Web应用防火墙在BS架构的学习系统中的应用

祝虹　许开维

[摘 要] 本文着重介绍了Web应用防火墙在自主学习信息系统中的应用，对自主学习信息系统的安全现状和防护策略也作了简单的描述，实践证明，Web应用防火墙的使用对提高自主学习信息系统的安全性和稳定性起到了很好的防护作用。

[关键词] Web应用防火墙；安全漏洞；安全检测

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 22. 055

[中图分类号] TP308 [文献标识码] A [文章编号] 1673 - 0194（2014）22- 0086- 03

0 引 言

随着近年来各高校网站不断曝光的Web应用被攻击事件，暴露出Web信息系统中存在有安全漏洞[1-2]。黑客把Web 应用数据和程序作为头号攻击目标，我校的自主学习信息系统，同样，受到各种安全威胁的困扰，Web应用防火墙的使用，有效地阻断了系统网站被攻击、数据被篡改、窃取、驻留木马、传播病毒等破坏活动。提高校园自主学习系统网站的安全性，因此，保障校园自主学习系统的正常运行，是我们系统管理人员必须探讨的课题。

1 校园自主学习信息系统安全现状

校园自主学习信息系统多采用 B/S架构，在Web 应用访问中，多数应用的是动态而非静态的网页浏览，于是校园自主学习网站也成为黑客或恶意程序首选的攻击目标，造成数据丢失、网站内容篡改等威胁，如果ASP、PHP、JSP等程序语言的开发人员安全意识不强，对相关程序参数输入检查不严格，就会导致Web网站出现很多安全漏洞。根据调研，一般有在下列几个方面的问题[2-3]：

1.1 SQL注入漏洞

由于Web信息系统的应用程序对提交的数据过滤不严格，没有对用户输入数据的合法性进行相应判断[3-4]，导致恶意人员在访问网页时构造特定的参数，实现非法修改。进而获取后台数据库保存的敏感信息。最终使得运行数据库的主机被控制。

1.2 信息泄露漏洞

有些Web信息服务没有认真处理好用户提交的特殊请求，如用户名、密码等关键信息。导致用户信息泄露。

1.3 Web管理后台asp漏洞

网站系统的Web管理后台配置不当，黑客可以从互联网上侵入信息系统的内核。导致重要信息泄露。

1.4 跨站脚本攻击（XSS）

把用户输入的未经过滤或编码的数据直接发送给浏览器，XSS会导致攻击者在受害者的浏览器中执行脚本程序，这些脚本程序可以借此用户的会话，修改网页甚至传播蠕虫。JavaSCript、vBSCript、ActiveX、HTML、orFlash都可以注入到存在漏洞 如：网页挂马、钓鱼攻击等[5-6]。

1.5 网页篡改的攻击

由于网络管理人员的疏忽，对操作系统的漏洞未及时打好补丁，导致攻击者通过系统漏洞对网站进行攻击，而被植入木马，产生非授权访问，泄露敏感信息。破坏系统文件。

1.6 跨站请求伪造CSRF

黑客利用他人与服务器进行数据交互时，将恶意脚本隐藏在提交的数据中，从而达到篡改服务器正常页面响应。窃取用户敏感信息目的。

上述几项漏洞中，比较严重的当属SQL注入漏洞所造成的危害最为常见。SQL注入攻击在Web攻击中通过本地跨站脚本攻击、反射跨站脚本攻击、持久跨站脚本攻击等方式，构造出巧妙的SQL语句，与网页提交的正常内容结合并进行注入攻击，先探测网站是否存在注入漏洞，若存在则获得后台数据库类型，进而获取系统表信息、列信息，最终取得数据信息[7-9]。

2 校园自主学习系统安全威胁产生的原因

（1）自主学习系统服务器缺乏有效的网络安全防护策略，如防火墙、入侵检测系统、防病毒系统等；

（2）自主学习系统服务器自身的安全配置存在不足，如安全策略设置为到达安全基线标准，未及时安装系统补丁、存在空口令或弱口令等[6-7]；

（3）网络协议具有开放性，本身安全性不高，而开发软件系统时未采取适当措施以克服其不足；

（4）自主学习系统的管理人员技术水平不足或安全意识薄弱，导致安全配置不当或系统未及时升级，容易造成安全漏洞[7-9]；

（5）在应用系统编码的开发设计期间，未考虑安全问题或考虑不全面，导致出现更多的安全缺陷和漏洞，使得系统更容易遭受外部攻击；

（6）未建立完善的安全管理制度，或者安全制度未严格落实到位，导致系统缺乏完善的安全防护体系。

3 Web应用防火墙简介

Web 应用防火墙（Web Application Firewall，简称WAF）是一种Web信息安全防护技术，与传统防火墙不同，WAF工作在OSI的第七层即应用层，在网络中一般位于Web应用服务器前，是一种具有独特的保护Web 应用服务器安全的技术。对目前常见的SQL注入攻击、缓冲溢出攻击、日志篡改、应用平台漏洞攻击、https类攻击、DOS攻击等都能予以实时拒绝和阻断，保护了各类网站群的安全运行。

