孫 楠，林忠南，張 驍，劉壯峰

（舟山市氣象局，浙江 舟山 316000）

隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)的日益成熟，信息和數(shù)據(jù)安全[1]也成為各企業(yè)單位的關(guān)注重點(diǎn)。氣象信息與人們的生活息息相關(guān)，影響著日常作業(yè)，特別是對于沿海的城市，氣象數(shù)據(jù)更具有不可替代的重要性，需要確保氣象業(yè)務(wù)運(yùn)系統(tǒng)的正常運(yùn)行和氣象數(shù)據(jù)的安全，但是傳統(tǒng)的防火墻無法檢測到異常流量與提供Web應(yīng)用系統(tǒng)防護(hù)，因此加入了Web應(yīng)用防火墻[2]來（以下簡稱“WAF”）增強(qiáng)氣象業(yè)務(wù)系統(tǒng)的防護(hù)，可以防止網(wǎng)頁被惡意篡改、SQL注入[3]和黑客攻擊等，從而確保了氣象網(wǎng)站的安全性和數(shù)據(jù)的準(zhǔn)確性。

1 WAF工作原理

WAF是部署在氣象業(yè)務(wù)系統(tǒng)服務(wù)器的前面，在用戶請求到達(dá)Web服務(wù)器前對請求的內(nèi)容進(jìn)行規(guī)則匹配和行為分析，檢測和識別是否存在惡意行為，確保每個用戶請求有效且安全。對于存在的惡意行為，比如SQL注入、篡改網(wǎng)頁等各類Web應(yīng)用攻擊，WAF會對其進(jìn)行阻斷、記錄、告警等。WAF的阻斷和防護(hù)功能，降低了氣象業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)，進(jìn)而維護(hù)了網(wǎng)站的公信度。

2 WAF部署方式

根據(jù)WAF的位置是串聯(lián)還是并聯(lián)在交換機(jī)上分為如下2種典型網(wǎng)絡(luò)部署方式。

2.1 串聯(lián)檢測部署模式

最簡單的串聯(lián)部署方式為普通模式，部署時不需要對服務(wù)器和其他網(wǎng)絡(luò)設(shè)備進(jìn)行調(diào)整，在需要快捷部署WAF時建議選用該部署方式，如圖1所示。當(dāng)存在不同局域網(wǎng)的情況下可以選擇Trunk模式，部署時需要在交換機(jī)中添加Trunk接口，通過在Trunk接口上設(shè)置允許的VLAN來實(shí)現(xiàn)WAF對不同局域網(wǎng)中的服務(wù)器進(jìn)行防護(hù)的功能；當(dāng)需要增加帶寬時，可以選擇Channel模式，對Channel接口進(jìn)行設(shè)置；當(dāng)需要防護(hù)不同局域網(wǎng)中的服務(wù)器，同時也需要增加帶寬時，可以選擇Trunk+Channel模式，即Trunk模式和Channel模式的結(jié)合模式。

圖1 普通模式

2.2 旁路防護(hù)部署模式

旁路模式是將WAF與交換機(jī)并聯(lián)連接在一起，其中單臂模式是將交換機(jī)的一個接口與WAF設(shè)備連接，通過連接的NAT設(shè)備將數(shù)據(jù)包的源地址和目的地址進(jìn)行轉(zhuǎn)換，實(shí)現(xiàn)WAF對Web服務(wù)器的代理防護(hù)功能；旁路阻斷模式是使用鏡像接口將通過交換機(jī)的數(shù)據(jù)包鏡像至WAF中，WAF對鏡像數(shù)據(jù)包進(jìn)行安全監(jiān)測，如果檢測到攻擊行為通過命令下發(fā)接口下發(fā)阻斷命令至客戶端和服務(wù)器端，WAF不對數(shù)據(jù)包做任何改變；旁路監(jiān)測模式是使用鏡像接口將通過交換機(jī)的數(shù)據(jù)包鏡像至WAF中，WAF對鏡像數(shù)據(jù)包進(jìn)行安全監(jiān)測，不下發(fā)阻斷命令。其中旁路阻斷模式和旁路監(jiān)測模式需要通過離線部署。

3 Web防護(hù)規(guī)則

3.1 HTTP協(xié)議校驗(yàn)規(guī)則

HTTP協(xié)議規(guī)則是通過對HTTP協(xié)議包頭各字段的長度設(shè)置限值、控制主體和控制源進(jìn)行校驗(yàn)。當(dāng)客戶端向服務(wù)器發(fā)起請求時，WAF引擎獲取標(biāo)準(zhǔn)頭中的數(shù)據(jù)，對源IP對象向服務(wù)器IP對象的請求進(jìn)行校驗(yàn)；將規(guī)則中設(shè)定了限值的實(shí)際值和設(shè)定值進(jìn)行比較，如果大于限值則說明可能遭受畸形HTTP協(xié)議包攻擊。同時也可以檢查HTTP協(xié)議的版本號、請求方法，HOST域是否為空及POST請求消息包頭中的CONTENT_LENGTH是否為空等。

