摘 要 为加强校园信息系统的安全防护 文章首先对WAF 的基本原理及应用场景进行分析 并归纳了WAF 的5 种部署模式 即监听部署 串联部署 单臂部署 反向代理部署 牵引部署模式 在此基础上 结合策略类型和策略适用情况 提出了适用于校园信息系统的精细化策略 以保证学校信息系统的安全运行

关键词 校园信息系统 WAF精细化策略

中图法分类号tp393   文獻标识码a

随着互联网技术的不断进步，网络安全问题日益突出。根据２０２２ 年互联网信息中心的公开数据，２０２１ 年我国Ｗｅｂ 安全问题突出，其中信息系统安全漏洞超１４０ ０００ 个，遭到拒绝服务攻击７５ ３００ 起。校园网络安全对学校的日常教学、运行具有重要意义，为防止网络攻击，可采取部署ＷＡＦ 防火墙的措施，以加强信息系统的安全防护［１］ 。

１ ＷＡＦ 的原理及应用

１．１ 基本原理

在国家网络安全等级保护测评中，ＷＡＦ 是必须配备的安全设备［２］ 。ＷＡＦ 防火墙即Ｗｅｂ ＡｐｐｌｉｃａｔｉｏｎＦｉｒｅｗａｌｌ，具有丰富的策略类型，可根据不同的需求，部署多种模式。ＷＡＦ 能够按照既定的策略对网络系统进行防护，识别攻击、深度检测流经Ｗｅｂ 应用的流量［３］ 。但由于网络系统的复杂性，不同类别的Ｗｅｂ应用需要与之相适应的防护措施。因此，ＷＡＦ 须根据网络系统的实际需求，对防范策略进行精细化匹配。

１．２ 应用

与传统防火墙相比，ＷＡＦ 可对Ｗｅｂ 应用协议流量进行智能分析和实时监测识别，可有效地解决各类问题，保护网络信息系统。ＷＡＦ 的防护可应用于Ｗｅｂ 应用程序、应用框架和Ｗｅｂ 服务发起的常见攻击，如跨站攻击、网页篡改、ＤＤｏＳ 攻击、恶意软件、注入攻击、缓冲区溢出、应用层ＣＣ 攻击、漏洞攻击、信息泄露和脚本木马等［４］ 。

２ ＷＡＦ 的部署模式

根据ＷＡＦ 在网络系统中不同的应用场景和位置，部署模式通常分为５ 种，分别是：监听部署、串联部署、单臂部署、反向代理部署、牵引部署［５］ 。通常情况下， ＷＡＦ 进行混合模式部署，如图１ 所示。

２．１ 监听部署

监听部署模式接入网络的方式为旁路三层通信接口，当需要对流量进行分析时，ＷＡＦ 首先采用镜像的方式进行获取，待分析完成后将结果输出［６］ 。这样既可以达到监听的目的，也不会对网络系统的流量造成影响。当出口防火墙与ＷＡＦ 联动部署时，多采用监听模式。在监听过程中，若检测到网络系统受到攻击，则出口防火墙将会收到ＷＡＦ 报送的ＩＰ 地址，并对其进行阻断。

２．２ 串联部署

串联部署模式如图２ 所示，其接入网络的方式为串联二层透明（桥接）［７］ 。在该模式中，ＷＡＦ 安全防护的方式为快速识别、拦截网络流量中的Ｗｅｂ 应用流量。该模式可有效防护流经所有Ｗｅｂ 应用的流量且无需对网络设备配置拓扑进行改变，ＷＡＦ 对Ｗｅｂ 服务器、客户端等不可见，是目前大多数校园网络的部署方式。

２．３ 单臂部署

单臂部署模式的工作方式类似于反向代理模式，接入网络的方式与监听部署模式相同［８］ 。采用该模式，当ＷＡＦ 出现故障时不会对整个网络造成影响，可以均衡Ｗｅｂ 服务器的负载。

２．４ 反向代理

反向代理模式接入网络的方式为串联三层通信接口［９］ 。在该模式下，通过配置ＩＰ 地址，在进行安全防护处理后，ＷＡＦ 再与Ｗｅｂ 服务器通信；而Ｗｅｂ 客户端可直接与ＷＡＦ 进行通信。通过该模式，ＷＡＦ 能够均匀提高Ｗｅｂ 服务器的负载，从而提升访问速度。该模式具有安全性较好的特点，但也存在较大弊端，即ＷＡＦ 发生故障将会影响整个Ｗｅｂ 服务器。

２．５ 牵引部署

牵引部署模式的网络接入方式为旁路接入。在该模式中，首先通过路由器将Ｗｅｂ 访问流量传输至ＷＡＦ；处理完成后，ＷＡＦ 再经路由器，将流量传输至Ｗｅｂ 服务器。该模式的缺点是：ＷＡＦ 配置复杂，须为Ｗｅｂ 应用创建牵引路由。该模式的优点是：部署速度快，既能够对Ｗｅｂ 服务器进行安全防护，又能减小对网络系统的影响。

３ ＷＡＦ 精细化策略

３．１ 策略类型

ＷＡＦ 对Ｗｅｂ 进行安全防护的策略为不同攻击类型的防护规则，即当某种攻击流量属于某种规则时，ＷＡＦ 就会对其检测识别并采取处理措施。策略主要包括以下８ 种：用户会话跟踪策略、ＩＰ 防护策略、虚拟补丁策略、内容改写、ＡＰＩ 防护策略、自学习策略、访问控制策略、安全策略。

