Web系統的網絡安全分析及應對方式

陳國良

新疆人民廣播電臺，新疆烏魯木齊 830000

Web系統的網絡安全分析及應對方式

陳國良

新疆人民廣播電臺，新疆烏魯木齊 830000

隨著基于web環境的應用類型的日益豐富，而其Web應用系統多處于互聯網這樣一個相對開放的環境中，使得網絡安全問題變得愈發凸顯。本文針對基于WEB系統的網絡安全防護并結合新疆人民廣播電臺的部署情況，分析了Web應用系統受到的安全威脅，并詳述了如何針對安全威脅進行多層次、全面安全防護的方式。

Web安全；WAF；防篡改

1 WEB系統面臨的典型網絡安全威脅

近年來，我臺的Web 應用系統功能日趨豐富，但網站網站安全保障能力還相對薄弱，多次成為網絡攻擊的目標，造成網站服務中斷，主頁內容被篡改，系統數據丟失等安全事件。針對各類WEB系統的攻擊（如DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等）正在日趨泛濫，使得我們在以下幾個方面的安全威脅日趨嚴峻。

1.1 頁面被篡改

廣播電臺網站作為本地媒體信息對外發布的交互平臺，代表了廣播電臺自身的社會形象，如果網站頁面被篡改，如出現反動言論、不良畫面或者造假數據等信息，不僅將影響正常業務的開展，更會給廣播電臺及宣傳媒體的形象及信譽帶來極其不好的影響。

1.2 網站被掛馬

網頁掛馬近年來一直是廣播電臺網站面臨的最嚴重的安全威脅之一，尤其在重要宣傳時期，一旦訪問被掛馬的網站，就會受到惡意木馬的入侵感染而受到惡意攻擊者的遠程控制，給網站造成嚴重的利益損害。

1.3 服務被攻擊

目前，廣播電臺對Web依賴性日益加強，辦公、文稿、媒資系統都借助網絡進行運行，一旦受到拒絕服務攻擊將造成服務癱瘓、終止，會嚴重影響臺里的正常業務工作。

由此可見，復雜多樣的Web安全問題，使得廣播電臺網站潛在著巨大的安全隱患和風險，也是信息化安全建設過程中亟需解決的重要問題之一。

2 WEB系統的網絡安全應對方案

隨著針對WEB系統的網絡攻擊的愈發頻繁，只針對網絡層面和終端層面防護手段的安全防護效果愈發不理想，總是處于一種非常被動的狀態，針對終端層面的防病毒解決方案并不能解決目前WEB系統不斷變化升級的安全威脅。因此我臺根據安全事件的事前、事中、事后三個時間周期，通過預防威脅、處理威脅以及分析威脅和網頁防篡改和優化安全策略三個方面將網絡安全體系進行不斷的良性循環?，F將方案做如下詳細介紹。

2.1 事前——網絡區域的劃分，網站漏洞掃描

2.1.1 網絡區域的劃分

為了更好地進行安全防護，我臺將內部網絡規劃為多個網絡區域，不同業務系統根據業務需要部署在不同的網絡區域內，在不同區域上通不同防護技術手段進行多層次的安全防護。通過部署防火墻，將網絡分為三個區域，互聯網外網、對外服務區、內部數據中心，

互聯網外網通過出口路由器進行網絡互聯，完成內外網的互聯互通。 WEB服務器區部署在外網防火墻的DMZ區域，內部數據中心部署在內網防火墻的內部區域。

互聯網和對外發布網絡之間部署外部防火墻，在防火墻上部署NAT地址轉換協議，完成對外發布服務器集群的NAT映射和互聯網訪問的NAT轉換。同時，防火墻的部署讓內部地址相對外部做到了有效的保護和隔離，使內部網絡的IP不會輕易被外部網絡進行探測和攻擊。同時在網絡攻擊的檢測和防護功能方面，防火墻進行了顯著地加強，通過部署相應的安全防護策略有效地保護內部網絡，確保內部網絡及相關系統的正常運行。

在對外服務器區和內部數據中心之間部署內部防火墻，防火墻采用透明橋接方式，部署嚴格的安全策略控制。通過網絡區域的劃分，將內部數據庫隱藏在數據中心的安全區域，對其訪問權限進行嚴格限定，最大限度地保護系統數據庫的安全。

