一、Web安全不僅僅是互聯(lián)網(wǎng)才需要

Web服務(wù)是指采用B/S架構(gòu)、通過Http協(xié)議提供服務(wù)的統(tǒng)稱，這種結(jié)構(gòu)也稱為Web架構(gòu)，隨著Web2.0的發(fā)展，出現(xiàn)了數(shù)據(jù)與服務(wù)處理分離、服務(wù)與數(shù)據(jù)分布式等變化，其交互性能也大大增強(qiáng)，也有人叫B/S/D三層結(jié)構(gòu)?；ヂ?lián)網(wǎng)能夠快速流行得益于Web部署上的簡單，開發(fā)上簡便，Web網(wǎng)頁的開發(fā)大軍迅速超過了以往任何計算機(jī)語言的愛好者，普及帶來了應(yīng)用上繁榮。J2EE與.NET的殊途同歸，為Web流行掃清了廠家與標(biāo)準(zhǔn)的差異;眾望所歸，SOA選中Web2.0作為其實現(xiàn)的基本工具之一(使用最廣的)，Web架構(gòu)從互聯(lián)網(wǎng)走進(jìn)了企業(yè)內(nèi)部網(wǎng)絡(luò)，新業(yè)務(wù)系統(tǒng)的開發(fā)，越來越多的系統(tǒng)架構(gòu)師選擇了Web架構(gòu)，與熟悉它的人如此廣泛是分不開的。事實再一次證明了那個經(jīng)典的理論：簡潔的最容易流行。

簡單與安全好象總有些“矛盾”，瀏覽器可以直接看到頁面的Html代碼，早期的Web服務(wù)設(shè)計沒有過多的安全考慮，人性本善，技術(shù)人員總是相信人都是善良的!但隨著Web2.0的廣泛使用，Web服務(wù)不再只是信息發(fā)布，游戲中的裝備交易、日常生活中網(wǎng)上購物、政府行政審批、企業(yè)資源管理…信息價值的誘惑，人的貪婪開始顯現(xiàn)，不是所有的人都有Web設(shè)計者的“大同”思想，安全問題日顯突出了。

2008年網(wǎng)絡(luò)安全事件統(tǒng)計最多是：SQL注入與“網(wǎng)頁掛馬(木馬)”。因為這是“僵尸”網(wǎng)絡(luò)發(fā)展新“會員”的基本工具，而僵尸網(wǎng)絡(luò)的經(jīng)濟(jì)與政治“價值”，這里就不用說了。SQL注入與“網(wǎng)頁掛馬”主要就是針對Web服務(wù)的，傳統(tǒng)的安全產(chǎn)品(UTM/IPS)都有些力不從心。

互聯(lián)網(wǎng)是個人思想展現(xiàn)的樂園，也是世界級的、虛擬的“另一個”社會，既然大家都是虛擬的、帶著面具的，要變成現(xiàn)實社會中的真實利益，還需要一些轉(zhuǎn)換才可以兌現(xiàn)，但SOA把Web架構(gòu)帶入企業(yè)內(nèi)部網(wǎng)絡(luò)，這里的網(wǎng)絡(luò)世界是“真實的”，利益是可以直接兌現(xiàn)的，Web安全問題變得刻不容緩。

二、Web架構(gòu)原理

要保護(hù)Web服務(wù)，先要了解Web系統(tǒng)架構(gòu)，下圖是Web服務(wù)的一般性結(jié)構(gòu)圖，適用于互聯(lián)網(wǎng)上的網(wǎng)站，也適用于企業(yè)內(nèi)網(wǎng)上的Web應(yīng)用架構(gòu)：

用戶使用通用的Web瀏覽器，通過接入網(wǎng)絡(luò)(網(wǎng)站的接入則是互聯(lián)網(wǎng))連接到Web服務(wù)器上。用戶發(fā)出請求，服務(wù)器根據(jù)請求的URL的地址連接，找到對應(yīng)的網(wǎng)頁文件，發(fā)送給用戶，兩者對話的“官方語言”是Http。網(wǎng)頁文件是用文本描述的，HTML/Xml格式，在用戶瀏覽器中有個解釋器，把這些文本描述的頁面恢復(fù)成圖文并茂、有聲有影的可視頁面。

