基于防火墻和WAF安全設備的高校信息安全設計與應用*

賈海天，沈 堅（蘇州經貿職業技術學院 數字化校園管理中心，江蘇 蘇州215009）

基于防火墻和WAF安全設備的高校信息安全設計與應用*

賈海天，沈 堅
（蘇州經貿職業技術學院 數字化校園管理中心，江蘇 蘇州215009）

伴隨著信息化進程在高校不斷深入，蘇州經貿職業技術學院的數字化建設取得了一定的成果，多年的信息化建設提升了學校信息化部門的工作水平與能力，當前建設投入不斷增加以及應用系統不斷豐富，信息安全問題已經成為了一個重要課題，如何確保系統安全成為信息化管理部門一個嚴峻的任務。文章分析目前學校安全問題的現狀，以及采用防火墻和WAF安全設備完成對服務器區域的安全保護，信息安全工程是一個系統復雜的工程，也是數字化校園建設的一個重要組成部分，運用積極有效的防御設備將對以后的智慧校園建設起到積極作用。

WAF；數字化校園；防火墻；DMZ

一、引言

蘇州經貿職業技術學院的信息化建設經過多年的發展已經初見成效，當前智慧校園建設已經成為信息化建設的重要組成部分，在前期信息化建設的基礎上，網絡、系統、應用已經成為目前建設的下一步重點工作。網絡可以看作智慧校園的“路”，系統可以看作在路上跑的“車”，應用作為用戶最終的體驗，可以看作是“貨物”。貨物流通的多少，最終直接決定著智慧校園建設的效果。當注意力都集中在“路”、“車”、“貨”的時候，道路安全、車輛安全、貨物安全也成為了建設工程的重要組成部分。

自從2016年初開始，學校站群系統受到了大量木馬攻擊，與早期攻擊相比較，目前的攻擊策略具有了更大的隱蔽性和破壞性。由于多次被攻擊都是被動發現，并且被網監查到，領導非常重視，相關安全工作也已經逐步展開。既然外面有矛指向學校的安全，必要的盾還是需要的，更重要的是如何使用盾牌來進行防衛，保障“路”、“車”、“貨物”系統安全。

二、安全設備工作原理

信息系統安全是很大的題目，信息系統的安全一般可以分為：設施的安全、系統的安全、網絡的安全、數據庫的安全等等。設施的安全主要是指系統主機所在的機房的安全，其中有接地安全、電磁安全、電源安全等；系統的安全主要是主機的操作系統的安全和開發的應用系統的安全等；網絡的安全主要是網絡的邊界安全、防護安全、入侵檢測、病毒防護等；數據庫的安全主要是授權訪問、數據的完整性、防篡改等。本文主要側重介紹系統安全。

為了實現學校的系統安全，信息化部門采用了防火墻和WAF（Web Application Firewall）來完成信息系統安全工作。

1.防火墻工作原理

防火墻是一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的唯一通道，能根據企業有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。

防火墻主要工作在網絡層和傳輸層。常用的防火墻包括：包過濾技術防火墻和代理類防火墻。①包過濾類防火墻也叫分組過濾防火墻。根據分組包的源、目的地址、端口號及協議類型、標志位確定是否允許分組包通過。優點是高效、透明；缺點是不支持應用層協議，不能防范部分的黑客IP欺騙類攻擊。②代理類防火墻也叫應用網關防火墻。每個代理需要一個不同的應用進程，或一個后臺運行的服務程序；對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。優點是安全性高，提供應用層的安全，檢查應用層、傳輸層和網絡層的協議特征；缺點是性能差、伸縮性差、處理速度較慢。

防火墻安全規則設置需要遵循如下原則：①防火墻安全規則遵循從上到下匹配的原則，一旦有一條匹配，剩余的都不進行匹配。②如果所有的規則都沒有匹配到，數據包將被丟棄。③安全過濾規則主要包含源、目的地址和端口，TCP標志位，應用時間以及一些高級過濾選項。

實際工作中需要對應用控制策略進行詳細的分析與驗證。

2.WAF工作原理

Web防火墻，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。Web防火墻產品部署在Web服務器的前面，串行接入。WAF防火墻主要是對DMZ（demilitarized zone）區中的Web服務器的防護。

WAF邏輯上位于客戶端和服務器程序之間的應用層，它在服務器之前先接收到客戶端提交的請求，并在客戶端之前先接收到服務器發來的應答。主動安全防御的思想是讓WAF充分介入到客戶端和服務器程序的HTTP會話中，在服務器端向客戶端發送HTTP應答時，主動采用安全機制來保護相關的會話ID、隱藏按鈕和Cookie等狀態數據，然后將受保護的狀態數據發送給客戶端，保證其在客戶端的完整性，并在下一次客戶端向服務器端提交狀態數據時，對這些數據進行驗證、解除保護并發送給服務器端。

