防火墙核心处理构件结构浅谈

摘要：互联网在现实中的应用面临着一些不可靠的安全风险，并且这些风险所能造成的损失非常大。该文详细讨论了互联网应用防火墙的系统结构，重点讨论了核心部分的解决方案。

关键词：防火墙；互联网；数据过滤

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）02-0250-02

1 系统结构设计

本文设计的互联网应用防火墙系统结构具体有三部分组成，分别是核心处理构件、系统管理构件以及数据库。核心处理构件是互联网应用防火墙的最主要部分，该文将针对核心处理构件的设计方案以及实现方式做详细的介绍。核心处理构件主要作用是处理所有输入输出的数据。一切发送给互联网应用的信息、数据都将被截取并进行有效地解码，并且检测。当出现输入的内容不符合互联网应用防火墙的策略的时候，那些有恶意的数据将被中断。互联网应用所返回的数据也将进行有效的检验，如果有敏感数据也将进行有效地拦截。核心处理构件具体分为四大构件：预处理构件、检测构件、输出编码构件和系统日志审核构件。

2 预处理构件

预处理构件主体构成是SSL解密构件和编码解码构件两部分组成。现在有很多WEB应用主要使用HTTPS协议，所以要对各种网络攻击做出有效的检验并对SSL加密数据解码。由于WEB应用的特点，WEB应用支持的字符集和多样编码标准。这些就有可能成为攻击的主要手段。鉴于此，需要使用集成化构件，为下一步检测构件做铺垫。

3 检测构件

检测构件有两部分组成：一是含有基于特殊字符的数据过滤系统、自定义URL的访问方式来实现细微的权限限制。二是以对话的数据过滤系统来弥补互联网应用自身所包含的会话管理漏洞及防御应用层的DDOS攻击。

3.1 数据过滤系统

数据过滤系统的主要设计是对所有的恶意输入都要进行有效的过滤，恶意输入必须要和服务器的应用程序做交换数据以达到攻击的目的。而恶意代码则是渗透到源程序的代码段中的成为WEB应用程序中的一部分，被WEB应用程序执行从才能实现攻击的结果。所以恶意代码必须成为正常WEB应用代码的一部分，并需要在闭合程序中前段或断开后续代码，不然应用程序就会报错，继而不会执行恶意代码。同时恶意代码中的插入、修改、查询数据库等基本操作符合数据库操作语言的语法，因此它必须要有效地利用各种间隔符。由此可见过滤各种闭合、断开和数据库语言的间隔符和特殊字符就可以使注入的恶意数据形成一串连续的字符串，这样恶意数据就不能成为合法的代码段。

3.2 会话管理构件

会话漏洞的产生主要是生成的会话令牌过于简单，因此容易被攻击者猜到或者通过破译获取到。互联网应用防火墙中的会话管理构件可以用在会话中随机增加一个强随机性的标记的方法，即能有效地防止猜测或者破译攻击，还能有效地防护跨站请求伪造攻击。强随机性的标记能用Python语言中的随机函数来产生。加强作用于会话的验证规则还能有效地保护应用层DDOS免受攻击。

4 输出编码构件

输出编码构件组成是由输出过滤构件和输出编码构件两部分组成。输出过滤构件通过监控应用网站输出的数据，对发现有数据泄露、恶意修改、植入木马等行为时采取有效地过滤。输出编码构件是靠实现简单的超文本语言语法分析系统来实现的，对超文本语言中有可能会造成恶意输出数据进行即时的监测，来阻挡各种XSS跨站脚本的恶意攻击。

4.1 输出过滤构件

输出过滤构件的作用是使用基于敏感数据的过滤策略，用来识别并更正WEB应用错误的有关数据，识别并保护敏感信息泄漏，具体方式是：可以自定义敏感数据的关键词，并且对其进行自动过滤，有效防止敏感信息流出。对信息泄露有监测的作用。能有效过滤服务器一端回应数据里包含的敏感数据，如银行账号，邮箱地址等等。

4.2 输出编码构件

主要是用来防止XSS攻击。通过使用面向对象语言的HTMLParser构件，自行设置标签处理函数以实现简单的超文本语言语法分析。自行设定的标签处理函数能实现允许或禁止使用超文本语言标签和其可用的标签的属性，实现黑名单机制有效地防止XSS攻击。

5 系统日志审核构件

系统日志审核构件是一个系统的最重要的部分，一切的异常报错随时都会记录。同时这也是电子取证的重要数据。日志内容需要能保证一致性及完整性。在这里SHA数据加密算法单向散列函数来实现。单向散列函数SHA就是将输入字符串或者是文件转换成固定长度的一种函数。散列计算过程是不可逆的。实际应用中经常用来防篡改使用。通常情况下，应该用不带密钥的单向散列函数，方便所有人都验证数据完整性，但是如果只想让数据接收者才能验证散列值，就需要增加消息鉴别字符。消息鉴别字符是带有密钥的单向散列函数。因此我们对WEB应用防火墙的日志文件需要定时备份并随时计算消息鉴别字符，并且将消息鉴别字符保存到数据库中，这样就能数据的篡改，从而保证了日志文件的一致性及完整性。

6 结论

众所周知WEB应用防火墙是目前解决互联网安全问题的最好解决方案，然而核心处理构件更是重中之重。该文对核心处理构件的设计方案以及实现方式做出了初步的探索，可以保障WEB应用防火墙的安全严密，从而能从容应对种类繁多的网络攻击。

参考文献：

[1] INSTITUTE S. Top Cyber Security Risks - Executive Summary[EB/OL]. http：//www.sans.org/top-cyber-security-risks/summary.php.

[2] Open Source Network Intrusion Prevention and Detection System[EB/OL].http：//www.snort.org/.

[3] M. E. LOCASTO A K， K. WANG， FLIPS S S. Hybrid adaptive intrusion prevention[M].[S.l.]： In Proc. of the 8th International Symposium on Recent Advances in Intrusion Detection （RAUD 2005）， 2005.

[4] Open Systems Interconnection model[EB/OL]. http：//en.wikipedia.org/wiki/OSI_model.