一種基于云的高校網(wǎng)站防御系統(tǒng)的設(shè)計

◆穆 榮

（西安科技大學(xué)信息網(wǎng)絡(luò)中心 陜西 710054）

一種基于云的高校網(wǎng)站防御系統(tǒng)的設(shè)計

◆穆 榮

（西安科技大學(xué)信息網(wǎng)絡(luò)中心 陜西 710054）

隨著網(wǎng)絡(luò)應(yīng)用廣泛的進(jìn)入高校的各項工作中，高校Web業(yè)務(wù)系統(tǒng)和相關(guān)網(wǎng)站的安全問題開始頻頻出現(xiàn)，如何防止入侵者對高校網(wǎng)站的攻擊成為網(wǎng)站建設(shè)時首要解決的問題。本文中基于云的高校網(wǎng)站防御系統(tǒng)可從攻擊前的預(yù)防、攻擊時的發(fā)現(xiàn)和阻斷、系統(tǒng)可用性和最后的入侵取證來分析并阻斷攻擊，相比傳統(tǒng)的防御系統(tǒng)，云模式可以隨時提升防御能力，有效的保障系統(tǒng)的正常運(yùn)行。

網(wǎng)站防御系統(tǒng); 智能DNS系統(tǒng); 負(fù)載均衡

0 前言

隨著互聯(lián)網(wǎng)應(yīng)用更多地進(jìn)入我們的工作和生活，傳統(tǒng)業(yè)務(wù)也在互聯(lián)網(wǎng)上紛紛開展新的應(yīng)用。網(wǎng)站在高校的應(yīng)用就更為廣泛，例如學(xué)生選課和修學(xué)分、科研成果匯總、學(xué)生信息查詢、學(xué)術(shù)動態(tài)瀏覽、公文上傳下達(dá)等等。運(yùn)用網(wǎng)站的匯總、查詢和信息公開等功能，高校各部門之間可以無縫隙的進(jìn)行親密無間的合作，為學(xué)校的發(fā)展貢獻(xiàn)自己的一份力量。

高校Web業(yè)務(wù)系統(tǒng)和相關(guān)網(wǎng)站（以下簡稱Web系統(tǒng)）作為高校網(wǎng)站的主要應(yīng)用，以及業(yè)務(wù)負(fù)載平臺、數(shù)據(jù)輸入窗口和信息發(fā)布節(jié)點，對學(xué)校的重要性越來越大。目前，Web系統(tǒng)經(jīng)常會面臨以下安全問題：Web系統(tǒng)遭入侵，數(shù)據(jù)泄密以及被篡改，網(wǎng)站頁面被篡改; Web系統(tǒng)被來自互聯(lián)網(wǎng)上的分布式拒絕服務(wù)（DDoS）攻擊，導(dǎo)致Web系統(tǒng)無響應(yīng)，業(yè)務(wù)無法正常進(jìn)行; 雖然已經(jīng)使用大量安全設(shè)備，防火墻、入侵檢測、應(yīng)用防火墻、防病毒軟件等，定期進(jìn)行安全掃描、系統(tǒng)加固，但Web系統(tǒng)安全問題還是頻頻出現(xiàn)。

1 需求分析

為了解決上述各項問題,首先要分析web系統(tǒng)被入侵的過程。

一般入侵者會首先使用入侵或者掃描工具對Web系統(tǒng)進(jìn)行漏洞檢測，當(dāng)掃描結(jié)束后，針對發(fā)現(xiàn)的問題采用Exploit、漏洞入侵工具或者手工入侵等手段登陸網(wǎng)站; 對于一些沒有顯著可利用漏洞的網(wǎng)站，入侵者則采用暴力破解后臺密碼或者對網(wǎng)站后臺、網(wǎng)站用戶登陸系統(tǒng)采用撞庫攻擊，嘗試獲取網(wǎng)站敏感信息或后臺權(quán)限; 當(dāng)入侵者利用漏洞成功登陸之后會上傳Web Shell以取得網(wǎng)站控制權(quán)，進(jìn)一步控制網(wǎng)站或者提升主機(jī)權(quán)限; 同時留下Web Shell還可以長期控制網(wǎng)站，并規(guī)避傳統(tǒng)防火墻的檢測; 當(dāng)入侵者無法入侵網(wǎng)站時，或者一些惡意性競爭者出于報復(fù)心理可能對網(wǎng)站重要業(yè)務(wù)展開DDoS等拒絕服務(wù)攻擊導(dǎo)致網(wǎng)站癱瘓; 有經(jīng)驗的入侵者在入侵結(jié)束后會對網(wǎng)站日志進(jìn)行清除，清理自己的攻擊痕跡。從上述入侵過程分析，網(wǎng)站風(fēng)險主要來源于惡意IP攻擊、系統(tǒng)本身脆弱性、第三方組件的脆弱性、網(wǎng)站入侵結(jié)束后的取證分析等方式[1]。

