［袁皓 黃晴川 孫亞紅］

1 引言

當(dāng)前面臨的網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻，WEB服務(wù)面臨著大量的不正常訪問(wèn)，業(yè)務(wù)面臨較多的安全問(wèn)題，如數(shù)據(jù)爬取、惡意刷票等，為了能消除大多數(shù)網(wǎng)絡(luò)攻擊，提升防掃描、防自動(dòng)化攻擊等防護(hù)效果，許多企業(yè)采用WAF（web application firewall）應(yīng)用防火墻對(duì) web 服務(wù)器安全性檢測(cè)，運(yùn)營(yíng)商也建設(shè)了WAF開(kāi)展對(duì)于運(yùn)營(yíng)商內(nèi)部的WEB服務(wù)器以及客戶的服務(wù)器開(kāi)展網(wǎng)絡(luò)安全服務(wù)，通過(guò)對(duì)WAF的網(wǎng)絡(luò)架構(gòu)、體系結(jié)果的研究，提升WAF的網(wǎng)絡(luò)防護(hù)能力。

2 WAF系統(tǒng)簡(jiǎn)介

WAF 是 web application firewall的簡(jiǎn)稱，即 web 應(yīng)用防火墻。是工作在應(yīng)用層的防火墻，不能進(jìn)行地址映射和阻止DDOS攻擊，主要對(duì)http和https流量進(jìn)行檢測(cè)分析，為web應(yīng)用提供實(shí)時(shí)防護(hù)，其主要提供禁止HTTP協(xié)議的非安全方法、偽裝Web服務(wù)的特征、防止API和命令注入、防止路徑遍歷和文件包含注入，對(duì)敏感的系統(tǒng)路徑進(jìn)行保護(hù)、防止SQL注入、防止XSS攻擊、防止網(wǎng)頁(yè)掛馬、文件上傳的防護(hù)、動(dòng)態(tài)IP黑名單和白名單等功能。

3 WAF部署方式簡(jiǎn)介

目前WAF系統(tǒng)部署方式大致可分為四種方式即透明代理、旁路（流量牽引）、反向代理、監(jiān)視模式。

3.1 透明代理模式簡(jiǎn)介

透明代理部署模式是WAF設(shè)備串接入web服務(wù)器前端，通過(guò)網(wǎng)橋接入方式實(shí)現(xiàn)流量傳輸，WAF設(shè)備無(wú)需配置業(yè)務(wù)IP地址。（如圖1所示）通過(guò)配置不同web服務(wù)器的指紋鏈接就可以適配出不同web服務(wù)器的訪問(wèn)。所以這種部署模式不會(huì)改變流量中任何數(shù)據(jù)包，同時(shí)能夠?qū)Ξ惓Ａ髁窟M(jìn)行實(shí)時(shí)阻斷。

圖1 透明代理模式

3.2 旁路部署模式簡(jiǎn)介

旁路部署模式即流量牽引模式（如圖2所示），一般采用主—主或者主—備雙機(jī)部署模式，通過(guò)對(duì)機(jī)房出（入）口路由器上做PBR路由將訪問(wèn)web服務(wù)器流量牽引至WAF系統(tǒng)，WAF系統(tǒng)將檢測(cè)到非HTTP流量中的TCP包的源IP地址、端口改為客戶端地址；將檢測(cè)到HTTP流量里的TCP包源地址、端口址改為WAF設(shè)備業(yè)務(wù)IP地址和端口。這表示W(wǎng)EB服務(wù)器響應(yīng)客戶端時(shí)，HTTP流量需要再次經(jīng)過(guò)WAF設(shè)備檢測(cè)；而非HTTP流量則無(wú)需經(jīng)過(guò)WAF設(shè)備直接發(fā)送給客戶端。

圖2 旁路部署模式

3.3 反向代理模式簡(jiǎn)介

反向代理部署模式比較靈活（如圖3所示），不同web服務(wù)端通過(guò)修改相應(yīng)DNS中A或者CNAME記錄，以及在WAF上配置不同web服務(wù)的鏈接指紋來(lái)完成WAF接入。目前主流部署模式采用主-備雙機(jī)或者負(fù)載均衡方式。其中負(fù)載均衡方式可以接入多臺(tái)WAF設(shè)備，有效提高WAF系統(tǒng)業(yè)務(wù)接入承載量。采用這種部署模式，相當(dāng)于網(wǎng)絡(luò)增加了代理服務(wù)器，客戶端不會(huì)直接與服務(wù)端建立連接。根據(jù)TCP/IP原理，客戶端會(huì)首先與WAF之間建立三次握手，其次WAF又會(huì)與web服務(wù)器建立三次握手，通過(guò)這種方式完成客戶端與服務(wù)端的通道連接。這種連接建立方式，會(huì)相應(yīng)增加網(wǎng)絡(luò)時(shí)延。