3.2 特性防護(hù)規(guī)則

特征庫是系統(tǒng)默認(rèn)的規(guī)則庫，包含SQL注入、跨站腳本攻擊（XSS）、防爬蟲規(guī)則和信息泄露等規(guī)則，用戶也可以自定義一些特征庫規(guī)則。WAF應(yīng)用安全防護(hù)系統(tǒng)會定期發(fā)布最新的特征庫，用戶可以通過相關(guān)的正規(guī)的網(wǎng)站獲得最新的特征庫；也可以通過購買license授權(quán)，在WAF頁面設(shè)置啟用規(guī)則庫自動升級。

3.3 爬蟲防護(hù)規(guī)則

網(wǎng)絡(luò)爬蟲[4]是一種按照一定的規(guī)則，自動抓取萬維網(wǎng)信息的程序或者腳本，在互聯(lián)網(wǎng)、金融等各個領(lǐng)域被廣泛應(yīng)用，可以自動地在互聯(lián)網(wǎng)中對所能訪問到的內(nèi)容進(jìn)行信息采集與整理，以獲取或更新這些網(wǎng)站的內(nèi)容和檢索方式。網(wǎng)絡(luò)上有很多搜索引擎，如百度、雅虎等，都使用爬蟲提供最新的數(shù)據(jù)。但如果惡意使用爬蟲技術(shù)抓取大量的網(wǎng)站頁面，不但占用網(wǎng)站帶寬，而且影響服務(wù)器性能，WAF通過設(shè)置爬蟲防護(hù)規(guī)則，可以防止信息被搜索引擎獲取。

3.4 掃描防護(hù)規(guī)則

掃描器通過向目標(biāo)計(jì)算機(jī)發(fā)送數(shù)據(jù)包，快速準(zhǔn)確地掃描目標(biāo)存在的漏洞，并把掃描結(jié)果反饋給使用者，借此來判斷目標(biāo)計(jì)算機(jī)的操作系統(tǒng)類型、開發(fā)端口、提供的服務(wù)等敏感信息。WAF可以通過設(shè)置掃描防護(hù)規(guī)則，防止信息被掃描器獲取，造成泄露。掃描防護(hù)規(guī)則默認(rèn)處理動作為封禁，封禁時間為7 200s。掃描防護(hù)規(guī)則默認(rèn)引用IP對象為search engine IP，WAF會對掃描器的IP地址進(jìn)行檢測，如果屬于該IP對象則不會對該IP地址上的掃描進(jìn)行防護(hù)處理。

4 WAF的部署與應(yīng)用

4.1 服務(wù)器的管理配置

首先對需要防護(hù)的氣象網(wǎng)站服務(wù)器進(jìn)行參數(shù)配置，部署方式是將WAF串聯(lián)在網(wǎng)絡(luò)拓?fù)渲羞M(jìn)行防護(hù)，防護(hù)模式選擇了代理模式，因?yàn)榇砟Ｊ娇梢詫f(xié)議進(jìn)行深度解析，其內(nèi)部代理防護(hù)能力較強(qiáng)，同時配置了數(shù)據(jù)壓縮的最小壓縮值和壓縮級別，以及高速緩存的類型和有效時間。這里配置的氣象網(wǎng)站服務(wù)器需要被應(yīng)用防護(hù)安全的Web防護(hù)策略和基礎(chǔ)資源對象里的Web主機(jī)（歸屬服務(wù)器）所引用。

4.2 Web防護(hù)策略的配置

Web防護(hù)策略的配置主要是對第一步所管理配置完成的氣象網(wǎng)站服務(wù)器增加一些防護(hù)規(guī)則和自定義Web防護(hù)策略的優(yōu)先級，主要選取了HTTP協(xié)議校驗(yàn)規(guī)則、特征防護(hù)規(guī)則、爬蟲防護(hù)規(guī)則和掃描防護(hù)規(guī)則。當(dāng)訪問氣象網(wǎng)站的請求存在惡意行為，經(jīng)過WAF服務(wù)器時，防護(hù)策略會判斷請求是否符合規(guī)則，不符合規(guī)則的則進(jìn)行阻斷或隔離。管理2個及以上服務(wù)器時，可以對防護(hù)策略自定義優(yōu)先級，優(yōu)先級數(shù)越小，優(yōu)先級別越高，優(yōu)先級別由1～10 000逐級遞減，優(yōu)先級可重復(fù)，當(dāng)2條數(shù)據(jù)優(yōu)先級一致時，則按照添加數(shù)據(jù)的順序決定優(yōu)先級順序。防護(hù)策略配置步驟如圖2所示。

