【51CTO.com綜合報(bào)道】為了響應(yīng)2010年上海世博會(huì)網(wǎng)絡(luò)安全工作的號(hào)召，上海各高校都積極深入發(fā)展門戶網(wǎng)站的安全建設(shè)，推行信息公開(kāi)，提高高校工作的透明度，充分發(fā)揮高校信息平臺(tái)對(duì)學(xué)生的學(xué)習(xí)和生活等各方面的幫助。其門戶網(wǎng)站（edu.cn）是該校電子門戶及辦公系統(tǒng)建設(shè)的重要組成部分，作為該校面向社會(huì)的窗口，發(fā)布學(xué)生信息，提供“網(wǎng)上辦公”、“在線通告”等業(yè)務(wù)，為老師和學(xué)生提供方便。

來(lái)自Web的安全挑戰(zhàn)：

隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺(tái)，上面承載了越來(lái)越多的核心業(yè)務(wù)。Web的開(kāi)放性帶來(lái)豐富資源、高效率、新工作方式的同時(shí)，也使機(jī)構(gòu)的重要信息暴露在越來(lái)越多的威脅中。根據(jù)了解該校門戶網(wǎng)站承載了各2級(jí)學(xué)院的網(wǎng)上業(yè)務(wù)，網(wǎng)頁(yè)以動(dòng)態(tài)內(nèi)容居多。去年，該研究生院網(wǎng)站遭遇SQL群注（Mass SQL Injection）攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，“HaCkeD By:Skz0r_l337-Underground-Security”(意為：由Skz0r_l337-Underground-Security入侵），各級(jí)頁(yè)面不再具有正常的觀感。訪問(wèn)網(wǎng)站時(shí)還發(fā)現(xiàn)，該網(wǎng)站已被Google列為含有惡意代碼的網(wǎng)站。最為棘手的是：期間持續(xù)發(fā)生“網(wǎng)頁(yè)被篡改－恢復(fù)－再次被篡改－再次恢復(fù)…”的現(xiàn)象。間歇還伴隨有針對(duì)WEB服務(wù)器的DDoS攻擊，網(wǎng)站訪問(wèn)峰值嚴(yán)重超過(guò)服務(wù)器正常所能處理的最大負(fù)荷。

在提供解決方案之前，我們幫助用戶理清了一些應(yīng)用層防火墻的基本概念：

1.何謂應(yīng)用層防火墻；

2.梭子魚的應(yīng)用層防火墻與傳統(tǒng)入侵檢測(cè)產(chǎn)品的區(qū)別；

3.梭子魚WEB應(yīng)用防火墻WAF產(chǎn)品的防御攻擊特性；

其次在該高校網(wǎng)站遭遇多重攻擊，網(wǎng)站陷入困境的時(shí)候梭子魚所提供的解決方案：

1.能應(yīng)對(duì)當(dāng)前攻擊，且具備持續(xù)防護(hù)能力，對(duì)業(yè)務(wù)影響盡可能小，管理簡(jiǎn)單；

2.針對(duì)多臺(tái)核心WEB服務(wù)器提供防護(hù)；

3.自動(dòng)學(xué)習(xí)網(wǎng)頁(yè)應(yīng)用結(jié)構(gòu)；

4.自動(dòng)調(diào)整用戶習(xí)慣;

5.主動(dòng)模式來(lái)過(guò)濾所有的WEB請(qǐng)求；

6.提供簡(jiǎn)明維護(hù)的平臺(tái)；

解決方案：

基于對(duì)梭子魚公司的信任，2010年在售前過(guò)程中，我們有幸對(duì)該學(xué)校負(fù)責(zé)人進(jìn)行了一次長(zhǎng)時(shí)間的技術(shù)溝通。我們首先解釋了幾項(xiàng)用戶關(guān)心的問(wèn)題：

1.何謂應(yīng)用層防火墻

梭子魚應(yīng)用層防火墻（全稱，梭子魚WEB應(yīng)用防火墻，即WAF ）通過(guò)執(zhí)行應(yīng)用會(huì)話內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層，它專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來(lái)說(shuō)相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼。