圖3 反向代理模式

3.4 監(jiān)視模式簡(jiǎn)介

監(jiān)視模式在日常部署中比較少使用（如圖4所示），主要在接入web服務(wù)端的交換機(jī)側(cè)對(duì)端口進(jìn)行鏡像，將流量送WAF設(shè)備進(jìn)行檢測(cè)，發(fā)現(xiàn)異常流量出現(xiàn)告警信息，但不會(huì)對(duì)流量進(jìn)行阻斷，這種方式只能起到預(yù)警作用。一般適用于新的web服務(wù)端上線測(cè)試。

圖4 監(jiān)視模式

4 重要因素評(píng)估與優(yōu)化

4.1 開(kāi)展性能評(píng)估，提升web服務(wù)器性能

掌握web服務(wù)器日常運(yùn)行性能參數(shù)對(duì)于WAF運(yùn)營(yíng)至關(guān)重要，直接影響WAF內(nèi)部參數(shù)配置。業(yè)務(wù)高峰期、重大節(jié)假日促銷等活動(dòng)，web服務(wù)器運(yùn)行TCP并發(fā)連接數(shù)要特別關(guān)注，由于每臺(tái)WAF設(shè)備最大TCP并發(fā)數(shù)為固定值，業(yè)務(wù)接口每個(gè)IP地址最多可以承載644531個(gè)TCP并發(fā)連接理論值；如果web服務(wù)器的最終并發(fā)數(shù)超過(guò)這個(gè)數(shù)量，就必須為WAF分配第二個(gè)業(yè)務(wù)IP地址；否則就會(huì)出現(xiàn)不能正常訪問(wèn)web服務(wù)器故障。所以接入時(shí)一定要根據(jù)業(yè)務(wù)最大TCP并發(fā)數(shù)來(lái)評(píng)估部署模式，如果采用反向代理模式，需要評(píng)估是使用主-備雙機(jī)方式還是負(fù)載均衡方式，WAF設(shè)備是否支持業(yè)務(wù)IP地址自動(dòng)擴(kuò)展分配等因素。

4.2 盡可能減少網(wǎng)絡(luò)時(shí)延

Web服務(wù)器訪問(wèn)性能優(yōu)化問(wèn)題一直是永恒的話題。用戶訪問(wèn)web服務(wù)器響應(yīng)速度是否快速取決于web服務(wù)器自身性能參數(shù)、中繼帶寬是否足夠，TCP三次握手是否時(shí)延較多，TCP連接重用是否開(kāi)啟，擁塞窗口初始值設(shè)置是否合理、和用戶最后一公里等，這些綜合因素都是影響網(wǎng)絡(luò)訪問(wèn)快慢的重要指標(biāo)（如表1所示）。接入WAF以后，這種時(shí)延肯定會(huì)持續(xù)地增加。所以接入WAF前后，要對(duì)WEB服務(wù)器的訪問(wèn)做一次全面評(píng)估比對(duì)，找出影響訪問(wèn)速度的主要因素，進(jìn)行調(diào)優(yōu)。

表1 接入WAF前后參數(shù)值比較

4.3 接入方式評(píng)估

企業(yè)公網(wǎng)、內(nèi)網(wǎng)web服務(wù)器到底采用何種方式接入WAF系統(tǒng)，是需要根據(jù)WAF方面資金投入、建設(shè)及部署模式?jīng)Q定。

如果透明代理、旁路、反向代理、監(jiān)視模式等四種模式都具備，理想情況下建議對(duì)新上線測(cè)試的web服務(wù)器首先采用監(jiān)視模式，通過(guò)對(duì)web服務(wù)器運(yùn)行性能和受到的攻擊特征有大致了解，為后續(xù)正式接入做好各項(xiàng)參數(shù)調(diào)優(yōu)工作（如表2所示）。

表2 WAF部署及工作模式比較

透明代理部署方式主要優(yōu)點(diǎn)為無(wú)需更改網(wǎng)絡(luò)架構(gòu)，無(wú)需增加額外的硬件投入。對(duì)于重要系統(tǒng)，就可以達(dá)到很好的防護(hù)效果。對(duì)于用戶而言是透明的，感受不到WAF的存在。WAF設(shè)備自身可支持旁路通道，故障恢復(fù)快，業(yè)務(wù)受影響小。

