摘要:本文针对Web应用防火墙及其特点,结合图书馆网络管理和应用的实际,将Web应用防火墙和传统网络防火墙相结合应用于目前图书馆的网络安全管理。
论文关键词:图书馆,Web应用防火墙,网络防火墙,网络安全
1.1 网络攻击现状
当前,随着高校教育信息化的高速发展,国内大多数高校图书馆都部署了网络安全防御设备,据统计,其中90%的图书馆是选择防火墙来防御黑客攻击。随着网络技术的日趋成熟,网络攻击工具与手法也日趋复杂多样,攻击者已经可以绕过这些传统防火墙的过滤和防毒机制的扫描,他们已经将攻击手段从以往简单的端口扫描攻击转向通过应用层协议进入内部网络,如黑客攻击、蠕虫病毒、SQL注入、跨站脚本、利用Web应用安全漏洞等进行攻击。根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2007年上半年的工作报告显示网站漏洞百出,中国大陆被篡改网站的数量相比往年处于明显上升趋势。CNCERT/CC监测到中国大陆被篡改网站总数达到28367 个,信息安全国际权威机构SANS2007年发布的全球20大安全风险排行榜上,Web应用安全漏洞名列前茅,最广为被攻击者利用的漏洞为SQL注入及跨站脚本。
当前,图书馆的很多核心业务都是依靠WEB服务进行的,如果图书馆web服务遇到这样的病毒攻击并未能及时处理,其产生的巨大流量将导致图书馆web网络拥塞,使所有管理系统处于瘫痪状态。
1.2 传统网络防火墙的局限
传统的防火墙都是工作在网络层,很少涉及网络层以上部分的安全防御,据专家统计,目前75%的攻击是发生在应用层,而不是网络层。传统的防火墙主要基于IP报文对数据包进行检测,并且它不会检测经过http应用端口的数据,因此,它不能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。使得http应用得不到任何的保护,无法防范针对HTTP/HTTPS发起的攻击行为。这就使得图书馆即使部署了传统的防火墙,图书馆的WEB服务器仍然会遭到入侵。
结合当前网络面临的这些安全问题以及图书馆网络安全防御现状,笔者认为单靠传统的防火墙是不够的,为了弥补目前安全设备图书馆需要一种新的工具用于保护图书馆网络系统不受Web应用攻击的影响。这种工具不仅仅能够检测目前复杂的Web应用攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。Web应用防火墙正符合了这一需求,其可极大地提高网络安全防护和管理能力,弥补传统网络防火墙的不足。
2.Web应用防火墙及其特点
2.1 Web应用防火墙概述
Web应用防火墙WAF(Web Application Firewall)与传统网络防火墙不同,其工作在应用层,起着监视和隔绝应用层通信流的作用,它可以解决传统防火墙设备束手无策的Web应用安全问题。基于WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,其可以确保这些请求的安全性与合法性,对非法的请求将予以实时阻断,从而对各类网站站点进行有效防护。国际权威测评机构NSS对WAF有着详细的测试方案,国际组织WEB应用安全联盟WASC (Web Application Security Consortium)也发布了WAF产品评估标准,这些都为技术人员进行产品技术选型时提供参考,帮助其选择最为适合自身应用环境的WAF产品。
2.2Web应用防火墙工作原理
Web应用防火墙采用主动安全技术实现对应用层的内容检查和安全防御,其建立正面规则集来描述行为和访问的合法性。对于接收到的数据,Web应用防火墙会从网络协议中还原出应用数据来同它的正面规则集进行比较,其只允许通过规则中的正常数据。因为Web应用防火墙是通过先学习合法数据流进出应用的方式,然后再识别非法数据流的方法来检测数据包,因此,Web应用防火墙可以防御所有的未知攻击,阻止针对Web应用的攻击。这些攻击不仅仅是验证HTTP协议,还包括利用特殊字符或通配符修改数据的数据攻击、设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。
2.3 Web应用防火墙特点
2.3.1 全面防护:可在应用层检查HTTP和HTTPS流量,在合法的应用程序运行时查找试图蒙混过关的攻击程序,能够检测和防御各类常见的Web应用攻击,如蠕虫、黑客攻击、跨站脚本、网页盗链等。提供对SQL注入的有效防护,能有效遏制网页篡改。
2.3.2 深入检测:细粒度地检测并防御SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood等这些常见的拒绝服务攻击行为,基于智能关联分析技术对CC攻击进行检测、防护;提供针对常见的假人攻击、创建帐号攻击、数据库攻击等。
2.3.3 高可靠性,提供硬件BYPASS或HA等可靠性保障措施,确保Web应用核心业务的连续性。
2.3.4 管理灵活:提供基于IP、端口、协议类型、时间及域名的灵活访问控制;基于对象的虚拟防护,为每位用户量身定制安全防护策略,轻松增值;支持规则的在线升级和离线升级。
2.3.5 强大的审计功能:其能够详细记录统日志、应用访问日志以及攻击统计报,支持标准的SYSLOG日志服务器。
3. WEB应用防火墙与传统网络防火墙共同构建图书馆网络防御系统
目前,广大师生对图书馆资源的访问越来越频繁,图书馆网络的可用性和可靠性就显得非常重要,任何防御上的疏漏都会给图书馆的读者服务带来诸多的不便,因此构筑一道坚固的安全防御体系是图书馆网络必须面对的问题。笔者按照图书馆的信息环境为图书馆网络安全防御系统选择的设计,它的总体设计是将传统的网络防火墙放置于互联网接口处,通过传统防火墙阻挡攻击者从正面入侵图书馆网络,着重进行网络层的攻击防御,将WEB应用防火墙放置于WEB服务器区域前,让其着重进行应用层的内容检测和安全防御,与传统网络防火墙共同构成全面、有效的安全防御体系。
3.1 互联网接口
整个网络安全系统中,网络互联网接口是图书馆网络安全体系的大门,处在互联网接口的网络防火墙肩负着保障网络安全性和网络稳定性的双重任务。因此部署在图书馆互联网出入口的传统的网络防火墙要能够实现NAT,这样就有利于隐藏受保护网络的内部结构,在一定程度上提高了网络的安全性。同时,其还应具备反间谍、反病毒软件监控、日志和垃圾邮件等防护措施,能够对数据包进行深入检查、识别和高级验证,实时地防御黑客入侵、抑制蠕虫病毒的爆发,并提供清晰详尽的网络安全事件报表。互联网接口处防火墙必须从以下两方面设定访问控制规则,第一、控制好通信端口,根据实际情况,只开放80端口以及工作中必要的端口,并密切关注工作用机敏感端口的数据操作情况,特别是提供网络打印和共享的135 、139和445端口,以及一些流行病毒的后门端口,如2745、3127、6129端口。二是控制好通过防火墙的数据包的源、目的地址(IP),在规则表中定义各种规则来表明是否同意或拒绝数据包的通过,不符合规则表中规则的数据将被防火墙丢弃。
1/2 1 2 下一页 尾页 |
