一種基于云的高校網(wǎng)站防御系統(tǒng)的設(shè)計(jì)

◆穆 榮

（西安科技大學(xué)信息網(wǎng)絡(luò)中心 陜西 710054）

一種基于云的高校網(wǎng)站防御系統(tǒng)的設(shè)計(jì)

◆穆 榮

（西安科技大學(xué)信息網(wǎng)絡(luò)中心 陜西 710054）

隨著網(wǎng)絡(luò)應(yīng)用廣泛的進(jìn)入高校的各項(xiàng)工作中，高校Web業(yè)務(wù)系統(tǒng)和相關(guān)網(wǎng)站的安全問題開始頻頻出現(xiàn)，如何防止入侵者對(duì)高校網(wǎng)站的攻擊成為網(wǎng)站建設(shè)時(shí)首要解決的問題。本文中基于云的高校網(wǎng)站防御系統(tǒng)可從攻擊前的預(yù)防、攻擊時(shí)的發(fā)現(xiàn)和阻斷、系統(tǒng)可用性和最后的入侵取證來分析并阻斷攻擊，相比傳統(tǒng)的防御系統(tǒng)，云模式可以隨時(shí)提升防御能力，有效的保障系統(tǒng)的正常運(yùn)行。

網(wǎng)站防御系統(tǒng); 智能DNS系統(tǒng); 負(fù)載均衡

0 前言

隨著互聯(lián)網(wǎng)應(yīng)用更多地進(jìn)入我們的工作和生活，傳統(tǒng)業(yè)務(wù)也在互聯(lián)網(wǎng)上紛紛開展新的應(yīng)用。網(wǎng)站在高校的應(yīng)用就更為廣泛，例如學(xué)生選課和修學(xué)分、科研成果匯總、學(xué)生信息查詢、學(xué)術(shù)動(dòng)態(tài)瀏覽、公文上傳下達(dá)等等。運(yùn)用網(wǎng)站的匯總、查詢和信息公開等功能，高校各部門之間可以無縫隙的進(jìn)行親密無間的合作，為學(xué)校的發(fā)展貢獻(xiàn)自己的一份力量。

高校Web業(yè)務(wù)系統(tǒng)和相關(guān)網(wǎng)站（以下簡(jiǎn)稱Web系統(tǒng)）作為高校網(wǎng)站的主要應(yīng)用，以及業(yè)務(wù)負(fù)載平臺(tái)、數(shù)據(jù)輸入窗口和信息發(fā)布節(jié)點(diǎn)，對(duì)學(xué)校的重要性越來越大。目前，Web系統(tǒng)經(jīng)常會(huì)面臨以下安全問題：Web系統(tǒng)遭入侵，數(shù)據(jù)泄密以及被篡改，網(wǎng)站頁面被篡改; Web系統(tǒng)被來自互聯(lián)網(wǎng)上的分布式拒絕服務(wù)（DDoS）攻擊，導(dǎo)致Web系統(tǒng)無響應(yīng)，業(yè)務(wù)無法正常進(jìn)行; 雖然已經(jīng)使用大量安全設(shè)備，防火墻、入侵檢測(cè)、應(yīng)用防火墻、防病毒軟件等，定期進(jìn)行安全掃描、系統(tǒng)加固，但Web系統(tǒng)安全問題還是頻頻出現(xiàn)。

1 需求分析

為了解決上述各項(xiàng)問題,首先要分析web系統(tǒng)被入侵的過程。

一般入侵者會(huì)首先使用入侵或者掃描工具對(duì)Web系統(tǒng)進(jìn)行漏洞檢測(cè)，當(dāng)掃描結(jié)束后，針對(duì)發(fā)現(xiàn)的問題采用Exploit、漏洞入侵工具或者手工入侵等手段登陸網(wǎng)站; 對(duì)于一些沒有顯著可利用漏洞的網(wǎng)站，入侵者則采用暴力破解后臺(tái)密碼或者對(duì)網(wǎng)站后臺(tái)、網(wǎng)站用戶登陸系統(tǒng)采用撞庫攻擊，嘗試獲取網(wǎng)站敏感信息或后臺(tái)權(quán)限; 當(dāng)入侵者利用漏洞成功登陸之后會(huì)上傳Web Shell以取得網(wǎng)站控制權(quán)，進(jìn)一步控制網(wǎng)站或者提升主機(jī)權(quán)限; 同時(shí)留下Web Shell還可以長期控制網(wǎng)站，并規(guī)避傳統(tǒng)防火墻的檢測(cè); 當(dāng)入侵者無法入侵網(wǎng)站時(shí)，或者一些惡意性競(jìng)爭(zhēng)者出于報(bào)復(fù)心理可能對(duì)網(wǎng)站重要業(yè)務(wù)展開DDoS等拒絕服務(wù)攻擊導(dǎo)致網(wǎng)站癱瘓; 有經(jīng)驗(yàn)的入侵者在入侵結(jié)束后會(huì)對(duì)網(wǎng)站日志進(jìn)行清除，清理自己的攻擊痕跡。從上述入侵過程分析，網(wǎng)站風(fēng)險(xiǎn)主要來源于惡意IP攻擊、系統(tǒng)本身脆弱性、第三方組件的脆弱性、網(wǎng)站入侵結(jié)束后的取證分析等方式[1]。