３．２ 策略适用情况

ＷＡＦ 可设置通用策略，若Ｗｅｂ 应用数量过多，则防护类型的需求也就越大，在此情况下，通用策略则不能满足要求。通常情况下，校园网络开放的信息系统包括课程中心、门户主页、教务管理、网办大厅、部门院系网、实验室预约、新闻网和统一身份管理等。网站的交互式功能包括文件上传和下载、动态和静态页面、提交表单、信息系统账号登录等。这些网站采用不同的ＴＣＰ 服务端口，通常在不同类型的Ｗｅｂ 应用上部署。因此，需分析不同的业务场景、系统功能和应用类型，从而匹配适用的ＷＡＦ 策略，最终实现策略精细化。

３．３ 策略设置方式

在策略初始设置时，可选择宽松、常规、严格检测和调试４ 种通用策略，这４ 种策略级别由低到高。其中常规检测可适用于大部分业务场景。策略配置时，可通过收集用户反馈、剖析Ｗｅｂ 场景以及分析系统防护日志等方式，找到适用的策略，以达到最优的防护效果。

（ １）对预定义规则的参数阈值进行调整，ＷＡＦ 安全策略预定义包括以下７ 种类型的防护规则，分别是：恶意软件、探测访问、ＨＴＴＰ 协议异常、信息泄露、特殊漏洞攻击、跨站攻击、注入攻击。这些防护规则既可以调整阈值，也可以发现新的漏洞或对新型的攻击进行自定义防护。

（２）Ｗｅｂ 应用防篡改防护方法为开启防篡改策略，通过对网页基线文件进行周期性校验，以防止Ｗｅｂ 应用被非法篡改。

（３）排查私设未备案或疏漏未防护的Ｗｅｂ 应用的方法：开启定时Ｗｅｂ 应用发现策略，对协议流量进行监测，檢测２００，３０１ 等响应代码，将非法的Ｗｅｂ 应用加入防护列表。

（４）由于目前采用的ＴＬＳ１．１，ＴＬＳｖ１．０ 和ＳＳＬｖ３ 协议版本过低，容易被攻击，存在安全漏洞，因此需要修改为更高版本的协议，如ＴＬＳｖ１．３，ＴＬＳｖ１．２ 等。

（５）对于夜间访问量较少的网站或信息系统（如课程中心、实验室预约、教务管理等），设置Ｗｅｂ 应用访问时间策略。通过ＷＡＦ 设置，在００：００ 至７：００，仅允许校园网访问，关闭互联网访问权限，从而减少被攻击的风险。

（６）为防止Ｗｅｂ 应用ＩＰ 地址被假域名访问，对ＷＡＦ 进行设置，拒绝错误域名访问，仅允许Ｗｅｂ 应用的正确域名对ＩＰ 地址进行访问。

在交互式功能的信息系统中，若有表单数据提交功能，则需将恶意行为策略的ＰＯＳＴ 频次阈值调高；若有上传或下载文件功能，则需将允许上传下载文件的策略开启；若有后台管理功能，则需将不允许被互联网访问的管理网站屏蔽。

（７）对ＷＡＦ 分析报表和系统防护日志进行定期查阅，查阅频率可根据实际需求确定。通过ＷＡＦ 黑名单策略阻止存在风险的ＩＰ 地址。

（８）开启响应体内容检测策略。不仅对Ｗｅｂ 用户发送给服务器的内容进行检测，针对重要的信息系统，还应该通过该策略，对服务器发送给Ｗｅｂ 应用的信息进行排查。

４ 结束语

ＷＡＦ 在国家网络安全等级保护测评中，是必须配备的安全设备，具有广泛的应用场景。ＷＡＦ 的部署模式有：监听部署、串联部署、单臂部署、反向代理部署、牵引部署。在进行策略设置时，需根据策略类型、策略适用性和网络系统的需求进行综合考虑。

参考文献：

［１］ 王乐．基于ＷＡＦ 的高校信息系统ＨＴＴＰＳ 加密传输部署［Ｊ］．网络安全技术与应用，２０２３（１）：１８?２０．

［２］ 何杰，蔡瑞杰，尹小康，等．面向Ｃｉｓｃｏ ＩＯＳ?ＸＥ 的Ｗｅｂ 命令注入漏洞检测［Ｊ］．计算机科学，２０２３，５０（４）：３４３?３５０．

［３］ 李露，魏学明，李峰．配网终端Ｗｅｂ 通信安全架构设计［Ｊ］．自动化仪表，２０２２，４３（１２）：８６?９１．

［４］ 高峰．大数据时代视频网站策略研究［Ｊ］．中国新通信，２０２２，２４（２０）：５３?５６．

［５］ 郑楷，田秀霞，卢官宇，等．基于聚类和重排序的ＸＡＣＭＬ 策略评估优化方法［Ｊ］．计算机仿真，２０２２，３９（１０）：５１９?５２５．

［６］ 韦磊，宁玉文，高东怀，等． ＨＴＴＰＳ 协议下的高校Ｗｅｂ 应用防火墙部署模式研究［Ｊ］．自动化与仪器仪表，２０２１（１２）：１０９?１１２＋１２４．

［７］ 宫旭，唐晓梅．中国计算机用户协会网络应用分会２０２１ 年第二十五届网络新技术与应用年会论文集［Ｃ］ ／ ／ 中国计算机用户协会网络应用分会：北京联合大学北京市信息服务工程重点实验室，２０２１：２８４?２８７．

［８］ 王乐．Ｗｅｂ 应用系统加入ＷＡＦ 故障诊断方法研究［Ｊ］．网络安全技术与应用，２０２０（１１）：２２?２４．

［９］ 张林．Ｗｅｂ 应用防火墙关于ｇｚｉｐ 文件的检测研究［Ｊ］．电子设计工程，２０２０，２８（１９）：１１３?１１７＋１２５．

作者简介：

白杨（１９９３—），硕士，助教，研究方向：物联网技术。