摘 要 為加強(qiáng)校園信息系統(tǒng)的安全防護(hù) 文章首先對(duì)WAF 的基本原理及應(yīng)用場(chǎng)景進(jìn)行分析 并歸納了WAF 的5 種部署模式 即監(jiān)聽(tīng)部署 串聯(lián)部署 單臂部署 反向代理部署 牽引部署模式 在此基礎(chǔ)上 結(jié)合策略類型和策略適用情況 提出了適用于校園信息系統(tǒng)的精細(xì)化策略 以保證學(xué)校信息系統(tǒng)的安全運(yùn)行

關(guān)鍵詞 校園信息系統(tǒng) WAF精細(xì)化策略

中圖法分類號(hào)tp393? ?文獻(xiàn)標(biāo)識(shí)碼a

隨著互聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)安全問(wèn)題日益突出。根據(jù)２０２２ 年互聯(lián)網(wǎng)信息中心的公開數(shù)據(jù)，２０２１ 年我國(guó)Ｗｅｂ 安全問(wèn)題突出，其中信息系統(tǒng)安全漏洞超１４０ ０００ 個(gè)，遭到拒絕服務(wù)攻擊７５ ３００ 起。校園網(wǎng)絡(luò)安全對(duì)學(xué)校的日常教學(xué)、運(yùn)行具有重要意義，為防止網(wǎng)絡(luò)攻擊，可采取部署ＷＡＦ 防火墻的措施，以加強(qiáng)信息系統(tǒng)的安全防護(hù)［１］ 。

１ ＷＡＦ 的原理及應(yīng)用

１．１ 基本原理

在國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中，ＷＡＦ 是必須配備的安全設(shè)備［２］ 。ＷＡＦ 防火墻即Ｗｅｂ ＡｐｐｌｉｃａｔｉｏｎＦｉｒｅｗａｌｌ，具有豐富的策略類型，可根據(jù)不同的需求，部署多種模式。ＷＡＦ 能夠按照既定的策略對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行防護(hù)，識(shí)別攻擊、深度檢測(cè)流經(jīng)Ｗｅｂ 應(yīng)用的流量［３］ 。但由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，不同類別的Ｗｅｂ應(yīng)用需要與之相適應(yīng)的防護(hù)措施。因此，ＷＡＦ 須根據(jù)網(wǎng)絡(luò)系統(tǒng)的實(shí)際需求，對(duì)防范策略進(jìn)行精細(xì)化匹配。

１．２ 應(yīng)用

與傳統(tǒng)防火墻相比，ＷＡＦ 可對(duì)Ｗｅｂ 應(yīng)用協(xié)議流量進(jìn)行智能分析和實(shí)時(shí)監(jiān)測(cè)識(shí)別，可有效地解決各類問(wèn)題，保護(hù)網(wǎng)絡(luò)信息系統(tǒng)。ＷＡＦ 的防護(hù)可應(yīng)用于Ｗｅｂ 應(yīng)用程序、應(yīng)用框架和Ｗｅｂ 服務(wù)發(fā)起的常見(jiàn)攻擊，如跨站攻擊、網(wǎng)頁(yè)篡改、ＤＤｏＳ 攻擊、惡意軟件、注入攻擊、緩沖區(qū)溢出、應(yīng)用層ＣＣ 攻擊、漏洞攻擊、信息泄露和腳本木馬等［４］ 。

２ ＷＡＦ 的部署模式

根據(jù)ＷＡＦ 在網(wǎng)絡(luò)系統(tǒng)中不同的應(yīng)用場(chǎng)景和位置，部署模式通常分為５ 種，分別是：監(jiān)聽(tīng)部署、串聯(lián)部署、單臂部署、反向代理部署、牽引部署［５］ 。通常情況下， ＷＡＦ 進(jìn)行混合模式部署，如圖１ 所示。