為了確保高校web系統(tǒng)能夠正常運(yùn)行，一種基于云的高校網(wǎng)站防御系統(tǒng)應(yīng)運(yùn)而生。該網(wǎng)站防御系統(tǒng)可從攻擊前的預(yù)防、攻擊時(shí)的發(fā)現(xiàn)和阻斷、Web系統(tǒng)可用性和最后的入侵取證來分析并阻斷攻擊; 能夠有效地防止網(wǎng)站核心數(shù)據(jù)、關(guān)鍵資源被篡改導(dǎo)致網(wǎng)站業(yè)務(wù)受到影響; 有效保障敏感時(shí)期確定保證網(wǎng)站的正常運(yùn)行;防止拒絕服務(wù)攻擊對(duì)網(wǎng)站業(yè)務(wù)持續(xù)性造成的影響; 攻擊結(jié)束后有效保留證據(jù)并可以追蹤溯源，留取入侵證據(jù)。通過以上防御系統(tǒng)的防護(hù)，可以有效的保障web系統(tǒng)的安全運(yùn)行。

2 系統(tǒng)設(shè)計(jì)

基于云的網(wǎng)站防御系統(tǒng)由硬件和軟件設(shè)計(jì)兩部分組成，下面詳細(xì)描述這兩部分內(nèi)容。

2.1 硬件設(shè)計(jì)

該系統(tǒng)硬件包括一臺(tái)智能DNS和由一臺(tái)或若干臺(tái)防御系統(tǒng)服務(wù)器組成的云防御系統(tǒng)，并聯(lián)接在校園網(wǎng)中，如果需要防御的網(wǎng)站過多，也可以繼續(xù)增加防御系統(tǒng)服務(wù)器，并且可以繼續(xù)增加一臺(tái)智能DNS，保障解析的流暢性。如果有多個(gè)校區(qū)，也可以進(jìn)行分布式配置，每個(gè)校區(qū)都配置防御系統(tǒng)服務(wù)器，某個(gè)校區(qū)遇到故障時(shí)，智能DNS可以將網(wǎng)站的防御系統(tǒng)導(dǎo)向其他校區(qū)的防御系統(tǒng)，保障了網(wǎng)站的正常訪問。智能DNS負(fù)責(zé)探查各防御系統(tǒng)狀態(tài)，各個(gè)防御系統(tǒng)使用基于DNS的負(fù)載均衡，負(fù)載均衡依賴節(jié)點(diǎn)狀態(tài)信息的匯報(bào); 根據(jù)現(xiàn)有負(fù)載自動(dòng)調(diào)度的算法，防御系統(tǒng)每分鐘會(huì)自動(dòng)上報(bào)自身的運(yùn)行狀態(tài)信息，包括CPU、內(nèi)存、磁盤占用、Load狀態(tài)等; 這些信息被匯總之后，作為平衡節(jié)點(diǎn)負(fù)載的依據(jù); DNS調(diào)度時(shí)依據(jù)防御系統(tǒng)的配置不同，動(dòng)態(tài)調(diào)整防御系統(tǒng)權(quán)重，從而引導(dǎo)流量，如果一個(gè)防御系統(tǒng)負(fù)載高，DNS調(diào)度檢測(cè)到時(shí)會(huì)自動(dòng)減小導(dǎo)向這個(gè)防御系統(tǒng)的流量，使所有防御系統(tǒng)達(dá)到負(fù)載均衡。

2.2 軟件設(shè)計(jì)

基于分布式體系結(jié)構(gòu)，按功能劃分由配置管理模塊、數(shù)據(jù)處理模塊、云防御系統(tǒng)和智能DNS系統(tǒng)組成。

2.2.1 配置管理模塊

該模塊包括數(shù)據(jù)顯示模塊、站點(diǎn)配置、用戶管理。數(shù)據(jù)顯示模塊包含消息管理、報(bào)表打印和數(shù)據(jù)接口; 站點(diǎn)配置包含主域名管理、域名管理、緩存管理、防護(hù)策略管理; 用戶管理包含用戶分配、資料查詢、資料修改等模塊[2]。

