淺析Web應(yīng)用防火墻的安全策略

【摘 要】目前網(wǎng)絡(luò)安全問題不容樂觀，本文著重探討基于WEB平臺下的安全策略，挖掘了實(shí)施此項(xiàng)安全技術(shù)的價值所在，提出了Web應(yīng)用防火墻的概念，并淺析不同行業(yè)的可操作可定制的安全技術(shù)方案。

【關(guān)鍵詞】SQL注入；Web應(yīng)用防火墻；IPS；UTM

1 網(wǎng)絡(luò)安全現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，政府、企業(yè)、公司和學(xué)校都在架設(shè)自己的網(wǎng)絡(luò)平臺，發(fā)布信息，交流通訊，發(fā)展態(tài)勢方興未艾，互聯(lián)網(wǎng)就像一把雙刃劍，人們在享受網(wǎng)絡(luò)帶來便利的同時，黑客攻擊、病毒傳播等網(wǎng)絡(luò)弊病也時刻威脅著網(wǎng)絡(luò)數(shù)據(jù)安全。這一點(diǎn)從來自黑客與安全廠商的信息、從來自科技領(lǐng)域與社會種種安全事件的信息等，都足以說明。

美國白宮近年不斷發(fā)生電網(wǎng)遭網(wǎng)絡(luò)滲透，軍事項(xiàng)目遭黑客襲擊以及銀行系統(tǒng)遭電腦攻擊等網(wǎng)絡(luò)數(shù)據(jù)安全事件，總統(tǒng)奧巴馬決定創(chuàng)建網(wǎng)絡(luò)安全主管這一職位，任命曾擔(dān)任eBay和微軟網(wǎng)絡(luò)安全官員的霍華德.施密特（Howard Schmidt）為白宮網(wǎng)絡(luò)安全主管，以應(yīng)對日益嚴(yán)重的網(wǎng)絡(luò)數(shù)據(jù)安全威脅。奧巴馬曾表示，網(wǎng)絡(luò)安全“是我們面臨的最嚴(yán)重的經(jīng)濟(jì)和國家安全挑戰(zhàn)之一”，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全對美國的國家安全、公共安全、個人隱私等至關(guān)重要。

國外媒體報道，一名黑客稱其成功攻入殺毒軟件廠商卡巴斯基的一個包括敏感信息的數(shù)據(jù)庫，獲取了包括用戶名單和卡巴產(chǎn)品bug等資料在內(nèi)的大量敏感信息。該黑客稱自己使用簡單的SQL注入命令就成功攻入此數(shù)據(jù)庫，該數(shù)據(jù)庫內(nèi)有大量卡巴斯基的產(chǎn)品與客戶信息，包括用戶名單，激活碼，軟件bug列表，管理員名單等，他還公布了屏幕截圖和大量細(xì)節(jié)做為佐證，卡巴斯基拒絕對此置評，但兩名安全專家瀏覽了這名黑客公布的資料后表示，卡巴斯基數(shù)據(jù)庫被攻破導(dǎo)致資料外泄的情況屬實(shí)。該黑客表示，只需對卡巴斯基網(wǎng)站的URL鏈接進(jìn)行少許修改，網(wǎng)站上整個數(shù)據(jù)庫的內(nèi)容就一覽無遺，只要修改一個參數(shù)，包括用戶、激活碼、軟件 bug列表在內(nèi)的資料就全部暴露在網(wǎng)上。如果稍通黑客工具的使用，任何人都能找到卡巴斯基網(wǎng)站的SQL注入漏洞所在?？ò退够偛吭O(shè)在俄羅斯首都莫斯科，Kaspersky Labs是國際著名的信息安全領(lǐng)導(dǎo)廠商。公司為個人用戶、企業(yè)網(wǎng)絡(luò)提供反病毒、防黒客和反垃圾郵件產(chǎn)品。經(jīng)過十四年與計算機(jī)病毒的戰(zhàn)斗，卡巴斯基獲得了獨(dú)特的知識和技術(shù)，使得卡巴斯基成為了病毒防衛(wèi)的技術(shù)領(lǐng)導(dǎo)者和專家。該公司的旗艦產(chǎn)品-著名的卡巴斯基反病毒軟件（Kaspersky Anti-Virus，原名AVP）被眾多計算機(jī)專業(yè)媒體及反病毒專業(yè)評測機(jī)構(gòu)譽(yù)為病毒防護(hù)的最佳產(chǎn)品。如今卡巴斯基自己被黑客攻擊真是天大的笑話。

