基于高校私有云的WAF研究

邓 静，龚 剑

1.安徽建筑大学信息网络中心，安徽合肥，230601；2.安徽建筑大学体育教学部，安徽合肥，230601；

基于高校私有云的WAF研究

邓 静1，龚 剑2

1.安徽建筑大学信息网络中心，安徽合肥，230601；2.安徽建筑大学体育教学部，安徽合肥，230601；

WAF(Web Application Firewall)即Web应用防护系统，用以解决互联网上针对Web应用发起的诸多网络攻击带来的安全问题。高校私有云是把复杂的校内机构、多个应用系统等复杂的东西遮盖起来，只对学校或机构内部人员提供云服务。目前在高校私有云平台上的web应用系统存在负载不均衡、数据篡改与泄露、拒绝服务攻击等各类安全隐患问题。以旁路方式搭建的具有负载均衡功能的WAF对访问web应用系统的用户进行合理的服务分配与安全检测与过滤，实现云平台上web应用安全漏洞的防护。

私有云；WAF；负载均衡；网络攻击

高校云是把复杂的校内机构、多个应用系统等复杂的东西遮盖起来，用以实现更高层次的应用逻辑，从而吞噬高耗能、不合理的系统。基于云服务提供者与使用者之间的所属关系，云平台可分为公有云、私有云与混合云。高校私有云是由单个高校或机构承建，只在学校或机构内部使用的专用云环境[1]。高校私有云只对学校或机构内部人员提供云服务，并不对外开放，服务范围往往与高校或机构本身的业务相关。Web应用是高校私有云提供的重要服务，但在校园网的交互性、开放性以及在Web应用设计对信息的保密和系统安全性考虑不够完善的情况下，Web服务易受攻击、访问速度慢、审计分析能力弱等问题影响了Web应用的高速发展。WAF(Web Application Firewall)即web应用防护系统，工作在OSI七层模型的应用层，用以解决互联网上针对Web应用发起的诸多网络攻击带来的安全问题。WAF是在允许访问Web之前，对来访的内容进行有效的分析和识别，将木马、钓鱼等不安全内容进行过滤处理，从而达到净化的作用。私有云平台上的WAF主要是将以往的物理服务器转换为私有云平台上的虚拟服务器，并通过以旁路方式搭建的具有负载均衡功能的WAF对来访的用户进行合理的服务分配，并实现安全漏洞上的防护。

1 基于私有云的Web应用系统安全隐患

Web应用通常由C/S(Client/Server)模式和B/S(Browser/Server)模式构建，采用超文本传输协议规定节点之间信息传输的语义、语法和时序。Web应用系统即提供访问者浏览的演示型静态网页，又提供由服务器端运行处理的具有实时互动的动态网页[2]。

1.1 网络层安全隐患

网络体系结构本身的不完善性是基于网络层攻击屡见不鲜的深层次原因，国际上普遍应用的TCP/IP、SMTP、Telnet、FTP等协议由于计算机和通信技术发展阶段与水平不同，安全漏洞在协议设计之初就存在其中。利用其漏洞，否认服务、IP欺骗攻击、拒绝服务、数据非法截取及数据非法纂改是网络层存在的主要攻击方式。分布式拒绝服务(DDos)是目前主要存在于Web应用系统上的网络攻击行为,安徽各高校的Web服务器也多次遭受到DDos攻击。这类攻击主要利用大量被植入木马的肉机发出虚假请求,以致接受请求的Web服务器耗尽资源，无力负荷,导致用户不能访问[3]。

1.2 Web Server层

动态网站具有交互性和实时性的特点，动态网页运行原理是根据浏览者提出的访问请求，在服务器端运行相应的脚本程序，将执行的结果网页发送回浏览器端，攻击者利用其互动操作获得非法权限，攻击其应用服务器。

1.3 数据库层

Web应用和数据库技术密不可分，高校里诸多Web应用系统如教学管理系统、学工管理系统、电子政务系统都需要数据库的支持。基于B/S模式下的访问形式，数据库的安全策略配置不合理、用户口存储安全问题以及数据库软件存在的“后门”都让数据库层的安全受到威胁。