2.2.2 數(shù)據(jù)處理模塊

該模塊包括數(shù)據(jù)分析模塊和日志存儲(chǔ)模塊。各防御系統(tǒng)會(huì)產(chǎn)生大量安全日志，這些日志通過分布式文件存儲(chǔ)可以永久存放在日志存儲(chǔ)引擎上; 采用Map-Reduce的方式對(duì)分布式存儲(chǔ)的數(shù)據(jù)進(jìn)行匯總統(tǒng)計(jì)后，日志存儲(chǔ)服務(wù)器會(huì)將統(tǒng)計(jì)結(jié)果上傳至數(shù)據(jù)分析引擎進(jìn)行深度挖掘。數(shù)據(jù)分析引擎基于這些統(tǒng)計(jì)數(shù)據(jù)做一些智能分析算法并將分析結(jié)果通過接口傳遞給前端界面展示。

2.2.3 云防御系統(tǒng)

該系統(tǒng)包括基礎(chǔ)防御、云防御、定向防御。基礎(chǔ)防主要確保平衡性能和準(zhǔn)確率的基礎(chǔ)上攔截互聯(lián)網(wǎng)常見的80%以上的攻擊手段，還包括一些對(duì)智能化工具的屏蔽; 云防御主要是基于互聯(lián)網(wǎng)數(shù)據(jù)的IP信用評(píng)級(jí)對(duì)惡意IP進(jìn)行屏蔽，充分利用云防御的優(yōu)勢(shì)，將單點(diǎn)防御轉(zhuǎn)化為全網(wǎng)防御體系; 定向防御包括一些針對(duì)特定攻擊和特殊攻擊的防御手段，用戶可在一些敏感時(shí)期開啟此項(xiàng)防護(hù)來保證您的Web系統(tǒng)安全。

2.2.4 智能DNS系統(tǒng)

該系統(tǒng)是一套單獨(dú)的系統(tǒng)。當(dāng)網(wǎng)站接入時(shí)，由DNS服務(wù)器負(fù)責(zé)解析訪問請(qǐng)求，再根據(jù)訪問的域名分配到相應(yīng)的防御系統(tǒng)，當(dāng)請(qǐng)求達(dá)到各個(gè)防御系統(tǒng)的代理服務(wù)器時(shí)，經(jīng)過過濾將干凈的流量轉(zhuǎn)發(fā)到原用戶服務(wù)器。同時(shí)智能DNS負(fù)責(zé)探查各防御系統(tǒng)的狀態(tài)，調(diào)度時(shí)依據(jù)其配置不同，動(dòng)態(tài)調(diào)整權(quán)重，從而引導(dǎo)流量，使所有防御系統(tǒng)達(dá)到負(fù)載均衡。

3 結(jié)束語

隨著現(xiàn)在網(wǎng)絡(luò)應(yīng)用的普及，學(xué)生報(bào)到、查詢課程安排、查詢成績(jī)、畢業(yè)等等的事情都可以在網(wǎng)絡(luò)上來完成，但是目前網(wǎng)絡(luò)上的各種攻擊手段層出不窮，攻擊方式越來越高，網(wǎng)絡(luò)安全被提升到前所未有的高度，對(duì)于承載網(wǎng)絡(luò)應(yīng)用的網(wǎng)站，怎樣阻斷網(wǎng)絡(luò)攻擊，攔截黑客，實(shí)現(xiàn)安全快速的訪問成為現(xiàn)在的首要問題。相比傳統(tǒng)WAF（網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)），基于云的網(wǎng)站防御系統(tǒng)在保持傳統(tǒng)的防御能力的基礎(chǔ)上，還可以通過云內(nèi)的系統(tǒng)來提升防御效果，云模式也便于隨時(shí)提升防御能力，相比傳統(tǒng)的系統(tǒng)，基于云的高校網(wǎng)站防御系統(tǒng)防護(hù)功能更加全面和深入，能更好地保護(hù)數(shù)據(jù)的安全性和私密性。

[1]姜開達(dá)，李霄，沈海云等.高校網(wǎng)站安全防護(hù)體系設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012.

[2]林梅琴，李志蜀，袁小鈴等.分布式拒絕服務(wù)攻擊及防范研究[J].計(jì)算機(jī)應(yīng)用研究，2006.