Web的应用

近几年，Web应用日益普及，有关Web方面的安全问题也在与日俱增。伴随基于Web应用和数据库架构的应用系统逐渐成为主流，广泛应用在企业内部和外部的业务系统中，企业借助Web应用使得业务快速发展，与此同时黑客也在关注Web应用所带来的财富，目前常见的网络攻击大多数都是针对应用自身的弱点，其中最常用的攻击技术就是针对Web应用的SQL注入和跨站攻击。而且黑客通过相应的攻击工具可以轻松实现入侵，并可直接实现篡改页面内容，甚至进入数据库修改内容等等。随着Web应用的攻击增多同时大范围刺激了Web应用防火墙市场的增长。

Web应用防火墙根源追溯

国外市场上具有Web应用防火墙功能的产品名称就有不同的几十种，更不用说是产品的形式和描述了。它难以界定的原因是这个名称包含的东西太多了。较低的网络层(Web应用防火墙被安置在第七层)被许多设备所覆盖，每一种设备都有它们独特的功能，比如路由器，交换机，防火墙，入侵检测系统，入侵防御系统等等。然而，在HTTP的世界里，所有这些功能都被融入在一个设备里：Web应用防火墙。

Web应用防火墙位于Web客户端和Web服务器之间，分析应用程序层的通信，从而发现违反预先定义好的安全策略的行为。安恒信息Web应用安全综合解决方案就是基于Web应用防火墙的基础上，从而实现事前预防监测、事中防护及事后追溯的完整防御方案。Web应用防火墙作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本攻击等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性。

Web应用防火墙的价值

Web价值重点体现在Web 2.0的时代时，我们所面临的安全威胁主要源自网站被黑或者网站被篡改，因此网页防篡改技术得到成长并大量使用。应用推运系统架构革新，而系统架构的和革新推动安全技术的发展。Web应用防火墙也不例外，也是在现有Web防护技术力日益无法满足业务的新需求时诞生的。

安恒信息产品经理杨勃表示，如果说防篡改软件是一种基于文件管理的被动办法，那么Web应用防火墙则是从安全的本质出发，对威胁进行主动防御，并对Web应用进行性能优化的最佳方案。简单将防篡改软件理解为是文件恢复管理，而Web应用防火墙则是分析处理不安全的访问行为，这些不安全的行为包括网页篡改事件、信息泄漏事件、信息窃取事件、信息失效事件等。在中国Web应用环境下的Web应用防火墙通常也会具有网页防篡改的客户端，功能和市面的网页防篡改软件几乎相同。

Web应用防火墙以独立的硬件网关存在，其部署和使用过程中不需要对原有的Web服务器作任何的调整，并且Web应用防火墙本身支持多种部署方式，例如透明网桥模式的部署不需对网络进行任何调整。

Web应用防火墙与传统防火墙及IPS的区别

传统的网络防火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力。因此，对Web应用而言，传统的网络防火墙仅提供IP及端口防护，对各类WEB应用攻击及变形缺乏深度防御能力。Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的Web应用攻击。

与IPS相比Web应用防火墙可谓是专注于Web应用的IPS，与传统的IPS不同，Web应用防火墙在特征匹配方面的粒度更细，至少可以精确到如下几个节点：

·对协议的全面理解以及协议规范性检查

·请求头关键字段的识别和特征匹配，从而降低误判

·响应头敏感信息的处理防止服务器指纹泄露

·响应体特征匹配，屏蔽敏感信息泄露

·针对单个请求，基于单个URL的匹配最大程度确认业务系统的可用性

标准的Web应用防火墙应该具备哪些功能

杨勃介绍到，一个标准的Web应用防火墙应该具备以下四个方面的功能：

深度安全防护——对Web应用实施全面、深度防御，能够有效识别、阻止日益盛行的Web应用黑客攻击，还要对数据泄密具备监管能力，可以进行IP审计。

协议规范性检查——通过HTTP协议规范性检查可以实现Web主动防御功能，如请求头长度限制、请求编码类型限制等从而障蔽了大部分非法的未知攻击行为。

WEB应用加速——对防护的网站进行加速，通过对静态文件的缓存技术，动态请求的TCP连接复用技术实现了网站访问速度的提升。

站点访问审计——对网站的访问情况进行统计分析呈现即时访问量趋势图、用户最关注的网页、访问者最集中的地市区域等信息，便于分析网站的业务模块的访问情况，并为业务功能的价值提供评价参考。

安恒信息Web应用防火墙发展历程

Web应用防火墙技术架构上最佳方案是采用代理技术实现，然而标准的代理技术应用到Web应用防火墙时却存在一个先天的不足。代理技术会中断业务请求，因此部署Web应用防火墙需要调整现有业务架构或网络数据走向。另一方面代理技术存在性能瓶颈，难在胜任大型的业务系统。

安恒信息采用内核级代理技术解决了部署全透明和性能两个技术瓶颈，是国内首创的全透明Web应用防火墙，并成功应用于诸多网上银行、运营商BOSS系统、电子政务等核心业务系统。

Web应用防火墙采用基于特征库的防御技术进行防护，而特征库技术只能解决通用的，已知的攻击行为。而Web应用系统千差万别，仅采用通用特征库不仅防护效果不佳，而且可能会因为代码的原因导致误判，从而影响业务系统的可用性。因此安恒信息Web应用防火墙中加入了异常检测引擎用于提高防护能力，降低误判率。异常检测技术可以用一个下面这个例子进行说明：

安全检测好比闭路电视监控系统，基于特征的检测技术即通过行人的身高、体重、外貌进行检测，然后通过X光机检测身上是否带了已知的不安全装备。而异常检测则是通过对人的行为特征进行分析，例如一个人进门时身带了一个手拧包，而走到大厅后将手拧包放下，人离开。针对这种特为将为触发报警动作。

异常检测到Web安全检测中主要用于补偿特征库的短板，可以有效的防御未知攻击、盗链行为、应用DDOS攻击等。

安恒信息明御Web应用防火墙发展历程：

2007年发布国内首款透明代理Web应用防火墙引领Web应用防火墙行业的发展 2008年明御Web应用防火墙广泛应用于政府、企事业单位的门户网站防护 2008年明御Web应用防火墙以国内首款应用于金融行业核心交易系统 2009年发布多核高性能Web应用防火墙成为国内首款并发超过10万的Web应用防火墙 2009年明御Web应用防火墙成功应用于国内流量最大的移动网上营业厅 2010年明御Web应用防火墙成功入围中央政府采购协议供货商 2010年受公安部三所委托起草《公安部信息安全检测中心Web应用防火墙检测标准》 2010年明御Web应用防火墙被国际权威咨询机构Frost & Sullivan评选为亚太区Web应用防火墙市场占有率前三强 2011年受国际OWASP组织委托起草《OWASP Web应用防火墙检测基准》 2011年受中国信息安全认证中心委托起草《中国信息安全认证中心Web应用防火墙检测标准》