基于路由策略和策略路由的Web應(yīng)用防護(hù)架構(gòu)設(shè)計(jì)

龔文濤 郎穎瑩

摘要：隨著信息技術(shù)迅猛發(fā)展，特別是Web應(yīng)用信息資源日益豐富之后，Web服務(wù)器因?yàn)槠渌N(yùn)含的信息價(jià)值逐漸成為被攻擊的目標(biāo)，傳統(tǒng)基于端口的防火墻難以防護(hù)諸如SQL注入等在內(nèi)的安全事件，WAF防火墻被提出為解決這些問題，并通過其配置系列安全策略增強(qiáng)Web服務(wù)器的防護(hù)水平。針對(duì)高校數(shù)據(jù)中心和學(xué)校核心網(wǎng)絡(luò)架構(gòu)，提出一種基于路由策略和策略路由的Web應(yīng)用防護(hù)架構(gòu)，給出了架構(gòu)中各個(gè)核心的配置，最終完成整個(gè)系統(tǒng)的架構(gòu)設(shè)計(jì)。

關(guān)鍵詞：路由策略;策略路由;設(shè)計(jì)

中圖分類號(hào)：rIP393

文獻(xiàn)標(biāo)識(shí)碼：A

0 前言

隨著“互聯(lián)網(wǎng)+”的概念被提出，社會(huì)各行各業(yè)的信息化工作得到更加深入的拓展，互聯(lián)網(wǎng)+教育領(lǐng)域來講，高校作為信息化應(yīng)用和建設(shè)的排頭兵，無論是信息化建設(shè)的深度和廣度提出更加高的要求[1-2]。

信息化改善了傳統(tǒng)的教學(xué)方法，革新了傳統(tǒng)的教學(xué)理念和模式，特別是數(shù)據(jù)中心的各項(xiàng)應(yīng)用數(shù)字平臺(tái)系統(tǒng)深入整合和啟用，數(shù)字迎新、數(shù)字辦公、數(shù)字教學(xué)逐漸深入到廣大師生的教學(xué)管理和學(xué)習(xí)研討環(huán)節(jié)中，信息化平臺(tái)推動(dòng)了學(xué)校的信息化工作發(fā)展，但是同時(shí)，各種信息化平臺(tái)的安全漏洞導(dǎo)致了安全隱患，諸多的熱門網(wǎng)站和應(yīng)用系統(tǒng)被越來越多的人熟悉和使用，導(dǎo)致其安全漏洞更加易于識(shí)別和利用，導(dǎo)致單個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)存在巨大的安全隱患，網(wǎng)絡(luò)訪問和攻擊高峰時(shí)刻，甚至?xí)?dǎo)致數(shù)據(jù)中心整體網(wǎng)絡(luò)的不穩(wěn)定和服務(wù)中斷。

如何做好信息系統(tǒng)安全防護(hù)[3-4]，高校網(wǎng)絡(luò)和信息化管理者多數(shù)采用防火墻來完成對(duì)數(shù)據(jù)中心層的安全防護(hù)，但是缺乏對(duì)各個(gè)應(yīng)用系統(tǒng)，特別是精確到具體域名的網(wǎng)站和平臺(tái)的安全防護(hù)。本文提出一種基于策略路由和路由策略的web應(yīng)用防護(hù)系統(tǒng)架構(gòu)設(shè)計(jì)，針對(duì)web應(yīng)用防護(hù)系統(tǒng)的邏輯定位和物理架構(gòu)[5]，通過策略路由和路由策略在數(shù)據(jù)中心和學(xué)校網(wǎng)絡(luò)核心之間部署完成。

1 基于Web應(yīng)用防護(hù)需求

1.1 Web安全問題現(xiàn)狀分析

針對(duì)教務(wù)系統(tǒng)的刷課軟件等各種潛在的威脅，同時(shí)有上萬學(xué)生選課、退課，有部分學(xué)生針對(duì)選課系統(tǒng)漏洞研發(fā)了刷課軟件插件，強(qiáng)行插隊(duì)破壞選課公平性，依托插件對(duì)服務(wù)器核心網(wǎng)段進(jìn)行高頻率、高強(qiáng)度的探測(cè)和干擾，導(dǎo)致數(shù)據(jù)中心整體網(wǎng)絡(luò)狀況不穩(wěn)定，導(dǎo)致其他核心服務(wù)不順暢，需要針對(duì)特定的系統(tǒng)和網(wǎng)站進(jìn)行安全防護(hù)，以保證特定的網(wǎng)絡(luò)系統(tǒng)整體安全。

