背景介绍

　　北京大学创办于1898年，初名京师大学堂，是中国第一所国立综合性大学，也是当时中国最高教育行政机关。辛亥革命后，于1912年改为现名。北京大学内包含多个学院，每个学院都有不同的系，而每个学院和系都有对外的功能性网站，这些网站不但向社会展现着北大形象的一个窗口，也是师生们学习沟通的桥梁与平台，与整个北京大学正常教育的开展息息相关。

　　北京大学一直非常重视网络建设，网络中已经部署了多台防火墙、IPS等网络安全产品，有些院系也曾经购买过专门的网页防篡改软件。但是，在网络运营过程中，他们发现其web服务器依然遭受到SQL注入、网页挂马等恶意威胁的侵入。在此情况下，北京大学决定采用当前安全市场上最热门WAF产品和技术来保护他们的web应用系统安全。在测试对比同类产品后，北京大学最终选择了安信华Web应用安全网关(简称WAF) S系列。

　　目前很多国外厂商的WAF产品主要针对支付行业，而相比来看国内的主要用户则集中在高校和政府行业。安信华作为一家纯内资的安全公司，致力于做出适合国内web安全需求和发展趋势的产品。安信华WAF产品S系列基于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类web编码、交互技术、URL参数以及窗体输入等，为web应用平台提供实时、动态的主动性防护。同时安信华还配备专业团队提供规则库与防护算法的升级服务、web系统风险评估和web系统运营监控服务，为客户提供web站点运营全生命周期的安全防御方案。

图1：安信华WAF核心功能架构示意图

　　北京大学Web应用系统安全运营需求

　　北京大学其内部web站点域名多达1000多个，而且呈分散性部署，很多服务器分散在各个院系的网络中（如下图2所示），庞大的数量和分散部署性使得网站的安全运维与管理成了很头疼的问题，何况网站会不时遭受攻击。

图2：原有网络拓扑图

　　解决方案

　　如上图2所示，北大拥有众多的分布在各个教学楼里的服务器：

• 如果每个教学楼都部署一台web应用防火墙，不仅会造成资源的浪费也会使部署和日常管理更加繁杂；
• 如果把web应用防火墙架设在核心交换机上，那么因为所有院校的用户与服务器都是使用一个核心交换访问，核心交换的数据量很大（基本都是工作在万兆模式下），如此一来一台应用层的设备肯定不能胜任的，势必要选用多台设备负载均衡的部署模式。

　　安信华在充分了解用户的需求和困扰后，结合其web应用防火墙设备架设部署灵活的特点，为用户提供了以下的解决方案：

　　如下图3所示，使用一台交换机连接各接入交换机，利用STP优先级技术使得服务器相应的vlan流量优先通过服务器交换机到达核心，而用户机的流量依然通过汇聚交换机到达核心。在服务器交换机与核心交换机中间部署安信华S900设备对网站的威胁进行过滤。

图3：部署WAF后的拓扑图

　　对于以上方案设计有如下特点：

　　1、透明部署，简单方便。

　　透明部署不改变用户网络原有的物理拓扑，并且安信华WAF支持对单个或多个vlan的过滤，这就使得过滤来自于各个教学楼的流量更加便利。

　　2、即插即用，适用强，配置方便，简单快捷地建立高校IDC网站群运营防护策略。

　　安信华WAF默认安全策略精确度高,　适应性强,　方便为众多服务器群配置统一的安全策略，而不需要复杂的调配过程，适用北大这种服务器众多，内容经常不定时变化的校园IDC运营的需要。之前，北京大学曾经试用过国内外众多的专业web应用防火墙产品，但是很多产品规则策略配置很复杂，即使功能很强大，因为复杂的配置操作原因，很多防护理念或原理很好的功能不能充分使用，从而发挥应有的作用。安信华WAF即插即用的策略配置，大大简化了管理员的策略配置，此功能受到北大网络运维老师的好评，也是北大选择安信华WAF的重要原因之一。

　　3、高性能WAF带给高校IDC高性价比的防护方案

　　安信华S900设备最高HTTP吞吐可以达到1G，目前单一设备同时保护着北大300多个核心网站的运营，并且不仅为这些站点提供常见的web应用攻击防御功能，还提供针对北大学生上传作业和论文附件的病毒过滤功能。

