淺談Web應(yīng)用防火墻和傳統(tǒng)網(wǎng)絡(luò)防火墻共同構(gòu)建圖書館網(wǎng)絡(luò)安全

1、淺談Web應(yīng)用防火墻和傳統(tǒng)網(wǎng)絡(luò)防火墻共同構(gòu)建圖書館網(wǎng)絡(luò)平安摘要:本文針對(duì)Web應(yīng)用防火墻及其特點(diǎn)，結(jié)合圖書館網(wǎng)絡(luò)管理和應(yīng)用的實(shí)際,將Web應(yīng)用防火墻和傳統(tǒng)網(wǎng)絡(luò)防火墻相結(jié)合應(yīng)用于目前圖書館的網(wǎng)絡(luò)平安管理。論文關(guān)鍵詞：圖書館,Web應(yīng)用防火墻,網(wǎng)絡(luò)防火墻,網(wǎng)絡(luò)平安1.1 網(wǎng)絡(luò)攻擊現(xiàn)狀當(dāng)前，隨著高校教育信息化的高速開展，國(guó)內(nèi)大多數(shù)高校圖書館都部署了網(wǎng)絡(luò)平安防御設(shè)備，據(jù)統(tǒng)計(jì)，其中90的圖書館是選擇防火墻來防御黑客攻擊。隨著網(wǎng)絡(luò)技術(shù)的日趨成熟，網(wǎng)絡(luò)攻擊工具與手法也日趨復(fù)雜多樣，攻擊者已經(jīng)可以繞過這些傳統(tǒng)防火墻的過濾和防毒機(jī)制的掃描，他們已經(jīng)將攻擊手段從以往簡(jiǎn)單的端口掃描攻擊轉(zhuǎn)向通過應(yīng)用層協(xié)議進(jìn)入內(nèi)部網(wǎng)絡(luò)

2、，如黑客攻擊、蠕蟲病毒、SQL注入、跨站腳本、利用Web應(yīng)用平安漏洞等進(jìn)行攻擊。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心簡(jiǎn)稱CNCERT/CC2007年上半年的工作報(bào)告顯示網(wǎng)站漏洞百出，中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)。CNCERT/CC監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)到達(dá)28367 個(gè)，信息平安國(guó)際權(quán)威機(jī)構(gòu)SANS2007年發(fā)布的全球20大平安風(fēng)險(xiǎn)排行榜上，Web應(yīng)用平安漏洞名列前茅，最廣為被攻擊者利用的漏洞為SQL注入及跨站腳本。當(dāng)前，圖書館的很多核心業(yè)務(wù)都是依靠WEB效勞進(jìn)行的，如果圖書館web效勞遇到這樣的病毒攻擊并未能及時(shí)處理，其產(chǎn)生的巨大流量將導(dǎo)致圖書館web網(wǎng)絡(luò)擁塞，使

3、所有管理系統(tǒng)處于癱瘓狀態(tài)。1.2 傳統(tǒng)網(wǎng)絡(luò)防火墻的局限傳統(tǒng)的防火墻都是工作在網(wǎng)絡(luò)層，很少涉及網(wǎng)絡(luò)層以上局部的平安防御，據(jù)專家統(tǒng)計(jì)，目前75%的攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。傳統(tǒng)的防火墻主要基于IP報(bào)文對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，并且它不會(huì)檢測(cè)經(jīng)過 應(yīng)用端口的數(shù)據(jù)，因此，它不能對(duì)HTML應(yīng)用程序用戶端的輸入進(jìn)行驗(yàn)證、或是檢測(cè)到一個(gè)已經(jīng)被惡意修改正參數(shù)的URL請(qǐng)求。使得 應(yīng)用得不到任何的保護(hù)，無(wú)法防范針對(duì) / S發(fā)起的攻擊行為。這就使得圖書館即使部署了傳統(tǒng)的防火墻，圖書館的WEB效勞器仍然會(huì)遭到入侵。結(jié)合當(dāng)前網(wǎng)絡(luò)面臨的這些平安問題以及圖書館網(wǎng)絡(luò)平安防御現(xiàn)狀，筆者認(rèn)為單靠傳統(tǒng)的防火墻是不夠的，為了彌補(bǔ)目前