通常情況下，用戶要訪問的頁面都存在Web服務(wù)器的某個固定目錄下，是一些.html或.xml文件，用戶通過頁面上的“超連接”(其實就是URL地址)可以在網(wǎng)站頁面之間“跳躍”，這就是靜態(tài)的網(wǎng)頁。后來人們覺得這種方式只能單向地給用戶展示信息，信息發(fā)布還可以，但讓用戶做一些比如身份認(rèn)證、投票選舉之類的事情就比較麻煩，由此產(chǎn)生了動態(tài)網(wǎng)頁的概念;所謂動態(tài)就是利用flash、Php、asp、Java等技術(shù)在網(wǎng)頁中嵌入一些可運行的“小程序”，用戶瀏覽器在解釋頁面時，看到這些小程序就啟動運行它。小程序的用法很靈活，可以展示一段動畫(如Flash)，也可以在你的PC上生成一個文件，或者接收你輸入的一段信息，這樣就可以根據(jù)你的“想法”，對頁面進(jìn)行定制處理，讓你每次來到時，看到的是你上次設(shè)計好的特有風(fēng)格，“貴賓的感覺”是每個人都喜歡的，更何況虛擬的網(wǎng)絡(luò)世界中，你不認(rèn)識的人還對你如此“敬仰”，服務(wù)得如此體貼…

“小程序”的使用讓W(xué)eb服務(wù)模式有了“雙向交流”的能力，Web服務(wù)模式也可以象傳統(tǒng)軟件一樣進(jìn)行各種事務(wù)處理，如編輯文件、利息計算、提交表格等，Web架構(gòu)的適用面大大擴(kuò)展，Web2.0可以成為SOA架構(gòu)的實現(xiàn)技術(shù)之一，這個“小程序”是功不可沒的。

這些“小程序”可以嵌入在頁面中，也可以以文件的形式單獨存放在Web服務(wù)器的目錄里，如.asp、.php、jsp文件等，并且可以在開發(fā)時指定是在用戶端運行，還是在服務(wù)器端運行;用戶不再能看到這些小程序的源代碼，服務(wù)的安全性也大大提高。這樣功能性的小程序越來越多，形成常用的工具包，單獨管理，Web業(yè)務(wù)開發(fā)時，直接使用就可以了，這就是中間件服務(wù)器，它實際上是Web服務(wù)器處理能力的擴(kuò)展。

靜態(tài)網(wǎng)頁與“小程序”都是事前設(shè)計好的，一般不經(jīng)常改動，但網(wǎng)站上很多內(nèi)容需要經(jīng)常的更新，如新聞、博客文章、互動游戲等，這些變動的數(shù)據(jù)放在靜態(tài)的程序中顯然不適合，傳統(tǒng)的辦法是數(shù)據(jù)與程序分離，采用專業(yè)的數(shù)據(jù)庫。Web開發(fā)者在Web服務(wù)器后邊增加了一個數(shù)據(jù)庫服務(wù)器，這些經(jīng)常變化的數(shù)據(jù)存進(jìn)數(shù)據(jù)庫，可以隨時更新。當(dāng)用戶請求頁面時，“小程序”根據(jù)用戶要求的頁面，涉及到動態(tài)數(shù)據(jù)的地方，利用SQL數(shù)據(jù)庫語言，從數(shù)據(jù)中讀取最新的數(shù)據(jù)，生成“完整”頁面，最后送給用戶，如股市行情曲線，就是由一個不斷刷新的小程序控制。

除了應(yīng)用數(shù)據(jù)需要變化，用戶的一些狀態(tài)信息、屬性信息也需要臨時記錄(因為每個用戶都是不同的)，而Web服務(wù)器本來是不記錄這些信息的，只管答復(fù)你的要求，“人一走茶就涼了”。后來Web技術(shù)為了“友好”互動，需要“記住”用戶的訪問信息，建立了一些“新”的通訊機(jī)制：

◆Cookie：把一些用戶的參數(shù)，如帳戶名、口令等信息存放在客戶端的硬盤臨時文件中，用戶再次訪問這個網(wǎng)站時，參數(shù)也一同送給服務(wù)器，服務(wù)器就知道你就是上次來的那個“家伙”了

◆Session：把用戶的一些參數(shù)信息存在服務(wù)器的內(nèi)存中，或?qū)懺诜?wù)器的硬盤文件中，用戶是不可見的，這樣用戶用不同電腦訪問時的貴賓待遇就同樣了，Web服務(wù)器總能記住你的“樣子”，一般情況下，Cookie與Session可以結(jié)合使用

Cookie在用戶端，一般采用加密方式存放就可以了;Session在服務(wù)器端，信息集中，被篡改問題將很嚴(yán)重，所以一般放在內(nèi)存里管理，盡量不存放在硬盤上。

到此，我們清楚了，Web服務(wù)器上有兩種服務(wù)用數(shù)據(jù)要保證“清白”，一是頁面文件(.html、.xml等)，這里包括動態(tài)程序文件(.php、.asp、.jsp等)，一般存在Web服務(wù)器的特定目錄中，或是中間間服務(wù)器上;二是后臺的數(shù)據(jù)庫，如Oracle、SQL Server等，其中存放的數(shù)據(jù)的動態(tài)網(wǎng)頁生成時需要的，也有業(yè)務(wù)管理數(shù)據(jù)、經(jīng)營數(shù)據(jù)。