為滿足企業(yè)生產(chǎn)自用的內(nèi)網(wǎng)系統(tǒng)，且無(wú)公網(wǎng)域名，與WAF設(shè)備處于同一個(gè)機(jī)房，可以使用此種部署方式。由于這種部署方式一般采用主-主或主-備雙機(jī)方式可以承載較少量用戶訪問(wèn)，這種部署方式的優(yōu)點(diǎn)接入方式簡(jiǎn)單，網(wǎng)絡(luò)、WAF設(shè)備上配置簡(jiǎn)單。

企業(yè)面向公眾提供的web系統(tǒng)，一般都會(huì)申請(qǐng)公網(wǎng)域名，這類web服務(wù)的接入一般推薦使用反向代理模式。反向代理模式通過(guò)修改web服務(wù)端DNS設(shè)置的A或者CNAME記錄，將流量指向WAF設(shè)備，web服務(wù)端的真實(shí)IP地址被隱藏，同時(shí)在web服務(wù)端將WAF業(yè)務(wù)地址設(shè)置IP白名單，web服務(wù)端的安全性可以得到進(jìn)一步提升。企業(yè)提供公眾服務(wù)的重型web應(yīng)用、安全實(shí)時(shí)防護(hù)性要求高的，可以選擇這種部署方式。

5 客戶業(yè)務(wù)接入保障

5.1 完整的應(yīng)用交付

接入WAF需要實(shí)現(xiàn)完整的應(yīng)用交付，這涉及到接入方和WAF運(yùn)營(yíng)方密切溝通和配合。WAF運(yùn)營(yíng)方需要詳細(xì)了解web服務(wù)器承載業(yè)務(wù)及功能，接入方要做好源代碼的修改、測(cè)試工作。由于反向代理和旁路模式從原理上分析都屬于串聯(lián)在網(wǎng)絡(luò)中代理設(shè)備，根據(jù)TCP/IP協(xié)議，其流量經(jīng)過(guò)WAF設(shè)備會(huì)修改源地址、源端口等參數(shù)；同時(shí)在HTTP協(xié)議擴(kuò)展頭部X-FORWARD-FOR插入源地址等。有些web服務(wù)器業(yè)務(wù)功能需要利用客戶的源地址、源端口開(kāi)通業(yè)務(wù)和識(shí)別某種功能，就會(huì)出現(xiàn)業(yè)務(wù)不能正常使用的問(wèn)題。如某測(cè)速網(wǎng)站接入WAF系統(tǒng)后不能正常進(jìn)行測(cè)速，原因?yàn)闇y(cè)速服務(wù)依賴客戶IP源地址來(lái)選擇相應(yīng)城市的測(cè)速服務(wù)器進(jìn)行測(cè)速；接入WAF后，所有客戶源IP地址變?yōu)閃AF地址，造成無(wú)法正常使用測(cè)速功能。又如某網(wǎng)廳系統(tǒng)的綠通充值功能依賴客戶源端口才能開(kāi)通，接入WAF后源端口會(huì)發(fā)生變化，開(kāi)通功能就不能正常使用。對(duì)于這些問(wèn)題除了WAF運(yùn)營(yíng)方需要提供一些成熟可配置接口外，還需要接入方能夠較好完成源代碼的修改和調(diào)試工作。接入方和WAF運(yùn)營(yíng)方通力合作，才能實(shí)現(xiàn)完整的應(yīng)用交付。

5.2 WEB服務(wù)業(yè)務(wù)保障

提供安全防護(hù)的同時(shí)，也要保證Web服務(wù)業(yè)務(wù)正常使用。這是WAF系統(tǒng)設(shè)計(jì)必須重點(diǎn)關(guān)注的問(wèn)題。一旦WAF系統(tǒng)出現(xiàn)故障，要快速恢復(fù)web服務(wù)訪問(wèn)，提升客戶業(yè)務(wù)使用感知。

透明代理、旁路接入方式可以通過(guò)設(shè)備自生和機(jī)房網(wǎng)絡(luò)設(shè)備自主解決旁路通道問(wèn)題。透明代理方式接入時(shí)，WAF設(shè)備會(huì)有旁路出口，一旦檢測(cè)到WAF出現(xiàn)故障，會(huì)將流量自動(dòng)切換到旁路口；旁路接入方式主要通過(guò)在機(jī)房出口路由器回撤明細(xì)理由即可實(shí)現(xiàn)。

