下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、浅谈Web应用防火墙和传统网络防火墙共同构建图书馆网络平安摘要:本文针对Web应用防火墙及其特点,结合图书馆网络管理和应用的实际,将Web应用防火墙和传统网络防火墙相结合应用于目前图书馆的网络平安管理。论文关键词:图书馆,Web应用防火墙,网络防火墙,网络平安1.1 网络攻击现状当前,随着高校教育信息化的高速开展,国内大多数高校图书馆都部署了网络平安防御设备,据统计,其中90的图书馆是选择防火墙来防御黑客攻击。随着网络技术的日趋成熟,网络攻击工具与手法也日趋复杂多样,攻击者已经可以绕过这些传统防火墙的过滤和防毒机制的扫描,他们已经将攻击手段从以往简单的端口扫描攻击转向通过应用层协议进入内部网络
2、,如黑客攻击、蠕虫病毒、SQL注入、跨站脚本、利用Web应用平安漏洞等进行攻击。根据国家计算机网络应急技术处理协调中心简称CNCERT/CC2007年上半年的工作报告显示网站漏洞百出,中国大陆被篡改网站的数量相比往年处于明显上升趋势。CNCERT/CC监测到中国大陆被篡改网站总数到达28367 个,信息平安国际权威机构SANS2007年发布的全球20大平安风险排行榜上,Web应用平安漏洞名列前茅,最广为被攻击者利用的漏洞为SQL注入及跨站脚本。当前,图书馆的很多核心业务都是依靠WEB效劳进行的,如果图书馆web效劳遇到这样的病毒攻击并未能及时处理,其产生的巨大流量将导致图书馆web网络拥塞,使
3、所有管理系统处于瘫痪状态。1.2 传统网络防火墙的局限传统的防火墙都是工作在网络层,很少涉及网络层以上局部的平安防御,据专家统计,目前75%的攻击是发生在应用层,而不是网络层。传统的防火墙主要基于IP报文对数据包进行检测,并且它不会检测经过 应用端口的数据,因此,它不能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改正参数的URL请求。使得 应用得不到任何的保护,无法防范针对 / S发起的攻击行为。这就使得图书馆即使部署了传统的防火墙,图书馆的WEB效劳器仍然会遭到入侵。结合当前网络面临的这些平安问题以及图书馆网络平安防御现状,笔者认为单靠传统的防火墙是不够的,为了弥补目前
4、平安设备图书馆需要一种新的工具用于保护图书馆网络系统不受Web应用攻击的影响。这种工具不仅仅能够检测目前复杂的Web应用攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。Web应用防火墙正符合了这一需求,其可极大地提高网络平安防护和管理能力,弥补传统网络防火墙的缺乏。2Web应用防火墙及其特点2.1 Web应用防火墙概述Web应用防火墙WAF(Web Application Firewall)与传统网络防火墙不同,其工作在应用层,起着监视和隔绝应用层通信流的作用,它可以解决传统防火墙设备束手无策的Web应用平安问题。基于WAF对其可以确保这些请求的平安性与合法性,对非法的请求将
5、予以实时阻断,从而对各类网站站点进行有效防护。国际权威测评机构NSS对WAF有着详细的测试方案,国际组织WEB应用平安联盟WASC (Web Application Security Consortium)也发布了WAF产品评估标准,这些都为技术人员进行产品技术选型时提供参考,帮助其选择最为适合自身应用环境的WAF产品。2.2Web应用防火墙工作原理Web应用防火墙采用主动平安技术实现对应用层的内容检查和平安防御,其建立正面规那么集来描述行为和访问的合法性。对于接收到的数据,Web应用防火墙会从网络协议中复原出应用数据来同它的正面规那么集进行比拟,其只允许通过规那么中的正常数据。因为Web应用
6、防火墙是通过先学习合法数据流进出应用的方式,然后再识别非法数据流的方法来检测数据包,因此,Web应用防火墙可以防御所有的未知攻击,阻止针对Web应用的攻击。这些攻击不仅仅是验证 协议,还包括利用特殊字符或通配符修改数据的数据攻击、设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。2.3 Web应用防火墙特点3. WEB应用防火墙与传统网络防火墙共同构建图书馆网络防御系统目前,广阔师生对图书馆资源的访问越来越频繁,图书馆网络的可用性和可靠性就显得非常重要,任何防御上的疏漏都会给图书馆的读者效劳带来诸多的不便,因此构筑一道巩固的平安防御体系是图书馆网络必须面对的问
7、题。笔者按照图书馆的信息环境为图书馆网络平安防御系统选择的设计,它的总体设计是将传统的网络防火墙放置于互联网接口处,通过传统防火墙阻挡攻击者从正面入侵图书馆网络,着重进行网络层的攻击防御,将WEB应用防火墙放置于WEB效劳器区域前,让其着重进行应用层的内容检测和平安防御,与传统网络防火墙共同构成全面、有效的平安防御体系。3.1 互联网接口整个网络平安系统中,网络互联网接口是图书馆网络平安体系的大门,处在互联网接口的网络防火墙肩负着保障网络平安性和网络稳定性的双重任务。因此部署在图书馆互联网出入口的传统的网络防火墙要能够实现NAT,这样就有利于隐藏受保护网络的内部结构,在一定程度上提高了网络的平
