Web安全防护系统的实现与分析

网络安全系统的实现与分析程立雪中国工程物理研究院计算机应用研究所摘要：Web安全保护系统(WAF，Web应用程序防火墙)通过建立网络应用层安全规则，识别用户行为特征，监视和过滤通信量，有效防止对Web站点的主要攻击本文介绍Web安全问题的发生和类型，说明WAF的原理、作用和特性，开发WAF软件系统的总体框架、功能模块、工作流程等，制定WAF网络引进方案，最后验证WAF的实际应用效果，分析WAF发生的日志信息这在改善应用系统安全方面具有重要价值。关键词： WAF、Web安全、网络攻击theimplementationandapplicationofwebapplicationfirewallWeb应用程序取代了传统的开发模式，既灵活又方便，在“大数据时代”呈现了爆炸性的成长，但另一方面，更多的Web程序构筑在数据库平台上，承担着大量的IT业务数据的运营。 随着组织对Web安全的重视不断提高，Web安全漏洞越来越突出，漏洞暴露，攻击手段不断发展，Web成为主要网络攻击的渠道，保护Web非常复杂和困难。一、Web应用安全威胁Web应用通过客户端(浏览器)发送HTTP/HTTPS请求，例如POST、GET消息等，与Web服务器侧进行交互。 Web服务器首先认证客户端的请求，处理合法的用户请求并将其连接到数据库，然后获取或存储数据，然后将从数据库获取的数据作为Web页返回给客户端浏览器。Web应用程序的核心安全性问题是用户可以任意输入信息，应用程序不得使用攻击者设计的输入来干扰应用程序的结构，也不得不非法获取系统的数据。 同时，由于许多Web程序员缺乏安全意识，在应用程序设计和开发过程中会产生很多安全漏洞。 网络管理员的疏忽和不正确的服务器配置可能会引起许多安全问题。根据Web应用程序系统的配置，安全威胁主要包括三个方面a .对web传输协议的攻击由于异常的协议结构而导致协议分析的混乱。 例如，HTTP请求包含在磁带中，分割HTTP响应的HTTP协议违规、HTTP协议异常等b .针对web应用程序的攻击，非法用户和恶意数据利用安全认证机制的脆弱性侵入系统，产生了危害性的操作和结果。 例如，交叉站点脚本攻击、失效的认证和会话管理、远程文件攻击等。c .对背景数据(如SQL注入攻击)的攻击使攻击者构建特殊的数据库查询和操作语句，利用意外的结果窃取机密数据，进一步深入解读数据结构，控制数据库平台。二、网络安全系统waf (Web应用程序防火墙，Web安全系统)针对网络流量提供应用层分析和识别，根据用户的行为特征评估web数据安全性，筛选或阻止危险内容比如防火墙、入侵检测系统(IDS )等传统的网络安全设备主要负责IP网络层和TCP/UDP传输层，以处理更加通用的网络攻击，并且WAF主要负责处理来自HTTP应用层的Web攻击关于Web应用的安全性，理想的是在软件开发生命周期中遵守安全代码的原则，应在各阶段采取适当的安全对策。 但是，大量的初期开发的Web应用由于历史原因，存在一定程度的安全问题，由于其定制特征，通用补丁不能使用，但是在整改码成本过高而难以执行，或者需要较长的整改周期的情况下，Web安全性可能会降低WAF主要具有以下特性a .实效性： WAF采用成熟高效的基于规则的检测技术，能够根据实际需求动态调整，支持复杂的运算逻辑，定义应用层规则，准确归纳行为模式，捕捉行为特征，判断行为意图。b .适应性： WAF提供了三种安全模型，以防止已知或未知的Web安全威胁1 )自主防御：建立正规则集记述合法行为和访问，只允许符合规则的正常数据通过2 )被动防御：为了用丰富的语言逻辑定义异常特征库，匹配复杂的攻击模式，特征匹配的流量被切断处理3 )补丁模型：根据公开的脆弱性信息进行缺陷的掩蔽和修复，阻止利用脆弱性的行为，使开发者集中精力于业务功能。c .全面协议检查WAF可对所有HTTP请求进行异常检测，并完全分析HTTP协议。 提供严格的HTTP协议认证，支持各种HTTP代码集，包括消息头部、参数和有效载荷，拒绝不符合标准的请求，并且仅传递HTTP协议所需的一些选项，从而减少攻击影响并减轻HTTP协议的缓解d .提供会话保护机制由于HTTP协议本身没有受信任的会话管理机制，WAF将有效地补充此机制，建立受信任的会话管理机制，并且能够防止基于会话的攻击类型，例如cookie篡改和会话劫持攻击。e .网络访问审计WAF为Web流量提供了细分日志记录，为安全审计提供了基础。 分析WAF日志，不仅可以跟踪和取证攻击行为，还可以理解用户的关注点，并提供提高系统性能和业务价值的指导方针，这些点可以作为改善应用安全的具体依据。f .可扩展性WAF还具备负载均衡、反向代理、高速缓存加速等功能，能够在优化网络的同时保护多个Web服务器群。三、WAF的设计与实现通过深入分析相关开源软件，项目组进一步完成了设计和开发，实现了完全可用的WAF系统以满足组织的实际需求。 软件的体系结构和流程如图1所示图1 WAF系统的总体架构a .捕获网络数据并提取Web请求对HTTP协议进行预处理，规范所请求的数据结构和格式，避免绕过WAF检测机制，并进行语义分析c .