　　4、支持对多个网站管理员的分级管理和资产导入，方便高效IDC的运营管理。

　　安信华WAF针对多个网站的分级管理和资产导入功能解决北大众多网站所带来的策略维护与管理的问题，设备管理员可以给各个网站管理员分配不同的权限来管理各自的web服务器，并可批量将防护网站信息列表导入到WAF中，以便针对各个不同的站点设置不同的防护策略，并且方便设备管理员联系网站管理员，发布各种防护告警通告或通知。北大认为此功能大大方便了其IDC的运营管理，推动了其web安全运营业务的开展。

　　方案效果及价值

　　在安信华WAF设备上线之后北大的管理人员对其防护效果进行了较长时间的跟踪，总结如下：

　　1、设备性能与运行稳定性良好

　　安信华WAF在同时保护着北大300多个核心网站正常运营的同时，其设备运行稳定，其CPU使用率趋势图如下图4所示，CPU最大使用率13%，内存最大使用率30%。

图4：CPU使用率趋势图

　　2、有效拦截SQL注入、XSS等攻击流量，加强了网站运营的安全性。

　　下图5为4月1日至4月10日安信华WAF设备每天拦截的攻击事件统计图，其中拦截攻击事件最多的是4月7日，接近18万，拦截攻击事件最少的是4月4日，7.2万多。

图5：设备拦截的恶意行为或攻击截图

　　下图6为前10名的攻击排名，从该图可以看出未授权的非法访问、SQL注入、XSS攻击、弱口令攻击等这些web应用攻击事件非常突出。

图6：前10名攻击排名图

　　目前SQL注入、XSS攻击是黑客最常用的2种攻击手段，造成的危害也很大，可以篡改网站、偷窃用户数据、用于网络钓鱼、网站挂马等。部署安信华WAF后，北大网络运维的管理人员反映网站被挂马的现象大大减少，而且安信华的WAF还提供了挂马监测过滤功能，对未部署WAF设备前已经被挂马的页面，将及时报警给管理员，协助管理员清除已有威胁，进一步降低站点运营风险。

　　3. webshell检测过滤与侦测功能效果明显

　　日前webshell盛行，能够防御4000多种webshell也是安信华WAF的很大特色。经长时间的观察分析Cernet流量，发现在教育网络中利用webshell达到攻击服务器的现象非常普遍。webshell常常被入侵者利用通过Web服务端口对Web服务器进行操控，由于其大多是以网页脚本的形式出现，也称之为网站后门工具，简单的说来，webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起，然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，如下图7所示的webshell，提供文件下载、数据库备份、执行SQL语句、批量挂马等等简单易上手的攻击破坏功能，入侵者只需简单的操作就可以轻松实现对web应用系统的很多入侵破坏活动。

图7：Webshell实例

　　因为Webshell通常嵌套在正常网页中运行，不容易被查杀，并且其与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被网络防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。因此，安信华采取了多种途径进行webshell的检测过滤与侦测监控，即使在网站已经被植入webshell的情况下也能通过检测过滤webshell请求操作特征和攻击特征来阻断黑客的各种非法操作和攻击行为。下图8、为安信华WAF在 1月24日、1月25日拦截的webshell日志，攻击者企图上传扩展名为JSP的文件，经安信华WAF检测发现实际上是web后门。

图8：webshell拦截日志

　　综上所述，安信华针对北大网站群的保护，不仅从功能上能防御常见的SQL注入、XSS脚本攻击、命令行注入等，还可以对目前流行的网页挂马、webshell等进行有效的检测过滤与监控阻止，效果明显，并且性能经受住了考验，而且其分级管理和资产管理功能，能够协助北大校园IDC安全运维管理工作的开展，大大减轻了网络管理员的工作量。

　　除了以上安信华WAF自身的易部署性、易管理、良好的功能与性能，安信华还为其客户配备了其网络安全试验室的专业服务，不仅提供日常的升级服务，还提供了网站安全运营的监控服务，不仅使北大的众多web服务器时刻处在最新的保护下，而且是一个网站运营全生命周期的安全解决方案，是一种持续有效的防护方案，而不仅仅只是部署一台设备。