《web防火墙及其在多媒体资源管理系统中的应用》由会员分享,可在线阅读,更多相关《web防火墙及其在多媒体资源管理系统中的应用(10页珍藏版)》请在金锄头文库上搜索。
1、http:/ -1- Web 防火墙及其在多媒体资源管理系统中的应用防火墙及其在多媒体资源管理系统中的应用1 常乐 北京邮电大学智能通信软件与多媒体北京市重点实验室,北京(100876) E-mail: 摘摘 要:要:Web 应用安全问题是当前计算机应用研究的热点问题之一。 多媒体资源管理系统 提供了方便快捷的多媒体资源的管理,下载,交易等业务。 但是随之而来的也有 Web 应用层次 的安全问题。本文首先分析了 Web 应用防火墙的原理和实现方法,然后成功的应用于多媒体 资源管理系统。大大增强的媒体资源管理系统的在 Web 方面的安全性。 关键词:关键词:Web 应用防火墙,网络安全,多媒体资
2、源管理系统 1. 引言引言 在 Internet 大众化及 Web 技术飞速演变的今天, 在线安全所面临的挑战日益严峻。 伴随着在线信息和服务的可用性的提升,以及基于 Web 的攻击和破坏的增长,安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面,Web 应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的独立程序, 如果这台计算机安全的话,那么应用程序就是安全的。如今,情况大不一样了,Web 应用程序在多种不同的机器上运行:客户端、Web 服务器、数据库服务器和应用服务器。而且,因为他们一般可以让所有的人使用, 所以这些应用程序成为了众多攻击活动的后台旁路。
3、 多媒体资源管理系统是是通过浏览器来获得系统中的各种信息资源,包括各种图形图像,声音,动画,文本,视频,模型等素材。如何有效地保护这些素材的安全性就显得尤为重要。 2. 传统的网络防火墙的不足传统的网络防火墙的不足 1) 无法检测加密的 Web 流量。由于网络防火墙对于加密的 SSL 流中的数据是不可见的,防火墙无法迅速截获 SSL 数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。 2) 普通应用程序加密后, 也能轻易躲过防火墙的检测。 网络防火墙依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类
4、似。只有当应用层攻击行为的特征与防火墙中数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。 3) 对于 Web 应用程序,防范能力不足。在防范 Web 应用程序时,由于无法全面控制网络,应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。 4) 应用防护特性,只适用于简单情况。网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的, 因此很难对应用层进行防护, 除非是一些很简单的应用程序。 5) 无法扩展带深度检测功能。 基于状态检测的网络防火墙, 如果希望只扩展深度检测
5、(deep inspection)功能,而没有相应增加网络性能,这是不行的。真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务。 1本课题得到北京市教委共建项目(SYS100130422); 高等学校博士学科点专项基金资助项目(20050013010) 的资助。 http:/ -2- 3. Web 应用防火墙应用防火墙(Web Application Firewall) 本文提出的 Web 应用防火墙是针对上述网络防火墙的不足。通过分析当前比较常见的Web 攻击方式。有效的防御来自 Web 应用层次的攻击。达到保护后台 Web 应用服务器的作用。并且提供了
6、 Web 防御管理后台。 图 1 Web 应用防火墙基本结构 3.1 WAF 的技术原理的技术原理 3.1.1 反向代理反向代理 Apache 的可以被配置为正向(forward)和反向(reverse)代理。 正向代理是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。 客户端必须要进行一些特别的设置才能使用正向代理。正向代理的典型用途是为在防火墙内的局域网客户端提供访问 Internet 的途径。正向代理还可以使用缓冲特性(由 mod_ca
7、che 提供)减少网络使用率。 反向代理正好相反, 对于客户端而言它就像是原始服务器, 并且客户端不需要进行任何特别的设置。 客户端向反向代理的命名空间中的内容发送普通请求, 接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端,就像这些内容原本就是它自己的一样。反向代理的典型用途是将防火墙后面的服务器提供给 Internet 用户访问。反向代理还可以为后端的多台服务器提供负载平衡,或为后端较慢的服务器提供缓冲服务。另外,还可以启用高级 URL 策略和管理技术, 从而使处于不同 web 服务器系统的 web 页面同时存在于同一个 URL 空间下。 例如下图中,代理服务器
8、B,作为各个应用服务器的代表,对外提供服务。实际上,B本身并不提供应用服务,仅仅是把 A 发网 B 的数据转发给 C,然后 C 做出响应。把处理结果发给 B,B 再发给对应的 A。在这一个过程中,B 只是起到”传话筒”的作用。如果 B 根据A 要求的地址来连接该地址对应的服务器,则 B 把这一请求转移到 C(代表 A 访问 C),并把C 对 B 的处理结果返回给 A,在这个过程中,A 一直以为是 B 提供服务,并不知道 C 的存在,C 只是知道,永远只偶 B 来请求它的服务,此时,B 就是反向代理。多数运行在服务器http:/ -3- 一方。 普通代理可代理内网用户访问因特网或用户自身不能访问
