《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 互動(dòng)·保護(hù)·成長——Web應(yīng)用防火墻技術(shù)一瞥
互動(dòng)·保護(hù)·成長——Web應(yīng)用防火墻技術(shù)一瞥
來源:cnw.com.cn
邊歆
網(wǎng)界網(wǎng)
摘要: Web安全和Web應(yīng)用交付融合的趨勢日趨明顯,對(duì)于機(jī)構(gòu)的IT決策者來說,面臨的最大挑戰(zhàn)在于如何緩解針對(duì)Web業(yè)務(wù)的各類安全威脅,,高效保障Web應(yīng)用的可用性和可靠性,、優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性。
關(guān)鍵詞: Web 安全 防火墻 應(yīng)用
Abstract:
Key words :

從2008年開始,,大量企業(yè)、政府的網(wǎng)站遭遇Web攻擊,甚至有黑客通過攻擊企業(yè)網(wǎng)站勒索錢財(cái),。眾多的事例使企業(yè)逐漸認(rèn)識(shí)到,由于很多攻擊已經(jīng)轉(zhuǎn)向應(yīng)用層,,傳統(tǒng)的防火墻,、IPS、網(wǎng)頁防篡改設(shè)備都無法徹底阻止此類攻擊,,必須要安裝Web應(yīng)用防火墻(以下簡稱WAF)來保護(hù)Web應(yīng)用,。
保護(hù)應(yīng)用的“墻”
只要有網(wǎng)絡(luò)的地方就會(huì)有防火墻,但傳統(tǒng)的防火墻只是針對(duì)一些底層(網(wǎng)絡(luò)層,、傳輸層)的信息進(jìn)行阻斷,,而WAF則深入到應(yīng)用層,對(duì)所有應(yīng)用信息進(jìn)行過濾,,這是二者的本質(zhì)區(qū)別,。
WAF的運(yùn)行基礎(chǔ)是應(yīng)用層訪問控制列表,。整個(gè)應(yīng)用層的訪問控制列表所面對(duì)的對(duì)象是網(wǎng)站的地址、網(wǎng)站的參數(shù),、在整個(gè)網(wǎng)站互動(dòng)過程中所提交的一些內(nèi)容,,包括HTTP協(xié)議報(bào)文內(nèi)容,由于WAF對(duì)HTTP協(xié)議完全認(rèn)知,,通過內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊,。IPS只是做部分的掃描,而WAF會(huì)做完全,、深層次的掃描,。
梭子魚中國區(qū)技術(shù)總監(jiān)谷新說:“區(qū)別于IDS/IPS,WAF的技術(shù)特點(diǎn)在于,,能夠完全代理服務(wù)器的應(yīng)用層協(xié)議(HTTP/HTTPS),,包括對(duì)應(yīng)用層請(qǐng)求的審查,以及對(duì)請(qǐng)求響應(yīng)的代理,,既能提供被動(dòng)安全模式,,也能提供主動(dòng)安全模式進(jìn)行防御。”
綠盟科技產(chǎn)品市場經(jīng)理趙旭向記者介紹,,WAF定位為網(wǎng)站安全防護(hù)設(shè)備,,全面防范網(wǎng)站面臨的具有較高風(fēng)險(xiǎn)的安全問題。從降低網(wǎng)站安全風(fēng)險(xiǎn)角度來看,,WAF產(chǎn)品應(yīng)以一個(gè)可閉環(huán)又可循環(huán)的方式去影響導(dǎo)致網(wǎng)站安全問題的各種因素(包括攻擊者因素,、漏洞因素、技術(shù)影響性因素),,從而降低潛在的風(fēng)險(xiǎn),。
從攻擊發(fā)生的時(shí)間軸來看,WAF應(yīng)具備事前預(yù)防,、事中防護(hù)及事后補(bǔ)償?shù)木C合能力,。對(duì)最為核心的事中防護(hù)能力而言,WAF作為一種專業(yè)的Web安全防護(hù)工具,,基于對(duì)HTTP/HTTPS流量的雙向解碼和分析,,可應(yīng)對(duì)HTTP/HTTPS應(yīng)用中的各類安全威脅,如SQL注入,、XSS,、跨站請(qǐng)求偽造攻擊(CSRF)、Cookie篡改以及應(yīng)用層DDoS等,,能有效解決網(wǎng)頁篡改,、網(wǎng)頁掛馬、敏感信息泄露等安全問題,充分保障Web應(yīng)用的高可用性和可靠性,。