圖2 Web防護(hù)配置流程圖

4.3 WAF的使用

當(dāng)用戶訪問氣象網(wǎng)站時，WAF會解析HTTP請求，根據(jù)配置的防護(hù)規(guī)則檢驗(yàn)HTTP中的參數(shù)是否存在攻擊行為，若存在惡意的攻擊行為，會按照規(guī)則中設(shè)定的防護(hù)動作進(jìn)行攔截，管理人員也會及時收到報(bào)警短信，可以在攻擊日志頁面中查看到攻擊事件。當(dāng)網(wǎng)站出現(xiàn)某個頁面不能正常顯示時，可能是被WAF誤攔截，管理員可以在攻擊日志頁面中查看事件攻擊詳情，如果確認(rèn)該防護(hù)事件為誤攔截導(dǎo)致頁面不能訪問的，可以在處理動作中選擇通過，根據(jù)攻擊類型調(diào)整相應(yīng)的Web防護(hù)規(guī)則限制。設(shè)置后，訪問過程中若出現(xiàn)該類型事件WAF將不再攔截，即攻擊日志頁面中將不再顯示該類型事件，管理人員也不會收到此類型事件的短信通知。

為了避免Web應(yīng)用訪問被WAF攔截，在加入WAF防護(hù)之前應(yīng)該做好所有應(yīng)用功能的測試，例如URL中加入字符、輸入SQL命令等，以及文件和圖片上傳等功能是否正常，允許上傳下載的文件和圖片的類型是否全面，文字編輯字符數(shù)量是否受限制，弱密碼和敏感信息檢測是否符合規(guī)范等，避免因測試不全導(dǎo)致在使用中被誤攔截，影響正常業(yè)務(wù)。

WAF具有自學(xué)習(xí)系統(tǒng)，通過學(xué)習(xí)用戶訪問氣象網(wǎng)站的數(shù)據(jù)信息，統(tǒng)計(jì)出服務(wù)器的所有資產(chǎn)，包括站點(diǎn)、URL以及各個URL的參數(shù)信息，總結(jié)出站點(diǎn)保護(hù)對象的正常模型，并生成相應(yīng)的防護(hù)策略，對異常流量進(jìn)行檢測和防護(hù)。Web應(yīng)用的功能非常復(fù)雜，用戶的請求方式各式各樣，機(jī)器學(xué)習(xí)算法也不可能100%還原所有用戶正常行為，因此WAF自學(xué)習(xí)功能會存在誤報(bào)，需要管理員時刻關(guān)注并處理。

網(wǎng)絡(luò)攻擊無處不在，攻擊手段各式各樣，WAF對HTTP協(xié)議進(jìn)行自行解析，可能存在與Web服務(wù)器對HTTP的請求理解不一致的現(xiàn)象，導(dǎo)致一些請求試圖繞過WAF[5]攻擊氣象業(yè)務(wù)網(wǎng)站。因此為了提高網(wǎng)站的防御能力，要有清晰的需求說明，不斷完善防護(hù)規(guī)則，建立安全的Web防護(hù)系統(tǒng)。漏洞是會一直存在的，也會不斷地衍生出新的漏洞，管理人員要及時關(guān)注和升級特征規(guī)則庫，防止業(yè)務(wù)網(wǎng)站被攻擊，影響正常運(yùn)行。

5 總結(jié)

WAF通過設(shè)置應(yīng)用安全防護(hù)規(guī)則和多種機(jī)制的分析檢測，有效地阻斷各種網(wǎng)絡(luò)攻擊事件，保證Web應(yīng)用合法流量的正常傳輸，這對于保障氣象業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)行和數(shù)據(jù)安全性具有重要的作用。但也存在一些不足之處，在業(yè)務(wù)系統(tǒng)復(fù)雜的情況下，繞過WAF的概率和誤攔截的可能性會增加，降低了網(wǎng)站的安全性。維護(hù)Web網(wǎng)站的安全，不能只局限于應(yīng)用層或者只基于規(guī)則進(jìn)行防護(hù)，要進(jìn)行多方面的考慮和攔截。如WAF是否可以建立雙重機(jī)制規(guī)則，降低HTTP請求繞過的概率。