張 恬

(無錫城市職業(yè)技術(shù)學(xué)院,江蘇 無錫 214153)

0 引言

Web 技術(shù)具有標(biāo)準(zhǔn)化的特征,高校的很多應(yīng)用都采用Web 應(yīng)用形式,比如:網(wǎng)站群系統(tǒng)、教務(wù)系統(tǒng)、辦公系統(tǒng)等。 隨著智慧校園的建設(shè),對高校網(wǎng)絡(luò)安全的重視,Web 應(yīng)用的快速發(fā)展,暴露出較多網(wǎng)絡(luò)安全方面的問題,網(wǎng)絡(luò)安全等級保護2.0 的實施對Web 應(yīng)用安全提出了一定要求。 HTTP 協(xié)議的安全機制缺乏和Web應(yīng)用系統(tǒng)本身的安全漏洞,導(dǎo)致Web 應(yīng)用層面的安全風(fēng)險逐日增大。 傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備工作在網(wǎng)絡(luò)層居多,導(dǎo)致應(yīng)用層的防護與其不匹配,網(wǎng)絡(luò)安全設(shè)備(IDS和IPS)可以通過包檢測技術(shù)來探知流經(jīng)應(yīng)用層的流量,并匹配攜帶的攻擊特征庫,從而辨識網(wǎng)絡(luò)攻擊,對應(yīng)用層進行防護,但I(xiàn)DS 和IPS 對靈活編碼和報文分割實現(xiàn)的應(yīng)用層攻擊無法防御。 Web 應(yīng)用防火墻(Web application firewall,WAF)工作在應(yīng)用層[1-2],對HTTP協(xié)議的請求和應(yīng)答進行重組解析,并與攻擊特征庫進行匹配,根據(jù)判斷出的攻擊行為做出報警或者阻斷等不同處理。 本文首先介紹Web 應(yīng)用相關(guān)的技術(shù),HTTP協(xié)議機制與基于已知攻擊方式的不足,接著分析WAF的特異性配置的優(yōu)點和日常管理注意事項等,在此基礎(chǔ)上建立WAF 實際應(yīng)用模型,經(jīng)檢測可以有效阻斷Web 應(yīng)用層的攻擊。

1 Web 應(yīng)用相關(guān)技術(shù)分析

1.1 HTTP 協(xié)議

Web 應(yīng)用服務(wù)具備很強的交互性,客戶端與服務(wù)器端的交互是通過HTTP 協(xié)議進行的[3],典型的Web應(yīng)用即為客戶端向Web 服務(wù)器發(fā)送HTTP 或HTTPS請求,服務(wù)器收到請求后進行應(yīng)答。 超文本傳輸協(xié)議(Hyper Text Transfer Protocol,HTTP)是一個基于請求與響應(yīng)模式的、無狀態(tài)的、應(yīng)用層的協(xié)議,基于TCP 的連接方式,給出一種持續(xù)連接的機制,大多數(shù)的Web 開發(fā)都是構(gòu)建在HTTP 協(xié)議之上的 Web 應(yīng)用[4-5]。 故Web 應(yīng)用安全問題大部分是忽略了對用戶輸入數(shù)據(jù)的審核,從而導(dǎo)致攻擊行為的發(fā)生。 在傳輸過程中,首先由客戶端向服務(wù)器端發(fā)送請求,請求頭的內(nèi)容主要有請求的方法、URL、協(xié)議版本等。 服務(wù)器接收到請求,對請求發(fā)出響應(yīng),響應(yīng)的內(nèi)容主要有消息協(xié)議的版本、成功或者錯誤編碼等。 HTTP 協(xié)議的報文頭有4 部分內(nèi)容:通用頭、請求頭、響應(yīng)頭和實體頭。 4 部分包括的具體內(nèi)容如表1 所示。 在請求發(fā)出時,消息的首行格式包含對URL 完成的方法,有 OPTIONS,GET,HEAD,POST,PUT,DELETE 和TRACE。 Web 應(yīng)用安全問題的產(chǎn)生因為用戶可以在報文頭的任意部位進行輸入操作,每個點都會成為攻擊注入點。 最常見的Web 攻擊注入點有GET,POST,Cookies,Referen,User-Agent,請求頭等。

