背景介紹

北京大學創辦于1898年，初名京師大學堂，是中國第一所國立綜合性大學，也是當時中國最高教育行政機關。辛亥革命后，于1912年改為現名。北京大學內包含多個學院，每個學院都有不同的系，而每個學院和系都有對外的功能性網站，這些網站不但向社會展現著北大形象的一個窗口，也是師生們學習溝通的橋梁與平臺，與整個北京大學正常教育的開展息息相關。

北京大學一直非常重視網絡建設，網絡中已經部署了多臺防火墻、IPS等網絡安全產品，有些院系也曾經購買過專門的網頁防篡改軟件。但是，在網絡運營過程中，他們發現其web服務器依然遭受到SQL注入、網頁掛馬等惡意威脅的侵入。在此情況下，北京大學決定采用當前安全市場上最熱門WAF產品和技術來保護他們的web應用系統安全。在測試對比同類產品后，北京大學最終選擇了安信華Web應用安全網關(簡稱WAF) S系列。

目前很多國外廠商的WAF產品主要針對支付行業，而相比來看國內的主要用戶則集中在高校和政府行業。安信華作為一家純內資的安全公司，致力于做出適合國內web安全需求和發展趨勢的產品。安信華WAF產品S系列基于對HTTP/HTTPS流量內容的雙向檢測分析，識別檢測各類web編碼、交互技術、URL參數以及窗體輸入等，為web應用平臺提供實時、動態的主動性防護。同時安信華還配備專業團隊提供規則庫與防護算法的升級服務、web系統風險評估和web系統運營監控服務，為客戶提供web站點運營全生命周期的安全防御方案。

圖1：安信華WAF核心功能架構示意圖

北京大學Web應用系統安全運營需求

北京大學其內部web站點域名多達1000多個，而且呈分散性部署，很多服務器分散在各個院系的網絡中（如下圖2所示），龐大的數量和分散部署性使得網站的安全運維與管理成了很頭疼的問題，何況網站會不時遭受攻擊。

圖2：原有網絡拓撲圖

解決方案

如上圖2所示，北大擁有眾多的分布在各個教學樓里的服務器：

" 如果每個教學樓都部署一臺web應用防火墻，不僅會造成資源的浪費也會使部署和日常管理更加繁雜；

" 如果把web應用防火墻架設在核心交換機上，那么因為所有院校的用戶與服務器都是使用一個核心交換訪問，核心交換的數據量很大（基本都是工作在萬兆模式下），如此一來一臺應用層的設備肯定不能勝任的，勢必要選用多臺設備負載均衡的部署模式。

安信華在充分了解用戶的需求和困擾后，結合其web應用防火墻設備架設部署靈活的特點，為用戶提供了以下的解決方案：

如下圖3所示，使用一臺交換機連接各接入交換機，利用STP優先級技術使得服務器相應的vlan流量優先通過服務器交換機到達核心，而用戶機的流量依然通過匯聚交換機到達核心。在服務器交換機與核心交換機中間部署安信華S900設備對網站的威脅進行過濾。

圖3：部署WAF后的拓撲圖#p#

對于以上方案設計有如下特點：

" 1、透明部署，簡單方便。

透明部署不改變用戶網絡原有的物理拓撲，并且安信華WAF支持對單個或多個vlan的過濾，這就使得過濾來自于各個教學樓的流量更加便利。

" 2、即插即用，適用強，配置方便，簡單快捷地建立高校IDC網站群運營防護策略。

安信華WAF默認安全策略精確度高,　適應性強,　方便為眾多服務器群配置統一的安全策略，而不需要復雜的調配過程，適用北大這種服務器眾多，內容經常不定時變化的校園IDC運營的需要。之前，北京大學曾經試用過國內外眾多的專業web應用防火墻產品，但是很多產品規則策略配置很復雜，即使功能很強大，因為復雜的配置操作原因，很多防護理念或原理很好的功能不能充分使用，從而發揮應有的作用。安信華WAF即插即用的策略配置，大大簡化了管理員的策略配置，此功能受到北大網絡運維老師的好評，也是北大選擇安信華WAF的重要原因之一。

" 3、高性能WAF帶給高校IDC高性價比的防護方案

安信華S900設備最高HTTP吞吐可以達到1G，目前單一設備同時保護著北大300多個核心網站的運營，并且不僅為這些站點提供常見的web應用攻擊防御功能，還提供針對北大學生上傳作業和論文附件的病毒過濾功能。