對(duì)于事中疏漏的攻擊,,可用事前的預(yù)發(fā)現(xiàn)和事后的彌補(bǔ),形成環(huán)環(huán)相扣的動(dòng)態(tài)安全防護(hù),。事前是用掃描方式主動(dòng)檢查網(wǎng)站,而事后的防篡改可以保證即使出現(xiàn)疏漏也讓攻擊的步伐止于此,,不能進(jìn)一步修改和損壞網(wǎng)站文件,,對(duì)于要求高信譽(yù)和完整性的用戶來說,這是尤為重要的環(huán)節(jié),。
WAF的核心技術(shù)在于對(duì)HTTP本質(zhì)的理解以及Web攻擊防護(hù)的能力,。前者要求WAF能完整地解析HTTP,包括報(bào)文頭部,、參數(shù)及載荷;支持各種HTTP編碼(如chunked encoding);提供嚴(yán)格的HTTP協(xié)議驗(yàn)證;提供HTML限制;支持各類字符集編碼;具備HTTPResponse過濾能力,。從降低安全風(fēng)險(xiǎn)的角度而言,后者要求WAF能有效影響攻擊者因素中的機(jī)會(huì),、群體因子以及漏洞因素中的發(fā)現(xiàn)難易度,、利用難易度、入侵檢測與覺察度因子,。
下面我們來看看WAF是如何防御Web攻擊的,。CSRF是一類被廣泛利用的Web應(yīng)用安全漏洞,該攻擊通過偽造來自受信任用戶的服務(wù)請(qǐng)求,,誘使用戶按照攻擊者的意圖訪問網(wǎng)站信息,,或者執(zhí)行一些惡意的操作,比如登出網(wǎng)站,,購買物品,,改變賬戶信息,獲取賬號(hào),,或其他任何網(wǎng)站授權(quán)給該用戶的操作等,。
谷新表示,WAF利用數(shù)字加密,、簽名,,或時(shí)間戳Cookie,來保護(hù)信息不被篡改,,同時(shí)將會(huì)話Cookie與源客戶端請(qǐng)求進(jìn)行綁定,,來阻止他人利用受信用戶進(jìn)行CSRF攻擊。
趙旭介紹說,,相對(duì)于使用特征集的靜態(tài)防護(hù),,WAF所采用的動(dòng)態(tài)防護(hù)機(jī)制更具智能性和靈活性。基本思路是通過WAF隨機(jī)產(chǎn)生的隱含表單來打斷一個(gè)不變的會(huì)話,,也就是說即使攻擊者獲取到了用戶身份,,但是隨機(jī)變化的驗(yàn)證碼讓攻擊者無法構(gòu)造一個(gè)不變的報(bào)文。
除了上述用戶輸入類型的攻擊,,還有一類影響Web應(yīng)用可用性的攻擊也比較典型,,即應(yīng)用層DDoS攻擊,在國內(nèi)更習(xí)慣稱為CC攻擊,。不同于網(wǎng)絡(luò)層帶寬耗盡型的DDoS攻擊,,此類攻擊構(gòu)思更為精巧,意在以相對(duì)較小的代價(jià)耗盡Web服務(wù)器側(cè)的系統(tǒng)資源,,如磁盤存儲(chǔ),、數(shù)據(jù)庫連接、線程等,。2009年6月18日,,國際安全組織SANS報(bào)導(dǎo)了一種新型Apache HTTP DoS工具。運(yùn)用此工具,,一個(gè)帶寬很小的用戶都可能對(duì)一臺(tái)高速服務(wù)器發(fā)起攻擊,。該工具對(duì)Apache 1.x和 Apache 2.x版本以及Squid都有效。攻擊原理為:如果向服務(wù)器發(fā)送不完整的HTTP請(qǐng)求報(bào)文,,會(huì)讓HTTP連接一直處于開放狀態(tài),。工具可在Web服務(wù)器超時(shí)時(shí)間內(nèi)頻繁發(fā)起這樣的連接,導(dǎo)致連接耗盡,。其構(gòu)思精巧之處還在于,,GET請(qǐng)求是不帶數(shù)據(jù)的,而攻擊者惡意構(gòu)造了Content-Length字段,、表示后續(xù)有數(shù)據(jù),,哄騙Web服務(wù)器持續(xù)等待后續(xù)數(shù)據(jù)的到達(dá),從而占用連接,。
