樂幫

摘要：隨著Web的不斷普及，對(duì)Web的攻擊也在一定程度上爆發(fā)了，所以對(duì)Web服務(wù)進(jìn)行保護(hù)，不讓其受到攻擊就成了網(wǎng)絡(luò)安全領(lǐng)域研究的一個(gè)重點(diǎn)。網(wǎng)絡(luò)安全的傳統(tǒng)設(shè)備一般就是基于數(shù)據(jù)包進(jìn)行檢測(cè)，在OSI模型的傳輸層以及網(wǎng)絡(luò)層進(jìn)行工作，在應(yīng)用層上，對(duì)Web不能進(jìn)行有效的保護(hù)。本文針對(duì)目前的Web應(yīng)用的安全問題，以及目前的一些網(wǎng)絡(luò)安全的產(chǎn)品進(jìn)行了一定的分析，提出Web應(yīng)用防火墻技術(shù)，它對(duì)于Web應(yīng)用程序的保護(hù)，可以起到一定的作用，同時(shí)，也簡(jiǎn)單介紹了Web應(yīng)用防火墻的工作原理，對(duì)它的組成模塊還有檢測(cè)技術(shù)也進(jìn)行了一定的描述。

關(guān)鍵詞：Web應(yīng)用;防火墻技術(shù);檢測(cè)技術(shù)

引言：隨著科學(xué)技術(shù)的不斷發(fā)展，Web應(yīng)用也在不斷普及和發(fā)展，同時(shí)，Web安全的問題也更加凸顯，由于各種針對(duì)Web應(yīng)用的攻擊所造成的危害越來越嚴(yán)重，所以必須要加強(qiáng)Web應(yīng)用對(duì)惡意攻擊的抵御能力，Web應(yīng)用防火墻就由此誕生[1]。跟傳統(tǒng)的防火墻以及入侵的防御系統(tǒng)相比，Web應(yīng)用防火墻不再是在傳輸層和網(wǎng)絡(luò)層進(jìn)行工作，它是直接在應(yīng)用層上進(jìn)行工作，一般情況下是部署在Web服務(wù)器的前端，然后專門針對(duì)HTTP/HTTPS執(zhí)行相應(yīng)的安全策略，從而達(dá)到維護(hù)Web應(yīng)用安全的目的。

一、Web應(yīng)用防火墻的概念

從廣義上講，Web應(yīng)用防火墻是一種入侵防御系統(tǒng)，主要面向Web應(yīng)用，同時(shí)它也集成了硬件架構(gòu)以及虛擬化軟件，對(duì)各種進(jìn)行攻擊行為進(jìn)行深層的探測(cè)，然后阻止這類攻擊Web應(yīng)用的行為。從狹義上來說，Web應(yīng)用防火墻它是屬于一種軟硬件設(shè)備，是針對(duì)Web應(yīng)用的安全進(jìn)行防護(hù)的設(shè)備，主要是對(duì)XML攻擊還有SQL注入，以及XSS攻擊這幾類行為進(jìn)行防護(hù)。

二、Web攻擊和Web應(yīng)用防火墻技術(shù)

和傳統(tǒng)的攻擊一樣，Web攻擊也可以分為信息竊取、惡意掃描以及會(huì)話劫持等。但是與傳統(tǒng)的攻擊不同的是，Web攻擊的攻擊對(duì)象不再是像操作系統(tǒng)還有一些比較底層的組件，它是直接對(duì)Web應(yīng)用程序的應(yīng)用層進(jìn)行攻擊，攻擊方式一般有SQL注入、惡意上傳以及信息泄露等。

Web應(yīng)用防火墻，它是對(duì)Web服務(wù)器應(yīng)用層的入侵進(jìn)行防御，對(duì)入侵防御系統(tǒng)以及防火墻這些安全設(shè)備的缺陷進(jìn)行了彌補(bǔ)。Web應(yīng)用防火墻在Web服務(wù)器還沒有獲取網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，就深入檢查數(shù)據(jù)包，然后對(duì)訪問進(jìn)行辨認(rèn)，分辨出究竟是惡意的攻擊還是正常的訪問，對(duì)于惡意的攻擊，就會(huì)將其剔除，從而達(dá)到保護(hù)Web服務(wù)器的目的。Web應(yīng)用防火墻通常有三個(gè)模塊：規(guī)則策略模塊、入侵檢測(cè)模塊，以及防護(hù)模塊。