２．１ 監(jiān)聽(tīng)部署

監(jiān)聽(tīng)部署模式接入網(wǎng)絡(luò)的方式為旁路三層通信接口，當(dāng)需要對(duì)流量進(jìn)行分析時(shí)，ＷＡＦ 首先采用鏡像的方式進(jìn)行獲取，待分析完成后將結(jié)果輸出［６］ 。這樣既可以達(dá)到監(jiān)聽(tīng)的目的，也不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)的流量造成影響。當(dāng)出口防火墻與ＷＡＦ 聯(lián)動(dòng)部署時(shí)，多采用監(jiān)聽(tīng)模式。在監(jiān)聽(tīng)過(guò)程中，若檢測(cè)到網(wǎng)絡(luò)系統(tǒng)受到攻擊，則出口防火墻將會(huì)收到ＷＡＦ 報(bào)送的ＩＰ 地址，并對(duì)其進(jìn)行阻斷。

２．２ 串聯(lián)部署

串聯(lián)部署模式如圖２ 所示，其接入網(wǎng)絡(luò)的方式為串聯(lián)二層透明（橋接）［７］ 。在該模式中，ＷＡＦ 安全防護(hù)的方式為快速識(shí)別、攔截網(wǎng)絡(luò)流量中的Ｗｅｂ 應(yīng)用流量。該模式可有效防護(hù)流經(jīng)所有Ｗｅｂ 應(yīng)用的流量且無(wú)需對(duì)網(wǎng)絡(luò)設(shè)備配置拓?fù)溥M(jìn)行改變，ＷＡＦ 對(duì)Ｗｅｂ 服務(wù)器、客戶端等不可見(jiàn)，是目前大多數(shù)校園網(wǎng)絡(luò)的部署方式。

２．３ 單臂部署

單臂部署模式的工作方式類似于反向代理模式，接入網(wǎng)絡(luò)的方式與監(jiān)聽(tīng)部署模式相同［８］ 。采用該模式，當(dāng)ＷＡＦ 出現(xiàn)故障時(shí)不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成影響，可以均衡Ｗｅｂ 服務(wù)器的負(fù)載。

２．４ 反向代理

反向代理模式接入網(wǎng)絡(luò)的方式為串聯(lián)三層通信接口［９］ 。在該模式下，通過(guò)配置ＩＰ 地址，在進(jìn)行安全防護(hù)處理后，ＷＡＦ 再與Ｗｅｂ 服務(wù)器通信；而Ｗｅｂ 客戶端可直接與ＷＡＦ 進(jìn)行通信。通過(guò)該模式，ＷＡＦ 能夠均勻提高Ｗｅｂ 服務(wù)器的負(fù)載，從而提升訪問(wèn)速度。該模式具有安全性較好的特點(diǎn)，但也存在較大弊端，即ＷＡＦ 發(fā)生故障將會(huì)影響整個(gè)Ｗｅｂ 服務(wù)器。

２．５ 牽引部署

牽引部署模式的網(wǎng)絡(luò)接入方式為旁路接入。在該模式中，首先通過(guò)路由器將Ｗｅｂ 訪問(wèn)流量傳輸至ＷＡＦ；處理完成后，ＷＡＦ 再經(jīng)路由器，將流量傳輸至Ｗｅｂ 服務(wù)器。該模式的缺點(diǎn)是：ＷＡＦ 配置復(fù)雜，須為Ｗｅｂ 應(yīng)用創(chuàng)建牽引路由。該模式的優(yōu)點(diǎn)是：部署速度快，既能夠?qū)Γ祝澹?服務(wù)器進(jìn)行安全防護(hù)，又能減小對(duì)網(wǎng)絡(luò)系統(tǒng)的影響。

３ ＷＡＦ 精細(xì)化策略

３．１ 策略類型

ＷＡＦ 對(duì)Ｗｅｂ 進(jìn)行安全防護(hù)的策略為不同攻擊類型的防護(hù)規(guī)則，即當(dāng)某種攻擊流量屬于某種規(guī)則時(shí)，ＷＡＦ 就會(huì)對(duì)其檢測(cè)識(shí)別并采取處理措施。策略主要包括以下８ 種：用戶會(huì)話跟蹤策略、ＩＰ 防護(hù)策略、虛擬補(bǔ)丁策略、內(nèi)容改寫、ＡＰＩ 防護(hù)策略、自學(xué)習(xí)策略、訪問(wèn)控制策略、安全策略。

