Web應用防火墻在BS架構的學習系統中的應用

祝虹　許開維

[摘 要] 本文著重介紹了Web應用防火墻在自主學習信息系統中的應用，對自主學習信息系統的安全現狀和防護策略也作了簡單的描述，實踐證明，Web應用防火墻的使用對提高自主學習信息系統的安全性和穩定性起到了很好的防護作用。

[關鍵詞] Web應用防火墻；安全漏洞；安全檢測

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 22. 055

[中圖分類號] TP308 [文獻標識碼] A [文章編號] 1673 - 0194（2014）22- 0086- 03

0 引 言

隨著近年來各高校網站不斷曝光的Web應用被攻擊事件，暴露出Web信息系統中存在有安全漏洞[1-2]。黑客把Web 應用數據和程序作為頭號攻擊目標，我校的自主學習信息系統，同樣，受到各種安全威脅的困擾，Web應用防火墻的使用，有效地阻斷了系統網站被攻擊、數據被篡改、竊取、駐留木馬、傳播病毒等破壞活動。提高校園自主學習系統網站的安全性，因此，保障校園自主學習系統的正常運行，是我們系統管理人員必須探討的課題。

1 校園自主學習信息系統安全現狀

校園自主學習信息系統多采用 B/S架構，在Web 應用訪問中，多數應用的是動態而非靜態的網頁瀏覽，于是校園自主學習網站也成為黑客或惡意程序首選的攻擊目標，造成數據丟失、網站內容篡改等威脅，如果ASP、PHP、JSP等程序語言的開發人員安全意識不強，對相關程序參數輸入檢查不嚴格，就會導致Web網站出現很多安全漏洞。根據調研，一般有在下列幾個方面的問題[2-3]：

1.1 SQL注入漏洞

由于Web信息系統的應用程序對提交的數據過濾不嚴格，沒有對用戶輸入數據的合法性進行相應判斷[3-4]，導致惡意人員在訪問網頁時構造特定的參數，實現非法修改。進而獲取后臺數據庫保存的敏感信息。最終使得運行數據庫的主機被控制。

1.2 信息泄露漏洞

有些Web信息服務沒有認真處理好用戶提交的特殊請求，如用戶名、密碼等關鍵信息。導致用戶信息泄露。

1.3 Web管理后臺asp漏洞

網站系統的Web管理后臺配置不當，黑客可以從互聯網上侵入信息系統的內核。導致重要信息泄露。

1.4 跨站腳本攻擊（XSS）

把用戶輸入的未經過濾或編碼的數據直接發送給瀏覽器，XSS會導致攻擊者在受害者的瀏覽器中執行腳本程序，這些腳本程序可以借此用戶的會話，修改網頁甚至傳播蠕蟲。JavaSCript、vBSCript、ActiveX、HTML、orFlash都可以注入到存在漏洞 如：網頁掛馬、釣魚攻擊等[5-6]。

1.5 網頁篡改的攻擊

由于網絡管理人員的疏忽，對操作系統的漏洞未及時打好補丁，導致攻擊者通過系統漏洞對網站進行攻擊，而被植入木馬，產生非授權訪問，泄露敏感信息。破壞系統文件。

1.6 跨站請求偽造CSRF

黑客利用他人與服務器進行數據交互時，將惡意腳本隱藏在提交的數據中，從而達到篡改服務器正常頁面響應。竊取用戶敏感信息目的。

上述幾項漏洞中，比較嚴重的當屬SQL注入漏洞所造成的危害最為常見。SQL注入攻擊在Web攻擊中通過本地跨站腳本攻擊、反射跨站腳本攻擊、持久跨站腳本攻擊等方式，構造出巧妙的SQL語句，與網頁提交的正常內容結合并進行注入攻擊，先探測網站是否存在注入漏洞，若存在則獲得后臺數據庫類型，進而獲取系統表信息、列信息，最終取得數據信息[7-9]。

2 校園自主學習系統安全威脅產生的原因

（1）自主學習系統服務器缺乏有效的網絡安全防護策略，如防火墻、入侵檢測系統、防病毒系統等；

（2）自主學習系統服務器自身的安全配置存在不足，如安全策略設置為到達安全基線標準，未及時安裝系統補丁、存在空口令或弱口令等[6-7]；

（3）網絡協議具有開放性，本身安全性不高，而開發軟件系統時未采取適當措施以克服其不足；

（4）自主學習系統的管理人員技術水平不足或安全意識薄弱，導致安全配置不當或系統未及時升級，容易造成安全漏洞[7-9]；

（5）在應用系統編碼的開發設計期間，未考慮安全問題或考慮不全面，導致出現更多的安全缺陷和漏洞，使得系統更容易遭受外部攻擊；

（6）未建立完善的安全管理制度，或者安全制度未嚴格落實到位，導致系統缺乏完善的安全防護體系。

3 Web應用防火墻簡介

Web 應用防火墻（Web Application Firewall，簡稱WAF）是一種Web信息安全防護技術，與傳統防火墻不同，WAF工作在OSI的第七層即應用層，在網絡中一般位于Web應用服務器前，是一種具有獨特的保護Web 應用服務器安全的技術。對目前常見的SQL注入攻擊、緩沖溢出攻擊、日志篡改、應用平臺漏洞攻擊、https類攻擊、DOS攻擊等都能予以實時拒絕和阻斷，保護了各類網站群的安全運行。