為了確保高校web系統(tǒng)能夠正常運(yùn)行，一種基于云的高校網(wǎng)站防御系統(tǒng)應(yīng)運(yùn)而生。該網(wǎng)站防御系統(tǒng)可從攻擊前的預(yù)防、攻擊時的發(fā)現(xiàn)和阻斷、Web系統(tǒng)可用性和最后的入侵取證來分析并阻斷攻擊; 能夠有效地防止網(wǎng)站核心數(shù)據(jù)、關(guān)鍵資源被篡改導(dǎo)致網(wǎng)站業(yè)務(wù)受到影響; 有效保障敏感時期確定保證網(wǎng)站的正常運(yùn)行;防止拒絕服務(wù)攻擊對網(wǎng)站業(yè)務(wù)持續(xù)性造成的影響; 攻擊結(jié)束后有效保留證據(jù)并可以追蹤溯源，留取入侵證據(jù)。通過以上防御系統(tǒng)的防護(hù)，可以有效的保障web系統(tǒng)的安全運(yùn)行。

2 系統(tǒng)設(shè)計

基于云的網(wǎng)站防御系統(tǒng)由硬件和軟件設(shè)計兩部分組成，下面詳細(xì)描述這兩部分內(nèi)容。

2.1 硬件設(shè)計

該系統(tǒng)硬件包括一臺智能DNS和由一臺或若干臺防御系統(tǒng)服務(wù)器組成的云防御系統(tǒng)，并聯(lián)接在校園網(wǎng)中，如果需要防御的網(wǎng)站過多，也可以繼續(xù)增加防御系統(tǒng)服務(wù)器，并且可以繼續(xù)增加一臺智能DNS，保障解析的流暢性。如果有多個校區(qū)，也可以進(jìn)行分布式配置，每個校區(qū)都配置防御系統(tǒng)服務(wù)器，某個校區(qū)遇到故障時，智能DNS可以將網(wǎng)站的防御系統(tǒng)導(dǎo)向其他校區(qū)的防御系統(tǒng)，保障了網(wǎng)站的正常訪問。智能DNS負(fù)責(zé)探查各防御系統(tǒng)狀態(tài)，各個防御系統(tǒng)使用基于DNS的負(fù)載均衡，負(fù)載均衡依賴節(jié)點狀態(tài)信息的匯報; 根據(jù)現(xiàn)有負(fù)載自動調(diào)度的算法，防御系統(tǒng)每分鐘會自動上報自身的運(yùn)行狀態(tài)信息，包括CPU、內(nèi)存、磁盤占用、Load狀態(tài)等; 這些信息被匯總之后，作為平衡節(jié)點負(fù)載的依據(jù); DNS調(diào)度時依據(jù)防御系統(tǒng)的配置不同，動態(tài)調(diào)整防御系統(tǒng)權(quán)重，從而引導(dǎo)流量，如果一個防御系統(tǒng)負(fù)載高，DNS調(diào)度檢測到時會自動減小導(dǎo)向這個防御系統(tǒng)的流量，使所有防御系統(tǒng)達(dá)到負(fù)載均衡。

2.2 軟件設(shè)計

基于分布式體系結(jié)構(gòu)，按功能劃分由配置管理模塊、數(shù)據(jù)處理模塊、云防御系統(tǒng)和智能DNS系統(tǒng)組成。

2.2.1 配置管理模塊

該模塊包括數(shù)據(jù)顯示模塊、站點配置、用戶管理。數(shù)據(jù)顯示模塊包含消息管理、報表打印和數(shù)據(jù)接口; 站點配置包含主域名管理、域名管理、緩存管理、防護(hù)策略管理; 用戶管理包含用戶分配、資料查詢、資料修改等模塊[2]。

