【51CTO.com綜合報道】為了響應(yīng)2010年上海世博會網(wǎng)絡(luò)安全工作的號召，上海各高校都積極深入發(fā)展門戶網(wǎng)站的安全建設(shè)，推行信息公開，提高高校工作的透明度，充分發(fā)揮高校信息平臺對學(xué)生的學(xué)習(xí)和生活等各方面的幫助。其門戶網(wǎng)站（edu.cn）是該校電子門戶及辦公系統(tǒng)建設(shè)的重要組成部分，作為該校面向社會的窗口，發(fā)布學(xué)生信息，提供“網(wǎng)上辦公”、“在線通告”等業(yè)務(wù)，為老師和學(xué)生提供方便。

來自Web的安全挑戰(zhàn)：

隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務(wù)。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構(gòu)的重要信息暴露在越來越多的威脅中。根據(jù)了解該校門戶網(wǎng)站承載了各2級學(xué)院的網(wǎng)上業(yè)務(wù)，網(wǎng)頁以動態(tài)內(nèi)容居多。去年，該研究生院網(wǎng)站遭遇SQL群注（Mass SQL Injection）攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，“HaCkeD By:Skz0r_l337-Underground-Security”(意為：由Skz0r_l337-Underground-Security入侵），各級頁面不再具有正常的觀感。訪問網(wǎng)站時還發(fā)現(xiàn)，該網(wǎng)站已被Google列為含有惡意代碼的網(wǎng)站。最為棘手的是：期間持續(xù)發(fā)生“網(wǎng)頁被篡改－恢復(fù)－再次被篡改－再次恢復(fù)…”的現(xiàn)象。間歇還伴隨有針對WEB服務(wù)器的DDoS攻擊，網(wǎng)站訪問峰值嚴重超過服務(wù)器正常所能處理的最大負荷。

在提供解決方案之前，我們幫助用戶理清了一些應(yīng)用層防火墻的基本概念：

1.何謂應(yīng)用層防火墻；

2.梭子魚的應(yīng)用層防火墻與傳統(tǒng)入侵檢測產(chǎn)品的區(qū)別；

3.梭子魚WEB應(yīng)用防火墻WAF產(chǎn)品的防御攻擊特性；

其次在該高校網(wǎng)站遭遇多重攻擊，網(wǎng)站陷入困境的時候梭子魚所提供的解決方案：

1.能應(yīng)對當(dāng)前攻擊，且具備持續(xù)防護能力，對業(yè)務(wù)影響盡可能小，管理簡單；

2.針對多臺核心WEB服務(wù)器提供防護；

3.自動學(xué)習(xí)網(wǎng)頁應(yīng)用結(jié)構(gòu)；

4.自動調(diào)整用戶習(xí)慣;

5.主動模式來過濾所有的WEB請求；

6.提供簡明維護的平臺；

解決方案：

基于對梭子魚公司的信任，2010年在售前過程中，我們有幸對該學(xué)校負責(zé)人進行了一次長時間的技術(shù)溝通。我們首先解釋了幾項用戶關(guān)心的問題：

1.何謂應(yīng)用層防火墻

梭子魚應(yīng)用層防火墻（全稱，梭子魚WEB應(yīng)用防火墻，即WAF ）通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，它專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，強大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來說相當(dāng)于給原網(wǎng)站加上了一個安全的絕緣外殼。

2.應(yīng)用層防火墻與傳統(tǒng)的入侵檢測設(shè)備之間具有本質(zhì)上的區(qū)別

在TCP/IP模型中網(wǎng)絡(luò)流量從物理層到應(yīng)用層是逐層遞交，入侵檢測設(shè)備（IPS）主要定位在分析傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)，而再往上則是復(fù)雜的各種應(yīng)用層協(xié)議報文，而應(yīng)用層防火墻（WAF）則僅提供對Web應(yīng)用流量全部層面的監(jiān)管。IPS需要處理網(wǎng)絡(luò)中所有的流量，而WAF僅處理與Web應(yīng)用相關(guān)的協(xié)議，其他的則給予轉(zhuǎn)發(fā)。

3．梭子魚WEB應(yīng)用防火墻可以防御的攻擊類型：

1）SQL注入：一些應(yīng)用程序通過復(fù)制Web客戶端輸入來創(chuàng)建數(shù)據(jù)庫查詢。黑客通過構(gòu)造一些應(yīng)用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數(shù)據(jù)。

2）跨站點腳本：黑客插入腳本代碼（如JavaScript或ActiveX）到一個輸入字符串，導(dǎo)致Web服務(wù)器泄漏用戶名和密碼等信息。

3）操作系統(tǒng)命令注入：一些應(yīng)用程序從web輸入來創(chuàng)建操作系統(tǒng)命令，就像訪問一個文件和顯示文件內(nèi)容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創(chuàng)建輸入來顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。

