Web應(yīng)用防火墻技術(shù)要點(diǎn)分析

王微微

摘 要：做好網(wǎng)絡(luò)防火墻工作，才能保證應(yīng)用程序正常運(yùn)作。結(jié)合目前日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題和現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品，說(shuō)明了安裝Web防火墻的重要性。發(fā)現(xiàn)防火墻技術(shù)仍不夠成熟，提出了Web應(yīng)用防火墻技術(shù)可以保護(hù)Web應(yīng)用程序免受普通攻擊，并對(duì)Web應(yīng)用防火墻的主要技術(shù)進(jìn)行了描述。

關(guān)鍵詞：Web；防火墻；技術(shù)；WAF

中圖分類號(hào)：TP311.563+.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-6835（2014）07-0144-02

隨著信息化時(shí)代的來(lái)臨，我國(guó)的信息化進(jìn)程進(jìn)一步加快，人們的工作和生活通過(guò)網(wǎng)絡(luò)也得到了很好的改變。但是，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重，一些公司和機(jī)構(gòu)由于網(wǎng)絡(luò)安全保護(hù)工作落實(shí)不到位，遭受了巨大的經(jīng)濟(jì)損失。因此，如何解決此類問(wèn)題值得我們?nèi)ニ伎?，本文就此進(jìn)行討論、分析。

1 Web安全背景

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)世界變得豐富多彩，并越來(lái)越融入到我們的工作和生活中。政府部門為了提高辦事效率，企業(yè)為了提高生產(chǎn)力、減少投資、增加收益，都紛紛將許多關(guān)鍵業(yè)務(wù)放到基于Web應(yīng)用的平臺(tái)上，例如電子政務(wù)、網(wǎng)上銀行、網(wǎng)上報(bào)名、電子商務(wù)和企業(yè)ERP系統(tǒng)，等等。

1.1 安裝Web防火墻的必要性

據(jù)美國(guó)高德納公司統(tǒng)計(jì)顯示，近些年所發(fā)生惡意網(wǎng)絡(luò)行為（包括黑客攻擊）的3/4以上是利用Web服務(wù)漏洞進(jìn)行攻擊，有2/3的網(wǎng)站相當(dāng)脆弱，易受到攻擊。但是，現(xiàn)有的諸多安全產(chǎn)品未能對(duì)惡意網(wǎng)絡(luò)行為做出有效的防護(hù)。

Web業(yè)務(wù)的迅速發(fā)展也引起了黑客的關(guān)注，他們將注意力從以往對(duì)傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web業(yè)務(wù)的攻擊上。黑客利用網(wǎng)站操作系統(tǒng)漏洞和Web程序的SQL注入漏洞，得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)或在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。這些攻擊導(dǎo)致網(wǎng)站遭受聲譽(yù)損失、經(jīng)濟(jì)損失，有的甚至?xí)斐蓯毫拥恼斡绊憽?/p>

1.2 現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的局限性

1.2.1 防火墻的局限性

防火墻是網(wǎng)絡(luò)安全保障體系的第一道防線，但由于它在網(wǎng)絡(luò)層工作，無(wú)法提供對(duì)應(yīng)用層的防護(hù)。

1.2.2 IDS/IPS的局限性

IDS（侵入檢測(cè)系統(tǒng)）/IPS（入侵防御系統(tǒng)）工作定位在分析傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)，對(duì)復(fù)雜的各種應(yīng)用層協(xié)議報(bào)文，特別是對(duì)經(jīng)過(guò)加密、編碼和分片的數(shù)據(jù)包，其分析檢測(cè)存在局限。其主要基于已發(fā)現(xiàn)的知名漏洞，通過(guò)被動(dòng)添加方式來(lái)進(jìn)行防護(hù)；而對(duì)于未知攻擊和存在于用戶私有Web應(yīng)用程序代碼內(nèi)的漏洞隱患，則無(wú)能為力。

2 WAF的技術(shù)分析

2.1 常見的Web攻擊手法

目前，已知的應(yīng)用層和網(wǎng)絡(luò)層攻擊方法很多，這些攻擊被分為若干類，表1中列出最常見的幾種攻擊手法。

2.2 WAF的工作原理

WAF（Web應(yīng)用防護(hù)系統(tǒng)）旨在保護(hù)Web應(yīng)用程序免受常見攻擊的威脅，通過(guò)分析應(yīng)用層的流量，發(fā)現(xiàn)任何違法安全策略的安全問(wèn)題。