2.2.2 數(shù)據(jù)處理模塊

該模塊包括數(shù)據(jù)分析模塊和日志存儲模塊。各防御系統(tǒng)會產(chǎn)生大量安全日志，這些日志通過分布式文件存儲可以永久存放在日志存儲引擎上; 采用Map-Reduce的方式對分布式存儲的數(shù)據(jù)進(jìn)行匯總統(tǒng)計后，日志存儲服務(wù)器會將統(tǒng)計結(jié)果上傳至數(shù)據(jù)分析引擎進(jìn)行深度挖掘。數(shù)據(jù)分析引擎基于這些統(tǒng)計數(shù)據(jù)做一些智能分析算法并將分析結(jié)果通過接口傳遞給前端界面展示。

2.2.3 云防御系統(tǒng)

該系統(tǒng)包括基礎(chǔ)防御、云防御、定向防御。基礎(chǔ)防主要確保平衡性能和準(zhǔn)確率的基礎(chǔ)上攔截互聯(lián)網(wǎng)常見的80%以上的攻擊手段，還包括一些對智能化工具的屏蔽; 云防御主要是基于互聯(lián)網(wǎng)數(shù)據(jù)的IP信用評級對惡意IP進(jìn)行屏蔽，充分利用云防御的優(yōu)勢，將單點防御轉(zhuǎn)化為全網(wǎng)防御體系; 定向防御包括一些針對特定攻擊和特殊攻擊的防御手段，用戶可在一些敏感時期開啟此項防護(hù)來保證您的Web系統(tǒng)安全。

2.2.4 智能DNS系統(tǒng)

該系統(tǒng)是一套單獨(dú)的系統(tǒng)。當(dāng)網(wǎng)站接入時，由DNS服務(wù)器負(fù)責(zé)解析訪問請求，再根據(jù)訪問的域名分配到相應(yīng)的防御系統(tǒng)，當(dāng)請求達(dá)到各個防御系統(tǒng)的代理服務(wù)器時，經(jīng)過過濾將干凈的流量轉(zhuǎn)發(fā)到原用戶服務(wù)器。同時智能DNS負(fù)責(zé)探查各防御系統(tǒng)的狀態(tài)，調(diào)度時依據(jù)其配置不同，動態(tài)調(diào)整權(quán)重，從而引導(dǎo)流量，使所有防御系統(tǒng)達(dá)到負(fù)載均衡。

3 結(jié)束語

隨著現(xiàn)在網(wǎng)絡(luò)應(yīng)用的普及，學(xué)生報到、查詢課程安排、查詢成績、畢業(yè)等等的事情都可以在網(wǎng)絡(luò)上來完成，但是目前網(wǎng)絡(luò)上的各種攻擊手段層出不窮，攻擊方式越來越高，網(wǎng)絡(luò)安全被提升到前所未有的高度，對于承載網(wǎng)絡(luò)應(yīng)用的網(wǎng)站，怎樣阻斷網(wǎng)絡(luò)攻擊，攔截黑客，實現(xiàn)安全快速的訪問成為現(xiàn)在的首要問題。相比傳統(tǒng)WAF（網(wǎng)站應(yīng)用級入侵防御系統(tǒng)），基于云的網(wǎng)站防御系統(tǒng)在保持傳統(tǒng)的防御能力的基礎(chǔ)上，還可以通過云內(nèi)的系統(tǒng)來提升防御效果，云模式也便于隨時提升防御能力，相比傳統(tǒng)的系統(tǒng)，基于云的高校網(wǎng)站防御系統(tǒng)防護(hù)功能更加全面和深入，能更好地保護(hù)數(shù)據(jù)的安全性和私密性。

[1]姜開達(dá)，李霄，沈海云等.高校網(wǎng)站安全防護(hù)體系設(shè)計與實現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012.

[2]林梅琴，李志蜀，袁小鈴等.分布式拒絕服務(wù)攻擊及防范研究[J].計算機(jī)應(yīng)用研究，2006.