4）會話劫持：黑客通過猜測基于令牌格式知識的會話令牌的內(nèi)容來獲得登錄會話的權(quán)利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。

5）篡改參數(shù)或URL：web應(yīng)用程序通常在返回的的web頁面中嵌入?yún)?shù)和URL，或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存，使Web服務(wù)器返回不應(yīng)泄漏的信息。

6）緩沖區(qū)溢出：應(yīng)用程序代碼應(yīng)該檢查輸入數(shù)據(jù)的長度，以確保輸入數(shù)據(jù)不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現(xiàn)應(yīng)用程序不檢查溢出，并創(chuàng)建輸入來導(dǎo)致溢出。

在部署過程中，針對高校網(wǎng)站的特性，梭子魚WAF提供了以下解決方案：

1.WAF透明部署在防火墻和WEB服務(wù)器群及應(yīng)用服務(wù)器之間（如下圖所示），在網(wǎng)絡(luò)中即插即用，不改變網(wǎng)絡(luò)拓撲和網(wǎng)站業(yè)務(wù)流程，管理簡單；

圖1:WAF部署方案

2.WAF提供了針對核心WEB服務(wù)器群的防護；根據(jù)高校的網(wǎng)站部署的特點，一般大學(xué)站點都具有數(shù)十個主站點，同一臺服務(wù)器會同時具有幾個站點的特色，我們會區(qū)分各站點之間的不同屬性進行分類管理，例如：普通學(xué)生登陸的站點都是HTTP協(xié)議，而教師員工登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議，因此我們會設(shè)計一套HTTP協(xié)議的基本防御模版，而HTTPS協(xié)議我們會在基本保護的策略框架下，再啟用SSL加速的功能，來幫助提升用戶的訪問速度。

3.WAF自動掃描網(wǎng)站結(jié)構(gòu)；梭子魚WAF主動掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護規(guī)則，分析整個Web站點，并建立正常狀態(tài)模型。根據(jù)高校的網(wǎng)站設(shè)計的特點，一般高校網(wǎng)站中各學(xué)院站點的設(shè)計模版都比較固定化，梭子魚會主動尋找每一個小站點的樹型目錄和文件結(jié)構(gòu)，幫助防御不必要外網(wǎng)“窮舉型”的攻擊。

4.WAF自動學(xué)習(xí)用戶習(xí)慣；WAF會自動調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習(xí)慣，例如在某個學(xué)院站點的通告欄上的發(fā)貼字數(shù)長度，會隨著用戶習(xí)慣逐漸增多。

5.WAF調(diào)整主動模式來過濾所有的WEB請求；根據(jù)高校的網(wǎng)站防御的特點，一般高校的門戶網(wǎng)站都具有前端學(xué)生登陸信息平臺查看信息，后端管理人員發(fā)布學(xué)校最新動態(tài)、管理學(xué)生檔案、處理學(xué)生業(yè)務(wù)等等工作流。所以在網(wǎng)站前端我們過濾的總體策略都是過濾常規(guī)攻擊方式，并且對進入網(wǎng)站之后所有提交的數(shù)據(jù)和語句做限定，在網(wǎng)站后端管理平臺，一方面我們將限定指定的管理人員登陸，另一方面我們適當(dāng)調(diào)整管理者登陸系統(tǒng)之后的限定權(quán)限，以免發(fā)生網(wǎng)站后端被攻擊的事件?；趯W(xué)習(xí)的主動模式目的是為了建立一個安全防護模型，一旦行為有差異則可以發(fā)現(xiàn)，比如隱藏的表單、限制型的Listbox值是否被篡改、輸入的參數(shù)類型不合法等，這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護模型動態(tài)調(diào)整防護策略。

6.梭子魚提供簡明維護的平臺；經(jīng)過長期的了解和溝通，高校的網(wǎng)絡(luò)管理者非常青睞于梭子魚簡明的維護平臺和日志系統(tǒng)。一般經(jīng)過簡單的培訓(xùn)，他們便可以輕松的查看網(wǎng)站的安全隱患和輕松的進行安全加固。

效果及用戶評價：

網(wǎng)站安全問題成為高校開展電子信息服務(wù)日益關(guān)注的焦點。對于客戶而言，需要的不僅僅是網(wǎng)絡(luò)安全設(shè)備，更需要具備快速應(yīng)急響應(yīng)、豐富實踐經(jīng)驗和強大技術(shù)實力的合作伙伴，為其提供專業(yè)完善的網(wǎng)站應(yīng)用安全解決方案。梭子魚網(wǎng)絡(luò)有限公司以專業(yè)的產(chǎn)品和服務(wù)，贏得了客戶的贊譽。

更多梭子魚WEB應(yīng)用防火墻及其成功案例，請登陸官方主頁:www.barracudanetworks.com.cn (國內(nèi))。