摘要：互聯(lián)網(wǎng)在現(xiàn)實(shí)中的應(yīng)用面臨著一些不可靠的安全風(fēng)險(xiǎn)，并且這些風(fēng)險(xiǎn)所能造成的損失非常大。該文詳細(xì)討論了互聯(lián)網(wǎng)應(yīng)用防火墻的系統(tǒng)結(jié)構(gòu)，重點(diǎn)討論了核心部分的解決方案。

關(guān)鍵詞：防火墻；互聯(lián)網(wǎng)；數(shù)據(jù)過(guò)濾

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）02-0250-02

1 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

本文設(shè)計(jì)的互聯(lián)網(wǎng)應(yīng)用防火墻系統(tǒng)結(jié)構(gòu)具體有三部分組成，分別是核心處理構(gòu)件、系統(tǒng)管理構(gòu)件以及數(shù)據(jù)庫(kù)。核心處理構(gòu)件是互聯(lián)網(wǎng)應(yīng)用防火墻的最主要部分，該文將針對(duì)核心處理構(gòu)件的設(shè)計(jì)方案以及實(shí)現(xiàn)方式做詳細(xì)的介紹。核心處理構(gòu)件主要作用是處理所有輸入輸出的數(shù)據(jù)。一切發(fā)送給互聯(lián)網(wǎng)應(yīng)用的信息、數(shù)據(jù)都將被截取并進(jìn)行有效地解碼，并且檢測(cè)。當(dāng)出現(xiàn)輸入的內(nèi)容不符合互聯(lián)網(wǎng)應(yīng)用防火墻的策略的時(shí)候，那些有惡意的數(shù)據(jù)將被中斷?；ヂ?lián)網(wǎng)應(yīng)用所返回的數(shù)據(jù)也將進(jìn)行有效的檢驗(yàn)，如果有敏感數(shù)據(jù)也將進(jìn)行有效地?cái)r截。核心處理構(gòu)件具體分為四大構(gòu)件：預(yù)處理構(gòu)件、檢測(cè)構(gòu)件、輸出編碼構(gòu)件和系統(tǒng)日志審核構(gòu)件。

2 預(yù)處理構(gòu)件

預(yù)處理構(gòu)件主體構(gòu)成是SSL解密構(gòu)件和編碼解碼構(gòu)件兩部分組成。現(xiàn)在有很多WEB應(yīng)用主要使用HTTPS協(xié)議，所以要對(duì)各種網(wǎng)絡(luò)攻擊做出有效的檢驗(yàn)并對(duì)SSL加密數(shù)據(jù)解碼。由于WEB應(yīng)用的特點(diǎn)，WEB應(yīng)用支持的字符集和多樣編碼標(biāo)準(zhǔn)。這些就有可能成為攻擊的主要手段。鑒于此，需要使用集成化構(gòu)件，為下一步檢測(cè)構(gòu)件做鋪墊。

3 檢測(cè)構(gòu)件

檢測(cè)構(gòu)件有兩部分組成：一是含有基于特殊字符的數(shù)據(jù)過(guò)濾系統(tǒng)、自定義URL的訪問(wèn)方式來(lái)實(shí)現(xiàn)細(xì)微的權(quán)限限制。二是以對(duì)話的數(shù)據(jù)過(guò)濾系統(tǒng)來(lái)彌補(bǔ)互聯(lián)網(wǎng)應(yīng)用自身所包含的會(huì)話管理漏洞及防御應(yīng)用層的DDOS攻擊。

3.1 數(shù)據(jù)過(guò)濾系統(tǒng)

數(shù)據(jù)過(guò)濾系統(tǒng)的主要設(shè)計(jì)是對(duì)所有的惡意輸入都要進(jìn)行有效的過(guò)濾，惡意輸入必須要和服務(wù)器的應(yīng)用程序做交換數(shù)據(jù)以達(dá)到攻擊的目的。而惡意代碼則是滲透到源程序的代碼段中的成為WEB應(yīng)用程序中的一部分，被WEB應(yīng)用程序執(zhí)行從才能實(shí)現(xiàn)攻擊的結(jié)果。所以惡意代碼必須成為正常WEB應(yīng)用代碼的一部分，并需要在閉合程序中前段或斷開(kāi)后續(xù)代碼，不然應(yīng)用程序就會(huì)報(bào)錯(cuò)，繼而不會(huì)執(zhí)行惡意代碼。同時(shí)惡意代碼中的插入、修改、查詢數(shù)據(jù)庫(kù)等基本操作符合數(shù)據(jù)庫(kù)操作語(yǔ)言的語(yǔ)法，因此它必須要有效地利用各種間隔符。由此可見(jiàn)過(guò)濾各種閉合、斷開(kāi)和數(shù)據(jù)庫(kù)語(yǔ)言的間隔符和特殊字符就可以使注入的惡意數(shù)據(jù)形成一串連續(xù)的字符串，這樣惡意數(shù)據(jù)就不能成為合法的代碼段。

3.2 會(huì)話管理構(gòu)件

會(huì)話漏洞的產(chǎn)生主要是生成的會(huì)話令牌過(guò)于簡(jiǎn)單，因此容易被攻擊者猜到或者通過(guò)破譯獲取到?；ヂ?lián)網(wǎng)應(yīng)用防火墻中的會(huì)話管理構(gòu)件可以用在會(huì)話中隨機(jī)增加一個(gè)強(qiáng)隨機(jī)性的標(biāo)記的方法，即能有效地防止猜測(cè)或者破譯攻擊，還能有效地防護(hù)跨站請(qǐng)求偽造攻擊。強(qiáng)隨機(jī)性的標(biāo)記能用Python語(yǔ)言中的隨機(jī)函數(shù)來(lái)產(chǎn)生。加強(qiáng)作用于會(huì)話的驗(yàn)證規(guī)則還能有效地保護(hù)應(yīng)用層DDOS免受攻擊。

