相景丽

(山西职业技术学院计算机工程系，山西 太原 030006)



基于Web应用防火墙的校园网设计方案

相景丽

(山西职业技术学院计算机工程系，山西 太原 030006)

摘要：针对日益突出的Web网页安全问题和校园网对高网络带宽的升级需求，设计了一种基于Web应用防火墙的校园网组网方案，该方案既能有效防御针对网络应用层的攻击，还可以防护大量的未知攻击，最大程度的保护Web应用系统的安全，同时通过核心交换机的端口聚合和vlan划分，不但提高了网络带宽，而且对校园的财务系统进行了有效隔离。实践表明，这种方案针对中小规模的校园网应用非常高效、经济。

关键词：网络安全；校园网规划；Web应用防火墙

随着互联网技术的发展，Web技术得到了日益广泛的应用，越来越多的企业和单位对网络的带宽提出了更高的需求，但同时Web安全威胁已经进入快速发展阶段。据Forrester统计[1]，2013年有超过半数的企业的Web应用被泄露，其中不少因此遭到严重的财务损失。近年来，企业安全事件屡见报端：2011年，多家公司和政府网站被黑客攻击；2012年的DDoS攻击令众多美国银行网站瘫痪；更不用提那些造成数百万用户信用卡信息泄露的网络安全事故了。传统的网络安全防护体系如防火墙，入侵检测系统已无法招架，如今的黑客Web的攻击手段也日新月异，如XSS跨站攻击、网站SQL注入，导致网页被篡改、网站被查封，这些攻击手段甚至使Web成为传播木马给浏览网站用户的一个载体。如何能应对新形势下的网络攻击是每个单位和企业需要迫切解决和面对的难题。

1Web应用防火墙

1.1Web应用防火墙简介

Web应用防火墙，也被称为网站应用级入侵防御系统(Web Application Firewall，以下简称：WAF)，按照国际公认的定义，WAF是指通过执行一系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的产品。它主要用于防御针对网络应用层的攻击，例如SQL注入攻击、跨站脚本攻击、命令注入攻击、Cookie/Session劫持、参数篡改、缓冲溢出攻击、日志篡改、应用平台漏洞攻击、DOS攻击、HTTP类攻击等攻击行为[2]。在众多的Web攻击方式中，SQL注入攻击和XSS跨站攻击能够更直接获取到用户数据，从这两种攻击方式出现一直到今天，都是一直高居OWASP TOP 1O，而未来攻击的发展趋势，XSS跨站脚本攻击会一直名列前茅，SQL注入攻击也不会随着防御意识的提高而消失。而这些攻击手段，尤其是XSS和SQL注入都是传统安全设备无法防御的安全威胁。WAF的定位是对原有信息安全架构下如网络防火墙，入侵防御系统等的一个有效补充，从而对企业信息系统的安全提供了有力的保障。

1.2Web应用防火墙和传统防火墙的区别

传统的防火墙是位于两个(或多个)网络之间，它们是实施网间访问控制的一组组件的集合，内部和外部网络之间的所有网络数据都必须经过防火墙，而只有符合安全策略的数据流才能通过防火墙，它工作在开放系统互连参考模型(OSI)的网络层，通过地址转换、访问控制机器的状态检测等功能，对企业网络层数据进行保护。对于应用最广泛的Web服务器，由于其工作在OSI的第七层即应用层，防火墙需要对外部网络完全开放HTTP/HTTPS应用端口，这种安全策略对Web应用没有任何的保护，因此基于网络层的防护和包过滤技术无法对应用层的攻击进行有效的栏截，没有很好的保护Web应用程序的能力。

WAF工作在ISO互联网参考模型的应用层，它的数据中心主要针对网络中新增加应用程序，新的软件模块进行相应的监听，发现不符合规则的访问，访问将会被阻止。对于现今常见的跨站脚本攻击、SQL注入攻击、DOS攻击、HTTPS类攻击等攻击行为都有很好的防御效果。

1.3Web应用防火墙的部署方式

Web应用防火墙的部署主要有透明模式、路由模式、旁路监控模式以及HA双击模式来满足用户的各种不同网络结构的应用需求[3]。

1) 透明部署方式

透明部署方式是在Web服务器和防火墙之间插入WAF，在透明模式下，Web应用防火墙只对流经OSI应用层的数据进行分析，而对其他层的流量不作控制，因此透明模式的最大特点就是快速、方便、简单。

2) 路由部署方式

部署网桥透明模式的WAF的设备，其“透明”概念与网桥透明模式中相似，可以将其看做一个路由设备，将其作为路由器进行部署，同时确保要检测的HTTP流量(指定IP和端口)经过WAF设备即可。这种部署模式是网络安全防护中保护程度最高的，但是需要对防火墙和Web应用服务的路由设置做出一定的调整，对网络管理员的要求较高。

3) 旁路部署方式

旁路部署模式是将WAF置于局域网交换机下，访问Web服务器的所有连接通过安全策略指向WAF。它的优点是对网络的影响较小，但是在该模式下，Web服务器无法获取访问者的真实IP地址。

4) 离线部署模式

离线模式下WAF的防护引擎，通常是部署在交换机的镜像口(需要交换机支持)上，其作为一个旁观者、监听者的角色，仅对HTTP数据流进行检测，并且记录访问和攻击信息，而不对攻击进行拦截。该种模式的优点是，可以不对现有的网络进行修改，并且对Web服务器的访问没有任何的影响，可以通过部署离线模式，了解网站的访问情况和攻击情况，并且调整WAF的配置参数，以适应Web服务器的具体情况，为后续部署其他工作模式做好准备。