還有一個問題應(yīng)該提一下，就是瀏覽器給用戶電腦帶來的安全問題，因為Web可以對本地的進(jìn)程、硬盤操作，可以把木馬、病毒放到你的電腦上來，Web架構(gòu)中使用“沙漏”技術(shù)提供安全保護(hù)，就是限制頁面中“小程序”的本地讀寫權(quán)限，但限制畢竟不能不讓其“工作”，所以多數(shù)情況下在寫入時給出提示，讓你自己選擇，大家經(jīng)?？匆娪羞M(jìn)程在安裝程序進(jìn)入你的電腦，但絕大多數(shù)人分不清是否應(yīng)該，要么一概不許，造成很多事情做不了(很多下載與游戲就只能看著)，要么“大膽”接受，大門敞開，聽天由命。這里主要分析服務(wù)器端的安全，客戶端的安全再行考慮。

三、Web架構(gòu)中的安全點分析

從Web架構(gòu)上可以看出，Web服務(wù)器是必經(jīng)的大門，進(jìn)了大門，還有很多服務(wù)器需要保護(hù)，如中間件服務(wù)器、數(shù)據(jù)庫服務(wù)器等。我們這里不考慮網(wǎng)絡(luò)內(nèi)部人員的攻擊，只考慮從接入網(wǎng)(或互聯(lián)網(wǎng))來的攻擊，入侵者入侵的通道有下面幾個：

1、服務(wù)器系統(tǒng)漏洞：Web服務(wù)器畢竟的一個通用的服務(wù)器，無論是Windows，還是Linux/Unix，都不可少的帶有系統(tǒng)自身的漏洞，通過這些漏洞入侵，可以獲得服務(wù)器的高級權(quán)限，當(dāng)然對服務(wù)器上運行的Web服務(wù)就可以隨意控制了。除了OS的漏洞，還有Web服務(wù)軟件的漏洞，IIS也好，Tomcat也好，同樣需要不斷地打補(bǔ)丁。

2、Web服務(wù)應(yīng)用漏洞：如果說系統(tǒng)級的軟件漏洞被關(guān)注的人太多了，那么Web應(yīng)用軟件的漏洞數(shù)量上就更多了，因為Web服務(wù)開發(fā)簡單，開發(fā)的團(tuán)隊參差不齊，并非都是“專業(yè)”的高手，編程不規(guī)范、安全意識不強(qiáng)、因為開發(fā)時間緊張而簡化測試等，應(yīng)用程序的漏洞也同樣可以讓入侵者來去自如。最為常見的SQL注入，就是因為大多應(yīng)用編程過程中產(chǎn)生的漏洞。

3、密碼暴力破解：漏洞會招來攻擊容易理解，但畢竟需要高超的技術(shù)水平，破解密碼卻十分有效，而且簡單易行。一般來說帳號信息容易獲得，剩下的就是猜測密碼了，由于使用復(fù)雜密碼是件麻煩而又“討厭”的事，設(shè)置容易記憶的密碼，是絕大多數(shù)用戶的選擇。大多Web服務(wù)是靠“帳號+密碼”的方式管理用戶帳戶，一旦破解密碼，尤其是遠(yuǎn)程管理者的密碼，破壞程度難以想象，并且其攻擊難度比通過漏洞方式要簡單的多，而且不容易被發(fā)覺。在知名的網(wǎng)絡(luò)經(jīng)濟(jì)案例中，通過密碼入侵的占了接近一半的比例。

入侵者進(jìn)入Web系統(tǒng)，其動作行為目的性是十分明確的：

◆讓網(wǎng)站癱瘓：網(wǎng)站癱瘓是讓服務(wù)中斷。使用DDOS攻擊都可以讓網(wǎng)站癱瘓，但對Web服務(wù)內(nèi)部沒有損害，而網(wǎng)絡(luò)入侵，可以刪除文件、停止進(jìn)程，讓W(xué)eb服務(wù)器徹底無法恢復(fù)。一般來說，這種做法是索要金錢或惡意競爭的要挾，也可能是顯示他的技術(shù)高超，拿你的網(wǎng)站被攻擊作為宣傳他的工具。

◆篡改網(wǎng)頁：修改網(wǎng)站的頁面顯示，是相對比較容易的，也是公眾容易知道的攻擊效果，對于攻擊者來說，沒有什么“實惠”好處，主要是炫耀自己，當(dāng)然對于政府等網(wǎng)站，形象問題是很嚴(yán)重的。