4 輸出編碼構(gòu)件

輸出編碼構(gòu)件組成是由輸出過(guò)濾構(gòu)件和輸出編碼構(gòu)件兩部分組成。輸出過(guò)濾構(gòu)件通過(guò)監(jiān)控應(yīng)用網(wǎng)站輸出的數(shù)據(jù)，對(duì)發(fā)現(xiàn)有數(shù)據(jù)泄露、惡意修改、植入木馬等行為時(shí)采取有效地過(guò)濾。輸出編碼構(gòu)件是靠實(shí)現(xiàn)簡(jiǎn)單的超文本語(yǔ)言語(yǔ)法分析系統(tǒng)來(lái)實(shí)現(xiàn)的，對(duì)超文本語(yǔ)言中有可能會(huì)造成惡意輸出數(shù)據(jù)進(jìn)行即時(shí)的監(jiān)測(cè)，來(lái)阻擋各種XSS跨站腳本的惡意攻擊。

4.1 輸出過(guò)濾構(gòu)件

輸出過(guò)濾構(gòu)件的作用是使用基于敏感數(shù)據(jù)的過(guò)濾策略，用來(lái)識(shí)別并更正WEB應(yīng)用錯(cuò)誤的有關(guān)數(shù)據(jù)，識(shí)別并保護(hù)敏感信息泄漏，具體方式是：可以自定義敏感數(shù)據(jù)的關(guān)鍵詞，并且對(duì)其進(jìn)行自動(dòng)過(guò)濾，有效防止敏感信息流出。對(duì)信息泄露有監(jiān)測(cè)的作用。能有效過(guò)濾服務(wù)器一端回應(yīng)數(shù)據(jù)里包含的敏感數(shù)據(jù)，如銀行賬號(hào)，郵箱地址等等。

4.2 輸出編碼構(gòu)件

主要是用來(lái)防止XSS攻擊。通過(guò)使用面向?qū)ο笳Z(yǔ)言的HTMLParser構(gòu)件，自行設(shè)置標(biāo)簽處理函數(shù)以實(shí)現(xiàn)簡(jiǎn)單的超文本語(yǔ)言語(yǔ)法分析。自行設(shè)定的標(biāo)簽處理函數(shù)能實(shí)現(xiàn)允許或禁止使用超文本語(yǔ)言標(biāo)簽和其可用的標(biāo)簽的屬性，實(shí)現(xiàn)黑名單機(jī)制有效地防止XSS攻擊。

5 系統(tǒng)日志審核構(gòu)件

系統(tǒng)日志審核構(gòu)件是一個(gè)系統(tǒng)的最重要的部分，一切的異常報(bào)錯(cuò)隨時(shí)都會(huì)記錄。同時(shí)這也是電子取證的重要數(shù)據(jù)。日志內(nèi)容需要能保證一致性及完整性。在這里SHA數(shù)據(jù)加密算法單向散列函數(shù)來(lái)實(shí)現(xiàn)。單向散列函數(shù)SHA就是將輸入字符串或者是文件轉(zhuǎn)換成固定長(zhǎng)度的一種函數(shù)。散列計(jì)算過(guò)程是不可逆的。實(shí)際應(yīng)用中經(jīng)常用來(lái)防篡改使用。通常情況下，應(yīng)該用不帶密鑰的單向散列函數(shù)，方便所有人都驗(yàn)證數(shù)據(jù)完整性，但是如果只想讓數(shù)據(jù)接收者才能驗(yàn)證散列值，就需要增加消息鑒別字符。消息鑒別字符是帶有密鑰的單向散列函數(shù)。因此我們對(duì)WEB應(yīng)用防火墻的日志文件需要定時(shí)備份并隨時(shí)計(jì)算消息鑒別字符，并且將消息鑒別字符保存到數(shù)據(jù)庫(kù)中，這樣就能數(shù)據(jù)的篡改，從而保證了日志文件的一致性及完整性。

6 結(jié)論

眾所周知WEB應(yīng)用防火墻是目前解決互聯(lián)網(wǎng)安全問(wèn)題的最好解決方案，然而核心處理構(gòu)件更是重中之重。該文對(duì)核心處理構(gòu)件的設(shè)計(jì)方案以及實(shí)現(xiàn)方式做出了初步的探索，可以保障WEB應(yīng)用防火墻的安全嚴(yán)密，從而能從容應(yīng)對(duì)種類繁多的網(wǎng)絡(luò)攻擊。

參考文獻(xiàn)：

[1] INSTITUTE S. Top Cyber Security Risks - Executive Summary[EB/OL]. http：//www.sans.org/top-cyber-security-risks/summary.php.

[2] Open Source Network Intrusion Prevention and Detection System[EB/OL].http：//www.snort.org/.

[3] M. E. LOCASTO A K， K. WANG， FLIPS S S. Hybrid adaptive intrusion prevention[M].[S.l.]： In Proc. of the 8th International Symposium on Recent Advances in Intrusion Detection （RAUD 2005）， 2005.

[4] Open Systems Interconnection model[EB/OL]. http：//en.wikipedia.org/wiki/OSI_model.