Web應用防火墻在站群系統建設和管理中的應用探索

杜躍忠+王麗春

【摘 要】在互聯網高速發展的今天，基于互聯網的Web應用在各個領域快速發展，針對Web應用的攻擊也呈爆發式發展。站群系統因用戶范圍廣、訪問量大、應用廣，所受到的攻擊方式、攻擊數量也更多，而傳統的安全技術不能有效地抵御這些攻擊。論文從Web安全威脅的角度介紹了Web應用防火墻技術，探索了Web應用防火墻在站群系統建設和管理中的應用方法，以保障站群系統的安全、穩定運行。

【Abstract】Today， with the rapid development of internet， Web applications based on the internet are developing rapidly in various fields， and the attacks against on Web applications are explosive. Because of the wide range of users， large amount of access and wide application， the station group system has more attacks， the traditional security technologies can not effectively resist these attacks. The paper introduces Web application firewall technology from the angle of Web security threat， and explores the application method of Web application firewall in station group system construction and management， in order to ensure the safety and stable operation of station group system.

【關鍵詞】Web應用防火墻；網絡安全；站群系統

【Keywords】Web application firewall； network security； station group system

【中圖分類號】TN915.08 【文獻標志碼】A 【文章編號】1673-1069（2017）08-0138-02

1 引言

因為Web應用具有開發快速、部署要求低、使用方便等特點，政府企事業單位均將自己的IT業務通過Web應用平臺來實現，云計算、云存儲的發展也促進了Web應用的發展。Web應用已經在電子商務、電子政務、數字校園、辦公自動化等領域成為主流應用模式，成為人們生活的重要組成部分。Web應用的高速發展，使得針對Web應用的安全攻擊事件越來越多，不少機構因此產生了經濟財產損失。

據權威機構統計，當前網絡上75%的攻擊是針對Web應用的。網站作為機構對外開展宣傳、發布通知公告、提供信息化服務的首選平臺，已成為使用最為廣泛的Web應用平臺，受到的攻擊占了Web應用攻擊的絕大部分。在包含多級子部門的環境下，站群系統是網站建設的首選方案，政府機關、高校一般采用站群系統構建自己的網站。如何在站群系統上有效防范網絡安全攻擊，是網站建設和管理的首要工作。

2 Web應用的常見安全攻擊

Web應用的安全攻擊主要發生在Web應用層和網絡層，Web應用層的攻擊所占比例較大。常見的Web應用層攻擊包括：SQL注入、跨站腳本攻擊、木馬上傳、跨站請求偽造、本地及遠程漏洞利用、重要信息竊取、認證繞過、文件篡改、Cookie和Session劫持、應用層DOS攻擊等。Web應用層攻擊成功之后，會導致機構及用戶敏感信息泄露、數據丟失、服務器癱瘓、掛載非法信息、成為安全攻擊源等危險情況。傳統的安全技術，比如網絡防火墻、IDS或者IPS等，無法防范針對Web應用層的攻擊[1]。

3 Web應用防火墻技術介紹

Web應用防火墻技術是網絡安全技術領域的新興技術，通過執行一系列針對HTTP/HTTPS協議的安全策略，實現Web應用安全防范的技術[2]。Web應用的體系架構一般包含客戶端瀏覽器和遠端服務器，基于HTTP/HTTPS協議實現業務流程。瀏覽器通過HTTP協議，向服務器發出Get、Post、會話等請求，服務器端也通過HTTP協議完成請求的響應。針對Web應用層要完成攻擊操作，需要基于HTTP/HTTPS協議完成數據或者命令的發送。Web應用防火墻對瀏覽器發送的各類請求進行內容檢測與驗證，阻斷非法訪問，過濾非法數據，從而實現對Web應用的保護。

Web應用防火墻有如下特點：①實現基于攻擊行為的保護：該類保護能有效防范常見的攻擊行為。②基于自學習特征建模的保護：通過流量學習或者主動頁面抓取分析，對網站的動態提交參數進行建模。③提供會話保護機制：通過加密機制建立安全、可靠的會話，有效防范基于會話的攻擊。④提供運行狀態下的更新機制：采取處理內核和策略分離的方法，在不停機的狀態下更新策略數據，實現無間斷保護。