9、的网段。 反向代理多用于作为应用服务器的缓存服务器,减轻应用服务器的负担,最典型的就是作为 Web 服务器的页面缓存服务器。 图 2 反向代理 3.1.2 虚拟主机虚拟主机 虚拟主机技术就是使用特殊的软硬件技术,把一台计算机主机分成一台台“虚拟“的主机,每一台虚拟主机都具有独立的域名和 IP 地址(或共享的 IP 地址),具有完整的 Internet服务器功能。在同一台硬件、同一个操作系统上,运行着为多个用户打开的不同的服务器程序,互不干扰;而各个用户拥有自己的一部分系统资源(IP 地址、文件存储空间、内存、CPU 时间等)。虚拟主机之间完全独立, 在外界看来, 每一台虚拟主机和一立的主机的表
10、现完全一样。 3.1.3 Apache 的安全模块的安全模块 Mod_Security 是一个专门针对 Apache 服务器开发的, 他是一个开源的 Web 应用入侵检测系统和防护引擎,它既可以作为 Apache 的模块运行,也可以单独运行。它完全可以不用重新编译 Apache 内核就可以直接加载到 Apache 核心前对流入 Apache 的数据进行。Mod_Security 的主要目的是加固和增强 Web 应用的安全,保护 Web 应用不再受已知和未知的攻击。 3.2 WAF 系统结构系统结构 系统主要分为用户认证模块,访问控制模块,安全防护引擎模块,日志模块,和系统管理模块。 用户认证模
11、块主要负责系统外部用户的认证功能, 根据实际情况不同可以提供不同的验证模式。 访问控制模块分为自主访问控制和强制访问控制, 对已经通过认证的用户授权访问权限。安全防护引擎主要是指 Mod_Security 安全模块,它集成在 Apache 中更有效的保证了整个 Web 应用防火墙的安全。日志记录模块对外界用户的 Web 攻击进行记录,包括攻击方式,IP 地址等信息。管理员可以方便的通过查看日志对,近期的网络安全情况进行分http:/ -4- 析, 以便采取有效的措施。 系统管理模块是采用 Perl 语言开发的一套 Web 界面的管理平台。管理员可以快捷方便的配置和发布安全策略。 图 3 WAF
12、 系统结构 3.3 数据传输数据传输 Web 应用防火墙建立一条安全的通道是非常重要的。在服务器端,由于 Apache 服务器以其开源和稳定性, 因此它的安全性能就随着应用的深人和扩展需要更好的加强, 本文利用Apache 服务器和其内建 SSL 模块 mod_SSL 以及 OpenSSL 来实现 Web 应用防火墙的安全要求。OpenSSL 是一个非常优秀的实现 SSL/TLS 的开源工具包,它提供 SSL 算法的函数库供其他程序调用。它提供了一个通用的高强度加密库,并在此基础上实现了 SSLv2,SSLv3 和TLSv1。 HTTP 压缩是在 Web 服务器和浏览器间传输压缩文本内容的方法
13、。 HTTP 压缩采用通用的压缩算法如 gzip 等压缩 HTML、 JavaScript 或 CSS 文件。 压缩的最大好处就是降低了网络传输的数据量,从而提高客户端浏览器的访问速度。当然,同时也会增加一点点服务器的负担。 Gzip 是比较常见的一种 HTTP 压缩算法。 本文论述的 HTTP 压缩方式, 采用的是 Apache中的 mod_gzip 模块。Mod_gzip 在传输前将匹配的文件类型压缩,然后通过 SSL 协议传输,然后到达客户端再解压。 3.4 用户认证访问控制用户认证访问控制 访问控制采用 BLP 安全模型。由于 BLP 模型主要是操作系统环境下的访问权限掩码,如读、写、
14、执行等。Web 应用防火墙的目的主要是对 HTTP 访问的控制,因此在要根据 Web服务的类型进行重新分类。根据 HTTP 协议的特点,依据协议中的命令将权限细化为 GET, PUT,DELETE, HEAD, TRACE 等形式。这样细粒度的划分可以有效的控制不同用户的通过HTTP 访问指定的资源。 http:/ -5- 图 4 WAF 访问控制 上图中是访问控制的流程, 和前面讨论过的用户认证模块联系紧密。 当用户请求资源时,首先判断访问资源是否需要访问限制。如果不需要则直接访问,否则开始认证,通过认证之后,判断用户所在用户组级别,然后与需要请求的资源的级别进行比较。如果级别高于访问资源,
15、那么允许用户 GET 请求,如果级别低于访问资源,则允许 POST 请求。 3.5 Web 安全防护引擎安全防护引擎 Web 应用的防护要对输入和输出数据进行过滤。作为 Apache 服务器的实现代码中,使用模块化可以实现无须对 Apache 内核进行修改/编译,而直接附加模块即可实现。Mod_Security 就是这样一个 Apache 模块。 Mod_Security 是一个专门针对 Apache 服务器开发的, 他是一个开源的 Web 应用入侵检测系统和防护引擎, 它既可以作为 Apache 的模块运行,也可以单独运行。它完全可以不用重新编译 Apache 内核就可以直接加载到 Apac
16、he 核心前对流入 Apache 的数据进行。Mod_security 的主要目的是加固和增强 Web 应用的安全,保护Web 应用不再受已知和未知的攻击。 ? ? SQL 注入 SQL 注入攻击属代码注入攻击的一种, 即在浏览器对 Web 服务器的正常页面请求中人为插入一段”非预期”的代码,通过网络提交到服务器端执行,以达到非法攻击目的。因其插入的代码都是标准化查询语言(SQL)格式片断,在服务器上形成特殊的 SQL 语句,对数据库执行恶意操作,故称 SQL 注入攻击。 ? ? 路径遍历攻击 路径遍历攻击技术强制访问文件、目录及隐藏在 Web 文档根目录之外的命令。攻击者以Web 站点执行或者显示出 Web 服务器上任意文件内容的方式,来操作 URL。泄漏 HTTP 接http:/ -6- 口的任何设备都是路径遍历的容易攻击的对象。 为
