趙明的安全問題很常見，從2008年開始，大量企業(yè)、政府的網(wǎng)站遭遇Web攻擊，甚至有黑客通過攻擊企業(yè)網(wǎng)站勒索錢財(cái)。眾多的事例使企業(yè)逐漸認(rèn)識到，由于很多攻擊已經(jīng)轉(zhuǎn)向應(yīng)用層，傳統(tǒng)的防火墻、IPS、網(wǎng)頁防篡改設(shè)備都無法徹底阻止此類攻擊，必須要安裝Web應(yīng)用防火墻（以下簡稱WAF）來保護(hù)Web應(yīng)用。

只要有網(wǎng)絡(luò)的地方就會有防火墻，但傳統(tǒng)的防火墻只是針對一些底層（網(wǎng)絡(luò)層、傳輸層）的信息進(jìn)行阻斷，而WAF則深入到應(yīng)用層，對所有應(yīng)用信息進(jìn)行過濾，這是二者的本質(zhì)區(qū)別。

WAF的運(yùn)行基礎(chǔ)是應(yīng)用層訪問控制列表。整個(gè)應(yīng)用層的訪問控制列表所面對的對象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個(gè)網(wǎng)站互動(dòng)過程中所提交的一些內(nèi)容，包括HTTP協(xié)議報(bào)文內(nèi)容，由于WAF對HTTP協(xié)議完全認(rèn)知，通過內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。

從攻擊發(fā)生的時(shí)間軸來看，WAF應(yīng)具備事前預(yù)防、事中防護(hù)及事后補(bǔ)償?shù)木C合能力。對最為核心的事中防護(hù)能力而言，WAF作為一種專業(yè)的Web安全防護(hù)工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性。

對于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補(bǔ)，形成環(huán)環(huán)相扣的動(dòng)態(tài)安全防護(hù)。事前是用掃描方式主動(dòng)檢查網(wǎng)站，而事后的防篡改可以保證即使出現(xiàn)疏漏也讓攻擊的步伐止于此，不能進(jìn)一步修改和損壞網(wǎng)站文件，對于要求高信譽(yù)和完整性的用戶來說，這是尤為重要的環(huán)節(jié)。

WAF的核心技術(shù)在于對HTTP本質(zhì)的理解以及Web攻擊防護(hù)的能力。前者要求WAF能完整地解析HTTP，包括報(bào)文頭部、參數(shù)及載荷；支持各種HTTP 編碼（如chunked encoding）；提供嚴(yán)格的HTTP協(xié)議驗(yàn)證；提供HTML限制；支持各類字符集編碼；具備HTTP Response過濾能力。從降低安全風(fēng)險(xiǎn)的角度而言，后者要求WAF能有效影響攻擊者因素中的機(jī)會、群體因子以及漏洞因素中的發(fā)現(xiàn)難易度、利用難易度、入侵檢測與覺察度因子。

下面我們來看看WAF是如何防御Web攻擊的。CSRF是一類被廣泛利用的Web應(yīng)用安全漏洞，該攻擊通過偽造來自受信任用戶的服務(wù)請求，誘使用戶按照攻擊者的意圖訪問網(wǎng)站信息，或者執(zhí)行一些惡意的操作，比如登出網(wǎng)站，購買物品，改變賬戶信息，獲取賬號，或其他任何網(wǎng)站授權(quán)給該用戶的操作等。

除了上述用戶輸入類型的攻擊，還有一類影響Web應(yīng)用可用性的攻擊也比較典型，即應(yīng)用層DDoS攻擊，在國內(nèi)更習(xí)慣稱為CC攻擊。不同于網(wǎng)絡(luò)層帶寬耗盡型的DDoS攻擊，此類攻擊構(gòu)思更為精巧，意在以相對較小的代價(jià)耗盡Web服務(wù)器側(cè)的系統(tǒng)資源，如磁盤存儲、數(shù)據(jù)庫連接、線程等。2009年6月18日，國際安全組織SANS報(bào)導(dǎo)了一種新型Apache HTTP DoS工具。運(yùn)用此工具，一個(gè)帶寬很小的用戶都可能對一臺高速服務(wù)器發(fā)起攻擊。該工具對Apache 1.x和 Apache 2.x 版本以及Squid都有效。攻擊原理為：如果向服務(wù)器發(fā)送不完整的HTTP請求報(bào)文，會讓HTTP連接一直處于開放狀態(tài)。工具可在Web服務(wù)器超時(shí)時(shí)間內(nèi)頻繁發(fā)起這樣的連接，導(dǎo)致連接耗盡。其構(gòu)思精巧之處還在于，GET請求是不帶數(shù)據(jù)的，而攻擊者惡意構(gòu)造了Content-Length字段、表示后續(xù)有數(shù)據(jù)，哄騙Web服務(wù)器持續(xù)等待后續(xù)數(shù)據(jù)的到達(dá)，從而占用連接。

基于規(guī)則的DoS防護(hù)或者調(diào)整Apache配置（如增加MaxClients值，只是增加攻擊的難度）均很難應(yīng)對這種攻擊工具。而應(yīng)用了多種防護(hù)技術(shù)（重定向、HTTP頭部解析會話超時(shí)機(jī)制以及請求方法識別等）的WAF產(chǎn)品，可天然應(yīng)對基于這類工具的攻擊。