此外，還有其他應(yīng)用信息系統(tǒng)的潛在隱患和安全漏洞，為網(wǎng)絡(luò)攻擊者所利用。

1.2 Web安全防護(hù)需求

針對(duì)高校信息化工作來說，師生之間的基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越多，高校數(shù)字化平臺(tái)信息化的建設(shè)環(huán)節(jié)中大部分信息系統(tǒng)和應(yīng)用平臺(tái)都構(gòu)建在Web平臺(tái)上，信息系統(tǒng)和應(yīng)用平臺(tái)建設(shè)的規(guī)模越來越大，數(shù)量越來越多。

針對(duì)高校中不同管理部分對(duì)教學(xué)和科研及辦公管理需要，先后構(gòu)建了各種典型的應(yīng)用系統(tǒng)和Web平臺(tái)，包括教務(wù)系統(tǒng)、招生系統(tǒng)、科研管理系統(tǒng)、數(shù)字圖書管理系統(tǒng)等，而高校Web業(yè)務(wù)的迅速發(fā)展也引起社會(huì)黑客們的密切關(guān)注，特別是網(wǎng)絡(luò)攻擊技術(shù)的迅猛發(fā)展，Web平臺(tái)的脆弱性越來越明顯暴露在大眾面前，Web服務(wù)程序的SQL注入漏洞等越來越多的脆弱性和隱患暴露出來，網(wǎng)絡(luò)攻擊者則會(huì)利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

要做好Web應(yīng)用的防護(hù)，則要能夠做到對(duì)不同學(xué)校信息化數(shù)字平臺(tái)和各項(xiàng)應(yīng)用系統(tǒng)的安全防護(hù)工作，包括對(duì)防止黑客攻擊、SQL注入、及各項(xiàng)海量、高頻的掃描和網(wǎng)絡(luò)鏈接。

本文針對(duì)Web防護(hù)的需求，結(jié)合Web應(yīng)用系統(tǒng)在數(shù)據(jù)中心的現(xiàn)狀，提出一種在學(xué)校核心和數(shù)據(jù)中心之間的Web防護(hù)架構(gòu)設(shè)計(jì)，通過策略路由和路由策略將所有需要防護(hù)的應(yīng)用系統(tǒng)保護(hù)起來。

2 基于路由策略和策略路由的Web應(yīng)用防護(hù)架構(gòu)設(shè)計(jì)

2.1 邏輯架構(gòu)設(shè)計(jì)

安全設(shè)備要透明構(gòu)建與數(shù)據(jù)中心和學(xué)校核心交換機(jī)之間，保障正常業(yè)務(wù)不受影響，確保需要防護(hù)的系統(tǒng)的流量經(jīng)過安全設(shè)備，且惡意的訪問能夠及時(shí)被檢測(cè)和阻隔。

數(shù)據(jù)中心轄區(qū)內(nèi)的各種信息系統(tǒng)數(shù)以百計(jì)，需要針對(duì)不同的信息系統(tǒng)和應(yīng)用平臺(tái)作相應(yīng)的防護(hù)，做到針對(duì)單個(gè)IP的安全保障工作。

安全防護(hù)設(shè)備的邏輯架構(gòu)位于數(shù)據(jù)中心與所防護(hù)對(duì)象的信息系統(tǒng)和各個(gè)數(shù)字應(yīng)用平臺(tái)之間，以保障所有流經(jīng)信息系統(tǒng)的流量要經(jīng)過安全設(shè)備的分析、檢測(cè)、攔截。

2.2 物理架構(gòu)設(shè)計(jì)

安全防護(hù)設(shè)備的物理架構(gòu)位于學(xué)校核心和數(shù)據(jù)中心之間，雖然邏輯結(jié)構(gòu)上講，安全防護(hù)設(shè)備是要位于數(shù)據(jù)中心和所防護(hù)的安全系統(tǒng)之間，但是從物理架構(gòu)和學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)建設(shè)情況上，不可能將應(yīng)用系統(tǒng)從虛擬機(jī)群里面剝離并轉(zhuǎn)接到安全防護(hù)設(shè)備的下端。主要原因有如下幾個(gè)因素：

一是虛擬服務(wù)器沒有網(wǎng)線接出;

