張 毅

(廣東醫(yī)科大學(xué)教育技術(shù)與信息中心，廣東 湛江 524023)

0 引言

近年來(lái)，互聯(lián)網(wǎng)安全問(wèn)題日趨增多，中國(guó)互聯(lián)網(wǎng)信息中心在2022年2月發(fā)布的《第49次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中顯示，至2021 年我國(guó)受到分布式拒絕服務(wù)攻擊達(dá)753,018 起，信息系統(tǒng)安全漏洞有143,319 個(gè)，Web 安全事件頻繁發(fā)生[1]。為此，學(xué)校在校園網(wǎng)部署了山石WAF 防火墻（Web Application Firewall），并加強(qiáng)對(duì)向互聯(lián)網(wǎng)開(kāi)放的信息系統(tǒng)（網(wǎng)站）的安全防護(hù)。

WAF 可對(duì)流經(jīng)的Web 應(yīng)用流量進(jìn)行深度檢測(cè)、識(shí)別攻擊并按照設(shè)置的策略進(jìn)行防護(hù)，然而不同類型的Web 應(yīng)用的安全防護(hù)要求多樣化且相互有區(qū)別，WAF 也有多種部署模式和豐富的策略類型，僅依靠WAF 的通用策略進(jìn)行防護(hù)是不足的。本文探討結(jié)合學(xué)校WAF部署的模式和防護(hù)策略的類型分析各類Web應(yīng)用的具體防護(hù)要求，并將其匹配到WAF的精細(xì)化策略中，實(shí)現(xiàn)WAF對(duì)學(xué)校信息系統(tǒng)（網(wǎng)站）的有效防護(hù)。

1 WAF的應(yīng)用

WAF 是基于對(duì)HTTP/HTTPS 等Web 應(yīng)用協(xié)議流量的實(shí)時(shí)識(shí)別、智能分析和策略防護(hù)的軟硬件系統(tǒng)，相比傳統(tǒng)防火墻能更有效更專業(yè)的保護(hù)信息系統(tǒng)（網(wǎng)站）可能面臨的各類安全問(wèn)題，防護(hù)針對(duì)各類Web 服務(wù)、Web 應(yīng)用框架、Web 應(yīng)用程序等發(fā)起的如：探測(cè)訪問(wèn)、網(wǎng)頁(yè)篡改、注入攻擊、跨站攻擊、腳本木馬、漏洞攻擊、緩沖區(qū)溢出、信息泄露、惡意軟件、應(yīng)用層CC 攻擊、DDoS 攻擊等常見(jiàn)攻擊[2]；WAF 同時(shí)也是國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求中必須配備的安全設(shè)備之一。

2 WAF的部署模式

根據(jù)在網(wǎng)絡(luò)中的位置和使用場(chǎng)景的不同，WAF通常有五種部署模式：串聯(lián)部署、牽引部署、反向代理部署、單臂部署、監(jiān)聽(tīng)部署。

2.1 串聯(lián)部署模式

串聯(lián)部署模式以串聯(lián)二層透明（橋接）的方式接入網(wǎng)絡(luò)，WAF通過(guò)監(jiān)聽(tīng)流經(jīng)的網(wǎng)絡(luò)流量并快速識(shí)別截取其中的Web 應(yīng)用流量來(lái)進(jìn)行安全防護(hù)處理。串聯(lián)模式無(wú)需改變網(wǎng)絡(luò)上下行設(shè)備配置拓?fù)?，可?duì)流經(jīng)的所有Web 應(yīng)用流量進(jìn)行防護(hù)，同時(shí)WAF 對(duì)Web 客戶端和Web 服務(wù)器不可見(jiàn)，這是目前大部分用戶網(wǎng)絡(luò)的部署方式，也是學(xué)校目前校園網(wǎng)采用的部署方式，如圖1所示。

圖1 串聯(lián)部署模式

2.2 牽引部署模式

牽引部署模式以旁路的方式接入網(wǎng)絡(luò)，來(lái)自客戶端的Web 應(yīng)用訪問(wèn)流量通過(guò)路由器引流給WAF，WAF進(jìn)行安全防護(hù)處理完后再回注到路由器中，最終轉(zhuǎn)發(fā)給Web 服務(wù)器。通過(guò)牽引模式，WAF 可以實(shí)現(xiàn)快速部署，對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境影響較小，可保證主干網(wǎng)絡(luò)的正常運(yùn)行，同時(shí)又可為Web 服務(wù)器提供安全防護(hù)；但是該模式的配置較為復(fù)雜，需要?jiǎng)?chuàng)建各Web 應(yīng)用的牽引路由。

