91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

摘要:本文針對Web應(yīng)用防火墻及其特點(diǎn)，結(jié)合圖書館網(wǎng)絡(luò)管理和應(yīng)用的實(shí)際,將Web應(yīng)用防火墻和傳統(tǒng)網(wǎng)絡(luò)防火墻相結(jié)合應(yīng)用于目前圖書館的網(wǎng)絡(luò)安全管理。
論文關(guān)鍵詞：圖書館,Web應(yīng)用防火墻,網(wǎng)絡(luò)防火墻,網(wǎng)絡(luò)安全

　　1.1 網(wǎng)絡(luò)攻擊現(xiàn)狀

　　當(dāng)前，隨著高校教育信息化的高速發(fā)展，國內(nèi)大多數(shù)高校圖書館都部署了網(wǎng)絡(luò)安全防御設(shè)備，據(jù)統(tǒng)計(jì)，其中90％的圖書館是選擇防火墻來防御黑客攻擊。隨著網(wǎng)絡(luò)技術(shù)的日趨成熟，網(wǎng)絡(luò)攻擊工具與手法也日趨復(fù)雜多樣，攻擊者已經(jīng)可以繞過這些傳統(tǒng)防火墻的過濾和防毒機(jī)制的掃描，他們已經(jīng)將攻擊手段從以往簡單的端口掃描攻擊轉(zhuǎn)向通過應(yīng)用層協(xié)議進(jìn)入內(nèi)部網(wǎng)絡(luò)，如黑客攻擊、蠕蟲病毒、SQL注入、跨站腳本、利用Web應(yīng)用安全漏洞等進(jìn)行攻擊。根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）2007年上半年的工作報(bào)告顯示網(wǎng)站漏洞百出，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢。CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)達(dá)到28367 個(gè)，信息安全國際權(quán)威機(jī)構(gòu)SANS2007年發(fā)布的全球20大安全風(fēng)險(xiǎn)排行榜上，Web應(yīng)用安全漏洞名列前茅，最廣為被攻擊者利用的漏洞為SQL注入及跨站腳本。

　　當(dāng)前，圖書館的很多核心業(yè)務(wù)都是依靠WEB服務(wù)進(jìn)行的，如果圖書館web服務(wù)遇到這樣的病毒攻擊并未能及時(shí)處理，其產(chǎn)生的巨大流量將導(dǎo)致圖書館web網(wǎng)絡(luò)擁塞，使所有管理系統(tǒng)處于癱瘓狀態(tài)。

　　1.2 傳統(tǒng)網(wǎng)絡(luò)防火墻的局限

　　傳統(tǒng)的防火墻都是工作在網(wǎng)絡(luò)層，很少涉及網(wǎng)絡(luò)層以上部分的安全防御，據(jù)專家統(tǒng)計(jì)，目前75%的攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。傳統(tǒng)的防火墻主要基于IP報(bào)文對數(shù)據(jù)包進(jìn)行檢測，并且它不會檢測經(jīng)過http應(yīng)用端口的數(shù)據(jù)，因此，它不能對HTML應(yīng)用程序用戶端的輸入進(jìn)行驗(yàn)證、或是檢測到一個(gè)已經(jīng)被惡意修改過參數(shù)的URL請求。使得http應(yīng)用得不到任何的保護(hù)，無法防范針對HTTP/HTTPS發(fā)起的攻擊行為。這就使得圖書館即使部署了傳統(tǒng)的防火墻，圖書館的WEB服務(wù)器仍然會遭到入侵。

　　結(jié)合當(dāng)前網(wǎng)絡(luò)面臨的這些安全問題以及圖書館網(wǎng)絡(luò)安全防御現(xiàn)狀，筆者認(rèn)為單靠傳統(tǒng)的防火墻是不夠的，為了彌補(bǔ)目前安全設(shè)備圖書館需要一種新的工具用于保護(hù)圖書館網(wǎng)絡(luò)系統(tǒng)不受Web應(yīng)用攻擊的影響。這種工具不僅僅能夠檢測目前復(fù)雜的Web應(yīng)用攻擊，而且必須在不影響正常業(yè)務(wù)流量的前提下對攻擊流量進(jìn)行實(shí)時(shí)阻斷。Web應(yīng)用防火墻正符合了這一需求，其可極大地提高網(wǎng)絡(luò)安全防護(hù)和管理能力，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)防火墻的不足。

　　2．Web應(yīng)用防火墻及其特點(diǎn)

