全；故障診斷；WAF

隨著信息化建設(shè)的不斷推進(jìn)，高校建立了越來越多的Web應(yīng)用系統(tǒng)，例如：融合門戶、網(wǎng)上服務(wù)大廳、輕MIS平臺等，來提供不同的業(yè)務(wù)服務(wù)。在運(yùn)行和使用過程中，這些應(yīng)用系統(tǒng)都會或多或少的暴露出一些安全隱患，為防止這些隱患帶來安全事件，高校不斷加強(qiáng)Web安全防護(hù)措施。例如采用WAF技術(shù)，保護(hù)Web應(yīng)用程序、APIs和移動應(yīng)用程序免受各種攻擊威脅。

然而安全防護(hù)不能影響Web服務(wù)的正常運(yùn)行。在實(shí)施安全防護(hù)的過程中，面對各種各樣的Web應(yīng)用服務(wù)故障，需要根據(jù)實(shí)際情況具體分析和解決。本文基于高校Web應(yīng)用防護(hù)場景和解決Web應(yīng)用系統(tǒng)故障的經(jīng)驗，提出了Web應(yīng)用系統(tǒng)加入WAF故障診斷分析法。用于在Web應(yīng)用系統(tǒng)加入WAF之后出現(xiàn)故障時的診斷分析。經(jīng)過實(shí)際驗證，能行之有效的定位故障原因并解決。

1 HTTP協(xié)議

Web使用超文本傳輸協(xié)議（HyperText Transfer Protocol，HTTP）作為規(guī)范，完成從請求訪問文本或圖像等資源的客戶端到提供資源響應(yīng)的服務(wù)器端之間的通信[1]。

HTTP通信時，除客戶端和服務(wù)器以外，還有一些用于通信數(shù)據(jù)轉(zhuǎn)發(fā)的應(yīng)用程序，例如代理、網(wǎng)關(guān)和隧道，他們可以配合服務(wù)器工作。這些應(yīng)用程序和服務(wù)器將請求轉(zhuǎn)發(fā)給通信線路上的下一站服務(wù)器，并且能接收從那臺服務(wù)器發(fā)送的響應(yīng)再轉(zhuǎn)發(fā)給客戶端[2]。

用于HTTP協(xié)議交互的信息被稱為HTTP報文，來自客戶端的HTTP報文叫作請求報文，來自服務(wù)器端的報文叫作響應(yīng)報文。請求報文包含請求行、請求頭部和請求體，服務(wù)器能讀取客戶端發(fā)送的HTTP值，比如表單、URL、Cookie傳遞過來的參數(shù)。服務(wù)器響應(yīng)報文包含響應(yīng)行、響應(yīng)頭和響應(yīng)體，返回字符串是與HTTP請求報文相關(guān)的內(nèi)容。

2 安全策略制定原則

為了達(dá)到保護(hù)Web應(yīng)用系統(tǒng)安全的目標(biāo)，安全策略的制定必須遵守基本的原則。

最小化原則。采用WAF默認(rèn)安全策略，滿足大多數(shù)應(yīng)用系統(tǒng)的安全使用需求，同時不信任所有來源于用戶的輸入信息。在WAF上設(shè)置細(xì)粒度訪問控制，限制受保護(hù)敏感信息的訪問范圍[3]。

安全隔離原則。采用WAF對Web應(yīng)用中心進(jìn)行訪問隔離。通過設(shè)置防火墻規(guī)則，限制校內(nèi)應(yīng)用系統(tǒng)IP的訪問權(quán)限，使用戶的所有請求都需要經(jīng)過WAF，而不能直接對Web數(shù)據(jù)中心進(jìn)行訪問。管理員對應(yīng)用系統(tǒng)的運(yùn)行維護(hù)需要通過VPN/堡壘機(jī)等安全審計系統(tǒng)[4]。

3 WAF工作原理

WAF設(shè)備部署在互聯(lián)網(wǎng)（Internet）與Web數(shù)據(jù)中心（Web server）之間，對所有經(jīng)過的應(yīng)用流量進(jìn)行深度檢測，在網(wǎng)絡(luò)層和應(yīng)用層實(shí)現(xiàn)入侵防護(hù)，保障高校Web應(yīng)用程序、APIs和移動應(yīng)用程序安全運(yùn)行。

WAF一般采用反向代理模式，即WAF代理Web服務(wù)器處理客戶端的訪問請求，檢查這些請求是否具有正確的格式或遵從HTTP 請求規(guī)范，僅允許合法的請求通過。而那些已知的惡意請求如非法植入到HTTP 消息頭、表單或URL中的腳本將被阻止。最常見的攻擊如SQL 注入攻擊、跨站點(diǎn)腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽等在到達(dá)Web服務(wù)器之前將被WAF阻斷[5]。WAF不改變客戶端和Web服務(wù)器之間的正常請求和響應(yīng)。