表1 報文頭內(nèi)容

1.2 基于已知的攻擊方式

WAF 最常見的檢測方法是模式匹配的方式,但該檢測方法會有繞行的風(fēng)險,主要原因有兩點,一是模式匹配的固定模式,無論是采用正則匹配或者添加一些其他匹配方式,會有被繞行的風(fēng)險;二是HTTP 協(xié)議的解析漏洞,若攻擊者發(fā)起異常數(shù)據(jù)包,正常無法提取變量,即直接繞過WAF 檢測。

目前WAF 為了對攻擊進行快速的識別,大部分規(guī)則庫的建立都是基于已知攻擊方式,這種方式的不足之處在于:(1)攻擊方式與形式具備多變性的特點,直接導(dǎo)致增加規(guī)則庫的體量,維護規(guī)則庫會造成較多的消耗。 (2)新型攻擊或未知攻擊發(fā)生時,無法有效斷定是否為惡意攻擊,而導(dǎo)致防護能力弱,只能進行“事后防護”。 (3)對缺乏明顯攻擊特性的數(shù)據(jù)篡改等攻擊形式防護能力薄弱。

綜合以上不足,具有特異性配置的WAF 可以根據(jù)需要防護的Web 應(yīng)用合理有效地配置所需的防護。 這種防護方式從Web 應(yīng)用本身業(yè)務(wù)作為切入點,通過合法通信,采集數(shù)據(jù)樣本,變成適應(yīng)自身業(yè)務(wù)系統(tǒng)的規(guī)則庫,更有針對性。

2 Web 應(yīng)用防火墻的分析與設(shè)計

2.1 黑白名單檢測模塊

黑白名單檢測可以增強WAF 系統(tǒng)的網(wǎng)絡(luò)防護,對于加入黑名單的IP 地址,會被直接攔截,相反加入白名單的IP 地址,則直接將數(shù)據(jù)包轉(zhuǎn)發(fā)。 如果兩種情況都不滿足,普通的請求報文,進行檢測流程。

2.2 規(guī)則組模塊

規(guī)則組模塊主要進行各類匹配規(guī)則的設(shè)置,例如協(xié)議限制類、注入攻擊類、跨站攻擊等。 這些規(guī)則的設(shè)置都是基于對發(fā)送報文的解析,分析HTTP 報文,通過獲取到請求字段,將請求字段與規(guī)則組匹配,深度掃描是否含有攻擊類型,并判斷是否觸發(fā)響應(yīng)模塊的處理。規(guī)則組會根據(jù)網(wǎng)絡(luò)中新增的應(yīng)用程序或者模塊等進行更新操作,完善規(guī)則庫。

報文的解析主要包括對HTTPS 報文的加解密處理、將編碼統(tǒng)一化和提取報文字段3 步操作。 第一,對HTTPS 報文的加解密處理,需要通過HOST 域來進行判定送到的目的Web 服務(wù)器,根據(jù)提供的SSL 證書和密鑰對請求報文進行解密操作,翻譯為明文后,轉(zhuǎn)發(fā)到下一個目的模塊,同時將服務(wù)器響應(yīng)的應(yīng)答報文進行加密操作并轉(zhuǎn)發(fā)。 第二,將編碼統(tǒng)一化,主要對HTTP報文進行處理,編碼方式有多種,例如:URL 編碼、Unicode 編碼等。 為了防止有攻擊繞行,將編碼進行統(tǒng)一化處理。 第三,提取報文字段,提取對HTTP 的請求和發(fā)出的響應(yīng)報文內(nèi)容,請求報文中將Host 字段與Post 請求中的主體提取出,響應(yīng)報文中將SetCookie 字段內(nèi)容進行提取。 最終提出的內(nèi)容與規(guī)則庫進行有效匹配,進行篩選。