　　2.1 Web應(yīng)用防火墻概述

　　Web應(yīng)用防火墻WAF(Web Application Firewall)與傳統(tǒng)網(wǎng)絡(luò)防火墻不同，其工作在應(yīng)用層，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它可以解決傳統(tǒng)防火墻設(shè)備束手無策的Web應(yīng)用安全問題�；�于WAF對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，其可以確保這些請求的安全性與合法性，對非法的請求將予以實(shí)時(shí)阻斷，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。國際權(quán)威測評機(jī)構(gòu)NSS對WAF有著詳細(xì)的測試方案，國際組織WEB應(yīng)用安全聯(lián)盟WASC (Web Application Security Consortium)也發(fā)布了WAF產(chǎn)品評估標(biāo)準(zhǔn)，這些都為技術(shù)人員進(jìn)行產(chǎn)品技術(shù)選型時(shí)提供參考，幫助其選擇最為適合自身應(yīng)用環(huán)境的WAF產(chǎn)品。

　　2.2Web應(yīng)用防火墻工作原理

　　Web應(yīng)用防火墻采用主動安全技術(shù)實(shí)現(xiàn)對應(yīng)用層的內(nèi)容檢查和安全防御，其建立正面規(guī)則集來描述行為和訪問的合法性。對于接收到的數(shù)據(jù)，Web應(yīng)用防火墻會從網(wǎng)絡(luò)協(xié)議中還原出應(yīng)用數(shù)據(jù)來同它的正面規(guī)則集進(jìn)行比較，其只允許通過規(guī)則中的正常數(shù)據(jù)。因?yàn)閃eb應(yīng)用防火墻是通過先學(xué)習(xí)合法數(shù)據(jù)流進(jìn)出應(yīng)用的方式，然后再識別非法數(shù)據(jù)流的方法來檢測數(shù)據(jù)包，因此，Web應(yīng)用防火墻可以防御所有的未知攻擊，阻止針對Web應(yīng)用的攻擊。這些攻擊不僅僅是驗(yàn)證HTTP協(xié)議，還包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法得到命令串或邏輯語句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機(jī)為主要目標(biāo)的目標(biāo)攻擊。

　　2.3 Web應(yīng)用防火墻特點(diǎn)

　　2.3.1 全面防護(hù)：可在應(yīng)用層檢查HTTP和HTTPS流量，在合法的應(yīng)用程序運(yùn)行時(shí)查找試圖蒙混過關(guān)的攻擊程序，能夠檢測和防御各類常見的Web應(yīng)用攻擊，如蠕蟲、黑客攻擊、跨站腳本、網(wǎng)頁盜鏈等。提供對SQL注入的有效防護(hù)，能有效遏制網(wǎng)頁篡改。

　　2.3.2 深入檢測：細(xì)粒度地檢測并防御SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood等這些常見的拒絕服務(wù)攻擊行為，基于智能關(guān)聯(lián)分析技術(shù)對CC攻擊進(jìn)行檢測、防護(hù)；提供針對常見的假人攻擊、創(chuàng)建帳號攻擊、數(shù)據(jù)庫攻擊等。

　　2.3.3 高可靠性，提供硬件BYPASS或HA等可靠性保障措施，確保Web應(yīng)用核心業(yè)務(wù)的連續(xù)性。

　　2.3.4 管理靈活：提供基于IP、端口、協(xié)議類型、時(shí)間及域名的靈活訪問控制；基于對象的虛擬防護(hù)，為每位用戶量身定制安全防護(hù)策略，輕松增值；支持規(guī)則的在線升級和離線升級。

　　2.3.5 強(qiáng)大的審計(jì)功能：其能夠詳細(xì)記錄統(tǒng)日志、應(yīng)用訪問日志以及攻擊統(tǒng)計(jì)報(bào)，支持標(biāo)準(zhǔn)的SYSLOG日志服務(wù)器。

　　3. WEB應(yīng)用防火墻與傳統(tǒng)網(wǎng)絡(luò)防火墻共同構(gòu)建圖書館網(wǎng)絡(luò)防御系統(tǒng)

　　目前，廣大師生對圖書館資源的訪問越來越頻繁，圖書館網(wǎng)絡(luò)的可用性和可靠性就顯得非常重要，任何防御上的疏漏都會給圖書館的讀者服務(wù)帶來諸多的不便，因此構(gòu)筑一道堅(jiān)固的安全防御體系是圖書館網(wǎng)絡(luò)必須面對的問題。筆者按照圖書館的信息環(huán)境為圖書館網(wǎng)絡(luò)安全防御系統(tǒng)選擇的設(shè)計(jì)，它的總體設(shè)計(jì)是將傳統(tǒng)的網(wǎng)絡(luò)防火墻放置于互聯(lián)網(wǎng)接口處，通過傳統(tǒng)防火墻阻擋攻擊者從正面入侵圖書館網(wǎng)絡(luò)，著重進(jìn)行網(wǎng)絡(luò)層的攻擊防御，將WEB應(yīng)用防火墻放置于WEB服務(wù)器區(qū)域前，讓其著重進(jìn)行應(yīng)用層的內(nèi)容檢測和安全防御，與傳統(tǒng)網(wǎng)絡(luò)防火墻共同構(gòu)成全面、有效的安全防御體系。

