基于高校的WAF精細化策略應(yīng)用探討

張 毅

(廣東醫(yī)科大學(xué)教育技術(shù)與信息中心，廣東 湛江 524023)

0 引言

近年來，互聯(lián)網(wǎng)安全問題日趨增多，中國互聯(lián)網(wǎng)信息中心在2022年2月發(fā)布的《第49次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》中顯示，至2021 年我國受到分布式拒絕服務(wù)攻擊達753,018 起，信息系統(tǒng)安全漏洞有143,319 個，Web 安全事件頻繁發(fā)生[1]。為此，學(xué)校在校園網(wǎng)部署了山石WAF 防火墻（Web Application Firewall），并加強對向互聯(lián)網(wǎng)開放的信息系統(tǒng)（網(wǎng)站）的安全防護。

WAF 可對流經(jīng)的Web 應(yīng)用流量進行深度檢測、識別攻擊并按照設(shè)置的策略進行防護，然而不同類型的Web 應(yīng)用的安全防護要求多樣化且相互有區(qū)別，WAF 也有多種部署模式和豐富的策略類型，僅依靠WAF 的通用策略進行防護是不足的。本文探討結(jié)合學(xué)校WAF部署的模式和防護策略的類型分析各類Web應(yīng)用的具體防護要求，并將其匹配到WAF的精細化策略中，實現(xiàn)WAF對學(xué)校信息系統(tǒng)（網(wǎng)站）的有效防護。

1 WAF的應(yīng)用

WAF 是基于對HTTP/HTTPS 等Web 應(yīng)用協(xié)議流量的實時識別、智能分析和策略防護的軟硬件系統(tǒng)，相比傳統(tǒng)防火墻能更有效更專業(yè)的保護信息系統(tǒng)（網(wǎng)站）可能面臨的各類安全問題，防護針對各類Web 服務(wù)、Web 應(yīng)用框架、Web 應(yīng)用程序等發(fā)起的如：探測訪問、網(wǎng)頁篡改、注入攻擊、跨站攻擊、腳本木馬、漏洞攻擊、緩沖區(qū)溢出、信息泄露、惡意軟件、應(yīng)用層CC 攻擊、DDoS 攻擊等常見攻擊[2]；WAF 同時也是國家網(wǎng)絡(luò)安全等級保護測評要求中必須配備的安全設(shè)備之一。

2 WAF的部署模式

根據(jù)在網(wǎng)絡(luò)中的位置和使用場景的不同，WAF通常有五種部署模式：串聯(lián)部署、牽引部署、反向代理部署、單臂部署、監(jiān)聽部署。

2.1 串聯(lián)部署模式

串聯(lián)部署模式以串聯(lián)二層透明（橋接）的方式接入網(wǎng)絡(luò)，WAF通過監(jiān)聽流經(jīng)的網(wǎng)絡(luò)流量并快速識別截取其中的Web 應(yīng)用流量來進行安全防護處理。串聯(lián)模式無需改變網(wǎng)絡(luò)上下行設(shè)備配置拓撲，可對流經(jīng)的所有Web 應(yīng)用流量進行防護，同時WAF 對Web 客戶端和Web 服務(wù)器不可見，這是目前大部分用戶網(wǎng)絡(luò)的部署方式，也是學(xué)校目前校園網(wǎng)采用的部署方式，如圖1所示。

圖1 串聯(lián)部署模式

2.2 牽引部署模式

牽引部署模式以旁路的方式接入網(wǎng)絡(luò)，來自客戶端的Web 應(yīng)用訪問流量通過路由器引流給WAF，WAF進行安全防護處理完后再回注到路由器中，最終轉(zhuǎn)發(fā)給Web 服務(wù)器。通過牽引模式，WAF 可以實現(xiàn)快速部署，對當(dāng)前網(wǎng)絡(luò)環(huán)境影響較小，可保證主干網(wǎng)絡(luò)的正常運行，同時又可為Web 服務(wù)器提供安全防護；但是該模式的配置較為復(fù)雜，需要創(chuàng)建各Web 應(yīng)用的牽引路由。

2.3 反向代理部署模式

反向代理部署模式以串聯(lián)三層通信接口的方式接入網(wǎng)絡(luò)，WAF 相當(dāng)于一臺代理，配置IP 地址，Web客戶端直接與WAF 通信，WAF 進行安全防護處理后再與Web 服務(wù)器通信。通過反向代理模式，WAF 可實現(xiàn)Web服務(wù)器負載均衡提高Web應(yīng)用的訪問速度，同時由于Web服務(wù)器IP對Web客戶端不可見，安全系數(shù)較高；但是一旦WAF 出現(xiàn)故障，會中斷Web 服務(wù)器對外的訪問服務(wù)。