◆掛木馬：這種入侵對網(wǎng)站不產(chǎn)生產(chǎn)生直接破壞，而是對訪問網(wǎng)站的用戶進(jìn)行攻擊，掛木馬的最大“實惠”是收集僵尸網(wǎng)絡(luò)的“肉雞”，一個知名網(wǎng)站的首頁傳播木馬的速度是爆炸式的。掛木馬容易被網(wǎng)站管理者發(fā)覺，XSS(跨站攻擊)是新的傾向。

◆篡改數(shù)據(jù)：這是最危險的攻擊者，篡改網(wǎng)站數(shù)據(jù)庫，或者是動態(tài)頁面的控制程序，表面上沒有什么變化，很不容易發(fā)覺，是最常見的經(jīng)濟(jì)利益入侵。數(shù)據(jù)篡改的危害是難以估量的，比如：購物網(wǎng)站可以修改你帳號金額或交易記錄，政府審批網(wǎng)站可以修改行政審批結(jié)果，企業(yè)ERP可以修改銷售定單或成交價格… 有人說采用加密協(xié)議可以防止入侵，如https協(xié)議，這種說法是不準(zhǔn)確的。首先Web服務(wù)是面向大眾的，不可以完全使用加密方式，在企業(yè)內(nèi)部的Web服務(wù)上可以采用，但大家都是“內(nèi)部人員”，加密方式是共知的;其次，加密可以防止別人“竊聽”，但入侵者可以冒充正規(guī)用戶，一樣可以入侵;再者，“中間人劫持”同樣可以竊聽加密的通訊。

四、Web安全產(chǎn)品分析

圍繞Web服務(wù)的安全，產(chǎn)品可以說五花八門，最基本的是接入網(wǎng)入口的UTM網(wǎng)關(guān)，其中IPS功能與防DDOS功能是Web服務(wù)器系統(tǒng)級入侵的直接防護(hù)，但UTM是通用的邊界安全網(wǎng)關(guān)，非“專業(yè)的”Web入侵防護(hù)，一般作為安全的入門級防護(hù)，這里不細(xì)說。這里主要分析專為Web服務(wù)開發(fā)的安全產(chǎn)品，大概有下面幾方面的產(chǎn)品：

1、網(wǎng)頁防篡改產(chǎn)品：

防護(hù)未知攻擊是難的，但看好我自己的“家底”是相對容易的。因此，人們最先想到的就是網(wǎng)頁防篡改技術(shù)，保持自己的“純潔”，起碼對社會不會造成大危害。網(wǎng)頁被篡改產(chǎn)品出現(xiàn)在Web早期，幾經(jīng)風(fēng)雨，各廠家技術(shù)逐漸統(tǒng)一。網(wǎng)頁防篡改技術(shù)的基本原理：是對Web服務(wù)器上的頁面文件(目錄下文件)進(jìn)行監(jiān)控，發(fā)現(xiàn)有更改及時恢復(fù)。所以該產(chǎn)品實際是一個“修補(bǔ)”的工具，不能阻止攻擊者的篡改，就來個守株待兔，專人看守，減少損失是目標(biāo)，防篡改屬于典型的被動防護(hù)技術(shù)。

網(wǎng)頁防篡改產(chǎn)品的部署：建立一臺單獨的管理服務(wù)器(Web服務(wù)器數(shù)量少可以省略)，然后在每臺Web服務(wù)器上安裝一個Agent程序，負(fù)責(zé)該服務(wù)器的“網(wǎng)頁文件看護(hù)”，管理服務(wù)器是管理這些Agent看護(hù)策略的。

我們先分析一下“頁面文件看護(hù)”技術(shù)的變遷：

a)第一代技術(shù)，把Web服務(wù)器主目錄下的文件做一個備份，用一個定時循環(huán)進(jìn)程，把備份的文件與服務(wù)使用的文件逐個進(jìn)行比較，不一樣的就用備份去覆蓋。網(wǎng)站更新發(fā)布時，則同時更新主目錄與備份。這種方法在網(wǎng)站大的情況下，網(wǎng)頁數(shù)量巨大，掃描一遍的時間太長，并且對Web服務(wù)器性能也是擠占。

b)第二代技術(shù)，采用了Hash算法，對主目錄下的每個文件做Hash，生成該文件的“指紋”，定時循環(huán)進(jìn)程直接計算服務(wù)用文件的Hash指紋，然后進(jìn)行指紋核對，指紋一般比較小，比較方便;指紋具有不可逆的特點，不怕仿制。

