应用WAF技术保护校园网站安全.docVIP

应用WAF技术保护校园网站安全 　　摘 要：文章提出了Web应用防火墙的组成和功能，较详细的介绍和分析了实现网页保护的技术原理和实现方法，它可以识别黑客攻击，并且根据应用层的会话请求，处理应用层信息。专门保护Web应用通信流和所有相关的应用资源，避免遭受来自Web协议或应用程序漏洞方面的攻击。并将该技术在校园网站安全保护中进行了实际应用。 　　关键词：网页保护；散列函数；网络安全；报文摘要 　　中图法分类号：TP393 　　随着Internet网络技术的发展和普及，越来越多的高校建立了自己的web站点，其应用系统也开始向Internet平台转移。由于校园网站数量的迅速增长，随之而来的安全问题也日益突出，学校网站常常成为黑客攻击的对象，黑客通过各种手段攻击网站服务器系统，从而获取、破坏、篡改网站重要信息，给学校的教学等工作造成重大的损失和恶劣的社会影响。如何防止不法黑客对网站的恶意攻击，如何保证学校网站页面不被篡改，防止重要数据受到损失，已经成为网络安全技术的一个亟待解决的问题。针对这种现状，Web应用防火墙（web application firewall以下简称WAF）应运而生，它是一种网页监控与恢复系统，基于对HTTP/HTTPS流量的双向分析，对网站页面进行实时监控，主动发现Web页面内容是否被非法改动，一旦发现被非法篡改，可立即进行恢复。 　　1 WAF总体架构与技术实现方法 　　1.1 WAF系统组成 　　网页防篡改系统主要通过网络扫描网站的网页，实时监控Web站点，监测Web站点网页是否被修改，当发现Web站点上的文件被破坏或非法修改后，系统能够自动报警，并迅速恢复被破坏的文件，有效的保证Web数据的完整性和真实性。主要功能有实时监测Web站点，网页恢复，网站页面下载备份，实时报警，监测Web站点的动态管理，日志管理等功能[1]。从功能上将系统分为三个部分备份端、监控端、控制端。监控端部署在网站系统服务器上，对于突破网站防火墙的篡改行为，进行实时监控，确保网站信息安全。一旦发现网站信息被篡改之后，立刻通知备份端，迅速恢复正常的网页文件。备份端保存被保护对象（网页、图片等文件）的备份，等待来自监控端的连接。响应监控端的请求（备份文件、恢复文件、删除文件）。控制端安装在网管员的计算机上，作为用户与系统之间的接口，负责传达操作指令，以及实时接收来自代理端的各种告警信息并及时通知用户。流程模型如图1所示。 　　1.2 WAF监控原理 　　WAF的基本理论基础就是密码学中的数字摘要技术，将单向散列函数作用于网页、图片文件，得到一个固定的散列码。这个散列码就像“指纹”一样，只要文件发生任何一丝变化，再次通过散列函数计算出的散列码肯定不同，依此作为网页防篡的依据。散列函数H是一个公开的函数，它将任意长度的报文M变换成固定程度的散列码h，散列函数表示为h=H（M），它生成的保文所独有的“指纹”[2]。散列函数是一种算法，算法的输出内容称为散列码或报文摘要，报文摘要要唯一地对应原始报文，如果原始报文改变并且再次通过散列函数，它将生成不同的报文摘要，因此散列函数可以用来监测报文的完整性。只要检测到网页被篡改，那么恢复就简单了，检测篡改日志，利用超级管理员的或者高级别的用户将正确的网页拷贝过来覆盖就可以了。 　　1.3 Web页面保护实现 　　WAF的关键是对网页文件进行校验。在对网页进行完整性校验前，首先对需要保护的网页文件列表进行散列函数处理，提取信息，生成用于比较的文件报文摘要校验数据。然后再定期将这些文件的报文摘要与原始文件的报文摘要进行比较。下面以要保护的网页是基于IIS的ASP网站为例使用VB的代码来实现文件篡改的检测和恢复。首先创建基于VB的MD5散列码生成函数，扫描每个动态网页增加一段代码，实现自我的MD5生成并且检测是否和步骤3中数据记录文件中的MD5码相同，如果不同则判定文件被篡改，将备份文件覆盖被篡改的文件[3]。最后将生成每个动态网页MD5码并且存储在数据记录文件中。MD5散列码的应用已经很广，其算法非常的成熟，参照网络一些代码和算法，做了基于VB5的MD5加密函数，供扫描时生成MD5码之用和网页自检时调用。 　　为了实现网页的自我检测，我们需要在每个网页的页首包含一段自检的代码，实现给自己生成MD5码并且去比较是否和记录中的值相同。MD5.asp代码中存放着生成MD5码的函数，在页面加载的时候自动启动这段代码实现自检和比较的判断，如果不符则停止响应，同时调用恢复函数恢复被篡改文件。下面是MD5.asp文件中的部分代码： 　　public function checkMd5（fileName） 　　originName=fileName 　　dim isFirst /*是否是