目前反向代理部署模式中，遇到WAF系統(tǒng)故障時(shí)，只能重新修改回web服務(wù)DNS中A記錄或者CNAME記錄，來(lái)繞開(kāi)WAF設(shè)備，恢復(fù)業(yè)務(wù)正常訪問(wèn)。

出現(xiàn)故障后僅僅靠更改DNS設(shè)置的方式，對(duì)于用戶訪問(wèn)體驗(yàn)不好；DNS修改流程起碼在30分鐘以上，即使DNS設(shè)置更新后，用戶的瀏覽器緩存中依然保留WAF訪問(wèn)地址，這種方式作為旁路通道不是特別理想，需要進(jìn)一步改造旁路通道設(shè)計(jì)。

反向代理模式的旁路通道設(shè)計(jì)主要采用在WAF系統(tǒng)前增加七層負(fù)載均衡硬件設(shè)備，WAF設(shè)備接入負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備能夠根據(jù)每臺(tái)WAF的負(fù)載情況進(jìn)行分發(fā)，或者按照流量均勻分配方式進(jìn)行分發(fā)。如果檢測(cè)到WAF設(shè)備故障，會(huì)將訪問(wèn)流量經(jīng)負(fù)載均衡設(shè)備直接流向web服務(wù)端，此時(shí)這些流量失去WAF設(shè)備安全防護(hù)。在這種WAF系統(tǒng)架構(gòu)下，負(fù)載均衡設(shè)備流量和端口承載范圍內(nèi)，WAF設(shè)備可以橫向無(wú)限擴(kuò)容，有效應(yīng)對(duì)接入web服務(wù)中TCP高并發(fā)，從根本上徹底解決主-從模式下WAF業(yè)務(wù)承載業(yè)務(wù)量不足的問(wèn)題，真正提升用戶的感知。

6 理論分析

對(duì)原有反向代理模式下主-主、主-從WAF防護(hù)工作模式和現(xiàn)雙負(fù)載均衡工作模式下進(jìn)行理論分析， 假設(shè)負(fù)載均衡方式可以級(jí)聯(lián)M臺(tái)WAF設(shè)備，假設(shè)A為負(fù)載均衡出現(xiàn)故障事件，B為WAF出現(xiàn)故障事件，現(xiàn)分為兩個(gè)方面分析。

6.1 負(fù)載均衡出現(xiàn)故障后，WAF設(shè)備出現(xiàn)故障的概率

說(shuō)明A事件無(wú)助于判斷B事件的可能性，即在雙機(jī)負(fù)載均衡設(shè)備出現(xiàn)單臺(tái)故障時(shí)，并不會(huì)增加WAF故障概率。

6.2 WAF設(shè)備出現(xiàn)故障后，負(fù)載均衡設(shè)備故障的概率

6.3 結(jié)論

通過(guò)對(duì)兩種場(chǎng)景概率理論分析，說(shuō)明兩起事件是相互獨(dú)立的，沒(méi)有必然關(guān)聯(lián)性。使用主-主或者主-備方式只能接入2臺(tái)設(shè)備，那么出現(xiàn)故障的概率始終是；從負(fù)載均衡設(shè)備功能分析，系統(tǒng)中增加該類設(shè)備后才能使WAF的M臺(tái)設(shè)備接入成功，那么出現(xiàn)故障概率為，M值越高，值越小，即發(fā)生故障的概率越小。假設(shè)全部WAF設(shè)備出現(xiàn)故障，一臺(tái)負(fù)載均衡設(shè)備也能夠?qū)⒉煌目蛻舳肆髁客扑椭敛煌瑆eb服務(wù)端，不影響正常業(yè)務(wù)訪問(wèn)。即開(kāi)啟旁路通道。

7 結(jié)語(yǔ)

WAF系統(tǒng)的完整應(yīng)用交付過(guò)程不可能一蹴而就。關(guān)注web服務(wù)端接入前的模式選擇評(píng)估，接入過(guò)程中全面了解業(yè)務(wù)功能和配合好接入方程序修改測(cè)試，接入前后對(duì)web服務(wù)端設(shè)備的參數(shù)和響應(yīng)速度進(jìn)行比對(duì)分析和調(diào)優(yōu)。做好上述工作，不斷提高WAF系統(tǒng)運(yùn)行穩(wěn)定性，提升安全防護(hù)水平，不斷完善WAF系統(tǒng)的健壯性。