（一）規(guī)則策略模塊

規(guī)則策略模塊是Web應(yīng)用防火墻檢測(cè)和過濾惡意流量的依據(jù)，這個(gè)模塊就相當(dāng)于傳統(tǒng)防火墻中的規(guī)則表。規(guī)則策略對(duì)有害的行為和惡意的代碼進(jìn)行識(shí)別，通常是利用邏輯去描述以及判斷是否描述合法的行為以及代碼，然后就形成了黑名單還有白名單，Web應(yīng)用防火墻的規(guī)則集就是黑白名單。黑名單，就是把有害的惡意流量列出來，然后Web應(yīng)用防火墻將這些惡意流量列進(jìn)黑名單就可以進(jìn)行正常的訪問，不過，對(duì)于那些未知的威脅，黑名單也是束手無策[2]。白名單和黑名單相反，它是認(rèn)為除了合法的行為之外，其他的行為都是非法的，將合法的行為也列個(gè)表，在表里面的才能進(jìn)行訪問，不在表里的就不能進(jìn)行訪問，這種方式對(duì)Web服務(wù)器的確起到了一定的保護(hù)作用，但是也會(huì)有一些合法的用戶的訪問被拒絕。

（二）防護(hù)模塊

Web應(yīng)用防火墻在檢測(cè)到那些入侵的行為之后，做出的有效防御行為就是防護(hù)模塊。Web應(yīng)用防火墻在遭到惡意的攻擊過后，就可以進(jìn)行斷開鏈接或者是進(jìn)行重置鏈接，對(duì)惡意的用戶進(jìn)行封鎖等，對(duì)Web服務(wù)器的安全，切實(shí)起到保護(hù)的作用。

（三）入侵檢測(cè)模塊

Web應(yīng)用防火墻的入侵檢測(cè)模塊對(duì)輸入以及輸出的信息流進(jìn)行處理，對(duì)于那些發(fā)到Web應(yīng)用的數(shù)據(jù)，入侵檢測(cè)模塊都會(huì)進(jìn)行分析以及檢測(cè)。Web應(yīng)用防火墻的入侵檢測(cè)方法，它和IPS是比較相似的，不過在處理的協(xié)議方面有一定的區(qū)別，Web應(yīng)用防火墻只要對(duì)HTTP以及HTTPS這兩個(gè)協(xié)議進(jìn)行處理，而IPS則需要對(duì)很多的協(xié)議進(jìn)行處理。

三、Web應(yīng)用防火墻中的安全檢測(cè)技術(shù)

所謂安全檢測(cè)技術(shù)，就是對(duì)那些入侵的行為進(jìn)行識(shí)別并報(bào)警的技術(shù)，這個(gè)識(shí)別可以是在入侵后，也可以是在入侵前。安全檢測(cè)技術(shù)可以檢測(cè)出非授權(quán)的行為，同時(shí)還可以對(duì)信息系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行檢測(cè)，對(duì)那些存在攻擊威脅的行為都可以及時(shí)發(fā)現(xiàn)，并及時(shí)進(jìn)行阻止?，F(xiàn)在Web應(yīng)用防火墻的產(chǎn)品種類有很多，這些產(chǎn)品的安全檢測(cè)手段也是各不相同的，主要有基于自學(xué)模型的檢測(cè)，基于算法模型的檢測(cè)以及雙向檢測(cè)三大類。

（一）基于自學(xué)模型的檢測(cè)技術(shù)

基于自學(xué)模型的檢測(cè)技術(shù)，包括Web應(yīng)用網(wǎng)頁的學(xué)習(xí)、Web服務(wù)的學(xué)習(xí)以及真實(shí)流量的檢測(cè)，把數(shù)據(jù)樣本通過合法的方式形成規(guī)則集，從而對(duì)Web應(yīng)用起到安全防護(hù)的作用。Web應(yīng)用網(wǎng)頁的自學(xué)技術(shù)，偏向于學(xué)習(xí)網(wǎng)頁的特點(diǎn)，從Web服務(wù)來進(jìn)行異常的檢測(cè)，在學(xué)習(xí)過后，對(duì)這個(gè)網(wǎng)頁的使用模式進(jìn)行定義。如果出現(xiàn)了違反這個(gè)模式的用戶，那么Web應(yīng)用防火墻就會(huì)對(duì)該用戶的行為及時(shí)進(jìn)行阻斷[3]。而Web服務(wù)的自學(xué)技術(shù)，它偏向于對(duì)用戶訪問的規(guī)律進(jìn)行學(xué)習(xí)，針對(duì)Web應(yīng)用服務(wù)，建立一定數(shù)量的用戶行為的模型，然后再根據(jù)用戶的具體行為，和這個(gè)用戶行為的模型進(jìn)行對(duì)比，假如有不正常的行為，就會(huì)立馬進(jìn)行處理。

