摘 要 為加強校園信息系統(tǒng)的安全防護 文章首先對WAF 的基本原理及應用場景進行分析 并歸納了WAF 的5 種部署模式 即監(jiān)聽部署 串聯(lián)部署 單臂部署 反向代理部署 牽引部署模式 在此基礎上 結合策略類型和策略適用情況 提出了適用于校園信息系統(tǒng)的精細化策略 以保證學校信息系統(tǒng)的安全運行

關鍵詞 校園信息系統(tǒng) WAF精細化策略

中圖法分類號tp393? ?文獻標識碼a

隨著互聯(lián)網(wǎng)技術的不斷進步，網(wǎng)絡安全問題日益突出。根據(jù)２０２２ 年互聯(lián)網(wǎng)信息中心的公開數(shù)據(jù)，２０２１ 年我國Ｗｅｂ 安全問題突出，其中信息系統(tǒng)安全漏洞超１４０ ０００ 個，遭到拒絕服務攻擊７５ ３００ 起。校園網(wǎng)絡安全對學校的日常教學、運行具有重要意義，為防止網(wǎng)絡攻擊，可采取部署ＷＡＦ 防火墻的措施，以加強信息系統(tǒng)的安全防護［１］ 。

１ ＷＡＦ 的原理及應用

１．１ 基本原理

在國家網(wǎng)絡安全等級保護測評中，ＷＡＦ 是必須配備的安全設備［２］ 。ＷＡＦ 防火墻即Ｗｅｂ ＡｐｐｌｉｃａｔｉｏｎＦｉｒｅｗａｌｌ，具有豐富的策略類型，可根據(jù)不同的需求，部署多種模式。ＷＡＦ 能夠按照既定的策略對網(wǎng)絡系統(tǒng)進行防護，識別攻擊、深度檢測流經(jīng)Ｗｅｂ 應用的流量［３］ 。但由于網(wǎng)絡系統(tǒng)的復雜性，不同類別的Ｗｅｂ應用需要與之相適應的防護措施。因此，ＷＡＦ 須根據(jù)網(wǎng)絡系統(tǒng)的實際需求，對防范策略進行精細化匹配。

１．２ 應用

與傳統(tǒng)防火墻相比，ＷＡＦ 可對Ｗｅｂ 應用協(xié)議流量進行智能分析和實時監(jiān)測識別，可有效地解決各類問題，保護網(wǎng)絡信息系統(tǒng)。ＷＡＦ 的防護可應用于Ｗｅｂ 應用程序、應用框架和Ｗｅｂ 服務發(fā)起的常見攻擊，如跨站攻擊、網(wǎng)頁篡改、ＤＤｏＳ 攻擊、惡意軟件、注入攻擊、緩沖區(qū)溢出、應用層ＣＣ 攻擊、漏洞攻擊、信息泄露和腳本木馬等［４］ 。

２ ＷＡＦ 的部署模式

根據(jù)ＷＡＦ 在網(wǎng)絡系統(tǒng)中不同的應用場景和位置，部署模式通常分為５ 種，分別是：監(jiān)聽部署、串聯(lián)部署、單臂部署、反向代理部署、牽引部署［５］ 。通常情況下， ＷＡＦ 進行混合模式部署，如圖１ 所示。

２．１ 監(jiān)聽部署

監(jiān)聽部署模式接入網(wǎng)絡的方式為旁路三層通信接口，當需要對流量進行分析時，ＷＡＦ 首先采用鏡像的方式進行獲取，待分析完成后將結果輸出［６］ 。這樣既可以達到監(jiān)聽的目的，也不會對網(wǎng)絡系統(tǒng)的流量造成影響。當出口防火墻與ＷＡＦ 聯(lián)動部署時，多采用監(jiān)聽模式。在監(jiān)聽過程中，若檢測到網(wǎng)絡系統(tǒng)受到攻擊，則出口防火墻將會收到ＷＡＦ 報送的ＩＰ 地址，并對其進行阻斷。

２．２ 串聯(lián)部署

串聯(lián)部署模式如圖２ 所示，其接入網(wǎng)絡的方式為串聯(lián)二層透明（橋接）［７］ 。在該模式中，ＷＡＦ 安全防護的方式為快速識別、攔截網(wǎng)絡流量中的Ｗｅｂ 應用流量。該模式可有效防護流經(jīng)所有Ｗｅｂ 應用的流量且無需對網(wǎng)絡設備配置拓撲進行改變，ＷＡＦ 對Ｗｅｂ 服務器、客戶端等不可見，是目前大多數(shù)校園網(wǎng)絡的部署方式。