4、平安設(shè)備圖書館需要一種新的工具用于保護(hù)圖書館網(wǎng)絡(luò)系統(tǒng)不受Web應(yīng)用攻擊的影響。這種工具不僅僅能夠檢測(cè)目前復(fù)雜的Web應(yīng)用攻擊，而且必須在不影響正常業(yè)務(wù)流量的前提下對(duì)攻擊流量進(jìn)行實(shí)時(shí)阻斷。Web應(yīng)用防火墻正符合了這一需求，其可極大地提高網(wǎng)絡(luò)平安防護(hù)和管理能力，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)防火墻的缺乏。2Web應(yīng)用防火墻及其特點(diǎn)2.1 Web應(yīng)用防火墻概述Web應(yīng)用防火墻WAF(Web Application Firewall)與傳統(tǒng)網(wǎng)絡(luò)防火墻不同，其工作在應(yīng)用層，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它可以解決傳統(tǒng)防火墻設(shè)備束手無(wú)策的Web應(yīng)用平安問題?；赪AF對(duì)其可以確保這些請(qǐng)求的平安性與合法性，對(duì)非法的請(qǐng)求將

5、予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。國(guó)際權(quán)威測(cè)評(píng)機(jī)構(gòu)NSS對(duì)WAF有著詳細(xì)的測(cè)試方案，國(guó)際組織WEB應(yīng)用平安聯(lián)盟WASC (Web Application Security Consortium)也發(fā)布了WAF產(chǎn)品評(píng)估標(biāo)準(zhǔn)，這些都為技術(shù)人員進(jìn)行產(chǎn)品技術(shù)選型時(shí)提供參考，幫助其選擇最為適合自身應(yīng)用環(huán)境的WAF產(chǎn)品。2.2Web應(yīng)用防火墻工作原理Web應(yīng)用防火墻采用主動(dòng)平安技術(shù)實(shí)現(xiàn)對(duì)應(yīng)用層的內(nèi)容檢查和平安防御，其建立正面規(guī)那么集來描述行為和訪問的合法性。對(duì)于接收到的數(shù)據(jù)，Web應(yīng)用防火墻會(huì)從網(wǎng)絡(luò)協(xié)議中復(fù)原出應(yīng)用數(shù)據(jù)來同它的正面規(guī)那么集進(jìn)行比擬，其只允許通過規(guī)那么中的正常數(shù)據(jù)。因?yàn)閃eb應(yīng)用

6、防火墻是通過先學(xué)習(xí)合法數(shù)據(jù)流進(jìn)出應(yīng)用的方式，然后再識(shí)別非法數(shù)據(jù)流的方法來檢測(cè)數(shù)據(jù)包，因此，Web應(yīng)用防火墻可以防御所有的未知攻擊，阻止針對(duì)Web應(yīng)用的攻擊。這些攻擊不僅僅是驗(yàn)證 協(xié)議，還包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法得到命令串或邏輯語(yǔ)句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機(jī)為主要目標(biāo)的目標(biāo)攻擊。2.3 Web應(yīng)用防火墻特點(diǎn)3. WEB應(yīng)用防火墻與傳統(tǒng)網(wǎng)絡(luò)防火墻共同構(gòu)建圖書館網(wǎng)絡(luò)防御系統(tǒng)目前，廣闊師生對(duì)圖書館資源的訪問越來越頻繁，圖書館網(wǎng)絡(luò)的可用性和可靠性就顯得非常重要，任何防御上的疏漏都會(huì)給圖書館的讀者效勞帶來諸多的不便，因此構(gòu)筑一道鞏固的平安防御體系是圖書館網(wǎng)絡(luò)必須面對(duì)的問

