一种基于云的高校网站防御系统的设计

◆穆 荣

（西安科技大学信息网络中心 陕西 710054）

一种基于云的高校网站防御系统的设计

◆穆 荣

（西安科技大学信息网络中心 陕西 710054）

随着网络应用广泛的进入高校的各项工作中，高校Web业务系统和相关网站的安全问题开始频频出现，如何防止入侵者对高校网站的攻击成为网站建设时首要解决的问题。本文中基于云的高校网站防御系统可从攻击前的预防、攻击时的发现和阻断、系统可用性和最后的入侵取证来分析并阻断攻击，相比传统的防御系统，云模式可以随时提升防御能力，有效的保障系统的正常运行。

网站防御系统; 智能DNS系统; 负载均衡

0 前言

随着互联网应用更多地进入我们的工作和生活，传统业务也在互联网上纷纷开展新的应用。网站在高校的应用就更为广泛，例如学生选课和修学分、科研成果汇总、学生信息查询、学术动态浏览、公文上传下达等等。运用网站的汇总、查询和信息公开等功能，高校各部门之间可以无缝隙的进行亲密无间的合作，为学校的发展贡献自己的一份力量。

高校Web业务系统和相关网站（以下简称Web系统）作为高校网站的主要应用，以及业务负载平台、数据输入窗口和信息发布节点，对学校的重要性越来越大。目前，Web系统经常会面临以下安全问题：Web系统遭入侵，数据泄密以及被篡改，网站页面被篡改; Web系统被来自互联网上的分布式拒绝服务（DDoS）攻击，导致Web系统无响应，业务无法正常进行; 虽然已经使用大量安全设备，防火墙、入侵检测、应用防火墙、防病毒软件等，定期进行安全扫描、系统加固，但Web系统安全问题还是频频出现。

1 需求分析

为了解决上述各项问题,首先要分析web系统被入侵的过程。

一般入侵者会首先使用入侵或者扫描工具对Web系统进行漏洞检测，当扫描结束后，针对发现的问题采用Exploit、漏洞入侵工具或者手工入侵等手段登陆网站; 对于一些没有显著可利用漏洞的网站，入侵者则采用暴力破解后台密码或者对网站后台、网站用户登陆系统采用撞库攻击，尝试获取网站敏感信息或后台权限; 当入侵者利用漏洞成功登陆之后会上传Web Shell以取得网站控制权，进一步控制网站或者提升主机权限; 同时留下Web Shell还可以长期控制网站，并规避传统防火墙的检测; 当入侵者无法入侵网站时，或者一些恶意性竞争者出于报复心理可能对网站重要业务展开DDoS等拒绝服务攻击导致网站瘫痪; 有经验的入侵者在入侵结束后会对网站日志进行清除，清理自己的攻击痕迹。从上述入侵过程分析，网站风险主要来源于恶意IP攻击、系统本身脆弱性、第三方组件的脆弱性、网站入侵结束后的取证分析等方式[1]。

为了确保高校web系统能够正常运行，一种基于云的高校网站防御系统应运而生。该网站防御系统可从攻击前的预防、攻击时的发现和阻断、Web系统可用性和最后的入侵取证来分析并阻断攻击; 能够有效地防止网站核心数据、关键资源被篡改导致网站业务受到影响; 有效保障敏感时期确定保证网站的正常运行;防止拒绝服务攻击对网站业务持续性造成的影响; 攻击结束后有效保留证据并可以追踪溯源，留取入侵证据。通过以上防御系统的防护，可以有效的保障web系统的安全运行。

2 系统设计

基于云的网站防御系统由硬件和软件设计两部分组成，下面详细描述这两部分内容。

2.1 硬件设计

该系统硬件包括一台智能DNS和由一台或若干台防御系统服务器组成的云防御系统，并联接在校园网中，如果需要防御的网站过多，也可以继续增加防御系统服务器，并且可以继续增加一台智能DNS，保障解析的流畅性。如果有多个校区，也可以进行分布式配置，每个校区都配置防御系统服务器，某个校区遇到故障时，智能DNS可以将网站的防御系统导向其他校区的防御系统，保障了网站的正常访问。智能DNS负责探查各防御系统状态，各个防御系统使用基于DNS的负载均衡，负载均衡依赖节点状态信息的汇报; 根据现有负载自动调度的算法，防御系统每分钟会自动上报自身的运行状态信息，包括CPU、内存、磁盘占用、Load状态等; 这些信息被汇总之后，作为平衡节点负载的依据; DNS调度时依据防御系统的配置不同，动态调整防御系统权重，从而引导流量，如果一个防御系统负载高，DNS调度检测到时会自动减小导向这个防御系统的流量，使所有防御系统达到负载均衡。

2.2 软件设计

基于分布式体系结构，按功能划分由配置管理模块、数据处理模块、云防御系统和智能DNS系统组成。

2.2.1 配置管理模块

该模块包括数据显示模块、站点配置、用户管理。数据显示模块包含消息管理、报表打印和数据接口; 站点配置包含主域名管理、域名管理、缓存管理、防护策略管理; 用户管理包含用户分配、资料查询、资料修改等模块[2]。

2.2.2 数据处理模块

该模块包括数据分析模块和日志存储模块。各防御系统会产生大量安全日志，这些日志通过分布式文件存储可以永久存放在日志存储引擎上; 采用Map-Reduce的方式对分布式存储的数据进行汇总统计后，日志存储服务器会将统计结果上传至数据分析引擎进行深度挖掘。数据分析引擎基于这些统计数据做一些智能分析算法并将分析结果通过接口传递给前端界面展示。

2.2.3 云防御系统

该系统包括基础防御、云防御、定向防御。基础防主要确保平衡性能和准确率的基础上拦截互联网常见的80%以上的攻击手段，还包括一些对智能化工具的屏蔽; 云防御主要是基于互联网数据的IP信用评级对恶意IP进行屏蔽，充分利用云防御的优势，将单点防御转化为全网防御体系; 定向防御包括一些针对特定攻击和特殊攻击的防御手段，用户可在一些敏感时期开启此项防护来保证您的Web系统安全。

2.2.4 智能DNS系统

该系统是一套单独的系统。当网站接入时，由DNS服务器负责解析访问请求，再根据访问的域名分配到相应的防御系统，当请求达到各个防御系统的代理服务器时，经过过滤将干净的流量转发到原用户服务器。同时智能DNS负责探查各防御系统的状态，调度时依据其配置不同，动态调整权重，从而引导流量，使所有防御系统达到负载均衡。

3 结束语

随着现在网络应用的普及，学生报到、查询课程安排、查询成绩、毕业等等的事情都可以在网络上来完成，但是目前网络上的各种攻击手段层出不穷，攻击方式越来越高，网络安全被提升到前所未有的高度，对于承载网络应用的网站，怎样阻断网络攻击，拦截黑客，实现安全快速的访问成为现在的首要问题。相比传统WAF（网站应用级入侵防御系统），基于云的网站防御系统在保持传统的防御能力的基础上，还可以通过云内的系统来提升防御效果，云模式也便于随时提升防御能力，相比传统的系统，基于云的高校网站防御系统防护功能更加全面和深入，能更好地保护数据的安全性和私密性。

[1]姜开达，李霄，沈海云等.高校网站安全防护体系设计与实现[J].信息网络安全，2012.

[2]林梅琴，李志蜀，袁小铃等.分布式拒绝服务攻击及防范研究[J].计算机应用研究，2006.