2.3 日志審計模塊

日志記錄是WAF 系統(tǒng)的重要記錄部分,記錄的類型可以設(shè)置為基本、詳細(xì)和全部3 種類型。 當(dāng)有攻擊行為發(fā)生時,會記錄下攻擊信息,通過報表的方式查看攻擊的類型等。

2.4 自定義規(guī)則

Web 頁面的參數(shù)主要有固定類型參數(shù)、枚舉參數(shù)、用戶輸入?yún)?shù)3 類。 第一種固定類型參數(shù),比如輸入出生日期等數(shù)字是固定的,可以為通用配置。 第二種枚舉類型的參數(shù),通常在頁面的表現(xiàn)方式是下拉框或者選擇框,比如性別等,可以在規(guī)則庫設(shè)置匹配表進行通用配置。 第三種用戶輸入類型,容易成為攻擊手段,只配置通用規(guī)則庫則無法全面防護,需要進行特異性配置。 而自定義規(guī)則則傾向于特異性配置,對不同的Web 系統(tǒng)可以調(diào)整適用的配置,例如HTTP 請求走私,可以設(shè)置啟動或不啟動。 對Web 安全防護的有效性和可靠性有更高的提升。 具體的優(yōu)點可以總結(jié)為:(1)高效性,通過初期Web 頁面參數(shù)的篩選,減少固定類型和枚舉類型參數(shù)的匹配,大大節(jié)約了計算時間。 (2)適用范圍廣,對于特定的Web 應(yīng)用進行特異性配置即可,可以打破固定模式。 (3)安全性更高,有差異的對待,可以更具備針對性,安全性等級加強。

3 數(shù)據(jù)中心實際應(yīng)用

3.1 Web 應(yīng)用防火墻的應(yīng)用

配置Windows Server 2008 系統(tǒng),采用IIS7.0 服務(wù)器,配置Windows10 客戶機,采用安恒明御防火墻,對應(yīng)用層進行防護。 結(jié)合學(xué)校本身的網(wǎng)絡(luò)架構(gòu),將WAF配置成透明代理模式串接在核心網(wǎng)絡(luò)中。 在實際應(yīng)用中,將測試站點加入保護站點,部分攻擊攔截如圖1 所示。 為增加系統(tǒng)防護功能,啟動黑白名單設(shè)置,配置規(guī)則庫,并對不同的Web 應(yīng)用啟動特異性配置,如圖2 所示,經(jīng)過檢驗,可以有效防御惡意攻擊,網(wǎng)絡(luò)整體安全性得到了提升,對日常維護具備極大的保障,具有很高的應(yīng)用價值。

圖1 攻擊攔截

圖2 特異性配置

3.2 日常管理

讓W(xué)AF 有效發(fā)揮作用,對其日常管理也尤為重要,需要做好的維護有:系統(tǒng)定期升級,包括規(guī)則庫的升級,提高系統(tǒng)整體防護效果;WAF 配置策略定期進行備份,當(dāng)異常情況發(fā)生時,可以使用還原配置文件;定期查看WAF 日志,對攻擊事件分類處理,將惡意IP 加入黑名單;更新防護站點后,及時配置防護策略。

4 結(jié)語

Web 應(yīng)用層的攻擊持續(xù)增高,網(wǎng)絡(luò)安全防護也日益重要,本文詳細(xì)分析了HTTP 協(xié)議,并介紹了幾種基于已知攻擊方式的不足,針對容易暴露的風(fēng)險,提出了一種特異性Web 應(yīng)用防火墻的配置。 通過實際應(yīng)用實踐表明,此配置方式不僅可以節(jié)約規(guī)則庫的計算時間,還可增強Web 應(yīng)用的安全性,有效提高了WAF 防護的效率,具有較高的實用價值。 另外,Web 應(yīng)用的防御不可松懈,大負(fù)荷的WAF 配置,對其本身的安全性和整個網(wǎng)絡(luò)架構(gòu)的安全性也是一大隱患,如何與其他網(wǎng)絡(luò)安全設(shè)備形成有效聯(lián)動并形成壓力分擔(dān)是以后的研究方向。