２．３ 單臂部署

單臂部署模式的工作方式類似于反向代理模式，接入網(wǎng)絡的方式與監(jiān)聽部署模式相同［８］ 。采用該模式，當ＷＡＦ 出現(xiàn)故障時不會對整個網(wǎng)絡造成影響，可以均衡Ｗｅｂ 服務器的負載。

２．４ 反向代理

反向代理模式接入網(wǎng)絡的方式為串聯(lián)三層通信接口［９］ 。在該模式下，通過配置ＩＰ 地址，在進行安全防護處理后，ＷＡＦ 再與Ｗｅｂ 服務器通信；而Ｗｅｂ 客戶端可直接與ＷＡＦ 進行通信。通過該模式，ＷＡＦ 能夠均勻提高Ｗｅｂ 服務器的負載，從而提升訪問速度。該模式具有安全性較好的特點，但也存在較大弊端，即ＷＡＦ 發(fā)生故障將會影響整個Ｗｅｂ 服務器。

２．５ 牽引部署

牽引部署模式的網(wǎng)絡接入方式為旁路接入。在該模式中，首先通過路由器將Ｗｅｂ 訪問流量傳輸至ＷＡＦ；處理完成后，ＷＡＦ 再經(jīng)路由器，將流量傳輸至Ｗｅｂ 服務器。該模式的缺點是：ＷＡＦ 配置復雜，須為Ｗｅｂ 應用創(chuàng)建牽引路由。該模式的優(yōu)點是：部署速度快，既能夠對Ｗｅｂ 服務器進行安全防護，又能減小對網(wǎng)絡系統(tǒng)的影響。

３ ＷＡＦ 精細化策略

３．１ 策略類型

ＷＡＦ 對Ｗｅｂ 進行安全防護的策略為不同攻擊類型的防護規(guī)則，即當某種攻擊流量屬于某種規(guī)則時，ＷＡＦ 就會對其檢測識別并采取處理措施。策略主要包括以下８ 種：用戶會話跟蹤策略、ＩＰ 防護策略、虛擬補丁策略、內容改寫、ＡＰＩ 防護策略、自學習策略、訪問控制策略、安全策略。

３．２ 策略適用情況

ＷＡＦ 可設置通用策略，若Ｗｅｂ 應用數(shù)量過多，則防護類型的需求也就越大，在此情況下，通用策略則不能滿足要求。通常情況下，校園網(wǎng)絡開放的信息系統(tǒng)包括課程中心、門戶主頁、教務管理、網(wǎng)辦大廳、部門院系網(wǎng)、實驗室預約、新聞網(wǎng)和統(tǒng)一身份管理等。網(wǎng)站的交互式功能包括文件上傳和下載、動態(tài)和靜態(tài)頁面、提交表單、信息系統(tǒng)賬號登錄等。這些網(wǎng)站采用不同的ＴＣＰ 服務端口，通常在不同類型的Ｗｅｂ 應用上部署。因此，需分析不同的業(yè)務場景、系統(tǒng)功能和應用類型，從而匹配適用的ＷＡＦ 策略，最終實現(xiàn)策略精細化。

３．３ 策略設置方式

在策略初始設置時，可選擇寬松、常規(guī)、嚴格檢測和調試４ 種通用策略，這４ 種策略級別由低到高。其中常規(guī)檢測可適用于大部分業(yè)務場景。策略配置時，可通過收集用戶反饋、剖析Ｗｅｂ 場景以及分析系統(tǒng)防護日志等方式，找到適用的策略，以達到最優(yōu)的防護效果。

（ １）對預定義規(guī)則的參數(shù)閾值進行調整，ＷＡＦ 安全策略預定義包括以下７ 種類型的防護規(guī)則，分別是：惡意軟件、探測訪問、ＨＴＴＰ 協(xié)議異常、信息泄露、特殊漏洞攻擊、跨站攻擊、注入攻擊。這些防護規(guī)則既可以調整閾值，也可以發(fā)現(xiàn)新的漏洞或對新型的攻擊進行自定義防護。

（２）Ｗｅｂ 應用防篡改防護方法為開啟防篡改策略，通過對網(wǎng)頁基線文件進行周期性校驗，以防止Ｗｅｂ 應用被非法篡改。

（３）排查私設未備案或疏漏未防護的Ｗｅｂ 應用的方法：開啟定時Ｗｅｂ 應用發(fā)現(xiàn)策略，對協(xié)議流量進行監(jiān)測，檢測２００，３０１ 等響應代碼，將非法的Ｗｅｂ 應用加入防護列表。

