随着互联网技术的迅猛发展,基于Web和数据库架构的应用系统已经逐渐成为主流,许多政府、企业及高校的关键业务活动越来越多地依赖于Web应用,向公众及学生提供通过浏览器访问高校信息功能。然而,黑客也将攻击目标瞄准了Web应用,高校所面临的风险在不断增加。目前常见的网络攻击大多数都是针对应用自身的弱点,其中最常用的攻击技术就是针对Web应用的SQL注入和跨站攻击。对Web应用的攻击增多刺激了Web应用防火墙(WAF)市场的增长。
    Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好安全策略的行为。
        基础知识

    Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。从广义上来说,Web应用防火墙就是一些增强Web应用安全性的工具。Web服务器理应通过80端口传送数据包。所以所有发给支撑Web服务器系统80端口的数据包必须被允许通过防火墙。传统的防火墙没有办法测定一个地址指向正确的数据包是否包含威胁,但Web应用防火墙可以仔细检查数据包的内容来检测并阻止威胁。

    Web应用防火墙检查每一个传入的数据包的内容来检测上述类型的攻击。例如,Web应用防火墙会扫描SQL查询字符串,来检测和删除那些导致返回的数据多余应用程序要求的字符串。增值厂商应仔细监测新发展的攻击类型并跟踪检测他们的最新产品。

    Web应用防火墙不仅检测已知类型的攻击,而且还监测异常的使用模式来检测目前未知的攻击方法。目前有基于软件和基于应用程序的Web应用防火墙。基于软件的产品布置在Web服务器上,而基于应用程序的产品放置在Web服务器和互联网接口之间。两种类型的防火墙都会在数据传入和传出Web服务器之前检查数据。

       技术类型

  •  加强型的IPS技术
  •     加强型的IPS技术,相当于深度包检测。早期的IPS在包过滤上不是很细致,后来在Web上做了更深入的包检测功能。

  •  基于黑名单的技术
  •     安全公司根据以往的经验,统计全球范围内攻击人和攻击地区,基于已知威胁的黑名单进行过滤。只要攻击是来自黑名单之上的,就可以进行过滤。

  •  基于策略的技术
  •     这种产品的设计出发点,是围绕Web应用去进行产品设计的,而不是单纯的去解决Web安全的某一方面问题。

       技术功能

  •     安全防护 对于针对Web服务器的攻击要具备防御能力,同时还要对数据泄密具备监管能力。
  •     加速 除了防护以外,企业用户在网络之中,需要对应用的运转效率进行控制,Web应用防火墙必须能够提供相应的加速能力。
  •     可扩展性 Web应用防火墙后台连接时和Web服务器相关,需对应用交付和负载均衡提供支持。
  •     IP审计 Web应用防火墙本身对所有流量进行过滤的时候,本身必须具备一套策略,这些相关的策略标准与策略模型需要对企业流行的应用进行支持。

  •     审计设备 用来截获所有HTTP数据或者仅仅满足某些规则的会话。
  •     访问控制设备 用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
  •     架构网络设计工具 当运行在反向代理模式,他们被用来分配职能、集中控制、虚拟基础结构等。
  •     Web应用加固工具 这些功能增强被保护Web应用的安全性,它不仅能够屏蔽Web应用固有弱点,而且能够保护Web应用编程错误导致的安全隐患。
  •    
  •    

        应用技巧

  • 如何评估、购买和部署Web应用防火墙?
  •     一个关注提高应用软件的安全性的开放社区——开放Web应用安全项目(OWASP)建议使用以下选择WAF的标准:非常少的误报警(即,永远应当允许授权的请求);缺省(出厂配置)防御措施的强度;高性能和易于学习的模式;可以防御的安全漏洞的类型;将不同用户限制在他们在当前会话中所看到的东西的能力;配置防止特殊问题(如紧急补丁)的能力;形式:最好是硬件产品。

  • 怎样为客户提供防护?
  •     Web应用防火墙检查每一个传入的数据包的内容来检测上述类型的攻击。例如,Web应用防火墙会扫描SQL查询字符串,来检测和删除那些导致返回的数据多余应用程序要求的字符串。增值厂商应仔细监测新发展的攻击类型并跟踪检测他们的最新产品。Web应用防火墙不仅检测上述已知类型的攻击,还监测异常的使用模式来检测目前未知的攻击方法。如果Web应用防火墙检测到Web服务器正在返回一个比预期大很多的数据量,它就会及时切断传输,以防止更多的数据泄露。

  • 如何选购Web安全网关?
  •     由于越来越多的恶意攻击和数据泄漏都是利用Web发起,已经让更多的企业开始考虑或着手部署一款适合的Web安全网关,来帮助他们应对Web威胁,数据泄漏等日益严峻的安全问题。当员工在上网冲浪时,Web安全网关通常是他们的防护网,帮助他们过滤恶意软件、僵尸网络以及含有不适当内容的Web页面等所有Web威胁。

  传统防火墙五大不足之处

    黑客之所以能够攻击用户,都是利用了防火墙开放的端口,躲过防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统防火墙。据统计,目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统防火墙的防护效果,并不太理想,存在着以下不足之处:

  • 1、无法检测加密的Web流量
  • 2、普通应用程序加密后,也能轻易躲过防火墙的检测
  • 3、对于Web应用程序,防范能力不足
  • 4、应用防护特性,只适用于简单情况
  • 5、无法扩展带深度检测功能


版权所有:中国教育和科研计算机网网络中心 Copyright© 1994-2010 CERNIC,CERNET 京ICP备020072