2.3 反向代理部署模式

反向代理部署模式以串聯(lián)三層通信接口的方式接入網(wǎng)絡(luò)，WAF 相當(dāng)于一臺(tái)代理，配置IP 地址，Web客戶端直接與WAF 通信，WAF 進(jìn)行安全防護(hù)處理后再與Web 服務(wù)器通信。通過(guò)反向代理模式，WAF 可實(shí)現(xiàn)Web服務(wù)器負(fù)載均衡提高Web應(yīng)用的訪問(wèn)速度，同時(shí)由于Web服務(wù)器IP對(duì)Web客戶端不可見(jiàn)，安全系數(shù)較高；但是一旦WAF 出現(xiàn)故障，會(huì)中斷Web 服務(wù)器對(duì)外的訪問(wèn)服務(wù)。

2.4 單臂部署模式

單臂部署模式是反向代理部署模式的特例，是以旁路三層通信接口的方式接入網(wǎng)絡(luò)，工作方式和反向代理模式相似。通過(guò)單臂代理模式，WAF可同樣實(shí)現(xiàn)Web服務(wù)器負(fù)載均衡，WAF故障亦不會(huì)影響整個(gè)網(wǎng)絡(luò)的情況。

2.5 監(jiān)聽(tīng)部署模式

監(jiān)聽(tīng)部署模式以旁路三層通信接口的方式接入網(wǎng)絡(luò)，WAF通過(guò)鏡像的方式監(jiān)聽(tīng)獲取到需要檢測(cè)的流量并加以分析、然后輸出分析結(jié)果，不會(huì)對(duì)網(wǎng)絡(luò)中的流量進(jìn)行任何干涉。監(jiān)聽(tīng)模式大多情況下用于WAF與出口防火墻進(jìn)行聯(lián)動(dòng)部署，當(dāng)WAF 檢測(cè)到Web 應(yīng)用攻擊后，會(huì)將需阻斷的IP 地址黑名單上報(bào)給出口防火墻進(jìn)行阻斷[3]。

3 WAF精細(xì)化策略

3.1 WAF策略類型

WAF主要通過(guò)策略來(lái)對(duì)Web應(yīng)用進(jìn)行安全防護(hù)，策略就是不同攻擊類型的防護(hù)規(guī)則的集合，即當(dāng)WAF檢測(cè)到攻擊流量符合某種類型后要采取的行為動(dòng)作。

策略可分為IP防護(hù)策略、訪問(wèn)控制策略、API防護(hù)策略、虛擬補(bǔ)丁策略、安全策略、自學(xué)習(xí)策略、用戶會(huì)話跟蹤策略、內(nèi)容改寫(xiě)策略等8種類型：

⑴IP 防護(hù)策略是根據(jù)白名單、黑名單、信譽(yù)庫(kù)、國(guó)家/地區(qū)IP等來(lái)限制風(fēng)險(xiǎn)源IP訪問(wèn)；

⑵訪問(wèn)控制策略是通過(guò)HTTP 請(qǐng)求方法、文件類型、HTTP協(xié)議版本、URL路徑及客戶端IP等多個(gè)條件來(lái)控制對(duì)Web應(yīng)用的訪問(wèn)請(qǐng)求是否被允許；

⑶API防護(hù)策略是對(duì)Web AP（I應(yīng)用程序編程接口）的流量進(jìn)行檢測(cè)和防護(hù)；

⑷虛擬補(bǔ)丁策略可對(duì)掃描出的Web 應(yīng)用漏洞進(jìn)行快速修復(fù)；

⑸安全策略是WAF 防護(hù)的主要方式，通過(guò)識(shí)別漏洞威脅來(lái)進(jìn)行防護(hù)；

⑹自學(xué)習(xí)策略是基于自學(xué)習(xí)模型對(duì)不符合已知正常行為的流量進(jìn)行防護(hù)；

⑺用戶會(huì)話跟蹤策略是通過(guò)記錄、跟蹤和分析會(huì)話標(biāo)識(shí)，溯源和復(fù)現(xiàn)網(wǎng)絡(luò)攻擊；