Web 應用防火墻的功能：

（1）Web應用的防護；

（2）Web信息系統文件的保護；

（3）信息系統的網頁掛馬和漏洞的檢測；

（4）信息系統的網頁篡改的檢測；

（5）Web應用的審計；

（6）管理人員可在Web應用防火墻上直接管理， 提高了系統安全的可操作性。

4 Web應用防火墻對自主學習系統的防護

Web應用防火墻（簡稱：WAF）一般部署在自主學習系統服務器和防火墻之間，通過制定 WAF的安全策略，對流經 WAF 的 Web 數據流進行深度檢測，發現可疑數據立即阻斷和報警，進而保證系統的正常進行。其具體策略為以下幾方面。

4.1 Web應用防火墻的部署與安全防護

采用混合加密部署模式將WAF 部署在自主學習系統的服務器前端，它的工作原理是將原來由Web服務器完成的SSL加密、解密工作，現在交給WAF來完成，即由WAF執行SSL加密、解密工作，因此需要將原來Web服務器上的SSL證書導入到WAF中，同時將Web服務器上的HTTP服務端口開啟，比如80端口。這樣可以對數據流進行分析，阻止可疑的端口掃描、SQL注入、惡意信息流，達到防護學習系統服務器的 HTTP、HTTPS 等應用安全的目的[10]。

4.2 WAF具有過濾輸出的防護

通常情況下，信息系統服務器的報錯信息會暴露網站的絕對或相對路徑、網站部分源碼、SQL語句信息等，WAF自動對回顯的錯誤信息進行過濾，禁止外界可以看到服務器報錯信息，這樣能夠有效地對數據庫內部信息進行防護。

4.3 自主學習信息系統程序的編碼安全

自主學習信息系統盡管有比較完備防火墻和入侵檢測系統，但如果Web應用程序的編碼出現安全漏洞，同樣能夠威脅到Web信息系統的安全。諸如asp后門編碼就可以輕易侵入自主學習信息系統，而這種編程漏洞是在程序開發設計過程中缺乏嚴謹性造成的。在系統的開發過程中需要不斷檢測系統存在的安全漏洞并及時修復，主要有：登陸驗證漏洞、 SQL注入漏洞、代碼注入漏洞、源代碼泄露、文件上傳的漏洞等。

4.4 自主學習系統中的數據庫安全性

4.4.1 杜絕數據庫文件被下載

在一些應用系統中常常采用Access作為數據庫，若黑客侵入到學習系統服務器系統中，就有可能猜測到數據庫的存儲路徑和文件名，則該數據庫文件就可能被下載，數據庫文件也就被泄密。為防止數據庫被下載可采取有效的方法是：對數據庫文件不規則命名或使用ODBC數據源

4.4.2 對數據庫進行加密

數據是整個信息系統的核心，為確保數據庫的完整和安全，可采用數據庫備份和日志管理分析、數據庫多重加密、存取控制，同時可以對數據的操作進行安全保護，對其算法進行加密操作。充分地利用DBMS所提供的各種安全服務，以確保數據庫的安全。

5 結束語

要保證校園自主學習信息系統的安全性，在設計和開發Web應用程序時，就必須采取各種安全技術措施和手段以加強其安全性，引入Web應用防火墻技術對保證Web信息系統正確安全地運行有著極其重要的作用。因此，在開放的互聯網環境中，有效運用Web防護技術，保障自主學習系統能正確安全地運行是我們校園網絡管理者的職責所在。

主要參考文獻

[1]羅鵬飛，王映暉. 基于 Hibernate 的數據訪問框架擴展點研究[J].計算機工程，2010，36 （12）： 100-103.

[2]戴詩發. 校園網SQL注入攻擊與防范技術研究[J]. 昆明理工大學學報：理工版，2005，30（3）：72-75.

[3]羅福強.Web應用程序設計實用教程[M].北京：清華大學出版社，2010.

[4]王永紅. 基于中間件的數字化養殖實驗平臺研究與設計[J].實驗室研究與探索，2010，29（10） ： 191-194.

[5]馬恒太.Web服務安全[M].北京：電子工業出版社，2007.

[6]祝智庭.中國教育信息化十年[J]. 中國電化教育，2011（1）： 20-25.

[7]白銀，曹梅. 國內教育網站評價研究概述 [J]. 現代教育技術，2011（1） ：107-111.

[8]劉宗田.Web站點安全與防火墻技術[M].北京：機械工業出版社，2007.

[9]張鴻軍，張新剛. 數字化校園中典型安全問題分析及防御對策[J]. 中國電化教育，2009（ 6） ： 113-116.

[10]李莉，翟征德.一種基于Web應用防火墻的主動安全加固方案[J].計算機工程與應用，2011，47（25）：104-106.