WAF主要采用以下4種方式對Web服務器進行防護。

（1）代理服務：代理方式本身就是一種安全網關，基于會話的雙向代理，中斷了用戶與服務器的直接連接，適用于各種加密協議，這也是Web的Cache應用中最常用的技術。

（2）特征識別：識別出入侵者是防護它的前提。

（3）通過高效的算法實現特征識別，完成語義理解，快速識別攻擊類別。

（4）模式匹配：把攻擊行為歸納成一定模式，匹配后能確定是入侵行為。

Web防火墻最大的挑戰是識別率，這并不是一個容易測量的指標，比如給網頁掛馬，很難察覺進來的是哪一個，不知道當然也無法統計。對于已知的攻擊方式，可以談識別率；對未知的攻擊方式，你也只好發現以后事后處理。

學校今年遇到了幾次掛馬情況都是事后發現，并且攻擊手段隱蔽，發現以后再處理就很被動，學校也要承擔更大的壓力。所以采用具有“自學習”功能的WAF設備，它將會完成主動防御，避免事后追溯問題來源，造成被動應對。

3.防火墻與WAF設備比較

防火墻主要工作在網絡層和傳輸層，完成IP地址和端口的過濾工作。WAF設備工作在應用層，主要針對HTTP請求進行檢測。WAF對HTTP請求和應答進行攻擊特征檢測，通過“自學習”功能建立自己的智能防御庫進行防御。

三、建設方案

1.安全事件與漏洞描述

最近一段時間，學校Web站群服務器一直被掛馬，經過專業公司檢測，主要是存在如下問題：

（1）服務器被上傳惡意廣告文件。

（2）Web中的FCK編輯器存在漏洞。

（3）后臺可以任意上傳漏洞。

（4）Web站群系統后臺權限問題。

（5）Web服務器管理端端口對外開放問題。

（6）服務器權限問題。

從系統安全角度分析，這些問題主要集中在系統、代碼和管理運維方面。（4）屬于管理弱口令問題，（2）屬于系統代碼問題，（6）屬于操作系統本身問題。

2.防火墻安全策略設置

防火墻部分采用包過濾模式，通過分析TCP/IP數據包源IP、端口、區域和訪問目的區域的IP、端口和區域，同時進行時間、日志設置。防火墻主要是對IP和端口進行設置，設置串聯在網絡里面的出入口，完成防護功能?？蚣苋鐖D1所示，上半部分是防火墻安全設置區域，用于進行安全保護。DMZ作為服務器區域，限制外部網絡對其端口攻擊。

通過防火墻安全策略設置完成了對安全事件的（5）、（6）的安全保護。

3.WAF安全策略測試

WAF（Web Application Firewalls）網絡安全設備通過應用層的URL，對域名進行保護。WAF設備通過重組、解析、理解HTTP請求和應答，并根據內置的HTTP攻擊特征實現攻擊檢測和阻斷?？蚣苋鐖D1所示，中間部分是WAF安全設置區域，用于對Web服務器進行安全保護。DMZ作為服務器區域，限制外部對其系統進行域名攻擊。

通過WAF安全策略設置完成了對安全事件的（1）、（3）、（4）的安全保護。

四、結果分析

根據安全工程實施前后數據統計，安全設備上架之前的入侵趨勢一直在2000以上，在安裝并且調試安全設備以后，入侵趨勢一直呈現快速下降趨勢。入侵控制盡量控制在最小范圍以內。目前安全系統存在的主要漏洞在于：①由于弱口令，同時更方便用戶對系統的使用，安全策略沒有做到顆?；虎趥€別系統由于已使用多年，漏洞來自于80端口，而80端口作為信息發布端口不能屏蔽。入侵趨勢如圖2所示，防火墻和WAF設備經過安裝與調試已經可以阻斷大部分的攻擊。

圖2　入侵趨勢圖

五、結束語

數字化校園安全建設是系統建設的基礎，隨著信息安全技術的不斷提升，安全設備正向著分布式、嵌入式和智能化的方向發展，越來越多的信息化技術被融入到安全技術中，由防火墻和WAF設備組成的數字化校園安全系統平臺，從網絡層、應用層為學校的信息化建設提供了技術保障。但是安全問題是一個需要長期研究和學習的問題，任何堅固的盾最后都可能被鋒利的矛所擊穿。這時候更多的安全措施需要管理方面給予支持，用于彌補技術方面不能涉及到的問題。

［1］雷震甲.計算機網絡管理［M］.西安：西安電子科技大學出版社，2006.

［2］邵波，王其和.計算機網絡安全技術及應用［M］.北京：電子工業出版社，2005.

［3］周良洪.信息網絡安全概論［M］.北京：群眾出版社，2005.

［4］鄧亞平.計算機網絡安全［M］.北京：人民郵電出版社，2004.

［5］黎連業等.防火墻及其應用技術［M］.北京：清華大學出版社，2004.

［6］（美）KeithE.Strassberg等著，李昂等譯.防火墻技術大全［M］.北京：機械工業出版社，2003.

［7］袁家政.計算機網絡安全與應用技術［M］.北京：清華大學出版社，2002.

［8］蔡立軍.計算機網絡安全技術［M］.北京：中國水利水電出版社，2002.

［9］蕭文龍.企業網絡安全［M］.北京：中國鐵道出版社，2001.

［10］凌雨欣，常紅.網絡安全技術與反黑客［M］.北京：冶金工業出版社，2001.

（編輯：魯利瑞）

TP393

B

1673-8454（2016）18-0075-03

*2015年蘇州經貿職業技術學院立項課題，項目編號：KY-ZR1518。