8、安性。同时,其还应具备反间谍、反病毒软件监控、日志和垃圾邮件等防护措施,能够对数据包进行深入检查、识别和高级验证,实时地防御黑客入侵、抑制蠕虫病毒的爆发,并提供清晰详尽的网络平安事件报表。互联网接口处防火墙必须从以下两方面设定访问控制规那么,第一、控制好通信端口,根据实际情况,只开放80端口以及工作中必要的端口,并密切关注工作用机敏感端口的数据操作情况,特别是提供网络打印和共享的135 、139和445端口,以及一些流行病毒的后门端口,如2745、3127、6129端口。二是控制好通过防火墙的数据包的源、目的地址(IP),在规那么表中定义各种规那么来说明是否同意或拒绝数据包的通过,不符合规那么
9、表中规那么的数据将被防火墙丢弃。利用防火墙对内部网络的划分,将内部网重点网段进行隔离,从而限制了局部重点或敏感网络平安问题对全局网络造成的影响。3.2 Web效劳器区把图书馆Web效劳器的地址全部设置在Web应用防火墙的WAN口上,把Web效劳器设置为另一个网段地址。这时,任何访问网站的流量都会先由web应用防火墙检测,正常访问流量才会通过。当图书馆电子邮件系统需要对发出信件的个别段落实施数据签名时, 由于WEB应用防火墙可以灵活的区分和处理每个具体文件的不同的平安性要求,其就能够分析该信件的段落结构并对其进行签名。图书馆提供的很多效劳都是针对群众的,因此图书馆的网站较容易成为的DDOS攻击的
10、目标,把WEB效劳器的网址放在WAF上后,WAF就可以为其提供实时的、细粒度的防护,在DDOS到达WEB效劳器之前,WAF会对用户正在提供应这个应用程序的指令的性质和类型进行应用层检测和分析,然后,它能够根据的攻击特征或者异常的应用状况分析这些通讯准确监测,识别各类针对Web应用的各类攻击型流量并进行实时阻断。除了DDOS攻击,由于图书馆提供了大量的应用层效劳,因此有很多端口是要被对外开放的,例如比拟常见的80、443、8080端口等等,因此,图书馆网络效劳会经常遭到后门或木马攻击。 针对这一现象,可以利用WAF提供的端口检测功能来解决该弊端,WAF在监视效劳器端口的同时,还可以检测该端口是否
11、被其他程序绑定,它会实时地检测web效劳区内被翻开的所有效劳器的端口,一旦检测到没得到WAF的授权的程序企图强行绑入效劳器端口时,Web应用防火墙就会禁止该程序绑入。网页篡改是目前图书馆面临的一大问题,尤其是图书馆网站提供的查询功能,很容易被SQL注入攻击。针对网页篡改的攻击手段,Web应用防火墙可以对图书馆网站进行有效的网页篡改防护,其通过隐藏用户的web根底架构,使得黑客无法了解用户所用的效劳器。其可以删除信息中可识别操作系统及web效劳器的信息,隐藏用户的一切 错误信息,删除发送给用户页面中的应用错误信息,检查并确认网页中没有泄露效劳器代码。4.结语本文通过将Web应用防火墙与传统网络防
12、火墙相结合来构筑图书馆网络的防护体系。应用防火墙着重进行应用层的内容检查和平安防御,为图书馆的web效劳系统提供全面的保护,防御那些可绕过传统网络防火墙,攻击web应用系统的黑客。可是,随着网络技术的不断开展和网络环境的变化,新的平安漏洞,新的黑客攻击出现混合攻击的开展趋势,因此,防火墙技术也需要与其他技术的结合,进行相应地改良,来使其的功能更智能化、集成化、系统更灵活、可扩展性更好。为了保障图书馆网络的平安, 在使用防火墙的同时,也不能无视对图书馆工作人员的网络平安教育、提高管理人员技术素养来共同维护图书馆的网络平安。参考文献1王福生. 图书馆网络中的入侵检测系统 .现代情报,200772彭文波. 网络平安技术开展分析.软件世界,2007(24)杨旭,程鹏译.北京:机械工业出版社2003 34 Dean Turner, Stephen Entwisle, Marcl Denesluk. Symantec Internet Security ThreatReport Trends for July-December 06 (Volume XI),USA:SymantecC Corp.20
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 样品寄送期望时间确认函3篇
- 2026重庆丰都县人力资源和社会保障局招聘公益岗1人笔试模拟试题及答案详解
- 2026年宁波市鄞州中学公开招聘事业编制教师3人考试备考题库及答案详解
- 职业卫生技术服务专业技术人员考试(职业卫生评价)例题及答案(2026年太原)
- 2026重庆市药品技术审评查验中心招聘15人笔试模拟试题及答案详解
- 2026年漳州市龙文区社区工作者招聘笔试备考题库及答案详解
- 2026天津理工大学招聘劳务派遣人员1人考试备考试题及答案详解
- 2026年信阳市平桥区网格员招聘笔试参考题库及答案详解
- 2026福建三明诺一血浆有限公司招聘2人笔试备考试题及答案详解
- 2026湖北黄冈市红安县教育系统招聘高中教师25人笔试备考题库及答案详解
- 骨科专科护士进修汇报
- 光伏图纸基础知识培训课件
- JJG 264-2025 谷物容重器检定规程
- 爆米花教学课件
- 高职学校教师培训体系构建
- 先天性甲状腺功能减退症诊治指南(2025)解读
- 网点功能布局及客户动线管理
- 医院检验科院感课件
- 兄弟自动切线平缝机S-7000DD中文使用说明书
- 海事集装箱装箱检查员考试题库
- 2024年挂车配件项目可行性研究报告
评论
0/150
提交评论