背景介紹

北京大學(xué)創(chuàng)辦于1898年，初名京師大學(xué)堂，是中國第一所國立綜合性大學(xué)，也是當(dāng)時(shí)中國最高教育行政機(jī)關(guān)。辛亥革命后，于1912年改為現(xiàn)名。北京大學(xué)內(nèi)包含多個(gè)學(xué)院，每個(gè)學(xué)院都有不同的系，而每個(gè)學(xué)院和系都有對外的功能性網(wǎng)站，這些網(wǎng)站不但向社會展現(xiàn)著北大形象的一個(gè)窗口，也是師生們學(xué)習(xí)溝通的橋梁與平臺，與整個(gè)北京大學(xué)正常教育的開展息息相關(guān)。

北京大學(xué)一直非常重視網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)中已經(jīng)部署了多臺防火墻、IPS等網(wǎng)絡(luò)安全產(chǎn)品，有些院系也曾經(jīng)購買過專門的網(wǎng)頁防篡改軟件。但是，在網(wǎng)絡(luò)運(yùn)營過程中，他們發(fā)現(xiàn)其web服務(wù)器依然遭受到SQL注入、網(wǎng)頁掛馬等惡意威脅的侵入。在此情況下，北京大學(xué)決定采用當(dāng)前安全市場上最熱門WAF產(chǎn)品和技術(shù)來保護(hù)他們的web應(yīng)用系統(tǒng)安全。在測試對比同類產(chǎn)品后，北京大學(xué)最終選擇了安信華Web應(yīng)用安全網(wǎng)關(guān)(簡稱WAF) S系列。

目前很多國外廠商的WAF產(chǎn)品主要針對支付行業(yè)，而相比來看國內(nèi)的主要用戶則集中在高校和政府行業(yè)。安信華作為一家純內(nèi)資的安全公司，致力于做出適合國內(nèi)web安全需求和發(fā)展趨勢的產(chǎn)品。安信華WAF產(chǎn)品S系列基于對HTTP/HTTPS流量內(nèi)容的雙向檢測分析，識別檢測各類web編碼、交互技術(shù)、URL參數(shù)以及窗體輸入等，為web應(yīng)用平臺提供實(shí)時(shí)、動態(tài)的主動性防護(hù)。同時(shí)安信華還配備專業(yè)團(tuán)隊(duì)提供規(guī)則庫與防護(hù)算法的升級服務(wù)、web系統(tǒng)風(fēng)險(xiǎn)評估和web系統(tǒng)運(yùn)營監(jiān)控服務(wù)，為客戶提供web站點(diǎn)運(yùn)營全生命周期的安全防御方案。

圖1：安信華WAF核心功能架構(gòu)示意圖

北京大學(xué)Web應(yīng)用系統(tǒng)安全運(yùn)營需求

北京大學(xué)其內(nèi)部web站點(diǎn)域名多達(dá)1000多個(gè)，而且呈分散性部署，很多服務(wù)器分散在各個(gè)院系的網(wǎng)絡(luò)中（如下圖2所示），龐大的數(shù)量和分散部署性使得網(wǎng)站的安全運(yùn)維與管理成了很頭疼的問題，何況網(wǎng)站會不時(shí)遭受攻擊。

圖2：原有網(wǎng)絡(luò)拓?fù)鋱D

解決方案

如上圖2所示，北大擁有眾多的分布在各個(gè)教學(xué)樓里的服務(wù)器：

" 如果每個(gè)教學(xué)樓都部署一臺web應(yīng)用防火墻，不僅會造成資源的浪費(fèi)也會使部署和日常管理更加繁雜；

" 如果把web應(yīng)用防火墻架設(shè)在核心交換機(jī)上，那么因?yàn)樗性盒５挠脩襞c服務(wù)器都是使用一個(gè)核心交換訪問，核心交換的數(shù)據(jù)量很大（基本都是工作在萬兆模式下），如此一來一臺應(yīng)用層的設(shè)備肯定不能勝任的，勢必要選用多臺設(shè)備負(fù)載均衡的部署模式。

安信華在充分了解用戶的需求和困擾后，結(jié)合其web應(yīng)用防火墻設(shè)備架設(shè)部署靈活的特點(diǎn)，為用戶提供了以下的解決方案：