4 Web應(yīng)用系統(tǒng)加入WAF之后故障診斷和解決

在對Web應(yīng)用啟用安全防護(hù)之后，經(jīng)常出現(xiàn)部分功能使用異常的情況。Web應(yīng)用提供的業(yè)務(wù)關(guān)乎師生日常的使用，一旦功能故障，就需要馬上定位原因，并進(jìn)行相應(yīng)的處理，盡快恢復(fù)使用。但是，Web應(yīng)用的故障多種多樣，不同的故障有不同的表現(xiàn)形式。為此，安全運(yùn)維人員需要掌握WAF部署拓?fù)湓砗蚖eb應(yīng)用測試方法，并具有較強(qiáng)的邏輯思維，故障分析時要對各種現(xiàn)象靈活運(yùn)用排除法、對比法、替換法等方法，找到原因，并快速排除故障。

（1）排除法

該方法依據(jù)所觀察到的故障現(xiàn)象，全面枚舉出所有可能的故障點(diǎn)，并逐個分析和排除。排除時，遵循由簡到繁的原則。

例如，Web應(yīng)用故障，首先想到的原因就是被WAF攔截了。然而，實(shí)際存在三種可能的情況：1）Web應(yīng)用代碼編寫不符合HTTP協(xié)議規(guī)范或存在安全漏洞，導(dǎo)致被WAF攔截，這種情況，在WAF上能查到攔截日志，為了保證應(yīng)用系統(tǒng)的正常使用，需要根據(jù)WAF攔截日志，結(jié)合應(yīng)用系統(tǒng)的運(yùn)行需求進(jìn)行安全策略的調(diào)整；2）Web應(yīng)用系統(tǒng)自身故障，導(dǎo)致服務(wù)異常，需要應(yīng)用系統(tǒng)管理員處理并恢復(fù)；3）WAF設(shè)置導(dǎo)致客戶端和Web服務(wù)器之間通信異常，需要進(jìn)一步排查具體原因。

（2）對比法

該方法是指同一個客戶端，采用不同的訪問方式對Web應(yīng)用系統(tǒng)執(zhí)行相同的操作，從而確定Web服務(wù)故障的原因是否為WAF導(dǎo)致。

在通過WAF反向代理訪問Web服務(wù)和不通過WAF反向代理直接訪問Web服務(wù)兩種方式下，進(jìn)行同樣的訪問操作。即，對比通過代理和不通過代理兩種情況下，Web服務(wù)的功能是否都異常。如果在兩種情況下，服務(wù)都異常說明不是WAF導(dǎo)致故障，而是Web服務(wù)本身故障。

（3）替換法

該方法是用本地部署的反向代理系統(tǒng)代替WAF反向代理，通過對配置的不同參數(shù)進(jìn)行調(diào)整，找出故障原因。

如果在WAF上查不到攔截日志，并且繞過WAF之后應(yīng)用系統(tǒng)功能也是正常的，則不能確定是否為WAF導(dǎo)致故障，需要進(jìn)一步確定原因，此時，可以通過本地部署的反向代理系統(tǒng)代替WAF系統(tǒng)進(jìn)行測試?？词欠裼捎诜聪虼頇C(jī)制導(dǎo)致Web服務(wù)故障。

在實(shí)際工作中，可根據(jù)故障現(xiàn)象靈活運(yùn)用排除法、對比法、替換法等方法進(jìn)行故障診斷分析。如果確定是因為WAF導(dǎo)致故障，可通過調(diào)整WAF配置或安全防護(hù)策略來解決，如果確定為Web應(yīng)用系統(tǒng)自身故障，需要應(yīng)用系統(tǒng)管理員解決。如果解決過程持續(xù)較長時間，可在WAF上將該服務(wù)重定向到指定頁面，提示用戶正在修復(fù)。

圖1 Web應(yīng)用加入WAF故障診斷

5 Web應(yīng)用故障診斷實(shí)例

對比Web應(yīng)用在經(jīng)過WAF和繞過WAF兩種方式下對同一個HTTP請求和響應(yīng)的狀態(tài)及參數(shù)值的情況，找出經(jīng)過WAF之后Web應(yīng)用故障的原因。