WAF在網(wǎng)絡(luò)中一般位于Web應(yīng)用服務(wù)器前，用于保護(hù)防火墻之后的應(yīng)用服務(wù)器。它提供的功能可能包括服務(wù)器之間的流量負(fù)載均衡、壓縮、加密、HTTP和HTTPS流量的反向代理、檢查應(yīng)用程序的一致性和匯聚TCP會(huì)話等。

2.2.1 代理模塊

WAF的代理模塊可以工作于三種模式，即透明代理模式、反向代理模式和路由代理模式。

透明代理模式的工作原理是：當(dāng)Web客戶端對(duì)服務(wù)器有鏈接請(qǐng)求時(shí)，TCP鏈接請(qǐng)求被WAF截取和監(jiān)控。

反向代理模式是指將真實(shí)服務(wù)器的地址映射到反向代理服務(wù)器上，此時(shí)代理服務(wù)器對(duì)外表現(xiàn)為一個(gè)真實(shí)服務(wù)器，由于客戶端訪問(wèn)的就是WAF，因此WAF無(wú)需像其他模式一樣需要采用特殊處理去劫持客戶端與服務(wù)器的會(huì)話，然后為其做透明代理。

路由代理模式與網(wǎng)橋透明代理的唯一區(qū)別就是該代理工作在路由轉(zhuǎn)發(fā)模式而非網(wǎng)橋模式，其他工作原理都一樣。由于工作在路由（網(wǎng)關(guān)）模式，因此需要為WAF的轉(zhuǎn)發(fā)接口配置IP地址和路由。

2.2.2 Web安全防護(hù)引擎

Web安全防護(hù)引擎與傳統(tǒng)防火墻或入侵防御系統(tǒng)相比，具有以下顯著特點(diǎn)。

2.2.2.1 對(duì)HTTP有本質(zhì)的理解

對(duì)HTTP有本質(zhì)的理解主要體現(xiàn)在以下幾點(diǎn)：①能完整地解析HTTP，包括報(bào)文頭部和參數(shù)及載荷；②支持各種HTTP編碼（比如壓縮）；③提供嚴(yán)格的HTTP協(xié)議驗(yàn)證，提供HTML限制；④支持各類字符集編碼；⑤具備Response過(guò)濾能力。

2.2.2.2 提供應(yīng)用層規(guī)則

Web應(yīng)用通常是定制化的，傳統(tǒng)的針對(duì)已知漏洞的規(guī)則往往是無(wú)效的。WAF提供專用的應(yīng)用層規(guī)則，且具備檢測(cè)變形攻擊的能力，例如檢測(cè)SSL加密流量中混雜的攻擊。

2.3 WAF的擴(kuò)展功能

2.3.1 Web掃描

WAF上集成Web漏洞掃描工具，用于查找一些明顯的Web安全漏洞，比如可以檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞或網(wǎng)站掛馬等常見網(wǎng)站漏洞。

2.3.2 Web防篡改

WAF中集成了防篡改系統(tǒng)，一般是在被監(jiān)控的Web上安裝監(jiān)控代理，由WAF進(jìn)行集中控制和監(jiān)管，其工作原理與網(wǎng)頁(yè)防篡改系統(tǒng)的工作原理一致。通過(guò)防篡改功能，可保證網(wǎng)頁(yè)的真實(shí)性，杜絕篡改后的網(wǎng)頁(yè)被訪問(wèn)，以維護(hù)網(wǎng)站的公信度。

2.3.3 WAF高可用性

高可用性對(duì)任何網(wǎng)絡(luò)安全設(shè)備來(lái)說(shuō)都相當(dāng)重要，特別是對(duì)WAF這種防護(hù)關(guān)鍵業(yè)務(wù)的安全設(shè)備。通過(guò)相關(guān)技術(shù)降低因WAF故障導(dǎo)致出現(xiàn)Web業(yè)務(wù)中斷的可能性，一般采用雙機(jī)熱備（多機(jī)集群）、軟硬件BYPASS來(lái)提高可用性，有的還會(huì)采用雙系統(tǒng)冗余技術(shù)來(lái)保證系統(tǒng)的可用性。