二是普通的安全防護(hù)設(shè)備沒有足夠的接口來滿足數(shù)以百計(jì)的虛擬服務(wù)器網(wǎng)絡(luò)接入的需求。

2.3 策略路由規(guī)劃與配置

結(jié)合數(shù)據(jù)中心和校園核心網(wǎng)絡(luò)架構(gòu)現(xiàn)狀，為滿足安全防護(hù)系統(tǒng)的邏輯架構(gòu)設(shè)計(jì)，結(jié)合安全防護(hù)系統(tǒng)的物理網(wǎng)絡(luò)架構(gòu)實(shí)況，需要分別對(duì)學(xué)校核心和數(shù)據(jù)中心對(duì)做相應(yīng)路由策略和策略路由，并且將數(shù)據(jù)中心和學(xué)校核心互聯(lián)互通，通過鏈路冗余方式保障鏈路安全和冗余。

策略路由是在數(shù)據(jù)中心網(wǎng)絡(luò)后臺(tái)構(gòu)建，需要保障源地址從防護(hù)應(yīng)用系統(tǒng)發(fā)出的流量引導(dǎo)到學(xué)校核心與數(shù)據(jù)中心的接口上面，這樣就能夠順利導(dǎo)入到安全防護(hù)設(shè)備網(wǎng)絡(luò)接口上，完成對(duì)源地址的流量檢測(cè)。

路由策略是需要在學(xué)校核心網(wǎng)絡(luò)后臺(tái)配置，保障目的地址是去往防護(hù)應(yīng)用系統(tǒng)的流量的下一跳是到對(duì)端的數(shù)據(jù)中心接口上，這樣就保障所有外界訪問數(shù)據(jù)中心各種被保護(hù)的數(shù)字平臺(tái)和應(yīng)用系統(tǒng)能夠被安全防護(hù)設(shè)備保護(hù)起來。

構(gòu)建的數(shù)據(jù)中心網(wǎng)絡(luò)后臺(tái)層面講，需要完成如下核心配置：接口Vlan、接口鏈路、策略路由的單個(gè)IP對(duì)象、策略路由的網(wǎng)段、策略路由的冗余、探測(cè)接口等環(huán)節(jié)。