⑻內(nèi)容改寫(xiě)策略是對(duì)Web 應(yīng)用進(jìn)行重定向或改寫(xiě)請(qǐng)求/響應(yīng)報(bào)文，規(guī)避安全隱患或代碼漏洞。WAF 的工作機(jī)制就是識(shí)別Web 應(yīng)用攻擊并按順序依次匹配以上類型策略來(lái)執(zhí)行相應(yīng)的防護(hù)動(dòng)作。

3.2 WAF策略設(shè)置探討

WAF 功能設(shè)置復(fù)雜，學(xué)習(xí)成本高，雖然可以設(shè)置通用策略，但在面對(duì)有不同防護(hù)要求的各類Web 應(yīng)用時(shí)，往往會(huì)出現(xiàn)安全防護(hù)不足或防護(hù)過(guò)嚴(yán)被攔截造成訪問(wèn)異常的情況。

學(xué)校目前對(duì)互聯(lián)網(wǎng)開(kāi)放的信息系統(tǒng)（網(wǎng)站）包括門戶主頁(yè)、部門院系網(wǎng)、新聞網(wǎng)、網(wǎng)辦大廳、統(tǒng)一身份認(rèn)證、郵件、教務(wù)管理、實(shí)驗(yàn)室預(yù)約、課程中心等。這些信息系統(tǒng)（網(wǎng)站）使用HTTP/HTTPS 協(xié)議及不同的TCP 服務(wù)端口，網(wǎng)站有靜態(tài)頁(yè)面、動(dòng)態(tài)頁(yè)面，信息系統(tǒng)有賬號(hào)登錄、表單提交、文件上傳下載等交互式功能，有些部署在不同類型的Web 應(yīng)用服務(wù)器上，個(gè)別系統(tǒng)（網(wǎng)站）還要定時(shí)關(guān)閉互聯(lián)網(wǎng)訪問(wèn)等，需要根據(jù)應(yīng)用類別、系統(tǒng)功能、業(yè)務(wù)場(chǎng)景等分析和匹配相應(yīng)的WAF 策略類型來(lái)進(jìn)一步精細(xì)化策略。

3.3 WAF策略設(shè)置

由于WAF策略配置復(fù)雜，在初始配置時(shí)可基于通用策略，通用策略包括寬松檢測(cè)、常規(guī)檢測(cè)、嚴(yán)格檢測(cè)和調(diào)試等四種級(jí)別由低到高的模式，其中常規(guī)檢測(cè)模式包含了大多數(shù)準(zhǔn)確度較高、防護(hù)能力較強(qiáng)和誤報(bào)率較低的防護(hù)規(guī)則，適用于大部分業(yè)務(wù)場(chǎng)景。

在配置WAF 策略時(shí)，通過(guò)分析WAF 的系統(tǒng)防護(hù)日志（防護(hù)記錄、訪問(wèn)控制記錄等）[4]、剖析Web應(yīng)用功能場(chǎng)景、收集用戶反饋等，在對(duì)應(yīng)的策略類型里精細(xì)化策略以達(dá)到最優(yōu)的防護(hù)效果，主要有以下方面。

⑴ 開(kāi)啟定時(shí)Web 應(yīng)用發(fā)現(xiàn)策略，監(jiān)測(cè)HTTP/HTTPS 協(xié)議類型的流量，根據(jù)響應(yīng)碼（200、301、302等）發(fā)現(xiàn)Web 應(yīng)用并自動(dòng)加入WAF 防護(hù)列表，可以排查疏漏未防護(hù)或私設(shè)未備案的Web應(yīng)用。

⑵開(kāi)啟防篡改策略，網(wǎng)絡(luò)上Web 應(yīng)用被非法篡改事件時(shí)有發(fā)生，影響十分嚴(yán)重，因此向互聯(lián)網(wǎng)開(kāi)放訪問(wèn)服務(wù)的Web 應(yīng)用應(yīng)開(kāi)啟防篡改策略，通過(guò)周期性校驗(yàn)網(wǎng)頁(yè)基線文件來(lái)對(duì)Web應(yīng)用進(jìn)行防篡改防護(hù)。