1.4 应用程序层及客户端层

应用程序层及客户端层位于OSI分层模型的最高层，与用户直接交互，因而应用层上的漏洞暴露在网络攻击者的最前端，Web应用系统程序上的任何bug都会是恶意代码注入的窗口。应用程序的安全性是保证只有合法的用户才能够对特定的数据进行合法的操作, 一是保证应用程序对数据的合法权限; 二是保证应用程序对用户的合法权限[4]。

2 高校私有云平台上的WAF

2.1 拓扑结构图的改变

以安徽某高校为例，多台物理服务器移植至高校私有云平台改变其原有拓扑结构，将校内私有云平台上WAF进行相应调整，图1是物理服务器的WAF防护拓扑图，图2是高校私有云平台上的WAF防护拓扑图。

图1中，WAF通过光纤接入核心交换机，三台物理Web服务器连接到WAF，Web服务器其分别使用独域名jw1.aiai.edu.cn、jw2.aiai.edu.cn、jw3.aiai.edu.cn，师生通过域名访问服务器时由WAF进行检测，发现攻击立即阻断。

图2 高校私有云平台上的WAF拓扑图

图2中,高校私有云平台的虚拟Web服务器由三台增加到多台，虚拟Web服务器分别设置校内IP地址，云平台可以根据业务需要动态增减虚拟服务器的数量，而不需要增加任何成本。WAF设置IP为219.231.0.180并绑定jw1.ahjuz.edu.cn域名。学校师生通过域名访问Web服务器，WAF首先对其访问请求进行安全检测，通过检测的访问请求给予放行并分配给相应虚拟服务器。由于云平台上运行众多服务器，WAF拓扑结构调整为旁路接入，即不会影响其他服务器的运行，又有效地对需要进行防护的虚拟Web服务器进行了安全防护。

2.2 负载均衡

高校应用服务器会出现短时间内访问量剧增的状况，比如选课时期，教务Web的请求连接数能达到3000/1s，如不进行Web防护，多台Web服务器无法在短时间承受巨大的访问量，造成服务器无法正常响应[5]。为了解决这一问题，使用WAF对多台虚拟服务器进行负载均衡。WAF作为服务器前的安全设备，提供负载均衡功能的同时，必须考虑服务器的安全特性，而且Web服务器作为最前端的业务是负载均衡模块和安全考虑的重点。

负载均衡有三种模式：压力分发、源ip分发、平均分发，高校Web应用登录形式多为验证码形式，如果选择平均分发模式，WAF将请求发给一台虚拟服务器后，验证码会随机分发给另一台虚拟服务器，造成师生用户登录时会出现验证码出错而无法登录的情况。同时，高校为提高校园网的安全性，在外层防火墙上将所有的校内用户ip都转换成NAT池里的同一个ip进行访问。如果Web防护使用源ip模式进行分发请求，则会出现所有校内用户都分发至同一虚拟Web服务器，造成服务器压力过大而无法正常响应。经过测试，最后设置为压力形式进行分发，WAF根据虚拟服务器各项压力参数来进行请求任务数的分发，从而实现多台虚拟Web服务器的负载均衡。

2.3 典型网络攻击防护2.3.1 防护DDos攻击

高校的Web应用遭受DDos攻击的次数逐年上升。Web防护采用如图3所示的主动监测加被动跟踪相互结合的防护技术，将所有提交到Web服务器的Tcp/Ip请求以混合流量进入Web防护系统，启动DDos引擎对Tcp/Ip请求进行采样、分析，并模拟执行，将分析结果与攻击特征库中的规则进行匹配[6]。若发现攻击特征值，判定为异常流量，进行清洗并启用阻断，实现对DDoS攻击的过滤和防护，从而确保服务器可以正常提供服务。

图3 DDOS防护引擎结构图

2.3.2 网页防篡改

信息篡改是网络通信里较为突出的安全问题，为了防止从网关防护的残余进入Web系统，WAF里的防篡改监测组件嵌入到操作系统内核中，以事件触发方式对网页文件内容进行自动监测。防篡改监测组件随机摘取网页数据特征字符串，经散列函数产生定长的散列值，通过散列值进行实时监测，若发现网页数据变更，立即阻断篡改行为[7]。