在數(shù)據(jù)中心層面，需要打通與學(xué)校核心的互聯(lián)互通，就需要為安全配置接口鏈路和接口IP地址，核心的鏈路配置如下：

interface port-channe129

switchport

switchport access vlan 98

interface port-channe130

switchport

switchport access vlan 99

interface Ethemet3/45

switchport access vlan 99

channel-group 30

no shutdown

interface Ethemet3/46

switchport access vlan 98

channel-group 29

no shutdown

核心的Vlan配置如下，主Vlan和備用Vlan分別配置如下：

interface Vlan98

no ip redirects

ip address 172.18.0.123/29

ip igmp version 3

hsrp version 2

hsrp 6

preempt

priority 110

ip 172.18.0.122

hsrp 98 ipv6

preempt

priority 110

no shutdown

interface Vlan99

no ip redirects

ip address 172.18.0.91/29

ip igmp version 3

hsrp version 2

hsrp 6

preempt

priority 110

ip 172.18.0.90

hsrp 99 ipv6

preempt

priority 110

no shutdown

需要為相應(yīng)的主和備用接口配置相應(yīng)的鏈路探測(cè)：

track 100 interface port-channe130 line-protocol

track 200 interface port-channe129 line-protocol

track 101 interface port-channe129 line-protocol

track 201 interface port-channe130 line-protocol

為不同的對(duì)象建立不同的ACL，配置對(duì)應(yīng)route-map：

ip access-list Acl_WaF_2001

50 permit ip 10.87.255.14/32 any

ip access-list Acl_WaF_2012

50 permit ip 10.10.255.79/32 any

51 permit ip 10.10.255.19/32 any

ip access-list Acl_WaF_2014

50 permit ip 10.87.177.1/32 any

51 permit ip 10.87.177.5/32 any

ipv6 access-list AcLWaF_2014_IPV6

50 permit ipv6 2001：da8：7007：lOc：：57/128 any

啟用不同的Route-map：

route-map WaF_2001 permit 40

match ip address Acl_WaF_2001

set ip next-hop verify-availability 172.18.0.121track 101

set ip next-hop verify-availability 172.18.0.89track 201

route-map WaF_2012 permit 40

match ip address Acl_WaF_2012

set ip next-hop verify-availability 172.18.0.89track 100

set ip next-hop verify-availability 172.18.0.121track 200

最終在具體的應(yīng)用系統(tǒng)的Vlan接口上面配置具體的策略路由：

interface Vlan2014

no ip redirects

ip address 10.87.177.61/26

ip policy route-map WaF_2014

hsrp version 2

hsrp 2014

preempt

ip 10.87.177.62

hsrp 2014 ipv6

preempt

no shutdown

2.4 路由策略規(guī)劃與配置

路由規(guī)劃包括：接口鏈路、接口IP、路由策略、路由策略冗余。

首先是要構(gòu)建互聯(lián)的Vlan及鏈路。

#

interface Bridge-Aggregation8

description DataCenter-N7K2

port access vlan 2008

undo stp enable

#

interface Bridge-Aggregation9

description ToWAF-Master

port access vlan 2009

undo stp enable

#

interface Vlan-interface2009

description ToWAF-Master

ip address 172.18.0.89 255.255.255.248

#

interface Vlan-interface2010

description ToWAF-BAK

ip address 172.18.0.121 255.255.255.248

#

#

interface Ten-GigabitEthernetl/5/0/4

port link-mode bridge

port access vlan 2009

port link-aggregation group 9

#

interface Ten-GigabitEthernetl/5/0/5

port link-mode bridge

#

interface Ten-GigabitEthernetl/5/0/6

port link-mode bridge

port access vlan 2010

port link-aggregation group 10

#

其次，學(xué)校核心端，需要對(duì)具體安全防護(hù)應(yīng)用系統(tǒng)的lP地址做好靜態(tài)路由，而且還需要保證冗

ip route-static 10.10.255.79 32 172.18.0.122preference 100

ip route-static 10.10.255.19 32 172.18.0.90

ip route -static 10.10.255.19 32 172.18.0.122preference 100

ip route-static 10.10.255.21 32 172.18.0.90

ip route -static 10.10.255.21 32 172.18.0.122preference 100

ip route-static 10.10.255.24 32 172.18.0.90

ip route -static 10.10.255.24 32 172.18.0.122preference 100

ip route-static 10.10.255.57 32 172.18.0.90

ip route-static 10.10.255.57 32 172.18.0.122preference 100

ip route-static 10.10.255.79 32 172.18.0.90

ip route -static 10.10.255.79 32 172.18.0.122preference 100

ip route-static 10.87.177.1 32 172.18.0.90

ip route -static 10.87.177.1 32 172.18.0.122preference 100

ip route-static 10.87.177.5 32 172.18.0.90

ip route -static 10.87.177.5 32 172.18.0.122preference 100

2.5 網(wǎng)絡(luò)測(cè)試

查看 track狀態(tài)：

NEXUS7009-1# show track brief

Track Type

InstanceParameter

State

Last Change

100 Interface port-channe130

LineProtocol

UP

2w2d

101 Interface port-channe129

LineProtocol

UP

lw3d

200 Interface

port-channe129

LineProtocol

UP

lw3d

201 Interface

port-channe130

LineProtocol

UP

2w2d

通過tracert測(cè)試是否通過安全設(shè)備：

C：＼Users＼XXXX>tracert 10.10.255.79

通過最多30個(gè)躍點(diǎn)跟蹤到10.10.255.79的路由

1 99 ms <1毫秒<1毫秒本地網(wǎng)關(guān)

2 <1毫秒<1毫秒<1毫秒172.18.0.92

3 *

*

* 請(qǐng)求超時(shí)。

測(cè)試可見，已經(jīng)通過安全WAF防火墻，達(dá)到預(yù)期目的。3 總結(jié)

針對(duì)高校數(shù)據(jù)中心的安全防護(hù)需求和現(xiàn)狀，提出一種基于策略路由和路由策略的安全防護(hù)系統(tǒng)網(wǎng)絡(luò)架構(gòu)，在結(jié)合數(shù)據(jù)中心和學(xué)校核心不同設(shè)備的差異條件下，分別對(duì)具體的鏈路、接口vlan和ip地址的核心配置做了概述，最終分別在學(xué)校核心和數(shù)據(jù)中心設(shè)置了策略路由和路由策略，完成了對(duì)數(shù)據(jù)中心體系下應(yīng)用系統(tǒng)的防護(hù)體系構(gòu)建。

參考文獻(xiàn)

[1]高沖.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[I].信息通訊，2016， （01）：155-156.

[2]林清倫.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國新通訊，2016， （12）：63.

[3]王丹，李蓓蕾.無標(biāo)度網(wǎng)絡(luò)的局部路由策略仿真分析[J].沈陽大學(xué)學(xué)報(bào)：自然科學(xué)版，2015，（05）：394-399.

[4]孫利民，李建中.無線傳感器網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社，2005.

[5]張法，ANTA A F，王林，等.網(wǎng)絡(luò)能耗系統(tǒng)模型及能效算法[J].計(jì)算機(jī)學(xué)報(bào)，2012.（03）：603-615.