冯贵兰，李正楠

（1.中国民航飞行学院现代教育技术中心，广汉 618307；2.中国民航飞行学院航空工程学院，广汉 618307）

Web应用防火墙在高校网站系统的应用研究

冯贵兰1，李正楠2

（1.中国民航飞行学院现代教育技术中心，广汉 618307；2.中国民航飞行学院航空工程学院，广汉 618307）

随着教育信息化的发展，校园网中对外提供的Web应用服务越来越多，如何保证这些Web应用的安全是当前网络管理员面临的最大问题。根据高校Web应用的安全状况，介绍Web应用防火墙保障高校网站系统安全的配置方案。该方案屏蔽外部网络针对Web应用的攻击和入侵，保障校园网内Web网站的安全。

0 引言

随着教育信息化的发展，校园网中对外提供的Web应用服务越来越多。这些网站和应用系统是教学、管理和科研的重要平台，在给师生带来便利的同时也面临着严重的安全问题。为保护校园内部网络，高校都配置安装了安全防护设备 （如：防火墙、入侵检测系统）。但是，随着网络技术不断成熟，网络工具不断更新，攻击手段层出不穷，特别是XSS跨站攻击和SQL注入，严重威胁了学生信息、教师信息[1]。而当前校园网内部署的防火墙一般工作在网络层，无法阻止黑客对应用层的攻击。因此，高校需要部署Web防火墙，将对外服务的网站纳入Web防火墙的保护之下，对应用层的数据包进行扫描和过滤，及时有效阻断不合法入侵的连接、断掉Internet上不合法入侵的途径，保证 Web网站的安全[2]。

1 Web应用防火墙概述

Web应用防火墙 （英文Web Application Firewall，简称：WAF），是指通过执行一系列针对HTTP/HTTPS的安全策略专门对Web应用提供保护的产品。它主要用于防御针对应用层的攻击，如SQL注入、网页篡改、网站挂马、资源盗链等，对用户发起的访问请求进行检测和验证，保证用户的合法性，对不合法的用户及时阻断，从而有效保护Web应用[3]。

WAF就像网站服务器的防护卫士，对网站的防护分为如下三个阶段：（1）事前：Web漏洞扫描。使用WAF内置的扫描工具，能够扫描出网站漏洞，得到安全等级评估，提醒用户提高安全意识。（2）事中：策略配置、自学习策略。通过配置各类策略，WAF能够根据用户需求实时保护服务器，如阻止黑名单进入，允许白名单通过。通过配置自学习策略，可以使WAF对站点数据和流量特征进行学习，从而配置精准的白名单策略，实现对服务器更精准的防护。（3）事后：安全交付。即使攻击者冲破事前和事中防护，将网页内容恶意篡改，WAF通过防篡改策略屏蔽篡改内容，保护 Web服务器上的文件，让用户获取到正常的Web页面。

总体来说，使用WAF有以下优势：

（1）降低数据泄漏风险

Web应用的数据展示主要是通过数据库，攻击者通过SQL注入等方式入侵数据库，窃取用户名、密码等重要数据。WAF可以检测HTTP、HTTPS协议的数据包，使用配置好的规则策略来过滤。WAF的过滤和合法性检查功能，降低了用户信息泄露的可能性。

（2）提高Web服务可用性

分布式拒绝服务攻击[4]对Web服务可用性的威胁最大，WAF开发了DDoS防护模块，可以在线过滤此类攻击，与 SQL注入防护等功能一起使用，提供从网络层到应用层的攻击过滤，提高Web服务可用性。

（3）控制恶意访问

自动化攻击工具（如：Zeus、Blackhole等）能制造大规模恶意访问，将严重影响Web应用的正常使用。WAF可以进行访问控制，包括HTTP访问控制、识别攻击工具、阻止不合法文件上传和下载，防止资源盗链和网路爬虫等。

（4）保护Web客户端

当用户访问网站时，如果该站点是被跨站脚本攻击后伪造的，用户就不会再访问这个网站了。所以，保护Web客户端也是高校网络管理员的责任和义务。WAF系统可以提供CSRF防护、XSS防护、Cookie签名和加密等安全策略，保护Web客户端。

2 Web应用防火墙在高校网站系统的应用

高校网站系统遭受网络攻击的次数逐年上升，如SQL注入攻击、XSS攻击等，使得网站被篡改、挂马，甚至被封，严重影响了师生员工正常访问高校网站，因此需要部署Web应用防火墙提高网站安全性。在高校中，选择哪种类型的Web应用防火墙必须根据自身需求和校园网环境。本文所用的是绿盟WAF NX3-P1600B-C。WAF在高校网站系统的应用核心在于防护策略配置和日常管理。

（1）防护策略配置思路

通常情况下，被防护的服务器在WAF界面以站点的形式进行管理。站点防护的简要配置是添加站点>生成自学习策略树>引用默认策略>引用策略，也可以在配置过程中创建自学习策略或创建自定义规则。以网页篡改防护的原理和具体配置为例，阐述WAF防护策略配置思路。