c)第三代技術(shù)，既然網(wǎng)站上頁面太多，三級以下頁面的訪問量，一般使用呈指數(shù)級下降，沒人訪問當(dāng)然也不會被篡改，在這些頁面重復(fù)掃描是不劃算的。改變一下思路：對文件讀取應(yīng)該沒有危險，危險的是對文件的改寫操作。若只對文件被改變時才做檢查，就可以大大降低對服務(wù)器資源的占用;具體做法是：開啟一個看守進(jìn)程，對Web服務(wù)器的主目錄文件刪改操作進(jìn)行監(jiān)控，發(fā)現(xiàn)有此操作，判斷是否有合法身份，是否為授權(quán)的維護(hù)操作，否則阻斷其執(zhí)行，文件不被改寫，也就起到了網(wǎng)頁防篡改的目的。這個技術(shù)也稱為事件觸發(fā)防篡改。

這種技術(shù)需要考驗對服務(wù)器操作系統(tǒng)的熟悉程度，但黑客也是高手，你的看護(hù)進(jìn)程是用戶級的，黑客可以獲得高級權(quán)限，繞過你的“消息鉤子”，監(jiān)控就成了擺設(shè)。

d)第四代技術(shù)，既然是比誰的進(jìn)程權(quán)限高，讓操作系統(tǒng)干這個活兒，應(yīng)該是最合適的，黑客再牛也不可能越過操作系統(tǒng)自己“干活”。因此，在Windows系統(tǒng)中，提供系統(tǒng)級的目錄文件修改看護(hù)進(jìn)程(系統(tǒng)調(diào)用)，防篡改產(chǎn)品直接調(diào)用就可以了，或者利用操作系統(tǒng)自身的文件安全保護(hù)功能，對主目錄文件進(jìn)行鎖定(Windows對自己系統(tǒng)的重要文件也采取了類似的防篡改保護(hù)，避免病毒的侵?jǐn)_)，只允許網(wǎng)站發(fā)布系統(tǒng)(網(wǎng)頁升級更新)才可以修改文件，其他系統(tǒng)進(jìn)程也不允許刪改。

這個方法應(yīng)該說比較徹底，但可以看出，以后防篡改技術(shù)將成為操作系統(tǒng)的“專利”了，安全廠家實在是不愿意看到的。好在目前Linux還沒有支持。

網(wǎng)頁防篡改系統(tǒng)可以用于Web服務(wù)器，也可以用于中間件服務(wù)器，其目的都是保障網(wǎng)頁文件的完整性。

網(wǎng)頁防篡改對保護(hù)靜態(tài)頁面有很好的效果，但對于動態(tài)頁面就沒有辦法了，因為頁面是用戶訪問時生成的，內(nèi)容與數(shù)據(jù)庫相關(guān)。很多SQL注入就是利用這個漏洞，可以繼續(xù)入侵Web服務(wù)器。

到目前為止，很多網(wǎng)頁防篡改產(chǎn)品中都提供了一個IPS軟件模塊，用來阻止來針對Web服務(wù)的SQL注入、XML注入攻擊。如國內(nèi)廠家的WebGuard、iGuard、InforGuard等產(chǎn)品。

2、Web防火墻產(chǎn)品：

防止網(wǎng)頁被篡改是被動的，能阻斷入侵行為才是主動型的，前邊提到的IPS/UTM等產(chǎn)品是安全通用的網(wǎng)關(guān)，也有專門針對Web的硬件安全網(wǎng)關(guān)，國內(nèi)的如：綠盟的Web防火墻，啟明的WIPS(web IPS)，國外的有imperva的WAF(Web Application Firewall)等。

Web防火墻，主要是對Web特有入侵方式的加強(qiáng)防護(hù)，如DDOS防護(hù)、SQL注入、XML注入、XSS等。由于是應(yīng)用層而非網(wǎng)絡(luò)層的入侵，從技術(shù)角度都應(yīng)該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業(yè)界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。

Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，所以HA功能、Bypass功能都是必須的，而且還要與負(fù)載均衡、Web Cache等Web服務(wù)器前的常見的產(chǎn)品協(xié)調(diào)部署。

Web防火墻的主要技術(shù)的對入侵的檢測能力，尤其是對Web服務(wù)入侵的檢測，不同的廠家技術(shù)差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術(shù)特點來說，有下面幾種方式：

◆代理服務(wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式防止了入侵者的直接進(jìn)入，對DDOS攻擊可以抑制，對非預(yù)料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術(shù)的代表。

◆特征識別：識別出入侵者是防護(hù)他的前提。特征就是攻擊者的“指紋”，如緩沖區(qū)溢出時的Shellcode，SQL注入中常見的“真表達(dá)(1=1)”…應(yīng)用信息沒有“標(biāo)準(zhǔn)”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數(shù)量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長，安全界聲言要淘汰此項技術(shù)，但目前應(yīng)用層的識別還沒有特別好的方式。