　　3.1 互聯(lián)網(wǎng)接口

　　整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中，網(wǎng)絡(luò)互聯(lián)網(wǎng)接口是圖書館網(wǎng)絡(luò)安全體系的大門，處在互聯(lián)網(wǎng)接口的網(wǎng)絡(luò)防火墻肩負(fù)著保障網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)穩(wěn)定性的雙重任務(wù)。因此部署在圖書館互聯(lián)網(wǎng)出入口的傳統(tǒng)的網(wǎng)絡(luò)防火墻要能夠?qū)崿F(xiàn)NAT，這樣就有利于隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高了網(wǎng)絡(luò)的安全性。同時(shí)，其還應(yīng)具備反間諜、反病毒軟件監(jiān)控、日志和垃圾郵件等防護(hù)措施，能夠?qū)��?shù)據(jù)包進(jìn)行深入檢查、識別和高級驗(yàn)證，實(shí)時(shí)地防御黑客入侵、抑制蠕蟲病毒的爆發(fā)，并提供清晰詳盡的網(wǎng)絡(luò)安全事件報(bào)表。互聯(lián)網(wǎng)接口處防火墻必須從以下兩方面設(shè)定訪問控制規(guī)則，第一、控制好通信端口，根據(jù)實(shí)際情況，只開放80端口以及工作中必要的端口，并密切關(guān)注工作用機(jī)敏感端口的數(shù)據(jù)操作情況，特別是提供網(wǎng)絡(luò)打印和共享的135 、139和445端口，以及一些流行病毒的后門端口，如2745、3127、6129端口。二是控制好通過防火墻的數(shù)據(jù)包的源、目的地址(IP)，在規(guī)則表中定義各種規(guī)則來表明是否同意或拒絕數(shù)據(jù)包的通過，不符合規(guī)則表中規(guī)則的數(shù)據(jù)將被防火墻丟棄。 利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，將內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段進(jìn)行隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

　　3.2 Web服務(wù)器區(qū)

　　把圖書館Web服務(wù)器的地址全部設(shè)置在Web應(yīng)用防火墻的WAN口上，把Web服務(wù)器設(shè)置為另一個(gè)網(wǎng)段地址。這時(shí)，任何訪問網(wǎng)站的流量都會先由web應(yīng)用防火墻檢測，正常訪問流量才會通過。當(dāng)圖書館電子郵件系統(tǒng)需要對發(fā)出信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名時(shí), 由于WEB應(yīng)用防火墻可以靈活的區(qū)分和處理每個(gè)具體文件的不同的安全性要求,其就能夠分析該信件的段落結(jié)構(gòu)并對其進(jìn)行簽名。圖書館提供的很多服務(wù)都是針對大眾的，因此圖書館的網(wǎng)站較容易成為的DDOS攻擊的目標(biāo)，把WEB服務(wù)器的網(wǎng)址放在WAF上后，WAF就可以為其提供實(shí)時(shí)的、細(xì)粒度的防護(hù)，在DDOS到達(dá)WEB服務(wù)器之前，WAF會對用戶正在提供給這個(gè)應(yīng)用程序的指令的性質(zhì)和類型進(jìn)行應(yīng)用層檢測和分析，然后，它能夠根據(jù)已知的攻擊特征或者異常的應(yīng)用狀況分析這些通訊準(zhǔn)確監(jiān)測，識別各類針對Web應(yīng)用的各類攻擊型流量并進(jìn)行實(shí)時(shí)阻斷。除了DDOS攻擊，由于圖書館提供了大量的應(yīng)用層服務(wù)，因此有很多端口是要被對外開放的，例如比較常見的80、443、8080端口等等，因此，圖書館網(wǎng)絡(luò)服務(wù)會經(jīng)常遭到后門或木馬攻擊。 針對這一現(xiàn)象，可以利用WAF提供的端口檢測功能來解決該弊端，WAF在監(jiān)視服務(wù)器端口的同時(shí)，還可以檢測該端口是否被其他程序綁定，它會實(shí)時(shí)地檢測web服務(wù)區(qū)內(nèi)被打開的所有服務(wù)器的端口，一旦檢測到?jīng)]得到WAF的授權(quán)的程序企圖強(qiáng)行綁入服務(wù)器端口時(shí)，Web應(yīng)用防火墻就會禁止該程序綁入。網(wǎng)頁篡改是目前圖書館面臨的一大問題，尤其是圖書館網(wǎng)站提供的查詢功能，很容易被SQL注入攻擊。針對網(wǎng)頁篡改的攻擊手段，Web應(yīng)用防火墻可以對圖書館網(wǎng)站進(jìn)行有效的網(wǎng)頁篡改防護(hù),其通過隱藏用戶的web基礎(chǔ)架構(gòu)，使得黑客無法了解用戶所用的服務(wù)器。其可以刪除信息中可識別操作系統(tǒng)及web服務(wù)器的信息，隱藏用戶的一切HTTP錯(cuò)誤信息，刪除發(fā)送給用戶頁面中的應(yīng)用錯(cuò)誤信息，檢查并確認(rèn)網(wǎng)頁中沒有泄露服務(wù)器代碼。