學(xué)習(xí)讓W(xué)AF進(jìn)步

面對日趨精細(xì)化和復(fù)雜化的Web攻擊手法，廠商對Web攻擊的持續(xù)研究實(shí)力將充分體現(xiàn)在WAF的防護(hù)能力上，同時(shí)對WAF提出了需要與業(yè)務(wù)結(jié)合更為緊密的要求。WAF需要了解數(shù)據(jù)流向、應(yīng)用的業(yè)務(wù)邏輯、用戶訪問習(xí)慣等，在此基礎(chǔ)上進(jìn)行安全建模，采用一種白名單的方式，即只有符合此安全建模的輸入，WAF才予以放行。另一方面，WAF與其他安全產(chǎn)品的有效結(jié)合也是一種很好的思路，如WAF與Web掃描工具結(jié)合，Web掃描工具的掃描結(jié)果可以形成WAF的防護(hù)規(guī)則；WAF與蜜罐結(jié)合，由蜜罐捕獲到的新型惡意行為特征，同樣可以轉(zhuǎn)化為WAF的防護(hù)規(guī)則，從而在這類攻擊廣為流行之前，WAF能預(yù)先提供有效的應(yīng)對措施。

云安全是現(xiàn)有安全架構(gòu)的自然發(fā)展和有利補(bǔ)充。作為可能的發(fā)展方向，將WAF集成于云安全體系中，會讓W(xué)AF提前對Web安全威脅進(jìn)行響應(yīng)，同時(shí)，開放和實(shí)時(shí)的云安全服務(wù)也將顯著改善最終用戶體驗(yàn)。

應(yīng)對Web安全威脅與滿足合規(guī)要求（如PCI DSS合規(guī)要求）是目前客戶采購WAF的主要驅(qū)動(dòng)力。與前幾年相比，2009年WAF技術(shù)有兩方面的變化。一方面，核心技術(shù)的加強(qiáng)、功能的橫向擴(kuò)展以及產(chǎn)品性能的提升，如正向安全模型（白名單）及反向安全模型（黑名單）相結(jié)合、雙向內(nèi)容檢測、集成Web掃描功能、單一平臺整合Web應(yīng)用安全與交付功能，采用具備應(yīng)用層高吞吐能力的平臺。另一方面體現(xiàn)為降低管理開銷，提供集中管理、面向特定應(yīng)用的策略模板、自學(xué)習(xí)模型、簡單易用且功能強(qiáng)大的報(bào)表系統(tǒng)（體現(xiàn)網(wǎng)站合規(guī)狀態(tài)及安全狀態(tài)）等。

WAF在保護(hù)云計(jì)算的安全方面也可盡一份力。綠盟科技的趙旭認(rèn)為，云計(jì)算服務(wù)架構(gòu)自上而下包括SaaS（軟件作為服務(wù)）、PaaS（平臺作為服務(wù)）及IaaS（基礎(chǔ)設(shè)施作為服務(wù)）。WAF可以應(yīng)用于解決云計(jì)算服務(wù)架構(gòu)的自身安全問題，如在SaaS層面提供應(yīng)用及數(shù)據(jù)安全，保護(hù)數(shù)據(jù)中心，確保云計(jì)算服務(wù)的質(zhì)量。另一方面，WAF本身也可以融于云安全平臺，以靈活的產(chǎn)品形態(tài)（不拘泥于現(xiàn)今市場比較主流的硬件盒子）提供Web應(yīng)用安全服務(wù)。

“為了給云計(jì)算提供安全保護(hù)，必須將WAF對應(yīng)用服務(wù)器的防護(hù)擴(kuò)展到云系統(tǒng)中的大型數(shù)據(jù)中心，允許在托管的應(yīng)用間靈活地分配資源（包括網(wǎng)絡(luò)帶寬、服務(wù)請求等），并且能夠根據(jù)每個(gè)托管應(yīng)用程序提供完整的虛擬化服務(wù)（包括安全、日志、審計(jì)、應(yīng)用交付等）?！惫刃抡f。

Internet計(jì)算環(huán)境出現(xiàn)了這樣的矛盾：業(yè)務(wù)資源集中化，資源端計(jì)算能力強(qiáng)；在網(wǎng)絡(luò)邊界訪問業(yè)務(wù)資源的客戶端通常帶寬、計(jì)算能力都較弱，同時(shí)客戶端也經(jīng)常成為安全威脅的宿主。這種矛盾導(dǎo)致了客戶端的體驗(yàn)差，業(yè)務(wù)資源無法充分發(fā)揮效能。未來，Web安全和Web應(yīng)用交付融合的趨勢日趨明顯，對于機(jī)構(gòu)的IT決策者來說，面臨的最大挑戰(zhàn)在于如何緩解針對Web業(yè)務(wù)的各類安全威脅，高效保障Web應(yīng)用的可用性和可靠性、優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性。

從技術(shù)發(fā)展來說，WAF需要確保Web業(yè)務(wù)在安全和性能兩方面的收益最大化。一方面，WAF需提供增強(qiáng)的安全功能，應(yīng)對日趨復(fù)雜且針對性強(qiáng)的高風(fēng)險(xiǎn)Web攻擊，另一方面，WAF還需要確保Web應(yīng)用的可用性、可伸縮性、高性能，降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn)，優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性，提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率。

此外，從產(chǎn)品向服務(wù)的演變也是一種趨勢。下一步，WAF廠商可與MSSP（托管安全服務(wù)提供商）合作，面向用戶按需提供基于網(wǎng)絡(luò)的WAF服務(wù)或者虛擬化的WAF服務(wù)。

部署很簡單，防火墻和Web應(yīng)用防火墻一起，趙明的問題就可以解決了。