2.4 單臂部署模式

單臂部署模式是反向代理部署模式的特例，是以旁路三層通信接口的方式接入網(wǎng)絡(luò)，工作方式和反向代理模式相似。通過單臂代理模式，WAF可同樣實現(xiàn)Web服務(wù)器負載均衡，WAF故障亦不會影響整個網(wǎng)絡(luò)的情況。

2.5 監(jiān)聽部署模式

監(jiān)聽部署模式以旁路三層通信接口的方式接入網(wǎng)絡(luò)，WAF通過鏡像的方式監(jiān)聽獲取到需要檢測的流量并加以分析、然后輸出分析結(jié)果，不會對網(wǎng)絡(luò)中的流量進行任何干涉。監(jiān)聽模式大多情況下用于WAF與出口防火墻進行聯(lián)動部署，當(dāng)WAF 檢測到Web 應(yīng)用攻擊后，會將需阻斷的IP 地址黑名單上報給出口防火墻進行阻斷[3]。

3 WAF精細化策略

3.1 WAF策略類型

WAF主要通過策略來對Web應(yīng)用進行安全防護，策略就是不同攻擊類型的防護規(guī)則的集合，即當(dāng)WAF檢測到攻擊流量符合某種類型后要采取的行為動作。

策略可分為IP防護策略、訪問控制策略、API防護策略、虛擬補丁策略、安全策略、自學(xué)習(xí)策略、用戶會話跟蹤策略、內(nèi)容改寫策略等8種類型：

⑴IP 防護策略是根據(jù)白名單、黑名單、信譽庫、國家/地區(qū)IP等來限制風(fēng)險源IP訪問；

⑵訪問控制策略是通過HTTP 請求方法、文件類型、HTTP協(xié)議版本、URL路徑及客戶端IP等多個條件來控制對Web應(yīng)用的訪問請求是否被允許；

⑶API防護策略是對Web AP（I應(yīng)用程序編程接口）的流量進行檢測和防護；

⑷虛擬補丁策略可對掃描出的Web 應(yīng)用漏洞進行快速修復(fù)；

⑸安全策略是WAF 防護的主要方式，通過識別漏洞威脅來進行防護；

⑹自學(xué)習(xí)策略是基于自學(xué)習(xí)模型對不符合已知正常行為的流量進行防護；

⑺用戶會話跟蹤策略是通過記錄、跟蹤和分析會話標(biāo)識，溯源和復(fù)現(xiàn)網(wǎng)絡(luò)攻擊；

⑻內(nèi)容改寫策略是對Web 應(yīng)用進行重定向或改寫請求/響應(yīng)報文，規(guī)避安全隱患或代碼漏洞。WAF 的工作機制就是識別Web 應(yīng)用攻擊并按順序依次匹配以上類型策略來執(zhí)行相應(yīng)的防護動作。

3.2 WAF策略設(shè)置探討

WAF 功能設(shè)置復(fù)雜，學(xué)習(xí)成本高，雖然可以設(shè)置通用策略，但在面對有不同防護要求的各類Web 應(yīng)用時，往往會出現(xiàn)安全防護不足或防護過嚴(yán)被攔截造成訪問異常的情況。

學(xué)校目前對互聯(lián)網(wǎng)開放的信息系統(tǒng)（網(wǎng)站）包括門戶主頁、部門院系網(wǎng)、新聞網(wǎng)、網(wǎng)辦大廳、統(tǒng)一身份認證、郵件、教務(wù)管理、實驗室預(yù)約、課程中心等。這些信息系統(tǒng)（網(wǎng)站）使用HTTP/HTTPS 協(xié)議及不同的TCP 服務(wù)端口，網(wǎng)站有靜態(tài)頁面、動態(tài)頁面，信息系統(tǒng)有賬號登錄、表單提交、文件上傳下載等交互式功能，有些部署在不同類型的Web 應(yīng)用服務(wù)器上，個別系統(tǒng)（網(wǎng)站）還要定時關(guān)閉互聯(lián)網(wǎng)訪問等，需要根據(jù)應(yīng)用類別、系統(tǒng)功能、業(yè)務(wù)場景等分析和匹配相應(yīng)的WAF 策略類型來進一步精細化策略。

3.3 WAF策略設(shè)置

由于WAF策略配置復(fù)雜，在初始配置時可基于通用策略，通用策略包括寬松檢測、常規(guī)檢測、嚴(yán)格檢測和調(diào)試等四種級別由低到高的模式，其中常規(guī)檢測模式包含了大多數(shù)準(zhǔn)確度較高、防護能力較強和誤報率較低的防護規(guī)則，適用于大部分業(yè)務(wù)場景。