2.4 多维防护体系

为了防护不同层次的网络攻击，WAF采用特征值检测技术形成攻击特征规则库，并将其固化于系统中，对目前主要的网站攻击手段进行有效防护。

2.4.1 缓冲区溢出攻击及防护

缓冲区是内存或是操作系统预先划定的一定区域的外存存储空间,用来存储事先确定的、有限数据的存储区域[9]。当某个程序试图将大于缓冲区容量的数据写入其中时，就会发生缓冲区溢出，从而导致数据泄露、系统崩溃等不安全问题。Web用户提交的数据首先经WAF检查，如果与WAF内置的特征规则库里的攻击参数相匹配，立即发现并阻断攻击行为。

2.4.2 SQL注入攻击及防护

SQL注入攻击是由于Web应用系统开发者在B/S模式下编程时，没有进行用户输入数据合法性检测，从而导致安全问题。SQL注入具有较强的隐蔽性，它同正常的Web一样通过80端口访问服务器，所以在访问形式上与一般网页完全相同，这类攻击行为在很长一段时间内都不易被察觉。WAF针对SQL注入进行基于特征规则库的分析与识别，并对于攻击者在注入代码的逃逸检测手段模块进行有效识别，一经发现立即阻断并告警。

2.4.3 跨站漏洞攻击及防护

跨站漏洞攻击也称为跨站脚本攻击，这类攻击对象以静态网页为主，攻击者将其编写的恶意脚本代码嵌入在html静态页面的head部分，当用户访问置入恶意代码的网页时，脚本代码会自动执行，可能导致用户帐号被盗、网站权限被截获等安全问题。

2.4.4 其他网站攻击及防护

对于蠕虫及其变形类的网站攻击，WAF从两方面来进行防护：一是破坏蠕虫实体的组成部分，瓦解其完整性，从而起到阻断蠕虫的破坏作用；二是破坏蠕虫某个功能组成部分，使其不能正常运行。对于混合型攻击，WAF进行多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率，同时有效避免告警误报率高为用户带来的告警风暴。对于不符合RFC标准的畸形包，采用协议异常检测技术，进行识别和过滤。

3 结束语

高校私有云平台上的Web应用仍然存在来自网络的各类恶意攻击，对Web服务器的安全性造成了极大的威胁。为解决这一问题，将WAF部署在云平台上，在允许用户访问Web之前，WAF将可能存在的攻击特征与特征库中的规则进行匹配，可以有效规避恶意客户端对Web的网络攻击，增强高校Web应用的整体安全性。

[1]王庆波,金氵幸,何乐等.虚拟化与云计算[M].北京：电子工业出版社,2009：123-124

[2]李馥娟.从频发的信息泄露事件分Web服务安全[J].信息网络安全，2012(7):84-85

[3]张安杰，张碌，李军怀，等.Web信息系统安全研究与应用[J].西安理工大学学报,2007(6):205-206

[4]田永.信息系统的安全评估方法[J].宿州学院学报,2007,22(4)：91-92

[5]李莉，翟征德.一种基于Web应用防火墙的主动安全加固方案[J].计算机工程与应用,2011,47(25):104-106

[6]彭淮光.谈计算机网络的安全问题[J].宿州学院学报,2009,24(1):99-101

[7]李新.高校Web管理安全的研究[J].科技管理研究,2010(1):105-106

[8]贺红,徐宝文.Web信息系统的安全隐患与网络管理员对策[J].计算机工程与应用2005(18):151-153

[9]傅建明，彭国军，张焕国.病毒分析与对抗[M].武汉：武汉大学出版社，2009:155-157

2013-10-30

安徽省教育厅人文社会科学重点研究基地“宿州学院大学文化研究中心”一般项目‘大学文化体系及构建研究'(SK2012B608)。

邓静(1980-)，女，四川眉山人，硕士，讲师，主要研究方向：计算机辅助教育。

10.3969/j.issn.1673-2006.2014.01.023

TP391.9

A

1673-2006(2014)01-0080-03

(责任编辑汪材印)