基于規(guī)則的DoS防護(hù)或者調(diào)整Apache配置(如增加MaxClients值,,只是增加攻擊的難度)均很難應(yīng)對(duì)這種攻擊工具。而應(yīng)用了多種防護(hù)技術(shù)(重定向,、HTTP頭部解析會(huì)話超時(shí)機(jī)制以及請(qǐng)求方法識(shí)別等)的WAF產(chǎn)品,,可天然應(yīng)對(duì)基于這類工具的攻擊。

學(xué)習(xí)讓W(xué)AF進(jìn)步
面對(duì)日趨精細(xì)化和復(fù)雜化的Web攻擊手法,,廠商對(duì)Web攻擊的持續(xù)研究實(shí)力將充分體現(xiàn)在WAF的防護(hù)能力上,,同時(shí)對(duì)WAF提出了需要與業(yè)務(wù)結(jié)合更為緊密的要求。WAF需要了解數(shù)據(jù)流向,、應(yīng)用的業(yè)務(wù)邏輯,、用戶訪問習(xí)慣等,,在此基礎(chǔ)上進(jìn)行安全建模,采用一種白名單的方式,,即只有符合此安全建模的輸入,,WAF才予以放行。另一方面,,WAF與其他安全產(chǎn)品的有效結(jié)合也是一種很好的思路,,如WAF與Web掃描工具結(jié)合,Web掃描工具的掃描結(jié)果可以形成WAF的防護(hù)規(guī)則;WAF與蜜罐結(jié)合,,由蜜罐捕獲到的新型惡意行為特征,,同樣可以轉(zhuǎn)化為WAF的防護(hù)規(guī)則,從而在這類攻擊廣為流行之前,,WAF能預(yù)先提供有效的應(yīng)對(duì)措施,。
云安全是現(xiàn)有安全架構(gòu)的自然發(fā)展和有利補(bǔ)充,。作為可能的發(fā)展方向,,將WAF集成于云安全體系中,會(huì)讓W(xué)AF提前對(duì)Web安全威脅進(jìn)行響應(yīng),,同時(shí),,開放和實(shí)時(shí)的云安全服務(wù)也將顯著改善最終用戶體驗(yàn)。
應(yīng)對(duì)Web安全威脅與滿足合規(guī)要求(如PCI DSS合規(guī)要求)是目前客戶采購WAF的主要驅(qū)動(dòng)力,。與前幾年相比,,2009年WAF技術(shù)有兩方面的變化。一方面,,核心技術(shù)的加強(qiáng),、功能的橫向擴(kuò)展以及產(chǎn)品性能的提升,如正向安全模型(白名單)及反向安全模型(黑名單)相結(jié)合,、雙向內(nèi)容檢測,、集成Web掃描功能、單一平臺(tái)整合Web應(yīng)用安全與交付功能,,采用具備應(yīng)用層高吞吐能力的平臺(tái),。另一方面體現(xiàn)為降低管理開銷,提供集中管理,、面向特定應(yīng)用的策略模板,、自學(xué)習(xí)模型、簡單易用且功能強(qiáng)大的報(bào)表系統(tǒng)(體現(xiàn)網(wǎng)站合規(guī)狀態(tài)及安全狀態(tài))等,。
WAF在保護(hù)云計(jì)算的安全方面也可盡一份力,。趙旭認(rèn)為,云計(jì)算服務(wù)架構(gòu)自上而下包括SaaS(軟件作為服務(wù)),、PaaS(平臺(tái)作為服務(wù))及IaaS(基礎(chǔ)設(shè)施作為服務(wù)),。WAF可以應(yīng)用于解決云計(jì)算服務(wù)架構(gòu)的自身安全問題,,如在SaaS層面提供應(yīng)用及數(shù)據(jù)安全,保護(hù)數(shù)據(jù)中心,,確保云計(jì)算服務(wù)的質(zhì)量,。另一方面,WAF本身也可以融于云安全平臺(tái),,以靈活的產(chǎn)品形態(tài)(不拘泥于現(xiàn)今市場比較主流的硬件盒子)提供Web應(yīng)用安全服務(wù),。
“為了給云計(jì)算提供安全保護(hù),必須將WAF對(duì)應(yīng)用服務(wù)器的防護(hù)擴(kuò)展到云系統(tǒng)中的大型數(shù)據(jù)中心,,允許在托管的應(yīng)用間靈活地分配資源(包括網(wǎng)絡(luò)帶寬,、服務(wù)請(qǐng)求等),并且能夠根據(jù)每個(gè)托管應(yīng)用程序提供完整的虛擬化服務(wù)(包括安全,、日志,、審計(jì)、應(yīng)用交付等),。”谷新說,。