Web 应用防火墙的功能：

（1）Web应用的防护；

（2）Web信息系统文件的保护；

（3）信息系统的网页挂马和漏洞的检测；

（4）信息系统的网页篡改的检测；

（5）Web应用的审计；

（6）管理人员可在Web应用防火墙上直接管理， 提高了系统安全的可操作性。

4 Web应用防火墙对自主学习系统的防护

Web应用防火墙（简称：WAF）一般部署在自主学习系统服务器和防火墙之间，通过制定 WAF的安全策略，对流经 WAF 的 Web 数据流进行深度检测，发现可疑数据立即阻断和报警，进而保证系统的正常进行。其具体策略为以下几方面。

4.1 Web应用防火墙的部署与安全防护

采用混合加密部署模式将WAF 部署在自主学习系统的服务器前端，它的工作原理是将原来由Web服务器完成的SSL加密、解密工作，现在交给WAF来完成，即由WAF执行SSL加密、解密工作，因此需要将原来Web服务器上的SSL证书导入到WAF中，同时将Web服务器上的HTTP服务端口开启，比如80端口。这样可以对数据流进行分析，阻止可疑的端口扫描、SQL注入、恶意信息流，达到防护学习系统服务器的 HTTP、HTTPS 等应用安全的目的[10]。

4.2 WAF具有过滤输出的防护

通常情况下，信息系统服务器的报错信息会暴露网站的绝对或相对路径、网站部分源码、SQL语句信息等，WAF自动对回显的错误信息进行过滤，禁止外界可以看到服务器报错信息，这样能够有效地对数据库内部信息进行防护。

4.3 自主学习信息系统程序的编码安全

自主学习信息系统尽管有比较完备防火墙和入侵检测系统，但如果Web应用程序的编码出现安全漏洞，同样能够威胁到Web信息系统的安全。诸如asp后门编码就可以轻易侵入自主学习信息系统，而这种编程漏洞是在程序开发设计过程中缺乏严谨性造成的。在系统的开发过程中需要不断检测系统存在的安全漏洞并及时修复，主要有：登陆验证漏洞、 SQL注入漏洞、代码注入漏洞、源代码泄露、文件上传的漏洞等。

4.4 自主学习系统中的数据库安全性

4.4.1 杜绝数据库文件被下载

在一些应用系统中常常采用Access作为数据库，若黑客侵入到学习系统服务器系统中，就有可能猜测到数据库的存储路径和文件名，则该数据库文件就可能被下载，数据库文件也就被泄密。为防止数据库被下载可采取有效的方法是：对数据库文件不规则命名或使用ODBC数据源

4.4.2 对数据库进行加密

数据是整个信息系统的核心，为确保数据库的完整和安全，可采用数据库备份和日志管理分析、数据库多重加密、存取控制，同时可以对数据的操作进行安全保护，对其算法进行加密操作。充分地利用DBMS所提供的各种安全服务，以确保数据库的安全。

5 结束语

要保证校园自主学习信息系统的安全性，在设计和开发Web应用程序时，就必须采取各种安全技术措施和手段以加强其安全性，引入Web应用防火墙技术对保证Web信息系统正确安全地运行有着极其重要的作用。因此，在开放的互联网环境中，有效运用Web防护技术，保障自主学习系统能正确安全地运行是我们校园网络管理者的职责所在。

主要参考文献

[1]罗鹏飞，王映晖. 基于 Hibernate 的数据访问框架扩展点研究[J].计算机工程，2010，36 （12）： 100-103.

[2]戴诗发. 校园网SQL注入攻击与防范技术研究[J]. 昆明理工大学学报：理工版，2005，30（3）：72-75.

[3]罗福强.Web应用程序设计实用教程[M].北京：清华大学出版社，2010.

[4]王永红. 基于中间件的数字化养殖实验平台研究与设计[J].实验室研究与探索，2010，29（10） ： 191-194.

[5]马恒太.Web服务安全[M].北京：电子工业出版社，2007.

[6]祝智庭.中国教育信息化十年[J]. 中国电化教育，2011（1）： 20-25.

[7]白银，曹梅. 国内教育网站评价研究概述 [J]. 现代教育技术，2011（1） ：107-111.

[8]刘宗田.Web站点安全与防火墙技术[M].北京：机械工业出版社，2007.

[9]张鸿军，张新刚. 数字化校园中典型安全问题分析及防御对策[J]. 中国电化教育，2009（ 6） ： 113-116.

[10]李莉，翟征德.一种基于Web应用防火墙的主动安全加固方案[J].计算机工程与应用，2011，47（25）：104-106.