2基于Waf的校园网设计方案

2.1校园网需求分析

山西职业技术学院是一所隶属于山西省教育厅的普通高等职业技术院校，学院下设四个学院，现有在校生1万余人。目前，随着招生规模的不断扩大，已有的网络带宽已经不能满足日益增长的需求，同时，校园网主要面临的两方面的安全问题，一方面来自因特网的攻击行为和攻击手段越来越严重，主要形式有：SQL注入、XSS攻击、网页篡改和木马上传，尤其是SQL注入和XSS攻击对学院的财务信息、教务信息、学生个人信息、教工信息会造成最为直接的威胁。另一方面，校园网内部用户的不规范行为也会对学院的财务信息的保护构成致命的威胁。基于以上实际情况，针对我院网络布局提出了新的需求：

1) 将已有的校园网的上行网络带宽从原来的1G提高到2G，从而满足更多用户的上网需求。

2) 从安全角度考虑，将财务部和其他部门的PC进行隔离。财务部的PC内部使用，不需要上网；

3) 在不增加更多预算的情况下，对学院的安全防御系统进行改造，从而提升校园网的安全防御能力。

2.2基于WAF的校园网设计方案

1) WAF的部署方式

在本设计方案中WAF部署采用网桥透明模式，如图1所示，该模式需要将WAF部署在交换机和Web服务器之间，使得WAF设备和Web服务器处于同一个局域网子网内。网桥透明模式下的WAF，是基于网桥工作的，可以将它看做是一个具有代理防护功能的集线器或者交换机设备，需要确保要检测的HTTP流量(指定IP和端口)需要流经该设备。WAF可以对指定的HTTP流量进行攻击识别和拦截。此外选用这种模式的一个更重要的原因是几乎不需要改动原来网络的拓扑结构，对于升级校园网系统非常的方便。

2) 增加了一台型号为s1526的H3C交换机，该交换机既能支持vlan划分，又具有端口聚合功能，其编号为25和26的两个端口为千兆端口，通过对25和26两个千兆端口的聚合使得校园网的上行带宽达到2 Gbps，满足了带宽提升的需求。针对财务部分的财务信息安全问题，在s1526交换机上做了基于端口的vlan划分，将其端口划分在vlan20中，这样保证了校园网内部的其它部门不能访问财务系统，把能够上网的用户划分在vlan10和vlan1中，同时分别把聚合端口25和26划分在vlan1和vlan10中，这样既限制了财务部门的人员因为访问因特网而带来的潜在安全风险，同时又实现了网络流量的负载均衡。远程计算机可以实现对s1526的远程配置和管理，方便了管理员的系统配置和管理。

图1　基于WAF的校园网的组网方案

3) WAF设备的选购

Web应用防火墙进入了IT安全领域的时间也就是最近十来年左右，最早提供这类产品的供应商是几家新兴公司，如Perfecto、KaVaDo和NetContinuum。早期产品存在诸多缺点，比如误报率高，给受保护应用的性能带来负面影响，又很难有效地管理。2005年前后，国内的大牌网络供应商或收购或开发了Web层监控技术，WAF随之成为一道公认的边界安全防线。目前商业化的WAF产品比较成熟，但是价格过高，一般的中小企业由于对安全问题的不够重视不愿花更多的钱购买。幸运的是国内外出现的一些开源、免费、非商业性的WAF软件包无论在性能上还是功能上都达到了一定的水准，基本上能满足中小企业的需求。我们计算机系的教师在国外的开源WAF包的基础上对界面和功能做了简单的二次开发，然后部署到校园网上，获得了较高的性价比。

3结束语

本文提出了基于Web应用防火墙的校园网设计方案，该方案在基本上不改变原有校园网拓扑和配置的基础上增加了校园网的上行带宽，有效的防御了来自互联网外部的Web攻击，同时通过增加智能交换机的vlan划分阻止了内网对学院财务信息的威胁。通过近一年来的网络运行监测数据显示，在增加了WAF设备以后，校园遭受互联网的Web攻击事件大大减少了，学院财务信息也没发生一次泄露事件，同时校园网的外网访问速度也明显得到了提升。

参考文献

[1]Editor008.网络安全的未来—WAF应当具备的十大特性[OL].http://www.d1net.com/security/news/278218.html，2014-08-03.

[2]张玉清.网络攻击与防御技术[M].北京:清华大学出版社,2011.

[3]姚琳琳.基于分布式对等架构的Web应用防火墙的设计与实现[D].桂林:桂林电子科技大学,2012.

Design Scheme of Campus Network Based on Web Application Firewall

Xiang Jingli

(DepartmentofComputerEngineering,ShanxiPolytechnicCollege,TaiyuanShanxi030006,China)

Abstract:In order to improving the network bandwidth of campus network and protecting the increasing issues on web page security, the article designs a scheme of campus network based on Web application firewall. The scheme can not only effectively prevent attacks from the network application layer, but also protect a large number of unknown attacks. So it provides a greatest protection for the security of web application system. By mean of port trunking and vlan dividing on the core switch, it can improves the network bandwidth and isolates the financial system from campus network effectively. The practice shows that this scheme is very efficient and economical for small and medium scale campus network application.

Key words:network security; campus network planning; Web application firewall

中图分类号：TP393.08

文献标识码：A

文章编号：1674- 4578(2016)01- 0068- 02

作者简介：相景丽(1970- )，女，山西运城人 讲师，硕士研究生，研究方向：网络安全，图像处理，人工智能。

收稿日期：2015-10-29