３．２ 策略適用情況

ＷＡＦ 可設(shè)置通用策略，若Ｗｅｂ 應(yīng)用數(shù)量過(guò)多，則防護(hù)類型的需求也就越大，在此情況下，通用策略則不能滿足要求。通常情況下，校園網(wǎng)絡(luò)開放的信息系統(tǒng)包括課程中心、門戶主頁(yè)、教務(wù)管理、網(wǎng)辦大廳、部門院系網(wǎng)、實(shí)驗(yàn)室預(yù)約、新聞網(wǎng)和統(tǒng)一身份管理等。網(wǎng)站的交互式功能包括文件上傳和下載、動(dòng)態(tài)和靜態(tài)頁(yè)面、提交表單、信息系統(tǒng)賬號(hào)登錄等。這些網(wǎng)站采用不同的ＴＣＰ 服務(wù)端口，通常在不同類型的Ｗｅｂ 應(yīng)用上部署。因此，需分析不同的業(yè)務(wù)場(chǎng)景、系統(tǒng)功能和應(yīng)用類型，從而匹配適用的ＷＡＦ 策略，最終實(shí)現(xiàn)策略精細(xì)化。

３．３ 策略設(shè)置方式

在策略初始設(shè)置時(shí)，可選擇寬松、常規(guī)、嚴(yán)格檢測(cè)和調(diào)試４ 種通用策略，這４ 種策略級(jí)別由低到高。其中常規(guī)檢測(cè)可適用于大部分業(yè)務(wù)場(chǎng)景。策略配置時(shí)，可通過(guò)收集用戶反饋、剖析Ｗｅｂ 場(chǎng)景以及分析系統(tǒng)防護(hù)日志等方式，找到適用的策略，以達(dá)到最優(yōu)的防護(hù)效果。

（ １）對(duì)預(yù)定義規(guī)則的參數(shù)閾值進(jìn)行調(diào)整，ＷＡＦ 安全策略預(yù)定義包括以下７ 種類型的防護(hù)規(guī)則，分別是：惡意軟件、探測(cè)訪問(wèn)、ＨＴＴＰ 協(xié)議異常、信息泄露、特殊漏洞攻擊、跨站攻擊、注入攻擊。這些防護(hù)規(guī)則既可以調(diào)整閾值，也可以發(fā)現(xiàn)新的漏洞或?qū)π滦偷墓暨M(jìn)行自定義防護(hù)。

（２）Ｗｅｂ 應(yīng)用防篡改防護(hù)方法為開啟防篡改策略，通過(guò)對(duì)網(wǎng)頁(yè)基線文件進(jìn)行周期性校驗(yàn)，以防止Ｗｅｂ 應(yīng)用被非法篡改。

（３）排查私設(shè)未備案或疏漏未防護(hù)的Ｗｅｂ 應(yīng)用的方法：開啟定時(shí)Ｗｅｂ 應(yīng)用發(fā)現(xiàn)策略，對(duì)協(xié)議流量進(jìn)行監(jiān)測(cè)，檢測(cè)２００，３０１ 等響應(yīng)代碼，將非法的Ｗｅｂ 應(yīng)用加入防護(hù)列表。

（４）由于目前采用的ＴＬＳ１．１，ＴＬＳｖ１．０ 和ＳＳＬｖ３ 協(xié)議版本過(guò)低，容易被攻擊，存在安全漏洞，因此需要修改為更高版本的協(xié)議，如ＴＬＳｖ１．３，ＴＬＳｖ１．２ 等。

（５）對(duì)于夜間訪問(wèn)量較少的網(wǎng)站或信息系統(tǒng)（如課程中心、實(shí)驗(yàn)室預(yù)約、教務(wù)管理等），設(shè)置Ｗｅｂ 應(yīng)用訪問(wèn)時(shí)間策略。通過(guò)ＷＡＦ 設(shè)置，在００：００ 至７：００，僅允許校園網(wǎng)訪問(wèn)，關(guān)閉互聯(lián)網(wǎng)訪問(wèn)權(quán)限，從而減少被攻擊的風(fēng)險(xiǎn)。

（６）為防止Ｗｅｂ 應(yīng)用ＩＰ 地址被假域名訪問(wèn)，對(duì)ＷＡＦ 進(jìn)行設(shè)置，拒絕錯(cuò)誤域名訪問(wèn)，僅允許Ｗｅｂ 應(yīng)用的正確域名對(duì)ＩＰ 地址進(jìn)行訪問(wèn)。