WAF的网页篡改防护是基于代理模式的。WAF先从网站上将用户通过页面预取管理配置设定要保护的网页内容直接抓取下来保存到本地。通用防篡改配置规定了篡改防护的页面的条件，在缓存更新时间内WAF会定期的从网站抓取篡改防护的页面，与WAF本地的页面进行比较，如果有差异，则判定为发生网页篡改。配置网页防篡改步骤如下：

①启用页面预取管理功能

通过页面预取管理，WAF首先从Web服务器上抓取页面内容，在用户浏览网页时，读取的是WAF上抓取的网页内容。一旦Web服务器上网站被黑客篡改，用户访问的网页内容还是正确的。选择菜单安全管理>安全交付 >页面预取管理，进入页面预取管理配置界面，启用页面预取管理功能。

②新建页面预取任务

WAF执行篡改防护时，需要从网站上抓取要保护的网页内容。要获取哪些网页，是通过设置页面预取管理配置策略完成的。添加页面预取任务的操作如下：单击【新建】按钮，弹出新建页面预取任务对话框，输入页面预取任务名称、域名、IP地址等信息，启动页面预取任务。

③编辑通用防篡改配置

选择菜单安全管理 >安全交付 >防篡改配置 >通用防篡改配置，进入通用防篡改配置界面，配置通用防篡改参数。

（2）日常管理

安全是一个动态的过程，在任何时候，发挥安全设备最大作用的方法是有效使用和维护安全设备[2]，所以对Web应用防火墙的日常管理建议如下：

①定期系统升级，强化系统功能。

②规则进行升级，通过增加内置规则库的文件，提高系统的防护效果。

③备份还原。对Web应用防火墙启用还原点备份功能，一旦WAF出现异常情况，配置信息（例如安全管理和系统管理下用户的策略配置和系统配置等）损坏后，可以通过创建的还原文件，恢复配置，实现还原。

④每隔一段时间查看Web应用防火墙上的防护日志，及时处理入侵事件，把恶意IP加入黑名单。对不能解决的入侵事件，联系WAF厂商协助处理。

⑤定期检查防护策略是否有遗漏，是否做到了站点防护。

3 结语

高校的网站系统面临着来自互联网的各种恶意攻击，这些攻击会带来高校Web访问不稳定、网页被篡改、重要数据泄露等种种问题。因此，高校部署Web应用防火墙非常有必要，它代理了应用层的流量，屏蔽了外部针对应用层的攻击和入侵，与校园网防火墙、上网行为检测系统等一起构成安全屏障，较好地解决了现有网络所面临的安全威胁。

[1]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代,2009(11):21-23.

[2]赵磊,孙海星.WAF在企业网站系统中的应用研究[J].工业技术创新,2015(3):330-333.

[3]罗广华.浅谈Web应用防火墙[J].技术与市场,2011,18(8):9-9.

[4]林梅琴,李志蜀,袁小铃,等.分布式拒绝服务攻击及防范研究[J].计算机应用研究,2006,23(8):136-138.

[5]张玉清．网络攻击与防御技术[M]．北京：清华大学出版社，2011．

[6]赵磊,孙海星.WAF在企业网站系统中的应用研究[J].工业技术创新,2015(3):330-333.

[7]焦丛蓉.Web应用防火墙在高校图书馆的应用[J].黑龙江史志,2013(15):184.

[8]相景丽.基于Web应用防火墙的校园网设计方案[J].山西电子技术,2016(1):68-69.

[9]邓静,龚剑.基于高校私有云的WAF研究[J].宿州学院学报,2014,29(1):80-82.

[10]陈九忠,王皓.Web应用防火墙的应用及安全性分析[J].电子技术与软件工程,2013(20):249-249.

Research on the App lication ofWeb App lication Firewall in University Website System

FENG Gui-lan1，LIZheng-nan2
（1．Modern Education Technology Center,Civil Aviation Flight University of China,Guanghan 618307；2．Aviation Engineering Institute,Civil Aviation Flight University of China,Guanghan 618307）

With the developmentof educational information,the universities providemore and moreWeb application services,how to ensure that the security of theseWeb applications is the biggest problem facing the network administrator.Based on the security situation ofweb applica鄄tion in the universities,introduces the configuration scheme of Web application firewall to guarantee the security of university Website system.The scheme shields the external network forweb application attacks and intrusion,to protect the university Website security.

中国民航飞行学院青年基金项目（No.Q2014-118）

冯贵兰（1988-），女，四川自贡人，硕士，工程师，研究方向为云计算、信息安全

2017-02-28

2017-04-15

1007-1423（2017）13-0023-03

10.3969/j.issn.1007-1423.2017.13.006

网络安全；Web应用防火墙；高校

李正楠（1985-），男，四川绵阳人，学士，助理研究员，研究方向为学生管理

Network Security;Web Application Firewall;Web Application