（４）由于目前采用的ＴＬＳ１．１，ＴＬＳｖ１．０ 和ＳＳＬｖ３ 協(xié)議版本過低，容易被攻擊，存在安全漏洞，因此需要修改為更高版本的協(xié)議，如ＴＬＳｖ１．３，ＴＬＳｖ１．２ 等。

（５）對于夜間訪問量較少的網(wǎng)站或信息系統(tǒng)（如課程中心、實驗室預約、教務管理等），設置Ｗｅｂ 應用訪問時間策略。通過ＷＡＦ 設置，在００：００ 至７：００，僅允許校園網(wǎng)訪問，關閉互聯(lián)網(wǎng)訪問權限，從而減少被攻擊的風險。

（６）為防止Ｗｅｂ 應用ＩＰ 地址被假域名訪問，對ＷＡＦ 進行設置，拒絕錯誤域名訪問，僅允許Ｗｅｂ 應用的正確域名對ＩＰ 地址進行訪問。

在交互式功能的信息系統(tǒng)中，若有表單數(shù)據(jù)提交功能，則需將惡意行為策略的ＰＯＳＴ 頻次閾值調高；若有上傳或下載文件功能，則需將允許上傳下載文件的策略開啟；若有后臺管理功能，則需將不允許被互聯(lián)網(wǎng)訪問的管理網(wǎng)站屏蔽。

（７）對ＷＡＦ 分析報表和系統(tǒng)防護日志進行定期查閱，查閱頻率可根據(jù)實際需求確定。通過ＷＡＦ 黑名單策略阻止存在風險的ＩＰ 地址。

（８）開啟響應體內容檢測策略。不僅對Ｗｅｂ 用戶發(fā)送給服務器的內容進行檢測，針對重要的信息系統(tǒng)，還應該通過該策略，對服務器發(fā)送給Ｗｅｂ 應用的信息進行排查。

４ 結束語

ＷＡＦ 在國家網(wǎng)絡安全等級保護測評中，是必須配備的安全設備，具有廣泛的應用場景。ＷＡＦ 的部署模式有：監(jiān)聽部署、串聯(lián)部署、單臂部署、反向代理部署、牽引部署。在進行策略設置時，需根據(jù)策略類型、策略適用性和網(wǎng)絡系統(tǒng)的需求進行綜合考慮。

參考文獻：

［１］ 王樂．基于ＷＡＦ 的高校信息系統(tǒng)ＨＴＴＰＳ 加密傳輸部署［Ｊ］．網(wǎng)絡安全技術與應用，２０２３（１）：１８?２０．

［２］ 何杰，蔡瑞杰，尹小康，等．面向Ｃｉｓｃｏ ＩＯＳ?ＸＥ 的Ｗｅｂ 命令注入漏洞檢測［Ｊ］．計算機科學，２０２３，５０（４）：３４３?３５０．

［３］ 李露，魏學明，李峰．配網(wǎng)終端Ｗｅｂ 通信安全架構設計［Ｊ］．自動化儀表，２０２２，４３（１２）：８６?９１．

［４］ 高峰．大數(shù)據(jù)時代視頻網(wǎng)站策略研究［Ｊ］．中國新通信，２０２２，２４（２０）：５３?５６．

［５］ 鄭楷，田秀霞，盧官宇，等．基于聚類和重排序的ＸＡＣＭＬ 策略評估優(yōu)化方法［Ｊ］．計算機仿真，２０２２，３９（１０）：５１９?５２５．

［６］ 韋磊，寧玉文，高東懷，等． ＨＴＴＰＳ 協(xié)議下的高校Ｗｅｂ 應用防火墻部署模式研究［Ｊ］．自動化與儀器儀表，２０２１（１２）：１０９?１１２＋１２４．

［７］ 宮旭，唐曉梅．中國計算機用戶協(xié)會網(wǎng)絡應用分會２０２１ 年第二十五屆網(wǎng)絡新技術與應用年會論文集［Ｃ］ ／ ／ 中國計算機用戶協(xié)會網(wǎng)絡應用分會：北京聯(lián)合大學北京市信息服務工程重點實驗室，２０２１：２８４?２８７．

［８］ 王樂．Ｗｅｂ 應用系統(tǒng)加入ＷＡＦ 故障診斷方法研究［Ｊ］．網(wǎng)絡安全技術與應用，２０２０（１１）：２２?２４．

［９］ 張林．Ｗｅｂ 應用防火墻關于ｇｚｉｐ 文件的檢測研究［Ｊ］．電子設計工程，２０２０，２８（１９）：１１３?１１７＋１２５．

作者簡介：

白楊（１９９３—），碩士，助教，研究方向：物聯(lián)網(wǎng)技術。