摘 要:天津师范大学数字化校园建设项目从环境(网络设备管理、校园空间信息、弱电管网等)、资源(图书、档案、视音频资源等)到管理(教学、人事、办公、科研)实现了办公自动化。网络安全应用防护系统作为数字化校园重要的组成部分,集系统监控、服务器安全管理和防护策略配置于一体,既为网管员提供服务器实时流量统计及性能检测,又为云服务客户提供网络安全防护和信息查询,在校园网安全防护工作中起着重要作用。
关键词:信息门户;PHP;数字化校园;网络安全;应用防护系统
DOI:10.11907/rjdk.143593
中图分类号:PT309
文献标识码:A 文章编号:1672-7800(2014)012-0151-02
基金项目:天津师范大学校级实验室改革研究基金项目(2013)
作者简介:张新淼(1983-),男,山东临清人,硕士,天津师范大学信息化办公室工程师,研究方向为网络设备监控。
0 引言
数字化校园网络安全应用防护系统采用PHP+MySQL架构,可实现添加服务器对象、数字化校园安全事件及各应用服务器流量监控、防护策略配置、日志报表查询统计、常用网络监听工具集成等功能。
1 校园网络安全防护系统总体框架
数字化校园网络安全应用防护系统业务框架包括系统监控、资源对象管理、防护策略配置、日志报表管理、系统维护、常用工具6个模块。系统监控分为安全事件监控、访问状况监控、负载监控;资源对象管理分为网络应用防护系统服务器接口配置、数字化校园各应用服务器监控端口配置;防护策略配置模块主要完成SQL注入、XSS、网络扫描、内容防护、爬虫防护等规则配置,以及网络安全防护、内容防护、盗链防护、扫描防护、爬虫防护、Http协议防护、信息安全防护、Cookie安全防护、非法上传与下载防护策略配置、ARP防护配置、网络层URL访问控制等;日志报表管理包括告警日志日报、月报、周报查询及报表导出,访问统计日志日报、月报、周报查询及报表导出,网络应用防护系统运行日志查询及报表导出,网络层访问控制、URL防护、网络安全防护、ARP防护、网络访问控制日志查询及报表导出;系统管理模块包括用户管理、域名配置、运行模式配置、远程协助、系统控制、网络管理端口设置、安全日志清理;常用工具模块含Ping命令、抓包、Trace Route等常用的网络应用工具<sup>[1]</sup>。
2 系统核心技术
2.1 SQL注入攻击防护策略
SQL注入攻击具备以下两个特点:脚本注入式的攻击;恶意用户输入用来影响被执行的sql脚本。sql注入攻击利用sql语法,这种攻击具有广泛性。理论上说,对于所有基于sql语言标准的数据库软件都是有效的,包括sql server、oracle、db2、sybase、mysql等。各种软件有自身的特点,最终的攻击代码不尽相同。sql注入攻击事件的报警准确率较高,应引起足够的重视。SQL注入攻击频率占漏洞攻击的36%,例如根据工号查询姓名、性别、部门、出生日期、学历、学位、任职资格。查询语句为:Select name,xb,department,csrq,xl,xw,rzzg From rsb where NumberID=’03401’。若将语句改为Select name,xb,department,csrq,xl,xw,rzzg From rsb where NumberID=‘03401’ OR 1=1--,这样查询结果为人事表的每一条记录,因为1=1表达式永远为真,攻击者借此实现数据盗取。可以使用过滤危险关键字防止注入,即将SQL语句中的危险字符用文字替代。此外,在程序编写过程中应尽量使用带参数的存储过程,从源头上有效防止SQL注入<sup>[2]</sup>。
2.2 XSS攻击防护策略
针对即时聊天工具或者电子邮件的XSS攻击:点击链接,若攻击者在链接中插入恶意代码,链接就会跳转到其它的恶意网站或者弹出警告框,进而盗取用户信息。例如:.cn/qkpdf/rjdk/rjdk201412/rjdk20141256.pdf" style="color:red" target="_blank">原版全文
3 系统部署
可以通过CLI配置命令修改IP地址:进入系统,输入wafcli进入CLI配置模式,配置IP地址设为192.168.0.1。在普通模式、特权模式下输入configure,进入配置模式,输入show running-config命令,部分配置如下<sup>[5]</sup>:
FreeWAF(config)#show running-config!
interface eth0 ip-address 192.168.0.1 mask 255.255.255.0!protect-enginework-mode online route-proxy http 80 commit!
protect-engine security-policy default
sql-injection-protect action deny log enable
xss-attack-protect action deny log enable
overflow-attack-protect action deny log enable
path-traversal-attack-protect action deny log enable
commit!
protect-engine server-policy default
deploy security-policy default
real-server ip-address 0.0.0.0 http 0
access-log enable
attack-log enable severity 5
engine detect-block
commit可以通过http://192.168.0.1:8080/login.php访问管理界面,主要完成SQL注入、XSS、网络扫描、内容防护、爬虫防护。
4 结语
本文研发的安全应用防护系统是数字化校园安全建设重要组成部分。该系统提供了防护策略和数字化校园安全应用融合解决方案,以确保业务安全并使性能最佳。
参考文献:
\[1\] DAVIDSEOTT,RICHARDSHARP.Abstracting application-level webSecurity[J].Proc 1lthInt’1WorldWideWebConf,2002(5):396-407.
[2] DAFYDD STUTTARD MARCUS PINTO,石华耀.黑客攻防技术宝典——Web实战篇[M].北京:人民邮电出版社,2009.
[3] 杨波,朱秋萍.Web安全技术综述[J].计算机应用研究,2002(10):59-63.
[4] 罗铁坚,徐海智,董占球.Web安全问题[J].计算机应用,2000(4):163-166.
[5] 谭云松,史燕. 一种新的Web安全与防火墙技术[J].计算机时代,2002(3):91-94.
(责任编辑:杜能钢)
Study and Practice of Digital Campus Security
Application Protection Policy
Abstract:Tianjin Normal digital campus construction projects from the environment (network device management, campus spatial information, weak pipelines, etc.), resources (books, records, video and audio resources, etc.) and manage (teaching, personnel, office, research) to achieve the official automation. As Digital Campus important part of network security application protection system, set the system monitoring, server security management and protection policy configuration in one, not only for providing real-time traffic statistics and server performance testing for network administrators, but also for cloud service customers in our school to provide network security and information search, cloud computing will be one of network application protection technology research and development in key directions.
Key Words: Informational Portal;PHP; Digital Campus;Network Security;Applicational Protection System