在我國，網(wǎng)絡(luò)數(shù)據(jù)安全問題同樣不容樂觀，據(jù)公安部統(tǒng)計，我國企事業(yè)單位發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件的比例近年呈高發(fā)趨勢，如熊貓燒香病毒、力拓間諜門、百度被黑，高校新生錄取信息庫被黑等數(shù)據(jù)安全事件等。所有這些事件都嚴(yán)重威脅國家數(shù)據(jù)安全，數(shù)據(jù)安全工作任重道遠(yuǎn)。

事實(shí)上，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)數(shù)據(jù)安全威脅的客觀存在。隨著網(wǎng)絡(luò)的普及，黑客無處不在，網(wǎng)絡(luò)病毒日益犯濫，無論是政府機(jī)構(gòu)、軍事部門，還是各大金融機(jī)構(gòu)、公司，學(xué)校等只要與互聯(lián)網(wǎng)接軌，就不可避免地面臨數(shù)據(jù)安全威脅，網(wǎng)絡(luò)數(shù)據(jù)安全已成為世界各國政府、企業(yè)面臨的最大安全威脅。

2 需要解決的關(guān)鍵問題

2.1 研究內(nèi)容

隨著基于Web環(huán)境下的應(yīng)用越來越普遍，企業(yè)在信息化進(jìn)程中將多種應(yīng)用架設(shè)在Web平臺上。這些應(yīng)用的功能和性能都不斷完善和提高，然而對安全卻沒有足夠重視。黑客們也將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對 Web 應(yīng)用的攻擊上。根據(jù)高德納咨詢公司（Gartner）（全球最具權(quán)威的IT研究與顧問咨詢公司）的調(diào)查顯示，目前成功的攻擊案例中有75%發(fā)生在應(yīng)用層而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，三分之二的Web站點(diǎn)缺乏有效的應(yīng)用防護(hù)。

這里就涉及到Web應(yīng)用防火墻的概念。它位于Web客戶端和Web服務(wù)器之間，這些防火墻會在Web服務(wù)器前的應(yīng)用層對HTTP流量進(jìn)行檢查，這些設(shè)備可以檢測一個鏈接，分析用戶對應(yīng)用程序發(fā)出的命令，然后就可以分析出哪些是已知攻擊，哪些是標(biāo)準(zhǔn)應(yīng)用的演變。

目前Web應(yīng)用安全面臨三大問題：

第一種，拒絕服務(wù)攻擊。比如某公司說DNS域名被篡改了，就意味著應(yīng)用方面做得再安全也沒用，這個網(wǎng)站已經(jīng)被轉(zhuǎn)接到另外一個服務(wù)器去了。

第二種，針對企業(yè)的Web網(wǎng)站后臺數(shù)據(jù)庫的更改，泄密和破壞。主要的攻擊手段是SQL代碼的植入，導(dǎo)致企業(yè)內(nèi)部的數(shù)據(jù)損失或者是被更改。