检验滤波是WAF系统的核心模块，其准确性和性能决定WAF的效果。 该模块主要由三个部分组成提取Web请求的各个方面的属性，如GET、POST、Cookie、Session、Script、File、URL等对Web要求的属性值进行特征性的模式匹配：一般使用复杂灵活的正规运算来提取特征值。 由此判断要求的性质：是否属于攻击及攻击类别基于l匹配的结果，对Web请求进行包括块、许可、重建、传递、执行等动作的适当处理d .通过检查过滤后，只有安全的Web请求才能提交给Web应用程序，发生相应的Web响应e.Web回复也由WAF检查，防止对输出的信息敏感的内容泄漏，在被编码后，将安全的Web回复提示给用户f .需要根据用户的要求详细记录Web数据的全部生命周期，为审计分析提供依据。四、部署和验证WAF如图2所示，WAF系统需要在Web客户端与Web服务器之间进行串行访问，访问Web服务器的往返业务必须经过WAF的监视和控制。 在防火墙、IDS之后更深入地保护Web服务器，通过WAF检测和处理确保Web交互数据的安全性和合法性，防止异常和恶意内容损害Web系统。 考虑到生产网络的严格限制，以下WAF系统的验证和分析主要立足于测试环境中Web服务的安全保护。图2 WAF的网络部署拓扑在导入WAF之前，运行Web安全测试工具进行扫描和模拟攻击，发现的网站漏洞如图3左侧所示，存在SQL注入、电子邮件地址模式、应用程序错误等4个主要安全问题， 在这种Web站点引入了面临高安全风险的WAF系统之后，如图3右侧所示，该Web站点的扫描结果阻止了SQL注入、应用程序错误等主要安全漏洞，有效地强化了Web服务的安全性图3 WAF部署前后的安全漏洞扫描五、WAF的数据分析引进WAF后发生大量日志记录并进一步提取统计数据，从而获取大量有效的Web应用系统运行数据，揭示Web安全的深层规律和特性，为管理部门了解应用现状，制定改进计划提供基础，提供长期的Web安全保护WAF系统日志包含详细信息，包括生成时间、匹配规则、操作、严重性级别、源地址和端口、服务器名称和网页路径、协议版本和状态、访问方法以及警报消息，并记录原始数据包字节数据。 通过对WAF日志的进一步摘要和分析，可以满足审查、取证等各方面的需要，得出各种有价值的结论。a. WAF日志提供判断安全设施有效性的依据网络流量截获、捕获、WAF日志统计结果表明，WAF系统的应用明显抑制了Web攻击，数量减少了约90%。图4 WAF部署前后的攻击数b. WAF日志为了解安全系统能力提供定量参考对Web服务进行大量仿真攻击后，WAF日志对主要Web攻击类型的效果良好，XSS脚本攻击、SQL注入攻击等攻击的90%以上可以立即发现，进一步处理以消除危害。表1WAF处理的Web攻击攻击类别攻击数处理数1XSS脚本攻击20202SQL注入攻击30303HTTP协议攻击20164一般攻击3026c. WAF日志为网络执法提供了线索WAF日志可以明确表示攻击源的具体IP地址，并能够以线索快速跟踪、确定责任人，从根本上阻止攻击的发生，强有力地抑制恶意企图。 如图5所示，这指示对Web服务的攻击行为主要从172.20.*.*网络段开始，而主机例如是5图5 WAF发现的攻击源地址d. WAF日志支持开发安全可靠的网站SQL注入攻击目前在对Web应用的攻击中危害最大，数量最多，防范最困难。 其发生通常是由于程序开发者不了解注入攻击的手段，用户数据的验证和过滤不严格，或者服务器安全策略的配置不完整等原因。WAF不仅可以阻断SQL注入攻击，还可以在日志中记录攻击的具体种类和路径。 例如添加注释、编造查询语句、输入特殊参数、持续检测页面参数变化等方法，欺骗系统造成危害。 这些信息可用于指导程序员切实改进程序，消除缺陷，提高代码质量和规范性，根本降低系统漏洞，保障Web服务安全。表2是模拟SQL注入攻击后的WAF日志攻击原因的排列报告。 程序员理解攻击的原理和过程，提取用户的输入，自动跳出其中的特殊字符等，可以采取对策，隔离输入范围和类型限制用户权限的限制数据加密服务器返回的错误信息简化会话的要求内容和数量表2SQL注入攻击方式的分类排名排行榜规则ID攻击方式攻击数1注释攻击142查询语句异常103SQL关键字攻击44超出范围的特殊字符15SQL盲1WAF系统自使用以来，在Web安全方面确实起着有效的作用，能够从更详细的层面监视Web流量，以灵活快捷的方式强大地保证Web服务的稳定性。 Web应用安全是领域研究的重点和难点，新的特性和技术不断涌现，一方面要求不断改善Web系统本身的设计、开发和测试规范性，另一方面WAF系统引进人工智能技术，形成自动学习完善的能力。参考文献1侯燕王海滨，基于WAF的Web安全信息系统构筑J，计算机工程，2001.082邓静出剑，基于高校私人云的WAF研究J，宿州学院学报，2014.013宋歌笙、Web应用防火墙在图书馆的应用J，图书馆工作与研究，2010.094叶坚、Web应用防火墙在网络银行的应用J，中国金融计算机，2010.095 owasp.openwebapplicat