例如，校內(nèi)新上線的智慧通行管理平臺，按照安全策略，用戶需要通過WAF進(jìn)行訪問。該平臺有一個功能是對人員進(jìn)行訪問授權(quán)，即先選中要授權(quán)的人員，然后進(jìn)行授權(quán)操作，經(jīng)過多次操作之后，都發(fā)現(xiàn)顯示授權(quán)進(jìn)度為0，即授權(quán)失敗。而修改本機(jī)hosts文件，將域名指向到Web服務(wù)器的真實(shí)IP，即不經(jīng)過WAF進(jìn)行訪問操作，授權(quán)進(jìn)度為100%，授權(quán)可以正常提交。如下圖2所示：

首先懷疑該功能被WAF攔截，但是在WAF上對Web應(yīng)用的域名和訪問的客戶端IP進(jìn)行查詢，沒有查到攔截日志，該功能故障是否真的與WAF無關(guān)呢？

（1）通過在WAF上和在客戶端分別抓包[6]，對比用戶訪問該功能的請求和Web服務(wù)器的響應(yīng)情況為：1）通過WAF進(jìn)行授權(quán)訪問，異常，客戶端不斷重復(fù)發(fā)送同一個請求。繞過WAF進(jìn)行授權(quán)訪問，正常，客戶端只發(fā)送一個請求[7]；2）經(jīng)過WAF訪問successNum參數(shù)的值為0。繞過WAF訪問successNum參數(shù)的值為2。如圖3所示：

圖3 在WAF和客戶端對授權(quán)操作抓包對比

（2）為了消除不同WAF產(chǎn)品的差異，分別在梭子魚WAF和綠盟WAF上配置該應(yīng)用，并分別通過兩種WAF執(zhí)行授權(quán)操作，結(jié)果授權(quán)操作都失敗。為了消除WAF策略的影響，在WAF上取消對該站點(diǎn)的防護(hù)策略，授權(quán)操作失敗的現(xiàn)象依然沒有改觀。

（3）由于WAF采用反向代理模式，為了進(jìn)行對比，將該應(yīng)用部署在本地搭建的Nginx反向代理測試系統(tǒng)上[8]，用戶通過本地反向代理進(jìn)行授權(quán)操作，發(fā)現(xiàn)授權(quán)進(jìn)度依然為零。對該站點(diǎn)的反向代理配置進(jìn)行修改，分別注釋以下配置項之后進(jìn)行授權(quán)操作：

proxy_set_header Host $host：server_port；

proxy_set_header X-Real-IP $remote_addr；

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for；

發(fā)現(xiàn)注釋proxy_set_header Host $host：server_port[9]這一項之后進(jìn)行授權(quán)訪問，授權(quán)進(jìn)度為100%。

圖4 配置反向代理測試系統(tǒng)

（4）找出授權(quán)進(jìn)度為0的原因為：Web服務(wù)器需要讀取帶有端口的host字段，但是WAF代理配置用HTTP默認(rèn)的80端口隱藏Web服務(wù)器的9000端口，轉(zhuǎn)發(fā)給Web服務(wù)器的請求里面不帶端口，導(dǎo)致授權(quán)服務(wù)異常。

（5）在WAF上配置Web服務(wù)器9000端口，轉(zhuǎn)發(fā)給Web服務(wù)器的請求里面帶端口，通過WAF授權(quán)操作成功。

6 結(jié)束語

高校Web應(yīng)用系統(tǒng)的多樣性，為安全防護(hù)的實(shí)施增加了難度。在應(yīng)用系統(tǒng)加入安全防護(hù)系統(tǒng)之后，經(jīng)常出現(xiàn)各種各樣的應(yīng)用故障，快速定位故障原因并解決，才能保障應(yīng)用服務(wù)安全穩(wěn)定運(yùn)行。本文提出的故障診斷方法在高校Web應(yīng)用防護(hù)場景中經(jīng)過使用驗證，但是仍需要在實(shí)際使用中不斷改進(jìn)和完善。

[1]上野宣.圖解HTTP[M].人民郵電出版社，2014.

[2]吉爾利, 等.HTTP權(quán)威指南[M].人民郵電出版社，2012.

[3]趙洪彪.信息安全策略[M].清華大學(xué)出版社，2004.

[4]王樂，王葉靜，郭羽婷.高校信息安全整體防護(hù)方案研究[J].信息安全與通信保密, 2020.

[5]王樂，王葉靜，葛永興.Web應(yīng)用防火墻在高校信息安全中的應(yīng)用[J].長春師范大學(xué)學(xué)報, 2020.

[6]Manpage of PCAP-FILTER[EB/OL]. https://www.tcpdump.org/ manpages/pcap-filter.7.html.

[7]Chrome 開發(fā)者工具[EB/OL].https://developers.google. cn/web/tools/chrome-devtools/.

[8]陶輝.深入理解Nginx[M].機(jī)械工業(yè)出版社,2013.

[9]Module ngx_http_proxy_module[EB/OL].http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass_header.