◆算法識別：特征識別有缺點，人們在尋求新的方式。對攻擊類型進(jìn)行歸類，相同類的特征進(jìn)行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對攻擊方式依賴性很強(qiáng)，如SQL注入、DDOS、XSS等都開發(fā)了相應(yīng)的識別算法。算法識別是進(jìn)行語義理解，而不是靠“長相”識別。

◆模式匹配：是IDS中“古老”的技術(shù)，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當(dāng)然模式的定義有很深的學(xué)問，各廠家都隱秘為“專利”。協(xié)議模式是其中簡單的，是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來定義模式;行為模式就復(fù)雜一些，

Web防火墻最大的挑戰(zhàn)是識別率，這并不是一個容易測量的指標(biāo)，因為漏網(wǎng)進(jìn)去的入侵者，并非都大肆張揚，比如給網(wǎng)頁掛馬，你很難察覺進(jìn)來的是那一個，不知道當(dāng)然也無法統(tǒng)計。對于已知的攻擊方式，可以談識別率;對未知的攻擊方式，你也只好等他自己“跳”出來才知道。

“自學(xué)習(xí)”功能的發(fā)展：

Imperva公司的WAF產(chǎn)品在提供入侵防護(hù)的同時，還提供了另外一個安全防護(hù)技術(shù)，就是對Web應(yīng)用網(wǎng)頁的自動學(xué)習(xí)功能，由于不同的網(wǎng)站不可能一樣，所以網(wǎng)站自身頁面的特性沒有辦法提前定義，所以imperva采用設(shè)備自動預(yù)學(xué)習(xí)方式，從而總結(jié)出本網(wǎng)站的頁面的特點。具體的做法是這樣的：

通過一段時間的用戶訪問，WAF記錄了常用網(wǎng)頁的訪問模式，如一個網(wǎng)頁中有幾個輸入點，輸入的是什么類型的內(nèi)容，通常情況的長度是多少…學(xué)習(xí)完畢后，定義出一個網(wǎng)頁的正常使用模式，當(dāng)今后有用戶突破了這個模式，如一般的帳號輸入不應(yīng)該有特殊字符，而XML注入時需要有“<”之類的語言標(biāo)記，WAF就會根據(jù)你預(yù)先定義的方式預(yù)警或阻斷;再如密碼長度一般不超過20位，在SQL注入時加入代碼會很長，同樣突破了網(wǎng)頁訪問的模式。

網(wǎng)頁自學(xué)習(xí)技術(shù)，從Web服務(wù)自身的業(yè)務(wù)特定角度入手，不符合我的常規(guī)就是異常的，也是入侵檢測技術(shù)的一種，比起單純的Web防火墻來，不僅給入侵者“下通緝令”，而且建立進(jìn)入自家的內(nèi)部“規(guī)矩”，這一種雙向的控制，顯然比單向的要好。

Citrix公司收購了Teros后，推出的應(yīng)用防火墻通過分析雙向流量來學(xué)習(xí)Web服務(wù)的用戶行為模式，建立了若干用戶行為模型，一但匹配上你是某個行為，就按該模式行為去衡量你的行為做法，有“越軌”企圖立即給予阻斷。這個自適應(yīng)學(xué)習(xí)引擎與Imperva公司的網(wǎng)頁自學(xué)習(xí)有些類似，不過一個重點是學(xué)習(xí)網(wǎng)頁特點，一個是學(xué)習(xí)用戶訪問的規(guī)律。

從安全角度來說，網(wǎng)業(yè)自學(xué)習(xí)技術(shù)與入侵防護(hù)結(jié)合使用，是理想的選擇。

Web防火墻的未來出路：

有一種說法：因為Web服務(wù)器前的負(fù)載均衡設(shè)備、Web 加速設(shè)備是不可缺少的，又是Web服務(wù)器群的出口必經(jīng)之路，所以Web防火墻的功能有可能與這些設(shè)備合并。這種發(fā)展趨勢有些象網(wǎng)關(guān)UTM與單獨的FW、IPS、AV、VPN等設(shè)備進(jìn)化發(fā)展一樣，UTM就是這些網(wǎng)關(guān)的集合產(chǎn)品。

