北京大学基于WAF服务的网站安全探索

北京大学基于WAF服务的网站安全探索李若淼北京大学计算中心2018-10-20Addkeywords问题和现状——问题InternetIntranet入口防火墙入侵防御系统核心交换机web应用防火墙入侵检测系统漏洞扫描系统安全审计系统web应用的入侵防御问题和现状——现状•从网站数量来看，北京大学已经有1000多个网站，并且在持续增加中•从网站所属方看，校内各个部门、组织、团体甚至个人都有网站•从网站分布来看，服务器放置在学校各楼各房间，IP遍布各个全校网段问题和现状——现状•网站建设水平难以得到保障•网站维护运维难以得到足够重视问题和现状——现状•2017年我国境内被篡改的网站数超过了2万个，较2016年增长了约20%；•出现众多针对高校的web应用攻击问题和现状——现状•现状总结：1.网站数量多2.网站管理难3.网站威胁大需求和目标大规模细粒度稳定高效易部署易管理可能的解决方案•优点：能够从根本上解除安全隐患•缺点：客观困难太多加强网站安全管理•优点：成熟的防护能力•缺点：有一定局限性采用商用WAF系统•优点：自主可控•缺点：使用风险自建应用防护平台设计思路——控制平面与数据平面分离统一管理平台客户机客户机客户机web应用服务器web应用服务器web应用服务器web应用服务器云WAF防护集群外部系统设计思路——基于ModSecurity的应用防护服务•ModSecurity主要功能•解析•缓存•日志•规则引擎•ModSecurity其他特点：1.开源免费2.稳定成熟3.配置灵活设计思路——通过LVS负载均衡提高可用性请求路径响应路径设计思路——基于虚拟机复制的扩展能力防护节点防护模块日志模块配置模块防护节点防护模块日志模块配置模块调度节点配置模块防护节点防护模块日志模块配置模块虚拟机克隆管理服务器应用服务器设计思路——基于SAAS的管理服务用户申请使用更新DNS用户自定义网站配置用户申请使用更新DNS管理员配置网站用户上报使用问题管理员调整网站配置系统介绍——系统服务架构系统介绍——管理平台功能云防护服务管理平台用户管理服务域名管理服务规则管理服务流量管理服务RestfulAPI对外服务用户注册用户登录用户管理添加域名修改密码权限管理查看信息修改域名删除域名查看域名修改应用服务器IP选择规则集禁用规则查看拦截日志后台规则服务自定义规则添加自定义规则流量统计近期流量趋势图表1日流量统计7日流量统计30日流量统计防护站点统计一键断网服务访问控制服务系统介绍——用户请求生命周期运行情况——部署方式服务器数量核数内存管理服务器144GB负载调度器222GB防护节点5416GB备用节点1416GB日志服务器144GB数据库服务器144GB运行情况——防护规则配置运行情况——数据统计运行情况——基于平台的其他功能•一键断网服务•请求分发服务•日志分析•流量记录下一步工作•提高云WAF防护平台的应用安全防护能力；•继续增加以云WAF防护平台为中心的网站管理功能，提供更多服务；•进一步提高云WAF防护平台的处理能力；下一步工作HardwareHypervisor/HostOSGuestOSServerwebVMGuestOSServerVMHardwareHostOSContainerEnginewebContainerHardwareHypervisorVirtualMachineContainerUnikernelVirtualMachineContainerUnikernel资源消耗大小很小隔离性好不好好伸缩性不好好很好webwebwebwebwebwebwebServerwebContainerServerwebContainerServerwebUnikernelServerwebUnikernelServerwebUnikernelServer谢谢大家！