（二）基于算法的檢測(cè)技術(shù)

基于算法的檢測(cè)技術(shù)，它在很大程度上可以對(duì)基于自學(xué)模型檢測(cè)技術(shù)的缺陷進(jìn)行彌補(bǔ)，比如在資源消耗上，基于算法的檢測(cè)技術(shù)就比基于自學(xué)模型檢測(cè)技術(shù)要節(jié)省很多。基于算法的檢測(cè)技術(shù)可以對(duì)攻擊手法進(jìn)行分析，也可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，然后在Web應(yīng)用防火墻的設(shè)備內(nèi)部，去構(gòu)建出一個(gè)虛擬機(jī)，對(duì)攻擊的行為進(jìn)行模擬。所以，基于算法的檢測(cè)技術(shù)，它對(duì)各種攻擊Web應(yīng)用的行為都能進(jìn)行檢測(cè)以及防御，能夠有效地解決這些攻擊行為帶來的危害。通過這項(xiàng)技術(shù)，Web應(yīng)用防火墻檢測(cè)Web的攻擊行為的效率大大提高，而且錯(cuò)誤的概率也非常低，因此，消耗的系統(tǒng)資源就會(huì)很少。

（三）雙向檢測(cè)

雙向檢測(cè)技術(shù)，它是基于已知攻擊方式，然后去建立黑名單規(guī)則庫，再對(duì)訪問的行為進(jìn)行特征匹配，對(duì)攻擊的行為可以做到地識(shí)別[4]。當(dāng)前很多的Web應(yīng)用防火墻采用的都是雙向檢測(cè)技術(shù)，雙向檢測(cè)技術(shù)是通過將Web應(yīng)用防火墻產(chǎn)品作為一個(gè)中間環(huán)節(jié)（Web客戶端還有服務(wù)器端的中間環(huán)節(jié)），在Web服務(wù)器的前端部署雙向檢測(cè)技術(shù)，通過一定的解析、判重，以及對(duì)HTTP的請(qǐng)求以及應(yīng)答進(jìn)行理解，對(duì)HTTP流量進(jìn)行檢測(cè)，再和內(nèi)置的規(guī)則庫匹配，不正規(guī)的就要進(jìn)行阻斷。這個(gè)檢測(cè)技術(shù)的特點(diǎn)就在于建立了雙向檢測(cè)的模型，這個(gè)模型出現(xiàn)的方式是規(guī)則庫，假如出現(xiàn)在規(guī)則庫中匹配的攻擊行為，那么它就能很快進(jìn)行識(shí)別并且報(bào)警。目前很多的Web攻擊，都是可以使用這種檢測(cè)方式來進(jìn)行檢測(cè)以及防護(hù)。不過這種檢測(cè)方式也存在一定的缺點(diǎn)，就是對(duì)那些攻擊特征不是很明顯的行為，不能做出及時(shí)有效地判斷，所以就會(huì)導(dǎo)致漏報(bào)以及錯(cuò)報(bào)的情況出現(xiàn)。

四、結(jié)語：

Web應(yīng)用防火墻技術(shù)的出現(xiàn)，是為了保護(hù)Web服務(wù)器，讓其不再受到惡意的入侵還有攻擊，在很大程度上，對(duì)傳統(tǒng)的網(wǎng)絡(luò)層安全設(shè)備的不足之處進(jìn)行了彌補(bǔ)。隨著科學(xué)技術(shù)的不斷發(fā)展，Web應(yīng)用的安全問題也日益突出。因此，我們要重視網(wǎng)絡(luò)安全的防護(hù)工作，對(duì)保護(hù)系統(tǒng)進(jìn)行不斷地改進(jìn)還有完善，推動(dòng)網(wǎng)絡(luò)安全進(jìn)一步發(fā)展。

參考文獻(xiàn)：

[1]?? 李雪，唐文.一種新的Web應(yīng)用防火墻的自學(xué)習(xí)模型[J].小型微型計(jì)算機(jī)系統(tǒng)，2014.

[2]?? 姚琳琳，何倩.基于分布式對(duì)等架構(gòu)的Web應(yīng)用防火墻[J].計(jì)算機(jī)工程，2012.

[3]?? 王字，陸松年.Web應(yīng)用防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與通信保密，2011.

[4]?? 李莉，翟征德.一種基于Web應(yīng)用防火墻的主動(dòng)安全加固方案[J].計(jì)算機(jī)工程與應(yīng)用，2011.