在配置WAF 策略時，通過分析WAF 的系統(tǒng)防護日志（防護記錄、訪問控制記錄等）[4]、剖析Web應(yīng)用功能場景、收集用戶反饋等，在對應(yīng)的策略類型里精細化策略以達到最優(yōu)的防護效果，主要有以下方面。

⑴ 開啟定時Web 應(yīng)用發(fā)現(xiàn)策略，監(jiān)測HTTP/HTTPS 協(xié)議類型的流量，根據(jù)響應(yīng)碼（200、301、302等）發(fā)現(xiàn)Web 應(yīng)用并自動加入WAF 防護列表，可以排查疏漏未防護或私設(shè)未備案的Web應(yīng)用。

⑵開啟防篡改策略，網(wǎng)絡(luò)上Web 應(yīng)用被非法篡改事件時有發(fā)生，影響十分嚴(yán)重，因此向互聯(lián)網(wǎng)開放訪問服務(wù)的Web 應(yīng)用應(yīng)開啟防篡改策略，通過周期性校驗網(wǎng)頁基線文件來對Web應(yīng)用進行防篡改防護。

⑶修改HTTPS 默認的SSL/TLS 安全協(xié)議策略，WAF 使用SSL/TLS 協(xié)議對流經(jīng)的HTTPS 流量進行解密分析數(shù)據(jù)是否安全，但由于SSL/TLS協(xié)議中SSLv3、TLSv1.0、TLS1.1 等低版本協(xié)議現(xiàn)已存在安全漏洞，需要修改為TLSv1.2/TLSv1.3 等高版本協(xié)議，確保Web應(yīng)用和Web客戶端之間數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴?/p>

⑷只允許是正確域名的訪問，為防止出現(xiàn)被互聯(lián)網(wǎng)非Web 應(yīng)用的假域名解析到Web 應(yīng)用IP 地址的訪問行為，WAF 應(yīng)設(shè)置只允許Web 應(yīng)用的正確域名訪問的策略。

⑸調(diào)整預(yù)定義規(guī)則的參數(shù)閾值，WAF 安全策略預(yù)定義了包括HTTP 協(xié)議異常、注入攻擊、跨站攻擊、信息泄露、探測訪問、特殊漏洞攻擊、惡意軟件等7 種類型的防護規(guī)則；可以對規(guī)則預(yù)定義的參數(shù)閾值進行調(diào)整，也可自定義規(guī)則防護新型的攻擊或新發(fā)現(xiàn)的漏洞。對于交互式功能的信息系統(tǒng)（網(wǎng)站），有后臺管理功能的，WAF要屏蔽相應(yīng)的管理網(wǎng)址不允許互聯(lián)網(wǎng)訪問，有上傳下載文件功能的，WAF 要開啟允許上傳下載附件策略，有表單數(shù)據(jù)提交功能的，WAF 要調(diào)高惡意行為策略的POST 次數(shù)閾值等，避免被WAF 錯誤攔截影響正常訪問。

圖2 WAF防護策略設(shè)置

⑹設(shè)置Web 應(yīng)用訪問時間策略，對于部分如教務(wù)管理、實驗室預(yù)約、課程中心等夜間訪問量較少的信息系統(tǒng)（網(wǎng)站），可在WAF 里設(shè)置夜間20：00 至次日8：00 關(guān)閉互聯(lián)網(wǎng)訪問，只保留校園網(wǎng)內(nèi)訪問，降低受威脅攻擊的風(fēng)險。

⑺設(shè)置響應(yīng)體內(nèi)容檢測策略，對重要信息系統(tǒng)（網(wǎng)站）除檢測Web用戶發(fā)送給Web服務(wù)器的內(nèi)容外，還要開啟響應(yīng)體內(nèi)容檢測策略，對從Web 服務(wù)器返回的內(nèi)容進行敏感信息排查。

⑻日常定時查閱WAF 系統(tǒng)防護日志和分析報表，將風(fēng)險IP 加入WAF 黑名單策略阻斷，設(shè)置報警日志郵箱，及時進行系統(tǒng)和攻擊特征規(guī)則庫升級[5]。

3.4 WAF策略應(yīng)用

自學(xué)校WAF上線運行以來，經(jīng)過持續(xù)對策略應(yīng)用的效果驗證和調(diào)整，實現(xiàn)了對各類Web 應(yīng)用的全方位防護，保證了學(xué)校信息系統(tǒng)（網(wǎng)站）的安全運行。

圖3 WAF安全策略設(shè)置

4 結(jié)束語

Web 應(yīng)用的安全來自WAF 的有效策略防護，隨著信息化的快速發(fā)展，高校信息系統(tǒng)（網(wǎng)站）在不斷增加，新的WAF 技術(shù)也在不斷涌現(xiàn)，如何進一步用好WAF來為高校信息安全保駕護航，還需要我們持續(xù)和深入的研究。

圖4 WAF訪問控制策略