1、 高校信息安全防護體系的研究與應用構建WAF+IPS+ 漏洞掃描安全防護摘要 ：在國家網絡空間安全戰略提出、制定、發布、貫徹和推進實施的大環境下，國家網絡安全的整體部署，如網絡安全等級保護和關鍵信息基礎設施綜合保護政策等持續加強，同時在 2017 年 6 月 1 日正式實施的中華人民共和國網絡安全法的風向指導和強力推動下，教育部門不斷有效地指導、推動、敦促和監督了高校網絡安全工作，使得其取 得了顯著進展。提高了安全意識，建立了基本機制，加強了防控能力，培養了技術團隊，建立了應急響應方案，在各重點 時期網絡安全保障工作期間，較好完成保障任務的同時也積累了不少有益的經驗和成果。關鍵詞 ：等級保護

2、；WAF ；IPS ；漏洞掃描Research and application of WAF+IPS+ vulnerability scanning se- curity protection system in Colleges and UniversitiesAbstract: In the context of the proposal, formulation, promulgation, implementation and implementation of the National Cyberspace Security Strategy, the overall deploym

3、ent of national cybersecurity, such as the policy of network security grading protection and comprehensive protection of key information infrastructure, has been continuously strengthened, and the CPC formally implemented on June 1, 2017. Under the direction and strong impetus of the National Networ

4、k Security Law, the education department has been effectively guiding, promoting, urging and supervising the work of network security in Colleges and universities, which has made remarkable progress It has improved the security consciousness, established the basic mechanism, strengthened the ability

5、 of prevention and control, trained the technical team, and established the emergency response plan During the key period of network security work, it has completed the security task well and accumulated a lot of useful experience and achievements.Keywords: hierarchical protection; WAF; IPS; vulnera

6、bility scanning目 錄 TOC o 1-3 h z u HYPERLINK l _Toc15141100 1.背景與現狀 PAGEREF _Toc15141100 h 4 HYPERLINK l _Toc15141101 2.防護體系 PAGEREF _Toc15141101 h 4 HYPERLINK l _Toc15141102 2.1.WAF PAGEREF _Toc15141102 h 4 HYPERLINK l _Toc15141103 2.2.IPS PAGEREF _Toc15141103 h 8 HYPERLINK l _Toc15141104 2.3.漏洞掃描

7、PAGEREF _Toc15141104 h 8 HYPERLINK l _Toc15141105 3.總結展望 PAGEREF _Toc15141105 h 9背景與現狀為了深入貫徹落實黨的十八大精神，落實立德樹人的根本任務，推進高校網絡文化有序健康的發展，2017 年 3 月至8 月，教育部開展以“治亂、堵漏、補短、規范”為目標的網絡安全綜合治理行動計劃，在應用網站管理、處置安全漏洞、等級保護加強、建設安全體制等方面著重推動高校網絡安全工作，已經取得了重大的工作成果，并建立了漏洞發現、通知、處置和整改以及結果反饋等系統流程，使得高校網絡安全工作可以有序、穩定和安全的開展。據多方數據顯示，僅

8、教育行業，網頁篡改掛馬增加暗鏈、學校師生數據被竊取售賣、感染勒索病毒或其變種索取解密費用等安全事件仍時有發生，整體網絡安全態勢依舊緊張。同時，教育行業作為信息化建設浪潮的前沿試點和主力軍， 在云計算、大數據、物聯網、融合通信、AI 等新技術的飛速發展前提下，高校深化教學改革、培養新型人才的要求下，高校信息化建設正逐步向智慧校園、智慧教室、云課堂、網上辦事大廳等建設演變，這就對網絡安全、應用安全、數據安全和信息系統安全等工作提出了新需求、新壓力和新挑戰。信息安全等級保護管理辦法第十四條第一款規定 ：信息系統安全保護等級為第三級的信息系統應當每年至少進行一次等級測評。網絡安全法第二十一條第（五）項

9、規定 ： 國家實行網絡安全等級保護制度。 防護體系WAFWAF（Web 應用程序防火墻）是新興的信息安全技術，區別于基本包過濾策略的傳統防火墻，WAF工作在應用層，基于對Web應用業務和邏輯的深刻理解和多年總結，其不僅可以攔截低層攻擊行為，還可對來自Web應用程序客戶端的多協議請求執行檢測和驗證，對非法的請求予以實時攔截或阻斷，就安全合規的請求進行默認放行策略，有效防護了 Web 應用站點及服務器。WAF 是一種主動安全類產品，對多協議具有高度的針對性，處理到高層應用級的訪問，并隔離所有無法識別的業務流程，提升并一定程度解決了傳統防火墻無法實現的對 Web 應用安全的防護。在通用網絡環境中，通

