北京大学基于WAF服务的网站安全探索.PDF

北京大学基于WAF服务的网站安全探索 李若淼 北京大学计算中心 2018-10-20 Add keyw ords 问题和现状 —— 问题 Internet 入口防火墙 入侵防御系统 Intranet 核心交换机 漏洞扫描系统 web应用防火墙 web应用的入侵防御 入侵检测系统 安全审计系统 问题和现状 —— 现状 • 从网站数量来看 ，北京大学已经有 1000多个网站 ，并且 在持续增加中 • 从网站所属方看 ，校内各个部门、组织、团体甚至个人 都有网站 • 从网站分布来看 ，服务器放置在学校各楼各房间，IP遍 布各个全校网段 问题和现状 —— 现状 • 网站建设水平难以得到保障 • 网站维护运维难以得到足够重视 问题和现状 —— 现状 • 2017年我国境内被篡改的网站数超过了2万个 ，较 2016年增长了约20% ； • 出现众多针对高校的web应用攻击 问题和现状 —— 现状 • 现状总结 ： 1. 网站数量多 2. 网站管理难 3. 网站威胁大 需求和 目标 大规模 细粒度 稳定高效 易部署 易管理 可能的解决方案 加强网站 • 优点 ：能够从根本上解除安全隐患 安全管理 • 缺点 ：客观困难太多 采用商用 • 优点 ：成熟的防护能力 WAF系统 • 缺点 ：有一定局限性 自建应用 • 优点 ：自主可控 防护平台 • 缺点 ：使用风险 设计思路 —— 控制平面与数据平面分离 统一管理平台 web应用 服务器 客户机 web应用 服务器 客户机 云WAF防护集群 web应用 服务器 客户机 web应用 服务器 外部系统 设计思路 —— 基于ModSecurity的应用防护服务 • ModSecurity主要功能 • 解析 • 缓存 • 日志 • 规则引擎 • ModSecurity其他特点 ： 1. 开源免费 2. 稳定成熟 3. 配置灵活 设计思路 —— 通过L