Internet計(jì)算環(huán)境出現(xiàn)了這樣的矛盾:業(yè)務(wù)資源集中化,資源端計(jì)算能力強(qiáng);在網(wǎng)絡(luò)邊界訪問業(yè)務(wù)資源的客戶端通常帶寬,、計(jì)算能力都較弱,,同時(shí)客戶端也經(jīng)常成為安全威脅的宿主。這種矛盾導(dǎo)致了客戶端的體驗(yàn)差,,業(yè)務(wù)資源無法充分發(fā)揮效能,。未來,Web安全和Web應(yīng)用交付融合的趨勢日趨明顯,,對(duì)于機(jī)構(gòu)的IT決策者來說,,面臨的最大挑戰(zhàn)在于如何緩解針對(duì)Web業(yè)務(wù)的各類安全威脅,高效保障Web應(yīng)用的可用性和可靠性,、優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性,。
從技術(shù)發(fā)展來說,WAF需要確保Web業(yè)務(wù)在安全和性能兩方面的收益最大化,。一方面,,WAF需提供增強(qiáng)的安全功能,應(yīng)對(duì)日趨復(fù)雜且針對(duì)性強(qiáng)的高風(fēng)險(xiǎn)Web攻擊,,另一方面,,WAF還需要確保Web應(yīng)用的可用性、可伸縮性,、高性能,,降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn),,優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性,,提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率,。
此外,從產(chǎn)品向服務(wù)的演變也是一種趨勢,。下一步,,WAF廠商可與MSSP(托管安全服務(wù)提供商)合作,面向用戶按需提供基于網(wǎng)絡(luò)的WAF服務(wù)或者虛擬化的WAF服務(wù),。

編看編想
WAF不能Plug and Play
由于WAF和應(yīng)用的結(jié)合很緊密,,因此WAF的安裝并不是插上網(wǎng)線,接上電源這么簡單,。用戶購買WAF后,,除了上線之前要做一些簡單的配置之外,還要進(jìn)行更復(fù)雜的設(shè)置,,例如配置與應(yīng)用密切相關(guān)的高級(jí)屬性策略(內(nèi)容安全,、CSRF防護(hù)、網(wǎng)頁盜鏈等),。管理員還要根據(jù)實(shí)際應(yīng)用靈活地調(diào)整具體特征規(guī)則,,以實(shí)現(xiàn)模型或基于協(xié)議的規(guī)則不能或不方便實(shí)現(xiàn)的安全策略。
架設(shè)WAF可能會(huì)對(duì)網(wǎng)站訪問產(chǎn)生意外的影響,,應(yīng)用某個(gè)不當(dāng)?shù)囊?guī)則也可能影響當(dāng)前應(yīng)用的正常訪問,,因此不少管理員都在猶豫要不要使用最高安全等級(jí)的過濾策略,。
WAF的審計(jì)模式可以幫助用戶解決這個(gè)擔(dān)憂,。用戶在購買WAF后,首先選擇采用審計(jì)模式進(jìn)行部署,。在審計(jì)模式下,,用戶可以對(duì)網(wǎng)站的訪問流量進(jìn)行觀測,WAF會(huì)將所有偵測到的異常和入侵,、攻擊等行為記錄到日志中,,但對(duì)這些流量本身不作任何限制和阻斷,所有的業(yè)務(wù)流量將透明通過WAF,。通過審計(jì)模式,,用戶可以充分了解網(wǎng)站的狀態(tài)和行為,對(duì)針對(duì)該網(wǎng)站的異常行為進(jìn)行分析,,然后對(duì)WAF的防護(hù)策略進(jìn)行合理配置,。最后再將WAF中配置的服務(wù)逐一激活。
在激活模式下,,WAF將根據(jù)防護(hù)策略對(duì)業(yè)務(wù)流量進(jìn)行分析,,對(duì)于違背策略的異常行為(入侵、攻擊等)進(jìn)行阻斷,。阻斷的同時(shí)會(huì)產(chǎn)生日志,,用戶可以根據(jù)對(duì)日志的分析不斷調(diào)整和完善防護(hù)策略,,以減少WAF的誤判、漏判或其他副作用,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。