7、題。筆者按照?qǐng)D書館的信息環(huán)境為圖書館網(wǎng)絡(luò)平安防御系統(tǒng)選擇的設(shè)計(jì)，它的總體設(shè)計(jì)是將傳統(tǒng)的網(wǎng)絡(luò)防火墻放置于互聯(lián)網(wǎng)接口處，通過傳統(tǒng)防火墻阻擋攻擊者從正面入侵圖書館網(wǎng)絡(luò)，著重進(jìn)行網(wǎng)絡(luò)層的攻擊防御，將WEB應(yīng)用防火墻放置于WEB效勞器區(qū)域前，讓其著重進(jìn)行應(yīng)用層的內(nèi)容檢測(cè)和平安防御，與傳統(tǒng)網(wǎng)絡(luò)防火墻共同構(gòu)成全面、有效的平安防御體系。3.1 互聯(lián)網(wǎng)接口整個(gè)網(wǎng)絡(luò)平安系統(tǒng)中，網(wǎng)絡(luò)互聯(lián)網(wǎng)接口是圖書館網(wǎng)絡(luò)平安體系的大門，處在互聯(lián)網(wǎng)接口的網(wǎng)絡(luò)防火墻肩負(fù)著保障網(wǎng)絡(luò)平安性和網(wǎng)絡(luò)穩(wěn)定性的雙重任務(wù)。因此部署在圖書館互聯(lián)網(wǎng)出入口的傳統(tǒng)的網(wǎng)絡(luò)防火墻要能夠?qū)崿F(xiàn)NAT，這樣就有利于隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高了網(wǎng)絡(luò)的平

8、安性。同時(shí)，其還應(yīng)具備反間諜、反病毒軟件監(jiān)控、日志和垃圾郵件等防護(hù)措施，能夠?qū)?shù)據(jù)包進(jìn)行深入檢查、識(shí)別和高級(jí)驗(yàn)證，實(shí)時(shí)地防御黑客入侵、抑制蠕蟲病毒的爆發(fā)，并提供清晰詳盡的網(wǎng)絡(luò)平安事件報(bào)表。互聯(lián)網(wǎng)接口處防火墻必須從以下兩方面設(shè)定訪問控制規(guī)那么，第一、控制好通信端口，根據(jù)實(shí)際情況，只開放80端口以及工作中必要的端口，并密切關(guān)注工作用機(jī)敏感端口的數(shù)據(jù)操作情況，特別是提供網(wǎng)絡(luò)打印和共享的135 、139和445端口，以及一些流行病毒的后門端口，如2745、3127、6129端口。二是控制好通過防火墻的數(shù)據(jù)包的源、目的地址(IP)，在規(guī)那么表中定義各種規(guī)那么來說明是否同意或拒絕數(shù)據(jù)包的通過，不符合規(guī)那么

9、表中規(guī)那么的數(shù)據(jù)將被防火墻丟棄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，將內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段進(jìn)行隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)平安問題對(duì)全局網(wǎng)絡(luò)造成的影響。3.2 Web效勞器區(qū)把圖書館Web效勞器的地址全部設(shè)置在Web應(yīng)用防火墻的WAN口上，把Web效勞器設(shè)置為另一個(gè)網(wǎng)段地址。這時(shí)，任何訪問網(wǎng)站的流量都會(huì)先由web應(yīng)用防火墻檢測(cè)，正常訪問流量才會(huì)通過。當(dāng)圖書館電子郵件系統(tǒng)需要對(duì)發(fā)出信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名時(shí), 由于WEB應(yīng)用防火墻可以靈活的區(qū)分和處理每個(gè)具體文件的不同的平安性要求,其就能夠分析該信件的段落結(jié)構(gòu)并對(duì)其進(jìn)行簽名。圖書館提供的很多效勞都是針對(duì)群眾的，因此圖書館的網(wǎng)站較容易成為的DDOS攻擊的

