ＷＡＦ 精細化策略在校園信息系統中的應用研究

摘 要 為加強校園信息系統的安全防護 文章首先對WAF 的基本原理及應用場景進行分析 并歸納了WAF 的5 種部署模式 即監聽部署 串聯部署 單臂部署 反向代理部署 牽引部署模式 在此基礎上 結合策略類型和策略適用情況 提出了適用于校園信息系統的精細化策略 以保證學校信息系統的安全運行

關鍵詞 校園信息系統 WAF精細化策略

中圖法分類號tp393? ?文獻標識碼a

隨著互聯網技術的不斷進步，網絡安全問題日益突出。根據２０２２ 年互聯網信息中心的公開數據，２０２１ 年我國Ｗｅｂ 安全問題突出，其中信息系統安全漏洞超１４０ ０００ 個，遭到拒絕服務攻擊７５ ３００ 起。校園網絡安全對學校的日常教學、運行具有重要意義，為防止網絡攻擊，可采取部署ＷＡＦ 防火墻的措施，以加強信息系統的安全防護［１］ 。

１ ＷＡＦ 的原理及應用

１．１ 基本原理

在國家網絡安全等級保護測評中，ＷＡＦ 是必須配備的安全設備［２］ 。ＷＡＦ 防火墻即Ｗｅｂ ＡｐｐｌｉｃａｔｉｏｎＦｉｒｅｗａｌｌ，具有豐富的策略類型，可根據不同的需求，部署多種模式。ＷＡＦ 能夠按照既定的策略對網絡系統進行防護，識別攻擊、深度檢測流經Ｗｅｂ 應用的流量［３］ 。但由于網絡系統的復雜性，不同類別的Ｗｅｂ應用需要與之相適應的防護措施。因此，ＷＡＦ 須根據網絡系統的實際需求，對防范策略進行精細化匹配。

１．２ 應用

與傳統防火墻相比，ＷＡＦ 可對Ｗｅｂ 應用協議流量進行智能分析和實時監測識別，可有效地解決各類問題，保護網絡信息系統。ＷＡＦ 的防護可應用于Ｗｅｂ 應用程序、應用框架和Ｗｅｂ 服務發起的常見攻擊，如跨站攻擊、網頁篡改、ＤＤｏＳ 攻擊、惡意軟件、注入攻擊、緩沖區溢出、應用層ＣＣ 攻擊、漏洞攻擊、信息泄露和腳本木馬等［４］ 。

２ ＷＡＦ 的部署模式

根據ＷＡＦ 在網絡系統中不同的應用場景和位置，部署模式通常分為５ 種，分別是：監聽部署、串聯部署、單臂部署、反向代理部署、牽引部署［５］ 。通常情況下， ＷＡＦ 進行混合模式部署，如圖１ 所示。

２．１ 監聽部署

監聽部署模式接入網絡的方式為旁路三層通信接口，當需要對流量進行分析時，ＷＡＦ 首先采用鏡像的方式進行獲取，待分析完成后將結果輸出［６］ 。這樣既可以達到監聽的目的，也不會對網絡系統的流量造成影響。當出口防火墻與ＷＡＦ 聯動部署時，多采用監聽模式。在監聽過程中，若檢測到網絡系統受到攻擊，則出口防火墻將會收到ＷＡＦ 報送的ＩＰ 地址，并對其進行阻斷。

２．２ 串聯部署

串聯部署模式如圖２ 所示，其接入網絡的方式為串聯二層透明（橋接）［７］ 。在該模式中，ＷＡＦ 安全防護的方式為快速識別、攔截網絡流量中的Ｗｅｂ 應用流量。該模式可有效防護流經所有Ｗｅｂ 應用的流量且無需對網絡設備配置拓撲進行改變，ＷＡＦ 對Ｗｅｂ 服務器、客戶端等不可見，是目前大多數校園網絡的部署方式。