10、常需要將 WAF 串行部署在 Web 服務器前端，用于檢測、攔截和阻斷異常訪問流量，WAF 部署模式如圖 1。圖 1 WAF 部署模式透明代理模式當訪問者從客戶端發起到Web應用服務器的多協議（HTTP，HTTPs 等）連接請求時，WAF接管監視請求的TCP 連接。WAF 代理相應會話后，將整個會話分成了兩個部分，并基于網絡層的網橋模式進行轉發。以訪問者角度，客戶端直接訪問了網站所屬的應用服務器，其感知不到 WAF 的存在即可完成內外網絡的通信連接請求響應等流程。透明代理模式不會改變現有網絡條件，可以實現 0 配置部署，既增加了網絡的安全性，又降低了用戶管理的復雜程度。該模式下網絡的所有流量都

11、經過 WAF，對 WAF 的處理能力和承載能力有一定性能要求，WAF 自身的 Bypass 功能在設備出現故障時可以不影響原有網絡流量對其默認放行處理。圖 4 透明代理模式路由代理模式與透明模式原理相同，但工作在轉發模式而非網橋模式，對現有網絡條件需要做簡單改動，需要配置 WAF 轉發端口的 IP 地址和路由，以轉發所有流量。反向代理模式傳統的正向代理也就是代理是指用戶通過請求代理服務器來訪問無法直接訪問的應用程序或服務器，反向代理是指將真實服務器的地址通過技術手段映射到反向代理服務器上，在訪問者看來，其訪問的就是真實的服務器。由于客戶端訪問 WAF，因此在 WAF 不需要像透明模式和路由代理

12、模式一樣監聽客戶端與服務器的會話。當收到 HTTP 等多協議的請求后，代理服務器將該請求轉發給其對應的真實的 Web 應用服務器，Web 應用服務器接收到請求后，首先將響應先發送給WAF 代理設備，然后由 WAF 設備將響應發送給客戶端。此模式需要改變現有網絡環境，需配置 WAF 設備自身的地址和路由、后臺真實的 Web 服務器地址和虛地址的 IP 映射關系，根據不同的網絡環境還需對 NAT 或 DNS 解析等進行相應配置。該模式可以在 WAF 上實現負載均衡。圖 3 反向代理模式端口鏡像模式又稱離線模式，該模式下 WAF 與交換機的鏡像端口連接， 僅根據設置的策略或規則對HTTP 流量進行監

13、控、告警和統計分析等。只能輸入流量，不會攔截和阻斷惡意異常流量。其原理是將通過交換機的所有流量鏡像到 WAF 進行分析。端口鏡像模式不需要對網絡進行改動，僅對流量進行分析，不對惡意的流量進行攔截或阻斷，適合于剛開始準備對 WAF 進行接入和部署時，采集和了解服務器被訪問和被攻擊的信息進行 分析總結，為后續在線部署提供參考以便選擇適合自身的合 理的配置模式。圖 4 端口鏡像模式IPSIPS( 入侵防御系統 )，提供主動防護，其擁有數目眾多的過濾器，區別于傳統防火墻只對 3 層（傳輸層）和 4 層（網絡層）的檢查，IPS 可對 2 層（數據鏈路層）至 7 層（應用層）進行逐一字節的檢查數據包，并解

14、決 IDS 的無法阻斷等問題，基本上以在線模式為主，以透明模式工作，提供多個端口，流量必須經過IPS，可即刻響應網絡報文。區別于 IDS（入侵檢測系統），IPS 事前預先對入侵活動和攻擊性網絡流量進行攔截，而不是簡單地在惡意流量傳送時或傳送后才發出警報，常見的 IPS 分為基于主機的入侵防護 (HIPS)，基于網絡的入侵防護 (NIPS)，應用入侵防護 (AIP) 等。漏洞掃描漏洞掃描是指基于漏洞特征庫，對不同操作系統、服務器等進行安全性檢測，是一種可查找安全漏洞（如 XSS、SQL 注入、越權漏洞、暴力破解、路徑遍歷、CSRF 等）的自動化工具。漏洞掃描分為基于應用、基于目標、基于主機和基于

15、網絡四種漏洞掃描技術。在 Web 應用安全評估中，基于網絡的漏洞掃描技術較為常用，在 B/S 架構下，通過檢測目標主機的TCP/IP 不同端口服務，收集目標主機的行為信息，與特征庫進行基于規則的匹配，如匹配成功則視為漏洞存在，生成掃描報告，給與合理化修補漏洞建議。總結展望WAF 針對特有的 Web 應用入侵進行針對性的加強防護， 在事中可進行阻斷和攔截 ；IPS 提供了入侵防御功能，在事情進行提前預警和攔截 ；漏洞掃描可在全生命周期進行安全掃描，通過及時更新特征庫預修補新型入侵漏洞。WAF+IPS+ 漏洞掃描對整個網絡應用環境下提供全過程的安全防護，一定程度上保障了 Web 應用的安全。在后期的網絡安全設備升級擴展過程中，結合堡壘機、態勢感知、上網行為管理和流量控制等安全技術設備和手段，進一步提升大網絡環境下的全方位的安全防護。參考文獻袁勝. 網絡安全法破繭啟程中華人民共和國網絡安全法（草案）公開征集意見 J. 中國信息安全 ,201