2.應(yīng)用層防火墻與傳統(tǒng)的入侵檢測(cè)設(shè)備之間具有本質(zhì)上的區(qū)別

在TCP/IP模型中網(wǎng)絡(luò)流量從物理層到應(yīng)用層是逐層遞交，入侵檢測(cè)設(shè)備（IPS）主要定位在分析傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)，而再往上則是復(fù)雜的各種應(yīng)用層協(xié)議報(bào)文，而應(yīng)用層防火墻（WAF）則僅提供對(duì)Web應(yīng)用流量全部層面的監(jiān)管。IPS需要處理網(wǎng)絡(luò)中所有的流量，而WAF僅處理與Web應(yīng)用相關(guān)的協(xié)議，其他的則給予轉(zhuǎn)發(fā)。

3．梭子魚WEB應(yīng)用防火墻可以防御的攻擊類型：

1）SQL注入：一些應(yīng)用程序通過(guò)復(fù)制Web客戶端輸入來(lái)創(chuàng)建數(shù)據(jù)庫(kù)查詢。黑客通過(guò)構(gòu)造一些應(yīng)用程序沒(méi)有仔細(xì)檢查和會(huì)被拒絕的字符串，來(lái)獲取返回的機(jī)密數(shù)據(jù)。

2）跨站點(diǎn)腳本：黑客插入腳本代碼（如JavaScript或ActiveX）到一個(gè)輸入字符串，導(dǎo)致Web服務(wù)器泄漏用戶名和密碼等信息。

3）操作系統(tǒng)命令注入：一些應(yīng)用程序從web輸入來(lái)創(chuàng)建操作系統(tǒng)命令，就像訪問(wèn)一個(gè)文件和顯示文件內(nèi)容。如果輸入的字符串沒(méi)有仔細(xì)檢查機(jī)制，黑客就可以創(chuàng)建輸入來(lái)顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。

4）會(huì)話劫持：黑客通過(guò)猜測(cè)基于令牌格式知識(shí)的會(huì)話令牌的內(nèi)容來(lái)獲得登錄會(huì)話的權(quán)利。這使得黑客能接管會(huì)話并可以得到原來(lái)的用戶帳戶信息。

5）篡改參數(shù)或URL：web應(yīng)用程序通常在返回的的web頁(yè)面中嵌入?yún)?shù)和URL，或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存，使Web服務(wù)器返回不應(yīng)泄漏的信息。

6）緩沖區(qū)溢出：應(yīng)用程序代碼應(yīng)該檢查輸入數(shù)據(jù)的長(zhǎng)度，以確保輸入數(shù)據(jù)不會(huì)超出剩余的緩沖區(qū)和修改相鄰的存儲(chǔ)。黑客很快就會(huì)發(fā)現(xiàn)應(yīng)用程序不檢查溢出，并創(chuàng)建輸入來(lái)導(dǎo)致溢出。

在部署過(guò)程中，針對(duì)高校網(wǎng)站的特性，梭子魚WAF提供了以下解決方案：

1.WAF透明部署在防火墻和WEB服務(wù)器群及應(yīng)用服務(wù)器之間（如下圖所示），在網(wǎng)絡(luò)中即插即用，不改變網(wǎng)絡(luò)拓?fù)浜途W(wǎng)站業(yè)務(wù)流程，管理簡(jiǎn)單；

圖1:WAF部署方案

2.WAF提供了針對(duì)核心WEB服務(wù)器群的防護(hù)；根據(jù)高校的網(wǎng)站部署的特點(diǎn)，一般大學(xué)站點(diǎn)都具有數(shù)十個(gè)主站點(diǎn)，同一臺(tái)服務(wù)器會(huì)同時(shí)具有幾個(gè)站點(diǎn)的特色，我們會(huì)區(qū)分各站點(diǎn)之間的不同屬性進(jìn)行分類管理，例如：普通學(xué)生登陸的站點(diǎn)都是HTTP協(xié)議，而教師員工登陸的管理平臺(tái)和辦公系統(tǒng)都是HTTPS協(xié)議，因此我們會(huì)設(shè)計(jì)一套HTTP協(xié)議的基本防御模版，而HTTPS協(xié)議我們會(huì)在基本保護(hù)的策略框架下，再啟用SSL加速的功能，來(lái)幫助提升用戶的訪問(wèn)速度。