2.1.2 漏洞掃描

通過運用漏洞掃描系統對WEB系統的應用漏洞的掃描，將SQL注入、跨站腳本及決絕服務等WEB常見漏洞進行重點掃描。并且根據業務情況調整漏洞掃描的時間周期。通過掃描結束后自動生成全網站漏洞分析報告，直觀地了解到網站存在的安全漏洞情況，并根據漏洞安全報告針對WEB系統的進行相關系統的修補工作。

2.2 事中——WAF的部署

網絡邊界防火墻雖然是網絡安全策略中不可缺少的重要模塊，但受限于自身的產品架構和功能，無法對千變萬化的Web應用攻擊提供周密而完善的解決方案。因此，在We b 服務區邊界，部署了一臺WEB應用防火墻（WAF），WAF通過檢測引擎進行協議分析、模式識別、URL過濾技術、統計閥值和流量異常監視等綜合技術手段來判斷入侵行為，可以準確地發現并阻斷各種網絡惡意攻擊，從而實現防SQL注入、防跨站攻擊等安全防護。

為了使WEB防護更具有針對性，同時又不影響DMZ區域內WEB以外其他業務數據的正常運行，我們采用旁路方式進行WAF的部署工作。通過路由調度，將目標網站IP的流量牽引至WAF設備，WAF設備通過多層的攻擊流量識別與凈化功能，將Web攻擊流量從混合流量中過濾，最后將經過WAF過濾之后的合法流量被重新回注給WEB系統。針對返回流量，WEB系統響應的HTTP流量在返回給客戶端之前，流經WAF設備，經WAF進行安全檢測后的流量最終返回給客戶端。

2.3 事后——網頁防篡改系統和安全管理平臺的部署

為了更好得針對WEB系統進行全方位的防護，針對WEB業務系統有針對性地部署了網頁防篡改系統。系統支持對動態、靜態網頁的實時檢測與防護，通過內置自學習功能獲取web站點的頁面信息，對整個站點進行爬行，一旦發現頁面被篡改，通過重定向的方式實現事后的主動恢復并進行告警，記錄防篡改日志。針對WEB全局環境進行監控與分析，實現集中、統一管理，針對WEB系統進行掛馬監控、安全漏洞監控、安全狀態監控。

通過上述方案的部署，在網絡安全的三個時間階段通過多層次、全方位整體性的解決方案網站防護方案，方案針對安全事件發生的整個周期實施周密的策略部署，進而全面加強了對WEB系統的安全防護。

3 后續完善思路

隨著業務的不斷發展，WEB系統的安全性和業務性能隨著業務的不斷更新需要進行相應的擴容，同時單防護節點的可靠性需要進一步完善。因此后續需要新增一臺WAF，實現負載均衡雙冗余部署方式。

通過WAF的HA主-主模式（AA模式）解決非對稱鏈路情況下業務流量的暢通問題。

同時，WAF在本身提供輕量級的DDoS防護功能的基礎上，新部署專業抗拒絕服務攻擊的ADS，構成流量清洗中心，和WAF進行聯動，達到分層清洗的目的。在業務正常運行時，WAF的TCP Flood防護功能對一定閾值的拒絕服務攻擊進行防護。一旦攻擊流量超過了WAF本身的防護閾值時，WAF向上游的ADS清洗中心發出通告，請求上游的ADS牽引并清洗到達WAF防護站點的攻擊流量。ADS牽引并清洗成功后，WAF退出本身的TCP Flood防護。當WAF發現到達上游ADS的攻擊流量小于通告值時，申請取消上游ADS對流量的牽引和清洗，同時將自身的TCP Flood防護開啟。通過WAF和ADS的配合作業，WEB系統抵御網絡攻擊的能力將會進一步提升。

4 結論

通過針對WEB系統多層次、全方位整體性解決方案的部署，我臺WEB系統的安全防護能力得到了明顯地加強，網站被掛馬、網頁內容被篡改、數據被竊取等攻擊事件明顯減少。但WEB系統的安全防護工作是一個長期持續的艱巨任務，隨著我臺WEB系統安全防護實踐的逐步深入，我們也會繼續探索更加有效的安全解決方案。

TP3

A

1674-6708（2015）144-0037-02