4 站群系統介紹

站群系統是現在流行的網站建設與管理方法，是指利用軟件系統建立在統一技術架構之上的網站群，實現了統一建站、統一管理、統一信息發布等功能。站群系統有效提高了機構網站的建設效果，特別是在多級子部門的環境下，站群系統的作用得到了充分發揮。

站群系統主要有以下功能：①站群系統在一個系統上建設網站群，避免了建設子網站的重復投資，大大降低了網站建設成本，提高了子網站的建設水平和管理效率。②站群系統提供了一整套從網絡環境、硬件服務器、操作系統到技術架構方面的安全防范措施，提高了網站群的安全防范水平。③站群系統實現了子網站間的信息共享和交換，模板資源能有效實現功能的復用。④提供了完善的多級角色權限管理制度，網站資源權限劃分清晰，方便實現多用戶環境下的高效率管理。endprint

5 站群系統應用Web應用防火墻的方法

根據站群系統的系統架構、網絡運行環境、服務器連接方法，合理部署Web應用防火墻，制定全面的防范策略，以有效實現網絡安全防范功能。

5.1 部署Web應用防火墻

為了實現靈活的功能設置，Web應用防火墻提供了多種部署方法，一般包括透明網橋模式、旁路反向代理模式、路由模式、混合部署模式、虛擬化部署模式、單 IP 虛擬化部署模式等。透明網橋模式指在兩臺運行的設備中間部署Web應用防火墻，及時阻斷、過濾來自 Web 應用層的攻擊，讓其他正常的網絡數據通過。在互聯網上，站群系統主要提供信息的檢索、瀏覽、分享功能。與其他部署方式相比，透明網橋部署模式更適合站群系統，防范快速、簡便，可做到即插即用，先部署后配置[3]。透明網橋模式常用的部署結構如圖1所示。

5.2 以基于攻擊行為的保護為主，全面配置防范功能

基于攻擊行為的保護主要防范SQL 注入攻擊、XSS跨站腳本攻擊、執行操作系統命令、危險存儲過程執行、木馬上傳

等[4]。基于攻擊行為的保護能防范大部分網絡安全攻擊，保障整個網站群的安全運行。除此之外，可以通過基于自學習特征建模的防護、基于過濾輸出的防護、木馬統計與行為溯源分析、掃描器掃描防護、數據庫防篡改等功能，全面保護站群系統。

5.3 合理利用Web應用防火墻阻斷與訪問控制功能

為了保證站群系統的可訪問性，需要有針對性地合理利用Web應用防火墻的阻斷、訪問控制功能，既實現防范攻擊，又保護合法訪問。可以使用的防火墻攔截方法包括阻斷、包過濾、入侵檢測、放行，合理設置阻斷的IP和時間。訪問控制可以針對內置規則或者自定義規則，提供細粒度的控制。針對來源IP、目的IP、域名、URL 規則（集）進行精細控制。

5.4 使用統計、分析功能

利用Web應用防火墻記錄站群系統受到的每次攻擊的情況，包括攻擊方法、攻擊時間、攻擊者的IP、物理地址等，查看告警日志、審計日志，對記錄進行統計、分析，以便在特定網絡攻擊爆發的期間，快速掌握不同時間遭受網絡攻擊的狀況，判斷網絡攻擊變化趨勢。

6 結語

目前我國已經陸續出臺多項與網絡安全工作相關的法律法規，在站群系統的建設與管理中，必須高度重視網絡安全工作。Web應用防火墻不僅有效地防范了針對Web應用層的網絡攻擊，而且可以在不影響正常訪問的數據流量下實現阻斷和訪問控制，有效地保障了站群系統的安全。

【參考文獻】

【1】劉宗田.Web站點安全與防火墻技術[M].北京：機械工業出版社， 2007.

【2】王宇，陸松年.Web 應用防火墻的設計與實現[J].信息安全與通信保密，2011（5）：104-106.

【3】趙越.高校網站建設及管理存在的問題與對策[J].產業與科技論壇，2011（02）：20-45.

【4】陳楠，薛質.注入攻擊的實現和防范[J].信息安全與通信保密，2005（01）：48-50.endprint