3.WAF自動(dòng)掃描網(wǎng)站結(jié)構(gòu)；梭子魚WAF主動(dòng)掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護(hù)規(guī)則，分析整個(gè)Web站點(diǎn)，并建立正常狀態(tài)模型。根據(jù)高校的網(wǎng)站設(shè)計(jì)的特點(diǎn)，一般高校網(wǎng)站中各學(xué)院站點(diǎn)的設(shè)計(jì)模版都比較固定化，梭子魚會(huì)主動(dòng)尋找每一個(gè)小站點(diǎn)的樹(shù)型目錄和文件結(jié)構(gòu)，幫助防御不必要外網(wǎng)“窮舉型”的攻擊。

4.WAF自動(dòng)學(xué)習(xí)用戶習(xí)慣；WAF會(huì)自動(dòng)調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習(xí)慣，例如在某個(gè)學(xué)院站點(diǎn)的通告欄上的發(fā)貼字?jǐn)?shù)長(zhǎng)度，會(huì)隨著用戶習(xí)慣逐漸增多。

5.WAF調(diào)整主動(dòng)模式來(lái)過(guò)濾所有的WEB請(qǐng)求；根據(jù)高校的網(wǎng)站防御的特點(diǎn)，一般高校的門戶網(wǎng)站都具有前端學(xué)生登陸信息平臺(tái)查看信息，后端管理人員發(fā)布學(xué)校最新動(dòng)態(tài)、管理學(xué)生檔案、處理學(xué)生業(yè)務(wù)等等工作流。所以在網(wǎng)站前端我們過(guò)濾的總體策略都是過(guò)濾常規(guī)攻擊方式，并且對(duì)進(jìn)入網(wǎng)站之后所有提交的數(shù)據(jù)和語(yǔ)句做限定，在網(wǎng)站后端管理平臺(tái)，一方面我們將限定指定的管理人員登陸，另一方面我們適當(dāng)調(diào)整管理者登陸系統(tǒng)之后的限定權(quán)限，以免發(fā)生網(wǎng)站后端被攻擊的事件。基于學(xué)習(xí)的主動(dòng)模式目的是為了建立一個(gè)安全防護(hù)模型，一旦行為有差異則可以發(fā)現(xiàn)，比如隱藏的表單、限制型的Listbox值是否被篡改、輸入的參數(shù)類型不合法等，這樣在面對(duì)多變的攻擊手法和未知的攻擊類型時(shí)能依靠安全防護(hù)模型動(dòng)態(tài)調(diào)整防護(hù)策略。

6.梭子魚提供簡(jiǎn)明維護(hù)的平臺(tái)；經(jīng)過(guò)長(zhǎng)期的了解和溝通，高校的網(wǎng)絡(luò)管理者非常青睞于梭子魚簡(jiǎn)明的維護(hù)平臺(tái)和日志系統(tǒng)。一般經(jīng)過(guò)簡(jiǎn)單的培訓(xùn)，他們便可以輕松的查看網(wǎng)站的安全隱患和輕松的進(jìn)行安全加固。

效果及用戶評(píng)價(jià)：

網(wǎng)站安全問(wèn)題成為高校開(kāi)展電子信息服務(wù)日益關(guān)注的焦點(diǎn)。對(duì)于客戶而言，需要的不僅僅是網(wǎng)絡(luò)安全設(shè)備，更需要具備快速應(yīng)急響應(yīng)、豐富實(shí)踐經(jīng)驗(yàn)和強(qiáng)大技術(shù)實(shí)力的合作伙伴，為其提供專業(yè)完善的網(wǎng)站應(yīng)用安全解決方案。梭子魚網(wǎng)絡(luò)有限公司以專業(yè)的產(chǎn)品和服務(wù)，贏得了客戶的贊譽(yù)。

更多梭子魚WEB應(yīng)用防火墻及其成功案例，請(qǐng)登陸官方主頁(yè):www.barracudanetworks.com.cn (國(guó)內(nèi))。