" 4、支持對多個網站管理員的分級管理和資產導入，方便高效IDC的運營管理。

安信華WAF針對多個網站的分級管理和資產導入功能解決北大眾多網站所帶來的策略維護與管理的問題，設備管理員可以給各個網站管理員分配不同的權限來管理各自的web服務器，并可批量將防護網站信息列表導入到WAF中，以便針對各個不同的站點設置不同的防護策略，并且方便設備管理員聯系網站管理員，發布各種防護告警通告或通知。北大認為此功能大大方便了其IDC的運營管理，推動了其web安全運營業務的開展。

方案效果及價值

在安信華WAF設備上線之后北大的管理人員對其防護效果進行了較長時間的跟蹤，總結如下：

1、設備性能與運行穩定性良好

安信華WAF在同時保護著北大300多個核心網站正常運營的同時，其設備運行穩定，其CPU使用率趨勢圖如下圖4所示，CPU最大使用率13%，內存最大使用率30%。

圖4：CPU使用率趨勢圖

2、有效攔截SQL注入、XSS等攻擊流量，加強了網站運營的安全性。

下圖5為4月1日至4月10日安信華WAF設備每天攔截的攻擊事件統計圖，其中攔截攻擊事件最多的是4月7日，接近18萬，攔截攻擊事件最少的是4月4日，7.2萬多。

圖5：設備攔截的惡意行為或攻擊截圖

下圖6為前10名的攻擊排名，從該圖可以看出未授權的非法訪問、SQL注入、XSS攻擊、弱口令攻擊等這些web應用攻擊事件非常突出。

圖6：前10名攻擊排名圖#p#

目前SQL注入、XSS攻擊是黑客最常用的2種攻擊手段，造成的危害也很大，可以篡改網站、偷竊用戶數據、用于網絡釣魚、網站掛馬等。部署安信華WAF后，北大網絡運維的管理人員反映網站被掛馬的現象大大減少，而且安信華的WAF還提供了掛馬監測過濾功能，對未部署WAF設備前已經被掛馬的頁面，將及時報警給管理員，協助管理員清除已有威脅，進一步降低站點運營風險。

3. webshell檢測過濾與偵測功能效果明顯

日前webshell盛行，能夠防御4000多種webshell也是安信華WAF的很大特色。經長時間的觀察分析Cernet流量，發現在教育網絡中利用webshell達到攻擊服務器的現象非常普遍。webshell常常被入侵者利用通過Web服務端口對Web服務器進行操控，由于其大多是以網頁腳本的形式出現，也稱之為網站后門工具，簡單的說來，webshell就是一個asp或php木馬后門，黑客在入侵了一個網站后，常常在將這些asp或php木馬后門文件放置在網站服務器的web目錄中，與正常的網頁文件混在一起，然后黑客就可以用web的方式，通過asp或php木馬后門控制網站服務器，如下圖7所示的webshell，提供文件下載、數據庫備份、執行SQL語句、批量掛馬等等簡單易上手的攻擊破壞功能，入侵者只需簡單的操作就可以輕松實現對web應用系統的很多入侵破壞活動。

圖7：Webshell實例

因為Webshell通常嵌套在正常網頁中運行，不容易被查殺，并且其與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的，因此不會被網絡防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄，只會在網站的web日志中留下一些數據提交記錄，沒有經驗的管理員是很難看出入侵痕跡的。因此，安信華采取了多種途徑進行webshell的檢測過濾與偵測監控，即使在網站已經被植入webshell的情況下也能通過檢測過濾webshell請求操作特征和攻擊特征來阻斷黑客的各種非法操作和攻擊行為。下圖8、為安信華WAF在 1月24日、1月25日攔截的webshell日志，攻擊者企圖上傳擴展名為JSP的文件，經安信華WAF檢測發現實際上是web后門。

圖8：webshell攔截日志

綜上所述，安信華針對北大網站群的保護，不僅從功能上能防御常見的SQL注入、XSS腳本攻擊、命令行注入等，還可以對目前流行的網頁掛馬、webshell等進行有效的檢測過濾與監控阻止，效果明顯，并且性能經受住了考驗，而且其分級管理和資產管理功能，能夠協助北大校園IDC安全運維管理工作的開展，大大減輕了網絡管理員的工作量。

除了以上安信華WAF自身的易部署性、易管理、良好的功能與性能，安信華還為其客戶配備了其網絡安全試驗室的專業服務，不僅提供日常的升級服務，還提供了網站安全運營的監控服務，不僅使北大的眾多web服務器時刻處在最新的保護下，而且是一個網站運營全生命周期的安全解決方案，是一種持續有效的防護方案，而不僅僅只是部署一臺設備。