第三種，網(wǎng)站掛馬或者叫做跨站腳本攻擊，套取訪問用戶的用戶名、密碼等。

Web應(yīng)用面臨的主要攻擊和威脅，后兩種居多。因?yàn)镈NS被篡改這種方式有難度且偏少，后兩者難度小一點(diǎn)但是很頻繁。

Web應(yīng)用防火墻（Web Application Firewall，WAF）與IPS（入侵預(yù)防系統(tǒng)）、防火墻、UTM等安全設(shè)備是不同的。從技術(shù)層面講，IPS是深度的包檢測的產(chǎn)品，屬于高級的網(wǎng)絡(luò)防火墻。IPS所保護(hù)的不僅僅是Web應(yīng)用，IPS的檢測是非常嚴(yán)格和標(biāo)準(zhǔn)化的，就導(dǎo)致一個問題，它對整個單純的Web應(yīng)用，包括SQL 注入的檢查不是很專業(yè)，所以Web應(yīng)用防火墻和IPS相比，它是更專業(yè)的基于Web防護(hù)的系統(tǒng)。

UTM是在網(wǎng)絡(luò)防火墻基礎(chǔ)上加上了部分的應(yīng)用過濾功能，它可以阻擋一些非法網(wǎng)站的訪問。但是UTM、傳統(tǒng)防火墻或IPS，它們大部分功能還是在網(wǎng)絡(luò)層，具有部分的應(yīng)用層功能。而且，它們并不是針對Web應(yīng)用，比如IPS，對后臺很多種應(yīng)用都可以進(jìn)行防護(hù)，但是這個防護(hù)為粗略檢查，比如說2個數(shù)據(jù)包先后被通過訪問。這兩個數(shù)據(jù)包利用時間差的關(guān)系，結(jié)合到一起能產(chǎn)生破壞力，這是IPS無法解決的問題。

“WEB應(yīng)用防火墻”可以檢查代碼合成的用意，從而阻斷非法的數(shù)據(jù)包訪問。所以WEB應(yīng)用防火墻，IPS和防火墻、UTM的差別，一個是在防護(hù)層面，另外是IPS是和WEB應(yīng)用防火墻部署的點(diǎn)是一致的，基本是企業(yè)的數(shù)據(jù)中心前端。防火墻和UTM更多強(qiáng)調(diào)內(nèi)網(wǎng)安全，它防護(hù)的企業(yè)對內(nèi)部網(wǎng)絡(luò)，防止內(nèi)部用戶訪問非法網(wǎng)站，也防止整個公司內(nèi)部的信息外泄。但是WEB應(yīng)用防火墻，IPS保護(hù)的是Web服務(wù)器防止被攻擊?！?/p>

目前在市場上，對WEB應(yīng)用防火墻需求比較明確的客戶，包含政府，軍隊(duì)，上市公司，以及銀行和電信。另外，學(xué)校應(yīng)用也比較多，教育系統(tǒng)都含有比較敏感的信息，所以教育行業(yè)WEB應(yīng)用防火墻部署更加重要。

2.2 Web應(yīng)用安全策略及方案配置

一個系統(tǒng)的安全策略及方案配置通常是通過三個階段來完成。第一個階段，上了WEB應(yīng)用防火墻之后，首先針對后臺應(yīng)用進(jìn)行掃描，以確定應(yīng)用存在哪些漏洞。然后生成第一個版本的配置數(shù)據(jù)，比如如果發(fā)現(xiàn)用戶校驗(yàn)有問題，那就加強(qiáng)這一塊的防護(hù)級別。第二階段，聽取用戶的需求，因?yàn)椴煌男袠I(yè)，黑客所感興趣的東西不一樣，采用的手段也不一樣。把受攻擊手段最多的那一塊進(jìn)行優(yōu)化加強(qiáng)。這正是我們需要研究的環(huán)節(jié)。第三，Web應(yīng)用防火墻本身是一個技術(shù)平臺，針對不同行業(yè)防護(hù)策略是有差別的。防護(hù)策略的差別是通過原來最早的自動掃描，加上用戶需求，加上Web攻擊的屬性三個來決定的。最終形成一個針對不同行業(yè)客戶基于Web的技術(shù)解決方案。