2.3.4 Web應(yīng)用交付

由于Web應(yīng)用交付設(shè)備已成為一些大型的、重要Web業(yè)務(wù)中不可缺少的組件，同時(shí)又部署在Web服務(wù)器之前，所以現(xiàn)有的WAF也多少集成了一些Web應(yīng)用交付的功能，主要有負(fù)載均衡、Web加速和SSL卸載等。

2.3.4.1 負(fù)載均衡

負(fù)載均衡不僅能通過(guò)WAF實(shí)現(xiàn)服務(wù)器負(fù)載均衡器的功能，也能支持部署在已有負(fù)載均衡器的網(wǎng)絡(luò)環(huán)境。

2.3.4.2 Web加速

目前，主要采用的是Web緩存和網(wǎng)頁(yè)壓縮的技術(shù)，來(lái)實(shí)現(xiàn)Web加速。Web緩存是指將經(jīng)常被訪問(wèn)的網(wǎng)頁(yè)內(nèi)容保存在WAF本身，或是把一些不經(jīng)常變動(dòng)的文件、圖片保存在客戶端，減少重復(fù)下載，實(shí)現(xiàn)加速；網(wǎng)頁(yè)壓縮技術(shù)是指對(duì)壓縮比例高的文件（例如TXT，HTML，HTM和ASP等）進(jìn)行壓縮后再傳輸，利用瀏覽器內(nèi)置的解壓機(jī)制解壓，從而提高訪問(wèn)速度。

2.3.4.3 SSL卸載

使用SSL的網(wǎng)站服務(wù)器CPU需要承擔(dān)SSL協(xié)議和加解密計(jì)算負(fù)荷，SSL卸載指由WAF來(lái)處理SSL協(xié)議內(nèi)容，減輕服務(wù)器負(fù)擔(dān)。

3 WAF的發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)技術(shù)和Web技術(shù)的不斷發(fā)展，Web應(yīng)用防火墻技術(shù)也需要不斷更新和突破。Web2.0迅猛發(fā)展，使網(wǎng)站的交互性越來(lái)越強(qiáng)，同時(shí)也帶來(lái)了一些新的應(yīng)用技術(shù)，比如XML，Ajar，

JSON，F(xiàn)las和hWeb服務(wù)技術(shù)等。但是，這些新興協(xié)議和現(xiàn)有媒體類型都會(huì)帶來(lái)惡意軟件或安全漏洞，并且Web攻擊也會(huì)針對(duì)這些漏洞實(shí)施，所以，對(duì)Web2.0的有效防護(hù)將成為WAF今后一個(gè)重要的發(fā)展方向。

此外，隨著云時(shí)代的到來(lái)，提供云服務(wù)的Web應(yīng)用安全也是今后一段時(shí)期內(nèi)WAF的發(fā)展方向，尤其是對(duì)于眾多托管安全服務(wù)提供商（MSSP）來(lái)說(shuō)，往往需要通過(guò)支持云安全的WAF部署，為終端客戶提供應(yīng)用層的安全增值服務(wù)。

4 結(jié)束語(yǔ)

總體來(lái)說(shuō)，信息化的進(jìn)程會(huì)越來(lái)越快，網(wǎng)絡(luò)安全問(wèn)題顯得尤為重要，我們要重視網(wǎng)絡(luò)防護(hù)工作，積極改進(jìn)原有不完善的保護(hù)系統(tǒng)，采用防御能力更強(qiáng)的WAF，并熟悉、掌握其特點(diǎn)，真正做到從根本上對(duì)網(wǎng)絡(luò)安全進(jìn)行保護(hù)，這對(duì)網(wǎng)絡(luò)發(fā)展和效益有著重要的推動(dòng)作用。

參考文獻(xiàn)

[1]陳小兵，范淵，孫立偉.Web滲透技術(shù)及實(shí)戰(zhàn)案例解析[M].北京：電子工業(yè)出版社，2012.

[2]Michal Zalewski.Web之困：現(xiàn)代Web應(yīng)用安全指南[M]朱筱丹，譯.北京：機(jī)械工業(yè)出版社，2013.

〔編輯：李玨〕