Web的應用

近幾年，Web應用日益普及，有關(guān)Web方面的安全問(wèn)題也在與日俱增。伴隨基于Web應用和數據庫架構的應用系統逐漸成為主流，廣泛應用在企業(yè)內部和外部的業(yè)務(wù)系統中，企業(yè)借助Web應用使得業(yè)務(wù)快速發(fā)展，與此同時(shí)黑客也在關(guān)注Web應用所帶來(lái)的財富，目前常見(jiàn)的網(wǎng)絡(luò )攻擊大多數都是針對應用自身的弱點(diǎn)，其中最常用的攻擊技術(shù)就是針對Web應用的SQL注入和跨站攻擊。而且黑客通過(guò)相應的攻擊工具可以輕松實(shí)現入侵，并可直接實(shí)現篡改頁(yè)面內容，甚至進(jìn)入數據庫修改內容等等。隨著(zhù)Web應用的攻擊增多同時(shí)大范圍刺激了Web應用防火墻市場(chǎng)的增長(cháng)。

Web應用防火墻根源追溯

國外市場(chǎng)上具有Web應用防火墻功能的產(chǎn)品名稱(chēng)就有不同的幾十種，更不用說(shuō)是產(chǎn)品的形式和描述了。它難以界定的原因是這個(gè)名稱(chēng)包含的東西太多了。較低的網(wǎng)絡(luò )層(Web應用防火墻被安置在第七層)被許多設備所覆蓋，每一種設備都有它們獨特的功能，比如路由器，交換機，防火墻，入侵檢測系統，入侵防御系統等等。然而，在HTTP的世界里，所有這些功能都被融入在一個(gè)設備里：Web應用防火墻。

Web應用防火墻位于Web客戶(hù)端和Web服務(wù)器之間，分析應用程序層的通信，從而發(fā)現違反預先定義好的安全策略的行為。安恒信息Web應用安全綜合解決方案就是基于Web應用防火墻的基礎上，從而實(shí)現事前預防監測、事中防護及事后追溯的完整防御方案。Web應用防火墻作為一種專(zhuān)業(yè)的Web安全防護工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應對HTTP/HTTPS應用中的各類(lèi)安全威脅，如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站腳本攻擊等，能有效解決網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題，充分保障Web應用的高可用性和可靠性。

Web應用防火墻的價(jià)值

Web價(jià)值重點(diǎn)體現在Web 2.0的時(shí)代時(shí)，我們所面臨的安全威脅主要源自網(wǎng)站被黑或者網(wǎng)站被篡改，因此網(wǎng)頁(yè)防篡改技術(shù)得到成長(cháng)并大量使用。應用推運系統架構革新，而系統架構的和革新推動(dòng)安全技術(shù)的發(fā)展。Web應用防火墻也不例外，也是在現有Web防護技術(shù)力日益無(wú)法滿(mǎn)足業(yè)務(wù)的新需求時(shí)誕生的。

安恒信息產(chǎn)品經(jīng)理楊勃表示，如果說(shuō)防篡改軟件是一種基于文件管理的被動(dòng)辦法，那么Web應用防火墻則是從安全的本質(zhì)出發(fā)，對威脅進(jìn)行主動(dòng)防御，并對Web應用進(jìn)行性能優(yōu)化的最佳方案。簡(jiǎn)單將防篡改軟件理解為是文件恢復管理，而Web應用防火墻則是分析處理不安全的訪(fǎng)問(wèn)行為，這些不安全的行為包括網(wǎng)頁(yè)篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國Web應用環(huán)境下的Web應用防火墻通常也會(huì )具有網(wǎng)頁(yè)防篡改的客戶(hù)端，功能和市面的網(wǎng)頁(yè)防篡改軟件幾乎相同。

Web應用防火墻以獨立的硬件網(wǎng)關(guān)存在，其部署和使用過(guò)程中不需要對原有的Web服務(wù)器作任何的調整，并且Web應用防火墻本身支持多種部署方式，例如透明網(wǎng)橋模式的部署不需對網(wǎng)絡(luò )進(jìn)行任何調整。

Web應用防火墻與傳統防火墻及IPS的區別

傳統的網(wǎng)絡(luò )防火墻作為訪(fǎng)問(wèn)控制設備，工作在OSI1-4層，基于IP報文進(jìn)行狀態(tài)檢測、地址轉換、網(wǎng)絡(luò )層訪(fǎng)問(wèn)控制等，對報文中的具體內容不具備檢測能力。因此，對Web應用而言，傳統的網(wǎng)絡(luò )防火墻僅提供IP及端口防護，對各類(lèi)WEB應用攻擊及變形缺乏深度防御能力。Web應用防火墻主要致力于提供應用層保護，通過(guò)對HTTP/HTTPS及應用層數據的深度檢測分析，識別及阻斷各類(lèi)傳統防火墻無(wú)法識別的Web應用攻擊。