⑶修改HTTPS 默認(rèn)的SSL/TLS 安全協(xié)議策略，WAF 使用SSL/TLS 協(xié)議對(duì)流經(jīng)的HTTPS 流量進(jìn)行解密分析數(shù)據(jù)是否安全，但由于SSL/TLS協(xié)議中SSLv3、TLSv1.0、TLS1.1 等低版本協(xié)議現(xiàn)已存在安全漏洞，需要修改為TLSv1.2/TLSv1.3 等高版本協(xié)議，確保Web應(yīng)用和Web客戶端之間數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴?/p>

⑷只允許是正確域名的訪問(wèn)，為防止出現(xiàn)被互聯(lián)網(wǎng)非Web 應(yīng)用的假域名解析到Web 應(yīng)用IP 地址的訪問(wèn)行為，WAF 應(yīng)設(shè)置只允許Web 應(yīng)用的正確域名訪問(wèn)的策略。

⑸調(diào)整預(yù)定義規(guī)則的參數(shù)閾值，WAF 安全策略預(yù)定義了包括HTTP 協(xié)議異常、注入攻擊、跨站攻擊、信息泄露、探測(cè)訪問(wèn)、特殊漏洞攻擊、惡意軟件等7 種類型的防護(hù)規(guī)則；可以對(duì)規(guī)則預(yù)定義的參數(shù)閾值進(jìn)行調(diào)整，也可自定義規(guī)則防護(hù)新型的攻擊或新發(fā)現(xiàn)的漏洞。對(duì)于交互式功能的信息系統(tǒng)（網(wǎng)站），有后臺(tái)管理功能的，WAF要屏蔽相應(yīng)的管理網(wǎng)址不允許互聯(lián)網(wǎng)訪問(wèn)，有上傳下載文件功能的，WAF 要開(kāi)啟允許上傳下載附件策略，有表單數(shù)據(jù)提交功能的，WAF 要調(diào)高惡意行為策略的POST 次數(shù)閾值等，避免被WAF 錯(cuò)誤攔截影響正常訪問(wèn)。

圖2 WAF防護(hù)策略設(shè)置

⑹設(shè)置Web 應(yīng)用訪問(wèn)時(shí)間策略，對(duì)于部分如教務(wù)管理、實(shí)驗(yàn)室預(yù)約、課程中心等夜間訪問(wèn)量較少的信息系統(tǒng)（網(wǎng)站），可在WAF 里設(shè)置夜間20：00 至次日8：00 關(guān)閉互聯(lián)網(wǎng)訪問(wèn)，只保留校園網(wǎng)內(nèi)訪問(wèn)，降低受威脅攻擊的風(fēng)險(xiǎn)。

⑺設(shè)置響應(yīng)體內(nèi)容檢測(cè)策略，對(duì)重要信息系統(tǒng)（網(wǎng)站）除檢測(cè)Web用戶發(fā)送給Web服務(wù)器的內(nèi)容外，還要開(kāi)啟響應(yīng)體內(nèi)容檢測(cè)策略，對(duì)從Web 服務(wù)器返回的內(nèi)容進(jìn)行敏感信息排查。

⑻日常定時(shí)查閱WAF 系統(tǒng)防護(hù)日志和分析報(bào)表，將風(fēng)險(xiǎn)IP 加入WAF 黑名單策略阻斷，設(shè)置報(bào)警日志郵箱，及時(shí)進(jìn)行系統(tǒng)和攻擊特征規(guī)則庫(kù)升級(jí)[5]。

3.4 WAF策略應(yīng)用

自學(xué)校WAF上線運(yùn)行以來(lái)，經(jīng)過(guò)持續(xù)對(duì)策略應(yīng)用的效果驗(yàn)證和調(diào)整，實(shí)現(xiàn)了對(duì)各類Web 應(yīng)用的全方位防護(hù)，保證了學(xué)校信息系統(tǒng)（網(wǎng)站）的安全運(yùn)行。

圖3 WAF安全策略設(shè)置

4 結(jié)束語(yǔ)

Web 應(yīng)用的安全來(lái)自WAF 的有效策略防護(hù)，隨著信息化的快速發(fā)展，高校信息系統(tǒng)（網(wǎng)站）在不斷增加，新的WAF 技術(shù)也在不斷涌現(xiàn)，如何進(jìn)一步用好WAF來(lái)為高校信息安全保駕護(hù)航，還需要我們持續(xù)和深入的研究。

圖4 WAF訪問(wèn)控制策略