Web 服務(wù)器是必經(jīng)的大門(mén)，Web 開(kāi)發(fā)的團(tuán)隊(duì)技術(shù)實(shí)力的參差不齊，并非都是“專(zhuān)業(yè)型”的高手，編程不規(guī)范、安全意識(shí)不強(qiáng)，導(dǎo)致為黑客大開(kāi)方便之門(mén)。黑客針對(duì)Web應(yīng)用的攻擊手段和技術(shù)日趨高明、隱蔽，致使大多Web應(yīng)用處在高風(fēng)險(xiǎn)環(huán)境下開(kāi)展。利用網(wǎng)站的安全漏洞，尤其是Web應(yīng)用程序漏洞：如SQL 注入等，黑客能夠得到Web 服務(wù)器的控制權(quán)限，隨意篡改網(wǎng)頁(yè)內(nèi)容或竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，通過(guò)“網(wǎng)頁(yè)掛馬”感染更多的客戶(hù)端用戶(hù)。

SQL注入攻擊本身就是對(duì)數(shù)據(jù)庫(kù)進(jìn)行一系列SQL語(yǔ)句的查詢(xún)，分號(hào)后面會(huì)被注釋為SQL語(yǔ)句。黑客可以執(zhí)行一個(gè)SQL查詢(xún)來(lái)實(shí)現(xiàn)繞過(guò)身份驗(yàn)證或者操縱數(shù)據(jù)。通過(guò) SQL 注入攻擊，黑客可以輕松的敲入一些 SQL 語(yǔ)句登陸進(jìn)網(wǎng)站、對(duì)隱秘?cái)?shù)據(jù)進(jìn)行查詢(xún)等等，而這一切都可以在WEB瀏覽器中進(jìn)行的。所以業(yè)內(nèi)流傳著一句話：不怕流氓會(huì)武術(shù)，就怕黑客會(huì)注入?？梢?jiàn)SQL注入的危害性。

此外，在Web交互性越來(lái)越強(qiáng)的今天，一個(gè)提供Web服務(wù)的應(yīng)用程序可以不操作數(shù)據(jù)庫(kù)，可以不與系統(tǒng)交互，但是肯定會(huì)將程序的處理結(jié)果返回給瀏覽器，加上程序員如果意識(shí)不到位，就必然發(fā)生XSS攻擊，對(duì)于一個(gè)互聯(lián)網(wǎng)公司，這兩方面的因素加起來(lái)就會(huì)導(dǎo)致這個(gè)漏洞數(shù)量就非常可觀。很多時(shí)候，這些XSS攻擊往往都是高危級(jí)的漏洞。

例如，在2011年6月28日20時(shí)左右，新浪微博就出現(xiàn)了一次比較大的XSS攻擊事件。微博用戶(hù)中招后會(huì)自動(dòng)向自己的粉絲發(fā)送含毒私信和微博，有人點(diǎn)擊后會(huì)再次中毒，形成惡性循環(huán)。大量用戶(hù)自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話版種子”等帶鏈接的微博與私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶(hù)。

Web網(wǎng)站的安全事件頻頻發(fā)生，究其根源，關(guān)鍵原因有二：一是web 網(wǎng)站自身存在技術(shù)上的安全漏洞和安全隱患;二是相關(guān)的防護(hù)設(shè)備和防護(hù)手段欠缺。

Web 應(yīng)用攻擊通常是以七層的形式進(jìn)行，對(duì)這種攻擊，傳統(tǒng)防火墻顯得力不從心。由此，Web應(yīng)用防火墻（WAF）應(yīng)運(yùn)而生。WAF是專(zhuān)門(mén)為保護(hù)基于Web的應(yīng)用程序而設(shè)計(jì)的，從廣義上來(lái)說(shuō)，WAF就是一些增強(qiáng)Web應(yīng)用安全性的工具。Web服務(wù)器理應(yīng)通過(guò)80端口傳送數(shù)據(jù)包。所以所有發(fā)給支撐Web服務(wù)器系統(tǒng)80端口的數(shù)據(jù)包必須被允許通過(guò)防火墻。傳統(tǒng)的防火墻沒(méi)有辦法測(cè)定一個(gè)地址指向正確的數(shù)據(jù)包是否包含威脅，但WAF可以仔細(xì)檢查數(shù)據(jù)包的內(nèi)容來(lái)檢測(cè)并阻止威脅。

下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的梭子魚(yú)WAFWEB應(yīng)用防火墻來(lái)舉例，來(lái)看看WAF是如何保護(hù)網(wǎng)站防止被惡意注入和篡改的了。

網(wǎng)絡(luò)架構(gòu)和部署：代理模式（也支持橋模式）

代理模式是Web應(yīng)用防火墻部署種的最佳模式。這個(gè)模式也是拓?fù)溥^(guò)程中推薦的模式，能夠提供最佳的安全性能。

在此模式中，所有的數(shù)據(jù)端口都將被開(kāi)啟;端口WAN是對(duì)外的，直接面向因特網(wǎng)的端口。管理端口可以被分配到另一個(gè)網(wǎng)段，我們推薦將管理數(shù)據(jù)和實(shí)際的流量分離，避免因?yàn)閷?shí)際流量和管理數(shù)據(jù)的沖突。

以下為示例拓?fù)鋱D：

網(wǎng)絡(luò)實(shí)現(xiàn)：

1、前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶(hù)將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接，此虛擬ip將會(huì)和前端端口(eth1)進(jìn)行綁定

2、客戶(hù)的連接將會(huì)在設(shè)備上終止，進(jìn)行安全檢查和過(guò)濾

3、合法的流量將會(huì)WAN口建立新的連接到負(fù)載均衡設(shè)備

4、負(fù)載均衡進(jìn)行流量的負(fù)載

5、代理模式可以開(kāi)啟所有的安全功能

工作特點(diǎn)：基于應(yīng)用層的檢測(cè)，同時(shí)又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢(shì)

對(duì)應(yīng)用數(shù)據(jù)錄入完整檢查、HTTP包頭重寫(xiě)、強(qiáng)制HTTP協(xié)議合規(guī)化，杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升

預(yù)期數(shù)據(jù)的完整知識(shí)(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

實(shí)時(shí)策略生成及執(zhí)行，根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略，而不是千篇一律的廠家預(yù)定義防攻擊策略，無(wú)縫的砌合您的應(yīng)用程序，不會(huì)造成任何應(yīng)用失真。

梭子魚(yú)策略WAF配置建議：

1.配置服務(wù)：配置VIP地址和真實(shí)服務(wù)器地址。

2.配置安全策略：開(kāi)啟主動(dòng)防護(hù)模式。

3.開(kāi)啟URL防護(hù)策略：例如阻斷SQL注入，跨站攻擊等。

4.系統(tǒng)告警：一旦網(wǎng)站被攻擊，梭子魚(yú)馬上能通過(guò)郵件進(jìn)行告警。