背景：

為了響應2010年上海世博會網絡安全工作的號召，上海各高校都積極深入發展門戶網站的安全建設，推行信息公開，提高高校工作的透明度，充分發揮高校信息平臺對學生的學習和生活等各方面的幫助。其門戶網站(edu.cn)是該校電子門戶及辦公系統建設的重要組成部分，作為該校面向社會的窗口，發布學生信息，提供“網上辦公”、“在線通告”等業務，為老師和學生提供方便。

來自Web的安全挑戰：

隨著高校業務資源逐漸向數據中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業務。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構的重要信息暴露在越來越多的威脅中。根據了解該校門戶網站承載了各2級學院的網上業務，網頁以動態內容居多。去年，該研究生院網站遭遇SQL群注(Mass SQL Injection)攻擊，網站發布的重要信息被篡改成為大量簽名，“HaCkeD By:Skz0r_l337-Underground-Security”(意為：由Skz0r_l337-Underground-Security入侵)，各級頁面不再具有正常的觀感。訪問網站時還發現，該網站已被Google列為含有惡意代碼的網站。最為棘手的是：期間持續發生“網頁被篡改-恢復-再次被篡改-再次恢復…”的現象。間歇還伴隨有針對WEB服務器的DDoS攻擊，網站訪問峰值嚴重超過服務器正常所能處理的最大負荷。

在提供解決方案之前，我們幫助用戶理清了一些應用層防火墻的基本概念：

1. 何謂應用層防火墻;

2. 梭子魚的應用層防火墻與傳統入侵檢測產品的區別;

3. 梭子魚Web應用防火墻WAF產品的防御攻擊特性;

其次在該高校網站遭遇多重攻擊，網站陷入困境的時候梭子魚所提供的解決方案：

1. 能應對當前攻擊，且具備持續防護能力，對業務影響盡可能小，管理簡單;

2. 針對多臺核心WEB服務器提供防護;

3. 自動學習網頁應用結構;

4. 自動調整用戶習慣

4. 主動模式來過濾所有的WEB請求;

5. 提供簡明維護的平臺;

解決方案：

基于對梭子魚公司的信任，2010年在售前過程中，我們有幸對該學校負責人進行了一次長時間的技術溝通。我們首先解釋了幾項用戶關心的問題：

1.何謂應用層防火墻

梭子魚應用層防火墻(全稱，梭子魚Web應用防火墻，即WAF )通過執行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊，強大的應用防火墻甚至能夠模擬代理成為網站服務器接受應用交付，形象的來說相當于給原網站加上了一個安全的絕緣外殼。

2.應用層防火墻與傳統的入侵檢測設備之間具有本質上的區別

在TCP/IP模型中網絡流量從物理層到應用層是逐層遞交，入侵檢測設備(IPS)主要定位在分析傳輸層和網絡層的數據，而再往上則是復雜的各種應用層協議報文，而應用層防火墻(WAF)則僅提供對Web應用流量全部層面的監管。IPS需要處理網絡中所有的流量，而WAF僅處理與Web應用相關的協議，其他的則給予轉發。

3.梭子魚Web應用防火墻可以防御的攻擊類型：

1)SQL注入：一些應用程序通過復制Web客戶端輸入來創建數據庫查詢。黑客通過構造一些應用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數據。

2)跨站點腳本：黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字符串，導致Web服務器泄漏用戶名和密碼等信息。

3)操作系統命令注入：一些應用程序從web輸入來創建操作系統命令，就像訪問一個文件和顯示文件內容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創建輸入來顯示未經授權的數據、修改文件或系統參數。

4)會話劫持：黑客通過猜測基于令牌格式知識的會話令牌的內容來獲得登錄會話的權利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。

5)篡改參數或URL：web應用程序通常在返回的的web頁面中嵌入參數和URL，或者用授權的參數更新緩存。黑客可以修改這些參數、URL或緩存，使Web服務器返回不應泄漏的信息。

6)緩沖區溢出：應用程序代碼應該檢查輸入數據的長度，以確保輸入數據不會超出剩余的緩沖區和修改相鄰的存儲。黑客很快就會發現應用程序不檢查溢出，并創建輸入來導致溢出。

在部署過程中，針對高校網站的特性，梭子魚WAF提供了以下解決方案：

1.WAF透明部署在防火墻和WEB服務器群及應用服務器之間(如下圖所示)，在網絡中即插即用，不改變網絡拓撲和網站業務流程，管理簡單;

圖1： WAF部署方案

2. WAF提供了針對核心WEB服務器群的防護;根據高校的網站部署的特點，一般大學站點都具有數十個主站點，同一臺服務器會同時具有幾個站點的特色，我們會區分各站點之間的不同屬性進行分類管理，例如：普通學生登陸的站點都是HTTP協議，而教師員工登陸的管理平臺和辦公系統都是HTTPS協議，因此我們會設計一套HTTP協議的基本防御模版，而HTTPS協議我們會在基本保護的策略框架下，再啟用SSL加速的功能，來幫助提升用戶的訪問速度。

3. WAF自動掃描網站結構;梭子魚WAF主動掃描網站結構并根據結果生成防護規則，分析整個Web站點，并建立正常狀態模型。根據高校的網站設計的特點，一般高校網站中各學院站點的設計模版都比較固定化，梭子魚會主動尋找每一個小站點的樹型目錄和文件結構，幫助防御不必要外網“窮舉型”的攻擊。

4. WAF自動學習用戶習慣;WAF會自動調整外網用戶登陸網站后的使用習慣，例如在某個學院站點的通告欄上的發貼字數長度，會隨著用戶習慣逐漸增多。

5. WAF調整主動模式來過濾所有的WEB請求;根據高校的網站防御的特點，一般高校的門戶網站都具有前端學生登陸信息平臺查看信息，后端管理人員發布學校最新動態、管理學生檔案、處理學生業務等等工作流。所以在網站前端我們過濾的總體策略都是過濾常規攻擊方式，并且對進入網站之后所有提交的數據和語句做限定，在網站后端管理平臺，一方面我們將限定指定的管理人員登陸，另一方面我們適當調整管理者登陸系統之后的限定權限，以免發生網站后端被攻擊的事件。基于學習的主動模式目的是為了建立一個安全防護模型，一旦行為有差異則可以發現，比如隱藏的表單、限制型的Listbox值是否被篡改、輸入的參數類型不合法等，這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護模型動態調整防護策略。

6. 梭子魚提供簡明維護的平臺;經過長期的了解和溝通，高校的網絡管理者非常青睞于梭子魚簡明的維護平臺和日志系統。一般經過簡單的培訓，他們便可以輕松的查看網站的安全隱患和輕松的進行安全加固。

效果及用戶評價：

網站安全問題成為高校開展電子信息服務日益關注的焦點。對于客戶而言，需要的不僅僅是網絡安全設備，更需要具備快速應急響應、豐富實踐經驗和強大技術實力的合作伙伴，為其提供專業完善的網站應用安全解決方案。梭子魚網絡有限公司以專業的產品和服務，贏得了客戶的贊譽。