作為一家第三方互聯(lián)網(wǎng)支付公司的CIO，Dave為公司近期發(fā)生的一系列安全事件忙得焦頭爛額。雖然已經(jīng)在公司的網(wǎng)絡(luò)出口處部署了防火墻、入侵檢測系統(tǒng)等安全設(shè)備，但是幾個月前，公司網(wǎng)站和支付服務(wù)器還是遭受到拒絕服務(wù)攻擊導(dǎo)致業(yè)務(wù)癱瘓。拒絕服務(wù)攻擊事件還沒處理完，Dave又接到員工報告，公司門戶網(wǎng)站被Google報出含有惡意軟件。

來自Web的安全挑戰(zhàn)

Dave的煩惱其實是日前眾多IT管理者遭遇的縮影之一。隨著機構(gòu)的計算及業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務(wù)。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構(gòu)的資產(chǎn)暴露在越來越多的威脅中?，F(xiàn)今Web安全問題對我們來說已屢見不鮮，以下是收錄于國際安全組織WASC WHID項目中的幾起安全事件：

2009年5月26日，法國移動運營商Orange France提供照片管理的網(wǎng)站頻道有SQL注入漏洞，黑客利用此漏洞獲取到245,000條用戶記錄（包括E-mail、姓名及明文方式的密碼）。

2009年1月26日，美國軍方兩臺重要的服務(wù)器被土耳其黑客滲透，網(wǎng)頁被篡改，黑客采用的是SQL注入攻擊手段。

2009年1月26日，印度駐西班牙使館網(wǎng)站被掛馬（通過iFrame攻擊植入惡意代碼）。

Web應(yīng)用安全防護解決思路

Web應(yīng)用安全問題本質(zhì)上源于軟件質(zhì)量問題。但Web應(yīng)用相較傳統(tǒng)的軟件，具有其獨特性。Web應(yīng)用往往是某個機構(gòu)所獨有的應(yīng)用，對其存在的漏洞，已知的通用漏洞簽名缺乏有效性；需要頻繁地變更以滿足業(yè)務(wù)目標，從而使得很難維持有序的開發(fā)周期；需要全面考慮客戶端與服務(wù)端的復(fù)雜交互場景，而往往很多開發(fā)者沒有很好地理解業(yè)務(wù)流程；人們通常認為Web開發(fā)比較簡單，缺乏經(jīng)驗的開發(fā)者也可以勝任。

針對Web應(yīng)用安全，理想情況下應(yīng)該在軟件開發(fā)生命周期遵循安全編碼原則，并在各階段采取相應(yīng)的安全措施。然而，多數(shù)網(wǎng)站的實際情況是：大量早期開發(fā)的Web應(yīng)用，由于歷史原因，都存在不同程度的安全問題。對于這些已上線、正提供生產(chǎn)的Web應(yīng)用，由于其定制化特點決定了沒有通用補丁可用，而整改代碼因代價過大變得較難施行或者需要較長的整改周期。

針對這種現(xiàn)狀，專業(yè)的Web安全防護工具是一種合理的選擇。Web應(yīng)用防火墻（以下簡稱WAF）正是這類專業(yè)工具，提供了一種安全運維控制手段：基于對HTTP/HTTPS流量的雙向分析，為Web應(yīng)用提供實時的防護。與傳統(tǒng)防火墻/IPS設(shè)備相比較，WAF最顯著的技術(shù)差異性體現(xiàn)在：

對HTTP有本質(zhì)的理解：能完整地解析HTTP，包括報文頭部、參數(shù)及載荷。支持各種HTTP 編碼（如chunked encoding、request/response壓縮）；提供嚴格的HTTP協(xié)議驗證；提供HTML限制；支持各類字符集編碼；具備response過濾能力。

提供應(yīng)用層規(guī)則：Web應(yīng)用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層規(guī)則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊。

提供正向安全模型（白名單）：僅允許已知有效的輸入通過，為Web應(yīng)用提供了一個外部的輸入驗證機制，安全性更為可靠。

提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充，防護基于會話的攻擊類型，如cookie篡改及會話劫持攻擊。

如何正確選擇WAF

并非對Web服務(wù)器提供保護的“盒子”都是WAF。事實上，一個真正滿足需求的WAF應(yīng)該具有二維的防護體系：

縱向提供縱深防御：通過建立協(xié)議層次、信息流向等縱向結(jié)構(gòu)層次，構(gòu)筑多種有效防御措施阻止攻擊并發(fā)出告警。

橫向：滿足合規(guī)要求；緩解各類安全威脅（包括網(wǎng)絡(luò)層面、Web基礎(chǔ)架構(gòu)及Web應(yīng)用層面）；降低服務(wù)響應(yīng)時間、顯著改善終端用戶體驗，優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性。