2.3 價值之處

如此方案體現(xiàn)的價值：

第一：Web應(yīng)用防火墻最大的價值不單純在于它的安全防護(hù)，它的價值是一種應(yīng)用交互的平臺。比如：企業(yè)要上一套ERP系統(tǒng)，基于Web平臺的，BS架構(gòu)的。本來是希望找一個軟件供應(yīng)商三個月做完，需要具備所有功能。開發(fā)商所考慮的問題是功能性需求，如果開發(fā)商把安全性因素都考慮進(jìn)來，開發(fā)周期至少會延長50%，甚至100%，所以對整個軟件交付的周期和成本會非常高。但是有了WEB應(yīng)用防火墻的策略方案就不一樣了，開發(fā)商只要把功能做好就行了，因?yàn)榍岸说淖钄喙δ躓EB應(yīng)用防火墻可以幫助企業(yè)完成，就是安全性的工作，這樣交付周期會提高很快。

第二：系統(tǒng)上線以后可能存在一些功能需求變更，增加新功能要打補(bǔ)丁，就會有新的漏洞出現(xiàn)，意味著要面臨新的安全威脅。這個時候WEB應(yīng)用防火墻的策略方案功能又體現(xiàn)出來，也就是說WEB應(yīng)用防火墻最核心的價值有兩塊，第一是縮短用戶的應(yīng)用交付時間，二是為用戶的應(yīng)用運(yùn)維提供一個最低成本的方案。讓很多企業(yè)知道部署WEB應(yīng)用防火墻（WAF）的時候，不僅是防護(hù)網(wǎng)站， WAF最核心的功能是提升用戶的應(yīng)用交付周期，降低成本。

3 Web應(yīng)用防火墻的發(fā)展前景

從中國目前現(xiàn)狀來看，Web應(yīng)用防火墻的市場成長非?？?， Web應(yīng)用防火墻每年平均市場增長率在200%以上。雖然成長很快，但潛力還有待于進(jìn)一步挖掘，它的價值還沒有被充分意識到。

隨著對Web應(yīng)用安全的更加細(xì)分，未來會出現(xiàn)比Web應(yīng)用防火墻現(xiàn)有的功能需要更細(xì)分的一個產(chǎn)品，所以Web應(yīng)用防火墻可能會演化為兩種。第一種是被替代，Web威脅可能越來越細(xì)分了，一細(xì)分就需要單獨(dú)的系統(tǒng)去管理。

另外，也有一些共性的趨勢。比如是虛擬化，因?yàn)榇笮推髽I(yè)虛擬化的平臺部署越來越多，整個Web應(yīng)用防火墻的解決方案，虛擬化部署的比例會提高。

還有與云安全技術(shù)的結(jié)合，以前的Web應(yīng)用防火墻更多是本地計算，比如說零日攻擊，解決問題的同時把這個信息上傳到全球的云系統(tǒng)里面去。當(dāng)另外一臺設(shè)備發(fā)現(xiàn)同樣的性能代碼的時候，它能掃描以前的阻斷方式是什么。

Web應(yīng)用防火墻功能會越來越強(qiáng)大，這種功能強(qiáng)大不是單純本身功能，而是說從一個產(chǎn)品變成一個平臺，它會結(jié)合很多第三方的資源和專利技術(shù)，為用戶提供更有針對性的，可定制化的安全解決方案。

Web應(yīng)用防火墻以后的發(fā)展會從一個單純的產(chǎn)品變成一個提供全部安全策略或者模式，能夠應(yīng)對更加細(xì)致的安全需求的方案。

結(jié)束語

綜上所述，我們對網(wǎng)絡(luò)安全現(xiàn)狀、需解決的關(guān)鍵問題及發(fā)展前景這幾方面進(jìn)行了分析，我們還要不斷地去探索和發(fā)現(xiàn)，使Web應(yīng)用防火墻功能得到更加廣泛的應(yīng)用。

參考文獻(xiàn)：

[1]續(xù)蕾.基于WEB的防火墻應(yīng)用及分析. 電腦學(xué)習(xí).2009.

[2]劉艷艷，李忠延.WEB應(yīng)用跨多級防火墻訪問資源解決方案.計算機(jī)系統(tǒng)應(yīng)用，2010.