如下圖3所示，使用一臺交換機(jī)連接各接入交換機(jī)，利用STP優(yōu)先級技術(shù)使得服務(wù)器相應(yīng)的vlan流量優(yōu)先通過服務(wù)器交換機(jī)到達(dá)核心，而用戶機(jī)的流量依然通過匯聚交換機(jī)到達(dá)核心。在服務(wù)器交換機(jī)與核心交換機(jī)中間部署安信華S900設(shè)備對網(wǎng)站的威脅進(jìn)行過濾。

圖3：部署WAF后的拓?fù)鋱D#p#

對于以上方案設(shè)計(jì)有如下特點(diǎn)：

" 1、透明部署，簡單方便。

透明部署不改變用戶網(wǎng)絡(luò)原有的物理拓?fù)洌⑶野残湃AWAF支持對單個(gè)或多個(gè)vlan的過濾，這就使得過濾來自于各個(gè)教學(xué)樓的流量更加便利。

" 2、即插即用，適用強(qiáng)，配置方便，簡單快捷地建立高校IDC網(wǎng)站群運(yùn)營防護(hù)策略。

安信華WAF默認(rèn)安全策略精確度高,　適應(yīng)性強(qiáng),　方便為眾多服務(wù)器群配置統(tǒng)一的安全策略，而不需要復(fù)雜的調(diào)配過程，適用北大這種服務(wù)器眾多，內(nèi)容經(jīng)常不定時(shí)變化的校園IDC運(yùn)營的需要。之前，北京大學(xué)曾經(jīng)試用過國內(nèi)外眾多的專業(yè)web應(yīng)用防火墻產(chǎn)品，但是很多產(chǎn)品規(guī)則策略配置很復(fù)雜，即使功能很強(qiáng)大，因?yàn)閺?fù)雜的配置操作原因，很多防護(hù)理念或原理很好的功能不能充分使用，從而發(fā)揮應(yīng)有的作用。安信華WAF即插即用的策略配置，大大簡化了管理員的策略配置，此功能受到北大網(wǎng)絡(luò)運(yùn)維老師的好評，也是北大選擇安信華WAF的重要原因之一。

" 3、高性能WAF帶給高校IDC高性價(jià)比的防護(hù)方案

安信華S900設(shè)備最高HTTP吞吐可以達(dá)到1G，目前單一設(shè)備同時(shí)保護(hù)著北大300多個(gè)核心網(wǎng)站的運(yùn)營，并且不僅為這些站點(diǎn)提供常見的web應(yīng)用攻擊防御功能，還提供針對北大學(xué)生上傳作業(yè)和論文附件的病毒過濾功能。

" 4、支持對多個(gè)網(wǎng)站管理員的分級管理和資產(chǎn)導(dǎo)入，方便高效IDC的運(yùn)營管理。

安信華WAF針對多個(gè)網(wǎng)站的分級管理和資產(chǎn)導(dǎo)入功能解決北大眾多網(wǎng)站所帶來的策略維護(hù)與管理的問題，設(shè)備管理員可以給各個(gè)網(wǎng)站管理員分配不同的權(quán)限來管理各自的web服務(wù)器，并可批量將防護(hù)網(wǎng)站信息列表導(dǎo)入到WAF中，以便針對各個(gè)不同的站點(diǎn)設(shè)置不同的防護(hù)策略，并且方便設(shè)備管理員聯(lián)系網(wǎng)站管理員，發(fā)布各種防護(hù)告警通告或通知。北大認(rèn)為此功能大大方便了其IDC的運(yùn)營管理，推動了其web安全運(yùn)營業(yè)務(wù)的開展。

方案效果及價(jià)值

在安信華WAF設(shè)備上線之后北大的管理人員對其防護(hù)效果進(jìn)行了較長時(shí)間的跟蹤，總結(jié)如下：

1、設(shè)備性能與運(yùn)行穩(wěn)定性良好

安信華WAF在同時(shí)保護(hù)著北大300多個(gè)核心網(wǎng)站正常運(yùn)營的同時(shí)，其設(shè)備運(yùn)行穩(wěn)定，其CPU使用率趨勢圖如下圖4所示，CPU最大使用率13%，內(nèi)存最大使用率30%。

圖4：CPU使用率趨勢圖

2、有效攔截SQL注入、XSS等攻擊流量，加強(qiáng)了網(wǎng)站運(yùn)營的安全性。

下圖5為4月1日至4月10日安信華WAF設(shè)備每天攔截的攻擊事件統(tǒng)計(jì)圖，其中攔截攻擊事件最多的是4月7日，接近18萬，攔截攻擊事件最少的是4月4日，7.2萬多。