但我有一個不同的看法：UTM部署于網(wǎng)絡(luò)的外連接出口，一般是互聯(lián)網(wǎng)出口，其網(wǎng)絡(luò)安全隔離作用，這里的帶寬價格昂貴，所以擁有大帶寬的用戶很有限，而Web服務(wù)器群是與網(wǎng)絡(luò)主交換機(jī)連接的，提供的是應(yīng)用處理能力，要求的參數(shù)常是并發(fā)用戶的數(shù)量與在線用戶的數(shù)量，服務(wù)器一般都是千兆接口，目前的交換機(jī)就可達(dá)到幾十個TB的交換能力，在大流量鏈路上做多功能的安全產(chǎn)品，又是應(yīng)用層的檢測，對產(chǎn)品的硬件壓力是巨大的，能達(dá)到“線性”流量的產(chǎn)品一定價格昂貴，因此Web防火墻的這種合并思路是有待商榷的。

3、Web數(shù)據(jù)庫審計產(chǎn)品：

有效恢復(fù)是安全保障的一個很重要的理念。我們提到動態(tài)網(wǎng)頁的防護(hù)難點是用數(shù)據(jù)庫現(xiàn)場生成的，因此對數(shù)據(jù)庫的修改就變得很關(guān)鍵， Web數(shù)據(jù)庫審計產(chǎn)品的目的就是對數(shù)據(jù)的所有操作進(jìn)行記錄，當(dāng)發(fā)現(xiàn)問題時，這些操作可以回溯。打個比方，你在游戲中的裝備被別人給“劃走”了，過了一周，你發(fā)現(xiàn)了，但一周中，游戲在繼續(xù)，你的裝備有很多新動態(tài)，合理與不合理變化交織在一起。此時，若管理人員知道確定是“某人”的篡改，就可以把他的動作進(jìn)行“逆向”操作，你的游戲仍可以繼續(xù)，不受影響;若通過協(xié)商，需要恢復(fù)到篡改前的某個狀態(tài)，則在數(shù)據(jù)庫中先取得篡改前最近一次的備份數(shù)據(jù)，再使用數(shù)據(jù)庫的審計記錄，一直“操作”到篡改前的狀態(tài)，游戲就可以繼續(xù)了。這種技術(shù)與數(shù)據(jù)庫的實時同步備份技術(shù)是類似的。

當(dāng)然數(shù)據(jù)庫的操作量很大，全部記錄需要很大的數(shù)據(jù)空間，所以，Web服務(wù)中重要數(shù)據(jù)庫操作才進(jìn)行詳細(xì)審計，審計的目的是為了運營狀態(tài)的可恢復(fù)。常見的Web審計數(shù)據(jù)：

◆帳戶操作：涉及權(quán)限的改變

◆運營操作：涉及“財與物”的變化

◆維護(hù)操作：涉及“特殊權(quán)限”人的動作

Web數(shù)據(jù)庫審計產(chǎn)品一般采用旁路部署，不影響數(shù)據(jù)庫的業(yè)務(wù)效率。若在業(yè)務(wù)流量不很大的情況下，可以采用Agent的軟件方式，但是不建議完全依靠數(shù)據(jù)庫自身的日志功能，因為，入侵者破壞后一定有“抹去痕跡”的步驟，痕跡一般就是系統(tǒng)本身的日志，單獨的審計機(jī)制保障了日志的完整性。

4、Web木馬檢查工具：

Web安全不僅是維護(hù)網(wǎng)站自己安全，通過網(wǎng)站入侵用戶電腦的危害也十分棘手。網(wǎng)頁容易被掛上木馬，或被XSS攻擊利用，是否有工具可以對所有的網(wǎng)頁進(jìn)行安全檢查呢?這里用到了“爬蟲”技術(shù)。

“爬蟲”技術(shù)最早是搜索引擎“發(fā)明”的，搜索網(wǎng)站放出N個小“爬蟲”，在世界各地的網(wǎng)站上循環(huán)掃描，收集網(wǎng)站上的新信息，建立供世界人民查找的數(shù)據(jù)庫，這樣大家就可以從Google、百度等搜索門戶上搜到你想要的任何東東。由于“爬蟲”來自網(wǎng)站外部，所以可以模擬用戶打開網(wǎng)站的實際效果，所以“爬蟲”很快被網(wǎng)站用來測試自身性能的“用戶體驗”工具，比如網(wǎng)頁打開的速度，用戶互動的等待時間等。作為用戶體驗工具，“爬蟲”很快也在企業(yè)內(nèi)部網(wǎng)絡(luò)上開始流行，關(guān)注用戶感受，是08年開始IT領(lǐng)域內(nèi)最流行的開發(fā)理念。