在選擇WAF產(chǎn)品時，建議參考以下步驟：

結(jié)合業(yè)務(wù)需求明確安全策略目標，從而定義清楚WAF產(chǎn)品必須具備的控制能力

評估每一家廠商WAF產(chǎn)品可以覆蓋的風(fēng)險類型

測試產(chǎn)品功能、性能及可伸縮性

評估廠商的技術(shù)支持能力

評估內(nèi)部維護團隊是否具備維護、管理WAF產(chǎn)品的必需技能

權(quán)衡安全、產(chǎn)出以及總成本。“成本”不僅僅意味著購買安全產(chǎn)品/服務(wù)產(chǎn)生的直接支出，還需要考慮是否影響組織的正常業(yè)務(wù)、是否給維護人員帶來較大的管理開銷

WAF應(yīng)用場景

相信通過前文的介紹，大家對WAF產(chǎn)品已經(jīng)有了初步了解。但也可能存在疑問，部署WAF，實際到底可以解決什么問題？下面將介紹幾個典型的應(yīng)用場景。

WAF支持完全代理方式，作為Web客戶端和服務(wù)器端的中間人，避免Web服務(wù)器直接暴露在互聯(lián)網(wǎng)上，監(jiān)控HTTP/HTTPS雙向流量，對其中的惡意內(nèi)容（包括攻擊請求以及網(wǎng)頁內(nèi)容中被植入的惡意代碼）進行在線清洗。

網(wǎng)頁篡改在線防護

按照網(wǎng)頁篡改事件發(fā)生的時序，提供事中防護以及事后補償?shù)脑诰€防護解決方案。事中，實時過濾HTTP請求中混雜的網(wǎng)頁篡改攻擊流量（如SQL注入、XSS等）。事后，自動監(jiān)控網(wǎng)站所有需保護頁面的完整性，檢測到網(wǎng)頁被篡改，第一時間對管理員進行短信告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網(wǎng)站。

網(wǎng)頁掛馬在線防護

網(wǎng)頁掛馬為一種相對比較隱蔽的網(wǎng)頁篡改方式，本質(zhì)上這種方式也破壞了網(wǎng)頁的完整性。網(wǎng)頁掛馬攻擊目標為各類網(wǎng)站的最終用戶，網(wǎng)站作為傳播網(wǎng)頁木馬的“傀儡幫兇”，嚴重影響網(wǎng)站的公信度。

當(dāng)用戶請求訪問某一個頁面時，WAF會對服務(wù)器側(cè)響應(yīng)的網(wǎng)頁內(nèi)容進行在線檢測，判斷是否被植入惡意代碼，并對惡意代碼進行自動過濾。

敏感信息泄漏防護

WAF可以識別并更正Web應(yīng)用錯誤的業(yè)務(wù)流程，識別并防護敏感數(shù)據(jù)泄漏，滿足合規(guī)與審計要求，具體如下：

可自定義非法敏感關(guān)鍵字，對其進行自動過濾，防止非法內(nèi)容發(fā)布為公眾瀏覽。

Web站點可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹內(nèi)的URL鏈接，比如一些網(wǎng)站擁有者不想被公開訪問的目錄、網(wǎng)站的Web管理界面入口及以前曾經(jīng)公開過但后來被隱藏的鏈接。WAF提供細粒度的URL ACL，防止對這些鏈接的非授權(quán)訪問。

網(wǎng)站隱身：過濾服務(wù)器側(cè)出錯信息，如錯誤類型、出現(xiàn)錯誤腳本的絕對路徑、網(wǎng)頁主目錄的絕對路徑、出現(xiàn)錯誤的SQL語句及參數(shù)、軟件的版本、系統(tǒng)的配置信息等，避免這些敏感信息為攻擊者利用、提升入侵的概率。

對數(shù)據(jù)泄密具備監(jiān)管能力。能過濾服務(wù)器側(cè)響應(yīng)內(nèi)容中含有的敏感信息，如身份證號、信用卡號等。

【編輯推薦】

1. Web應(yīng)用防火墻將瞄準0day攻擊防御不得不看
2. Web應(yīng)用防火墻的功能與特點的描述
3. WEB應(yīng)用防火墻網(wǎng)站整體防護的破解
4. WEB應(yīng)用防火墻網(wǎng)站整體防護的破解方法
5. 微軟0day漏洞 綠盟科技Web應(yīng)用防火墻提供零配置防護