在交互式功能的信息系統(tǒng)中，若有表單數(shù)據(jù)提交功能，則需將惡意行為策略的ＰＯＳＴ 頻次閾值調(diào)高；若有上傳或下載文件功能，則需將允許上傳下載文件的策略開啟；若有后臺(tái)管理功能，則需將不允許被互聯(lián)網(wǎng)訪問(wèn)的管理網(wǎng)站屏蔽。

（７）對(duì)ＷＡＦ 分析報(bào)表和系統(tǒng)防護(hù)日志進(jìn)行定期查閱，查閱頻率可根據(jù)實(shí)際需求確定。通過(guò)ＷＡＦ 黑名單策略阻止存在風(fēng)險(xiǎn)的ＩＰ 地址。

（８）開啟響應(yīng)體內(nèi)容檢測(cè)策略。不僅對(duì)Ｗｅｂ 用戶發(fā)送給服務(wù)器的內(nèi)容進(jìn)行檢測(cè)，針對(duì)重要的信息系統(tǒng)，還應(yīng)該通過(guò)該策略，對(duì)服務(wù)器發(fā)送給Ｗｅｂ 應(yīng)用的信息進(jìn)行排查。

４ 結(jié)束語(yǔ)

ＷＡＦ 在國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中，是必須配備的安全設(shè)備，具有廣泛的應(yīng)用場(chǎng)景。ＷＡＦ 的部署模式有：監(jiān)聽(tīng)部署、串聯(lián)部署、單臂部署、反向代理部署、牽引部署。在進(jìn)行策略設(shè)置時(shí)，需根據(jù)策略類型、策略適用性和網(wǎng)絡(luò)系統(tǒng)的需求進(jìn)行綜合考慮。

參考文獻(xiàn)：

［１］ 王樂(lè)．基于ＷＡＦ 的高校信息系統(tǒng)ＨＴＴＰＳ 加密傳輸部署［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２３（１）：１８?２０．

［２］ 何杰，蔡瑞杰，尹小康，等．面向Ｃｉｓｃｏ ＩＯＳ?ＸＥ 的Ｗｅｂ 命令注入漏洞檢測(cè)［Ｊ］．計(jì)算機(jī)科學(xué)，２０２３，５０（４）：３４３?３５０．

［３］ 李露，魏學(xué)明，李峰．配網(wǎng)終端Ｗｅｂ 通信安全架構(gòu)設(shè)計(jì)［Ｊ］．自動(dòng)化儀表，２０２２，４３（１２）：８６?９１．

［４］ 高峰．大數(shù)據(jù)時(shí)代視頻網(wǎng)站策略研究［Ｊ］．中國(guó)新通信，２０２２，２４（２０）：５３?５６．

［５］ 鄭楷，田秀霞，盧官宇，等．基于聚類和重排序的ＸＡＣＭＬ 策略評(píng)估優(yōu)化方法［Ｊ］．計(jì)算機(jī)仿真，２０２２，３９（１０）：５１９?５２５．

［６］ 韋磊，寧玉文，高東懷，等． ＨＴＴＰＳ 協(xié)議下的高校Ｗｅｂ 應(yīng)用防火墻部署模式研究［Ｊ］．自動(dòng)化與儀器儀表，２０２１（１２）：１０９?１１２＋１２４．

［７］ 宮旭，唐曉梅．中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)２０２１ 年第二十五屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì)論文集［Ｃ］ ／ ／ 中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)：北京聯(lián)合大學(xué)北京市信息服務(wù)工程重點(diǎn)實(shí)驗(yàn)室，２０２１：２８４?２８７．

［８］ 王樂(lè)．Ｗｅｂ 應(yīng)用系統(tǒng)加入ＷＡＦ 故障診斷方法研究［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２０（１１）：２２?２４．

［９］ 張林．Ｗｅｂ 應(yīng)用防火墻關(guān)于ｇｚｉｐ 文件的檢測(cè)研究［Ｊ］．電子設(shè)計(jì)工程，２０２０，２８（１９）：１１３?１１７＋１２５．

作者簡(jiǎn)介：

白楊（１９９３—），碩士，助教，研究方向：物聯(lián)網(wǎng)技術(shù)。