與IPS相比Web應用防火墻可謂是專(zhuān)注于Web應用的IPS，與傳統的IPS不同，Web應用防火墻在特征匹配方面的粒度更細，至少可以精確到如下幾個(gè)節點(diǎn)：

·對協(xié)議的全面理解以及協(xié)議規范性檢查

·請求頭關(guān)鍵字段的識別和特征匹配，從而降低誤判

·響應頭敏感信息的處理防止服務(wù)器指紋泄露

·響應體特征匹配，屏蔽敏感信息泄露

·針對單個(gè)請求，基于單個(gè)URL的匹配最大程度確認業(yè)務(wù)系統的可用性

標準的Web應用防火墻應該具備哪些功能

楊勃介紹到，一個(gè)標準的Web應用防火墻應該具備以下四個(gè)方面的功能：

深度安全防護——對Web應用實(shí)施全面、深度防御，能夠有效識別、阻止日益盛行的Web應用黑客攻擊，還要對數據泄密具備監管能力，可以進(jìn)行IP審計。

協(xié)議規范性檢查——通過(guò)HTTP協(xié)議規范性檢查可以實(shí)現Web主動(dòng)防御功能，如請求頭長(cháng)度限制、請求編碼類(lèi)型限制等從而障蔽了大部分非法的未知攻擊行為。

WEB應用加速——對防護的網(wǎng)站進(jìn)行加速，通過(guò)對靜態(tài)文件的緩存技術(shù)，動(dòng)態(tài)請求的TCP連接復用技術(shù)實(shí)現了網(wǎng)站訪(fǎng)問(wèn)速度的提升。

站點(diǎn)訪(fǎng)問(wèn)審計——對網(wǎng)站的訪(fǎng)問(wèn)情況進(jìn)行統計分析呈現即時(shí)訪(fǎng)問(wèn)量趨勢圖、用戶(hù)最關(guān)注的網(wǎng)頁(yè)、訪(fǎng)問(wèn)者最集中的地市區域等信息，便于分析網(wǎng)站的業(yè)務(wù)模塊的訪(fǎng)問(wèn)情況，并為業(yè)務(wù)功能的價(jià)值提供評價(jià)參考。

安恒信息Web應用防火墻發(fā)展歷程

Web應用防火墻技術(shù)架構上最佳方案是采用代理技術(shù)實(shí)現，然而標準的代理技術(shù)應用到Web應用防火墻時(shí)卻存在一個(gè)先天的不足。代理技術(shù)會(huì )中斷業(yè)務(wù)請求，因此部署Web應用防火墻需要調整現有業(yè)務(wù)架構或網(wǎng)絡(luò )數據走向。另一方面代理技術(shù)存在性能瓶頸，難在勝任大型的業(yè)務(wù)系統。

安恒信息采用內核級代理技術(shù)解決了部署全透明和性能兩個(gè)技術(shù)瓶頸，是國內首創(chuàng )的全透明Web應用防火墻，并成功應用于諸多網(wǎng)上銀行、運營(yíng)商BOSS系統、電子政務(wù)等核心業(yè)務(wù)系統。

Web應用防火墻采用基于特征庫的防御技術(shù)進(jìn)行防護，而特征庫技術(shù)只能解決通用的，已知的攻擊行為。而Web應用系統千差萬(wàn)別，僅采用通用特征庫不僅防護效果不佳，而且可能會(huì )因為代碼的原因導致誤判，從而影響業(yè)務(wù)系統的可用性。因此安恒信息Web應用防火墻中加入了異常檢測引擎用于提高防護能力，降低誤判率。異常檢測技術(shù)可以用一個(gè)下面這個(gè)例子進(jìn)行說(shuō)明：

安全檢測好比閉路電視監控系統，基于特征的檢測技術(shù)即通過(guò)行人的身高、體重、外貌進(jìn)行檢測，然后通過(guò)X光機檢測身上是否帶了已知的不安全裝備。而異常檢測則是通過(guò)對人的行為特征進(jìn)行分析，例如一個(gè)人進(jìn)門(mén)時(shí)身帶了一個(gè)手擰包，而走到大廳后將手擰包放下，人離開(kāi)。針對這種特為將為觸發(fā)報警動(dòng)作。