所謂“爬蟲”就是這樣一些進(jìn)程，按照一定的規(guī)則(橫向優(yōu)先搜索、縱向優(yōu)先搜索)，將網(wǎng)站上所有的頁面打開一遍，(你知道很多網(wǎng)站的點擊率飛漲的原因了吧，是有無數(shù)的小爬蟲在工作…)，在對網(wǎng)頁上關(guān)心的事情進(jìn)行檢查。由于是以用戶的身份“瀏覽”網(wǎng)頁，所以沒有靜態(tài)與動態(tài)頁面的差別。Web木馬檢查工具就是基于這個原理開發(fā)的，不同于搜索爬蟲的是，在網(wǎng)頁檢查時，重點查看網(wǎng)頁是否被掛木馬，或被XSS利用。因為網(wǎng)站內(nèi)的URL鏈接去向應(yīng)該可追溯的，所以對XSS的檢查是很有效的。(“爬蟲”有些象網(wǎng)頁防篡改的文件檢查進(jìn)程是吧，不過一個是在Web服務(wù)器的內(nèi)部，另一個是在web服務(wù)器的外部)

Web木馬檢查工具一般作為安全服務(wù)檢查使用，也可以單獨部署一臺服務(wù)器，定期對網(wǎng)站檢查，發(fā)現(xiàn)問題及時報警。該工具目前市場上的產(chǎn)品化很少，一般不銷售，網(wǎng)上有些免費的類似軟件可以試用，隨著Web服務(wù)在企業(yè)內(nèi)的應(yīng)用增多，該工具應(yīng)該象防病毒檢查工具一樣流行。

五、新的想法---主機(jī)Web網(wǎng)關(guān)

Web服務(wù)是從互聯(lián)網(wǎng)技術(shù)發(fā)展起來，互聯(lián)網(wǎng)是“草根”文化的集大成者。在互聯(lián)網(wǎng)中，共享智慧是追求，簡捷實用是方法。

很常見的現(xiàn)象，Web服務(wù)的處理能力采用集群技術(shù)、云計算技術(shù)，都是利用物美價廉的PC服務(wù)器集成在一起，而不是選用“龐大”的巨型機(jī)。P2P技術(shù)、CDN技術(shù)都是網(wǎng)民降低Web服務(wù)中心壓力，而又能支持大用戶、實時流媒體業(yè)務(wù)的“互聯(lián)網(wǎng)Web技術(shù)”。但這也為Web業(yè)務(wù)的安全防護(hù)帶來問題---網(wǎng)絡(luò)結(jié)構(gòu)問題。為了提供處理能力，眾多的服務(wù)器“網(wǎng)”一樣地接在核心交換機(jī)上，在服務(wù)器前沒有匯聚點，web防火墻的部署就成了問題。

草根文化的特點就是系統(tǒng)避免過渡依賴某一個點(大家都是重要的)。Web服務(wù)不同于傳統(tǒng)銀行模式的集中處理，服務(wù)器是PCServer組成的群，由于加入與離開群，對群的服務(wù)沒有影響，只是服務(wù)處理能力的動態(tài)變化而已，所以服務(wù)器群中的每個服務(wù)器的處理能力相對不是那么寶貴，某個服務(wù)器的異常宕機(jī)也只是對個別的用戶服務(wù)有些“臨時影響”，在服務(wù)器中安裝Agent的“恐懼”，Web服務(wù)管理者應(yīng)該是沒有的。

為了與“群”或“云”等Web新型網(wǎng)狀結(jié)構(gòu)相適應(yīng)，Web服務(wù)應(yīng)用層的防護(hù)，可以與網(wǎng)頁防篡改合起來(尤其是OS提供底層的文件修改監(jiān)控)，我們給它一個新的名字---主機(jī)Web網(wǎng)關(guān)(Host Web Gateway)。

主機(jī)Web網(wǎng)關(guān)的部署與防篡改產(chǎn)品一樣，以Agent的形式嵌入到Web服務(wù)器中，不需要再關(guān)心Web服務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)，同時，也避免了在Web服務(wù)使用加密協(xié)議時，網(wǎng)關(guān)安全設(shè)備對應(yīng)用層攻擊無能為力的弊端。

主機(jī)Web網(wǎng)關(guān)的主要功能：

◆Web應(yīng)用入侵防護(hù)(SQL注入、XSS等)

◆頁面文件防篡改

◆Web網(wǎng)頁自動學(xué)習(xí)功能

◆Web用戶訪問行為的自學(xué)習(xí)功能

至于系統(tǒng)級的入侵防護(hù)與DDOS防護(hù)，放在UTM/IPS中解決，Web服務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)就靈活多了。主機(jī)Web網(wǎng)關(guān)采用軟件形式，沒有了串行設(shè)備的性能要求，部署的成本也會大大下降。

【編輯推薦】

1. Web安全設(shè)備防毒性能遠(yuǎn)高于業(yè)界最優(yōu)的UTM設(shè)備？
2. 百度安全專家：很多公司存在嚴(yán)重的Web安全問題
3. 社交網(wǎng)絡(luò)時代來臨 企業(yè)需要Web安全