　　4.結(jié)語

　　本文通過將Web應(yīng)用防火墻與傳統(tǒng)網(wǎng)絡(luò)防火墻相結(jié)合來構(gòu)筑圖書館網(wǎng)絡(luò)的防護(hù)體系。應(yīng)用防火墻著重進(jìn)行應(yīng)用層的內(nèi)容檢查和安全防御，為圖書館的web服務(wù)系統(tǒng)提供全面的保護(hù)，防御那些可繞過傳統(tǒng)網(wǎng)絡(luò)防火墻，攻擊web應(yīng)用系統(tǒng)的黑客�？墒�，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)環(huán)境的變化,新的安全漏洞,新的黑客攻擊出現(xiàn)混合攻擊的發(fā)展趨勢,因此，防火墻技術(shù)也需要與其他技術(shù)的結(jié)合,進(jìn)行相應(yīng)地改進(jìn)，來使其的功能更智能化、集成化、系統(tǒng)更靈活、可擴(kuò)展性更好。為了保障圖書館網(wǎng)絡(luò)的安全, 在使用防火墻的同時(shí)，也不能忽視對圖書館工作人員的網(wǎng)絡(luò)安全教育、提高管理人員技術(shù)素養(yǎng)來共同維護(hù)圖書館的網(wǎng)絡(luò)安全。

參考文獻(xiàn)
1王福生. 圖書館網(wǎng)絡(luò)中的入侵檢測系統(tǒng) .現(xiàn)代情報(bào),2007（7）
2彭文波. 網(wǎng)絡(luò)安全技術(shù)發(fā)展分析.軟件世界,2007(24)
3KeithE·strassberg.richardJ.gondek gary Rolie等著[M] 防火墻技術(shù)大全李昂，劉芳萍，
楊旭，程鵬譯.北京:機(jī)械工業(yè)出版社2003 3
4 Dean Turner, Stephen Entwisle, Marcl Denesluk. Symantec Internet Security Threat
Report Trends for July-December 06 (Volume XI)[R]，USA:SymantecC Corp.2007
5思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司.思科防火堵技術(shù)白皮書[R].北京:Cisco Systems Inc,2004.
6北京中科安勝信息技術(shù)有限公司.安勝高保障防火琦白皮書[EB/OL].
http://wwwercist.com/downloadfile/Firwallw hitep aperpd f?fileid=2,2007.
7費(fèi)宗蓮.UTM引領(lǐng)安全行業(yè)潮流——UTM統(tǒng)一威脅安全管理系統(tǒng)綜述.計(jì)算機(jī)安全,2006(3)
8趙麗萍.實(shí)戰(zhàn)黑客一一圖書館數(shù)據(jù)安全隱患分析. 現(xiàn)代圖書情報(bào)技術(shù)，2005 (3)
9[美]Laura A.Chappell, Ed Tittel著.馬海軍，吳華等譯.TCP/IP協(xié)議原理與應(yīng)用.北京：清華大學(xué)出版社，2005
10羅森林.信息系統(tǒng)安全與對抗技術(shù).北京：北京理工大學(xué)出版社，2005
11[美]Mark Ciampa著.陶洋主譯.計(jì)算機(jī)與網(wǎng)絡(luò)安全:如何應(yīng)對身邊的安全問題.重慶：重慶大學(xué)出版社，2005