10、目標(biāo)，把WEB效勞器的網(wǎng)址放在WAF上后，WAF就可以為其提供實(shí)時(shí)的、細(xì)粒度的防護(hù)，在DDOS到達(dá)WEB效勞器之前，WAF會(huì)對(duì)用戶正在提供應(yīng)這個(gè)應(yīng)用程序的指令的性質(zhì)和類型進(jìn)行應(yīng)用層檢測(cè)和分析，然后，它能夠根據(jù)的攻擊特征或者異常的應(yīng)用狀況分析這些通訊準(zhǔn)確監(jiān)測(cè)，識(shí)別各類針對(duì)Web應(yīng)用的各類攻擊型流量并進(jìn)行實(shí)時(shí)阻斷。除了DDOS攻擊，由于圖書館提供了大量的應(yīng)用層效勞，因此有很多端口是要被對(duì)外開放的，例如比擬常見的80、443、8080端口等等，因此，圖書館網(wǎng)絡(luò)效勞會(huì)經(jīng)常遭到后門或木馬攻擊。 針對(duì)這一現(xiàn)象，可以利用WAF提供的端口檢測(cè)功能來解決該弊端，WAF在監(jiān)視效勞器端口的同時(shí)，還可以檢測(cè)該端口是否

11、被其他程序綁定，它會(huì)實(shí)時(shí)地檢測(cè)web效勞區(qū)內(nèi)被翻開的所有效勞器的端口，一旦檢測(cè)到?jīng)]得到WAF的授權(quán)的程序企圖強(qiáng)行綁入效勞器端口時(shí)，Web應(yīng)用防火墻就會(huì)禁止該程序綁入。網(wǎng)頁(yè)篡改是目前圖書館面臨的一大問題，尤其是圖書館網(wǎng)站提供的查詢功能，很容易被SQL注入攻擊。針對(duì)網(wǎng)頁(yè)篡改的攻擊手段，Web應(yīng)用防火墻可以對(duì)圖書館網(wǎng)站進(jìn)行有效的網(wǎng)頁(yè)篡改防護(hù),其通過隱藏用戶的web根底架構(gòu)，使得黑客無(wú)法了解用戶所用的效勞器。其可以刪除信息中可識(shí)別操作系統(tǒng)及web效勞器的信息，隱藏用戶的一切 錯(cuò)誤信息，刪除發(fā)送給用戶頁(yè)面中的應(yīng)用錯(cuò)誤信息，檢查并確認(rèn)網(wǎng)頁(yè)中沒有泄露效勞器代碼。4.結(jié)語(yǔ)本文通過將Web應(yīng)用防火墻與傳統(tǒng)網(wǎng)絡(luò)防

12、火墻相結(jié)合來構(gòu)筑圖書館網(wǎng)絡(luò)的防護(hù)體系。應(yīng)用防火墻著重進(jìn)行應(yīng)用層的內(nèi)容檢查和平安防御，為圖書館的web效勞系統(tǒng)提供全面的保護(hù)，防御那些可繞過傳統(tǒng)網(wǎng)絡(luò)防火墻，攻擊web應(yīng)用系統(tǒng)的黑客?？墒牵S著網(wǎng)絡(luò)技術(shù)的不斷開展和網(wǎng)絡(luò)環(huán)境的變化,新的平安漏洞,新的黑客攻擊出現(xiàn)混合攻擊的開展趨勢(shì),因此，防火墻技術(shù)也需要與其他技術(shù)的結(jié)合,進(jìn)行相應(yīng)地改良，來使其的功能更智能化、集成化、系統(tǒng)更靈活、可擴(kuò)展性更好。為了保障圖書館網(wǎng)絡(luò)的平安, 在使用防火墻的同時(shí)，也不能無(wú)視對(duì)圖書館工作人員的網(wǎng)絡(luò)平安教育、提高管理人員技術(shù)素養(yǎng)來共同維護(hù)圖書館的網(wǎng)絡(luò)平安。參考文獻(xiàn)1王福生. 圖書館網(wǎng)絡(luò)中的入侵檢測(cè)系統(tǒng) .現(xiàn)代情報(bào),200772彭文波. 網(wǎng)絡(luò)平安技術(shù)開展分析.軟件世界,2007(24)楊旭，程鵬譯.北京:機(jī)械工業(yè)出版社2003 34 Dean Turner, Stephen Entwisle, Marcl Denesluk. Symantec Internet Security ThreatReport Trends for July-December 06 (Volume XI)，USA:SymantecC Corp.20