圖5：設(shè)備攔截的惡意行為或攻擊截圖

下圖6為前10名的攻擊排名，從該圖可以看出未授權(quán)的非法訪問、SQL注入、XSS攻擊、弱口令攻擊等這些web應(yīng)用攻擊事件非常突出。

圖6：前10名攻擊排名圖#p#

目前SQL注入、XSS攻擊是黑客最常用的2種攻擊手段，造成的危害也很大，可以篡改網(wǎng)站、偷竊用戶數(shù)據(jù)、用于網(wǎng)絡(luò)釣魚、網(wǎng)站掛馬等。部署安信華WAF后，北大網(wǎng)絡(luò)運(yùn)維的管理人員反映網(wǎng)站被掛馬的現(xiàn)象大大減少，而且安信華的WAF還提供了掛馬監(jiān)測過濾功能，對未部署WAF設(shè)備前已經(jīng)被掛馬的頁面，將及時(shí)報(bào)警給管理員，協(xié)助管理員清除已有威脅，進(jìn)一步降低站點(diǎn)運(yùn)營風(fēng)險(xiǎn)。

3. webshell檢測過濾與偵測功能效果明顯

日前webshell盛行，能夠防御4000多種webshell也是安信華WAF的很大特色。經(jīng)長時(shí)間的觀察分析Cernet流量，發(fā)現(xiàn)在教育網(wǎng)絡(luò)中利用webshell達(dá)到攻擊服務(wù)器的現(xiàn)象非常普遍。webshell常常被入侵者利用通過Web服務(wù)端口對Web服務(wù)器進(jìn)行操控，由于其大多是以網(wǎng)頁腳本的形式出現(xiàn)，也稱之為網(wǎng)站后門工具，簡單的說來，webshell就是一個(gè)asp或php木馬后門，黑客在入侵了一個(gè)網(wǎng)站后，常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中，與正常的網(wǎng)頁文件混在一起，然后黑客就可以用web的方式，通過asp或php木馬后門控制網(wǎng)站服務(wù)器，如下圖7所示的webshell，提供文件下載、數(shù)據(jù)庫備份、執(zhí)行SQL語句、批量掛馬等等簡單易上手的攻擊破壞功能，入侵者只需簡單的操作就可以輕松實(shí)現(xiàn)對web應(yīng)用系統(tǒng)的很多入侵破壞活動。

圖7：Webshell實(shí)例

因?yàn)閃ebshell通常嵌套在正常網(wǎng)頁中運(yùn)行，不容易被查殺，并且其與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會被網(wǎng)絡(luò)防火墻攔截。并且使用webshell一般不會在系統(tǒng)日志中留下記錄，只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。因此，安信華采取了多種途徑進(jìn)行webshell的檢測過濾與偵測監(jiān)控，即使在網(wǎng)站已經(jīng)被植入webshell的情況下也能通過檢測過濾webshell請求操作特征和攻擊特征來阻斷黑客的各種非法操作和攻擊行為。下圖8、為安信華WAF在 1月24日、1月25日攔截的webshell日志，攻擊者企圖上傳擴(kuò)展名為JSP的文件，經(jīng)安信華WAF檢測發(fā)現(xiàn)實(shí)際上是web后門。

圖8：webshell攔截日志

綜上所述，安信華針對北大網(wǎng)站群的保護(hù)，不僅從功能上能防御常見的SQL注入、XSS腳本攻擊、命令行注入等，還可以對目前流行的網(wǎng)頁掛馬、webshell等進(jìn)行有效的檢測過濾與監(jiān)控阻止，效果明顯，并且性能經(jīng)受住了考驗(yàn)，而且其分級管理和資產(chǎn)管理功能，能夠協(xié)助北大校園IDC安全運(yùn)維管理工作的開展，大大減輕了網(wǎng)絡(luò)管理員的工作量。

除了以上安信華WAF自身的易部署性、易管理、良好的功能與性能，安信華還為其客戶配備了其網(wǎng)絡(luò)安全試驗(yàn)室的專業(yè)服務(wù)，不僅提供日常的升級服務(wù)，還提供了網(wǎng)站安全運(yùn)營的監(jiān)控服務(wù)，不僅使北大的眾多web服務(wù)器時(shí)刻處在最新的保護(hù)下，而且是一個(gè)網(wǎng)站運(yùn)營全生命周期的安全解決方案，是一種持續(xù)有效的防護(hù)方案，而不僅僅只是部署一臺設(shè)備。