Web的應(yīng)用
近幾年,Web應(yīng)用日益普及,有關(guān)Web方面的安全問(wèn)題也在與日俱增。伴隨基于Web應(yīng)用和數(shù)據(jù)庫(kù)架構(gòu)的應(yīng)用系統(tǒng)逐漸成為主流,廣泛應(yīng)用在企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中,企業(yè)借助Web應(yīng)用使得業(yè)務(wù)快速發(fā)展,與此同時(shí)黑客也在關(guān)注Web應(yīng)用所帶來(lái)的財(cái)富,目前常見的網(wǎng)絡(luò)攻擊大多數(shù)都是針對(duì)應(yīng)用自身的弱點(diǎn),其中最常用的攻擊技術(shù)就是針對(duì)Web應(yīng)用的SQL注入和跨站攻擊。而且黑客通過(guò)相應(yīng)的攻擊工具可以輕松實(shí)現(xiàn)入侵,并可直接實(shí)現(xiàn)篡改頁(yè)面內(nèi)容,甚至進(jìn)入數(shù)據(jù)庫(kù)修改內(nèi)容等等。隨著Web應(yīng)用的攻擊增多同時(shí)大范圍刺激了Web應(yīng)用防火墻市場(chǎng)的增長(zhǎng)。
本文引用地址:http://cafeforensic.com/article/154597.htmWeb應(yīng)用防火墻根源追溯
國(guó)外市場(chǎng)上具有Web應(yīng)用防火墻功能的產(chǎn)品名稱就有不同的幾十種,更不用說(shuō)是產(chǎn)品的形式和描述了。它難以界定的原因是這個(gè)名稱包含的東西太多了。較低的網(wǎng)絡(luò)層(Web應(yīng)用防火墻被安置在第七層)被許多設(shè)備所覆蓋,每一種設(shè)備都有它們獨(dú)特的功能,比如路由器,交換機(jī),防火墻,入侵檢測(cè)系統(tǒng),入侵防御系統(tǒng)等等。然而,在HTTP的世界里,所有這些功能都被融入在一個(gè)設(shè)備里:Web應(yīng)用防火墻。
Web應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間,分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。安恒信息Web應(yīng)用安全綜合解決方案就是基于Web應(yīng)用防火墻的基礎(chǔ)上,從而實(shí)現(xiàn)事前預(yù)防監(jiān)測(cè)、事中防護(hù)及事后追溯的完整防御方案。Web應(yīng)用防火墻作為一種專業(yè)的Web安全防護(hù)工具,基于對(duì)HTTP/HTTPS流量的雙向解碼和分析,可應(yīng)對(duì)HTTP/HTTPS應(yīng)用中的各類安全威脅,如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站腳本攻擊等,能有效解決網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題,充分保障Web應(yīng)用的高可用性和可靠性。
Web應(yīng)用防火墻的價(jià)值
Web價(jià)值重點(diǎn)體現(xiàn)在Web 2.0的時(shí)代時(shí),我們所面臨的安全威脅主要源自網(wǎng)站被黑或者網(wǎng)站被篡改,因此網(wǎng)頁(yè)防篡改技術(shù)得到成長(zhǎng)并大量使用。應(yīng)用推運(yùn)系統(tǒng)架構(gòu)革新,而系統(tǒng)架構(gòu)的和革新推動(dòng)安全技術(shù)的發(fā)展。Web應(yīng)用防火墻也不例外,也是在現(xiàn)有Web防護(hù)技術(shù)力日益無(wú)法滿足業(yè)務(wù)的新需求時(shí)誕生的。
安恒信息產(chǎn)品經(jīng)理?xiàng)畈硎荆绻f(shuō)防篡改軟件是一種基于文件管理的被動(dòng)辦法,那么Web應(yīng)用防火墻則是從安全的本質(zhì)出發(fā),對(duì)威脅進(jìn)行主動(dòng)防御,并對(duì)Web應(yīng)用進(jìn)行性能優(yōu)化的最佳方案。簡(jiǎn)單將防篡改軟件理解為是文件恢復(fù)管理,而Web應(yīng)用防火墻則是分析處理不安全的訪問(wèn)行為,這些不安全的行為包括網(wǎng)頁(yè)篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國(guó)Web應(yīng)用環(huán)境下的Web應(yīng)用防火墻通常也會(huì)具有網(wǎng)頁(yè)防篡改的客戶端,功能和市面的網(wǎng)頁(yè)防篡改軟件幾乎相同。
Web應(yīng)用防火墻以獨(dú)立的硬件網(wǎng)關(guān)存在,其部署和使用過(guò)程中不需要對(duì)原有的Web服務(wù)器作任何的調(diào)整,并且Web應(yīng)用防火墻本身支持多種部署方式,例如透明網(wǎng)橋模式的部署不需對(duì)網(wǎng)絡(luò)進(jìn)行任何調(diào)整。
Web應(yīng)用防火墻與傳統(tǒng)防火墻及IPS的區(qū)別
傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問(wèn)控制設(shè)備,工作在OSI1-4層,基于IP報(bào)文進(jìn)行狀態(tài)檢測(cè)、地址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問(wèn)控制等,對(duì)報(bào)文中的具體內(nèi)容不具備檢測(cè)能力。因此,對(duì)Web應(yīng)用而言,傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護(hù),對(duì)各類WEB應(yīng)用攻擊及變形缺乏深度防御能力。Web應(yīng)用防火墻主要致力于提供應(yīng)用層保護(hù),通過(guò)對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測(cè)分析,識(shí)別及阻斷各類傳統(tǒng)防火墻無(wú)法識(shí)別的Web應(yīng)用攻擊。
與IPS相比Web應(yīng)用防火墻可謂是專注于Web應(yīng)用的IPS,與傳統(tǒng)的IPS不同,Web應(yīng)用防火墻在特征匹配方面的粒度更細(xì),至少可以精確到如下幾個(gè)節(jié)點(diǎn):
·對(duì)協(xié)議的全面理解以及協(xié)議規(guī)范性檢查
·請(qǐng)求頭關(guān)鍵字段的識(shí)別和特征匹配,從而降低誤判
·響應(yīng)頭敏感信息的處理防止服務(wù)器指紋泄露
·響應(yīng)體特征匹配,屏蔽敏感信息泄露
·針對(duì)單個(gè)請(qǐng)求,基于單個(gè)URL的匹配最大程度確認(rèn)業(yè)務(wù)系統(tǒng)的可用性
標(biāo)準(zhǔn)的Web應(yīng)用防火墻應(yīng)該具備哪些功能
楊勃介紹到,一個(gè)標(biāo)準(zhǔn)的Web應(yīng)用防火墻應(yīng)該具備以下四個(gè)方面的功能:
深度安全防護(hù)——對(duì)Web應(yīng)用實(shí)施全面、深度防御,能夠有效識(shí)別、阻止日益盛行的Web應(yīng)用黑客攻擊,還要對(duì)數(shù)據(jù)泄密具備監(jiān)管能力,可以進(jìn)行IP審計(jì)。
協(xié)議規(guī)范性檢查——通過(guò)HTTP協(xié)議規(guī)范性檢查可以實(shí)現(xiàn)Web主動(dòng)防御功能,如請(qǐng)求頭長(zhǎng)度限制、請(qǐng)求編碼類型限制等從而障蔽了大部分非法的未知攻擊行為。
WEB應(yīng)用加速——對(duì)防護(hù)的網(wǎng)站進(jìn)行加速,通過(guò)對(duì)靜態(tài)文件的緩存技術(shù),動(dòng)態(tài)請(qǐng)求的TCP連接復(fù)用技術(shù)實(shí)現(xiàn)了網(wǎng)站訪問(wèn)速度的提升。
站點(diǎn)訪問(wèn)審計(jì)——對(duì)網(wǎng)站的訪問(wèn)情況進(jìn)行統(tǒng)計(jì)分析呈現(xiàn)即時(shí)訪問(wèn)量趨勢(shì)圖、用戶最關(guān)注的網(wǎng)頁(yè)、訪問(wèn)者最集中的地市區(qū)域等信息,便于分析網(wǎng)站的業(yè)務(wù)模塊的訪問(wèn)情況,并為業(yè)務(wù)功能的價(jià)值提供評(píng)價(jià)參考。
安恒信息Web應(yīng)用防火墻發(fā)展歷程
Web應(yīng)用防火墻技術(shù)架構(gòu)上最佳方案是采用代理技術(shù)實(shí)現(xiàn),然而標(biāo)準(zhǔn)的代理技術(shù)應(yīng)用到Web應(yīng)用防火墻時(shí)卻存在一個(gè)先天的不足。代理技術(shù)會(huì)中斷業(yè)務(wù)請(qǐng)求,因此部署Web應(yīng)用防火墻需要調(diào)整現(xiàn)有業(yè)務(wù)架構(gòu)或網(wǎng)絡(luò)數(shù)據(jù)走向。另一方面代理技術(shù)存在性能瓶頸,難在勝任大型的業(yè)務(wù)系統(tǒng)。
安恒信息采用內(nèi)核級(jí)代理技術(shù)解決了部署全透明和性能兩個(gè)技術(shù)瓶頸,是國(guó)內(nèi)首創(chuàng)的全透明Web應(yīng)用防火墻,并成功應(yīng)用于諸多網(wǎng)上銀行、運(yùn)營(yíng)商BOSS系統(tǒng)、電子政務(wù)等核心業(yè)務(wù)系統(tǒng)。
Web應(yīng)用防火墻采用基于特征庫(kù)的防御技術(shù)進(jìn)行防護(hù),而特征庫(kù)技術(shù)只能解決通用的,已知的攻擊行為。而Web應(yīng)用系統(tǒng)千差萬(wàn)別,僅采用通用特征庫(kù)不僅防護(hù)效果不佳,而且可能會(huì)因?yàn)榇a的原因?qū)е抡`判,從而影響業(yè)務(wù)系統(tǒng)的可用性。因此安恒信息Web應(yīng)用防火墻中加入了異常檢測(cè)引擎用于提高防護(hù)能力,降低誤判率。異常檢測(cè)技術(shù)可以用一個(gè)下面這個(gè)例子進(jìn)行說(shuō)明:
安全檢測(cè)好比閉路電視監(jiān)控系統(tǒng),基于特征的檢測(cè)技術(shù)即通過(guò)行人的身高、體重、外貌進(jìn)行檢測(cè),然后通過(guò)X光機(jī)檢測(cè)身上是否帶了已知的不安全裝備。而異常檢測(cè)則是通過(guò)對(duì)人的行為特征進(jìn)行分析,例如一個(gè)人進(jìn)門時(shí)身帶了一個(gè)手?jǐn)Q包,而走到大廳后將手?jǐn)Q包放下,人離開。針對(duì)這種特為將為觸發(fā)報(bào)警動(dòng)作。
評(píng)論