２．３ 單臂部署

單臂部署模式的工作方式類似于反向代理模式，接入網絡的方式與監聽部署模式相同［８］ 。采用該模式，當ＷＡＦ 出現故障時不會對整個網絡造成影響，可以均衡Ｗｅｂ 服務器的負載。

２．４ 反向代理

反向代理模式接入網絡的方式為串聯三層通信接口［９］ 。在該模式下，通過配置ＩＰ 地址，在進行安全防護處理后，ＷＡＦ 再與Ｗｅｂ 服務器通信；而Ｗｅｂ 客戶端可直接與ＷＡＦ 進行通信。通過該模式，ＷＡＦ 能夠均勻提高Ｗｅｂ 服務器的負載，從而提升訪問速度。該模式具有安全性較好的特點，但也存在較大弊端，即ＷＡＦ 發生故障將會影響整個Ｗｅｂ 服務器。

２．５ 牽引部署

牽引部署模式的網絡接入方式為旁路接入。在該模式中，首先通過路由器將Ｗｅｂ 訪問流量傳輸至ＷＡＦ；處理完成后，ＷＡＦ 再經路由器，將流量傳輸至Ｗｅｂ 服務器。該模式的缺點是：ＷＡＦ 配置復雜，須為Ｗｅｂ 應用創建牽引路由。該模式的優點是：部署速度快，既能夠對Ｗｅｂ 服務器進行安全防護，又能減小對網絡系統的影響。

３ ＷＡＦ 精細化策略

３．１ 策略類型

ＷＡＦ 對Ｗｅｂ 進行安全防護的策略為不同攻擊類型的防護規則，即當某種攻擊流量屬于某種規則時，ＷＡＦ 就會對其檢測識別并采取處理措施。策略主要包括以下８ 種：用戶會話跟蹤策略、ＩＰ 防護策略、虛擬補丁策略、內容改寫、ＡＰＩ 防護策略、自學習策略、訪問控制策略、安全策略。

３．２ 策略適用情況

ＷＡＦ 可設置通用策略，若Ｗｅｂ 應用數量過多，則防護類型的需求也就越大，在此情況下，通用策略則不能滿足要求。通常情況下，校園網絡開放的信息系統包括課程中心、門戶主頁、教務管理、網辦大廳、部門院系網、實驗室預約、新聞網和統一身份管理等。網站的交互式功能包括文件上傳和下載、動態和靜態頁面、提交表單、信息系統賬號登錄等。這些網站采用不同的ＴＣＰ 服務端口，通常在不同類型的Ｗｅｂ 應用上部署。因此，需分析不同的業務場景、系統功能和應用類型，從而匹配適用的ＷＡＦ 策略，最終實現策略精細化。

３．３ 策略設置方式

在策略初始設置時，可選擇寬松、常規、嚴格檢測和調試４ 種通用策略，這４ 種策略級別由低到高。其中常規檢測可適用于大部分業務場景。策略配置時，可通過收集用戶反饋、剖析Ｗｅｂ 場景以及分析系統防護日志等方式，找到適用的策略，以達到最優的防護效果。

（ １）對預定義規則的參數閾值進行調整，ＷＡＦ 安全策略預定義包括以下７ 種類型的防護規則，分別是：惡意軟件、探測訪問、ＨＴＴＰ 協議異常、信息泄露、特殊漏洞攻擊、跨站攻擊、注入攻擊。這些防護規則既可以調整閾值，也可以發現新的漏洞或對新型的攻擊進行自定義防護。

（２）Ｗｅｂ 應用防篡改防護方法為開啟防篡改策略，通過對網頁基線文件進行周期性校驗，以防止Ｗｅｂ 應用被非法篡改。

（３）排查私設未備案或疏漏未防護的Ｗｅｂ 應用的方法：開啟定時Ｗｅｂ 應用發現策略，對協議流量進行監測，檢測２００，３０１ 等響應代碼，將非法的Ｗｅｂ 應用加入防護列表。

（４）由于目前采用的ＴＬＳ１．１，ＴＬＳｖ１．０ 和ＳＳＬｖ３ 協議版本過低，容易被攻擊，存在安全漏洞，因此需要修改為更高版本的協議，如ＴＬＳｖ１．３，ＴＬＳｖ１．２ 等。

（５）對于夜間訪問量較少的網站或信息系統（如課程中心、實驗室預約、教務管理等），設置Ｗｅｂ 應用訪問時間策略。通過ＷＡＦ 設置，在００：００ 至７：００，僅允許校園網訪問，關閉互聯網訪問權限，從而減少被攻擊的風險。

（６）為防止Ｗｅｂ 應用ＩＰ 地址被假域名訪問，對ＷＡＦ 進行設置，拒絕錯誤域名訪問，僅允許Ｗｅｂ 應用的正確域名對ＩＰ 地址進行訪問。

在交互式功能的信息系統中，若有表單數據提交功能，則需將惡意行為策略的ＰＯＳＴ 頻次閾值調高；若有上傳或下載文件功能，則需將允許上傳下載文件的策略開啟；若有后臺管理功能，則需將不允許被互聯網訪問的管理網站屏蔽。

（７）對ＷＡＦ 分析報表和系統防護日志進行定期查閱，查閱頻率可根據實際需求確定。通過ＷＡＦ 黑名單策略阻止存在風險的ＩＰ 地址。

（８）開啟響應體內容檢測策略。不僅對Ｗｅｂ 用戶發送給服務器的內容進行檢測，針對重要的信息系統，還應該通過該策略，對服務器發送給Ｗｅｂ 應用的信息進行排查。

４ 結束語

ＷＡＦ 在國家網絡安全等級保護測評中，是必須配備的安全設備，具有廣泛的應用場景。ＷＡＦ 的部署模式有：監聽部署、串聯部署、單臂部署、反向代理部署、牽引部署。在進行策略設置時，需根據策略類型、策略適用性和網絡系統的需求進行綜合考慮。

參考文獻：

［１］ 王樂．基于ＷＡＦ 的高校信息系統ＨＴＴＰＳ 加密傳輸部署［Ｊ］．網絡安全技術與應用，２０２３（１）：１８?２０．

［２］ 何杰，蔡瑞杰，尹小康，等．面向Ｃｉｓｃｏ ＩＯＳ?ＸＥ 的Ｗｅｂ 命令注入漏洞檢測［Ｊ］．計算機科學，２０２３，５０（４）：３４３?３５０．

［３］ 李露，魏學明，李峰．配網終端Ｗｅｂ 通信安全架構設計［Ｊ］．自動化儀表，２０２２，４３（１２）：８６?９１．

［４］ 高峰．大數據時代視頻網站策略研究［Ｊ］．中國新通信，２０２２，２４（２０）：５３?５６．

［５］ 鄭楷，田秀霞，盧官宇，等．基于聚類和重排序的ＸＡＣＭＬ 策略評估優化方法［Ｊ］．計算機仿真，２０２２，３９（１０）：５１９?５２５．

［６］ 韋磊，寧玉文，高東懷，等． ＨＴＴＰＳ 協議下的高校Ｗｅｂ 應用防火墻部署模式研究［Ｊ］．自動化與儀器儀表，２０２１（１２）：１０９?１１２＋１２４．

［７］ 宮旭，唐曉梅．中國計算機用戶協會網絡應用分會２０２１ 年第二十五屆網絡新技術與應用年會論文集［Ｃ］ ／ ／ 中國計算機用戶協會網絡應用分會：北京聯合大學北京市信息服務工程重點實驗室，２０２１：２８４?２８７．

［８］ 王樂．Ｗｅｂ 應用系統加入ＷＡＦ 故障診斷方法研究［Ｊ］．網絡安全技術與應用，２０２０（１１）：２２?２４．

［９］ 張林．Ｗｅｂ 應用防火墻關于ｇｚｉｐ 文件的檢測研究［Ｊ］．電子設計工程，２０２０，２８（１９）：１１３?１１７＋１２５．

作者簡介：

白楊（１９９３—），碩士，助教，研究方向：物聯網技術。