【51CTO.com綜合報(bào)道】WEB應(yīng)用的發(fā)展，使網(wǎng)站產(chǎn)生越來越重要的作用，而越來越多的網(wǎng)站在此過程中也因?yàn)榇嬖诎踩[患而遭受到各種攻擊，例如網(wǎng)頁被掛馬、網(wǎng)站SQL 注入，導(dǎo)致網(wǎng)頁被篡改、網(wǎng)站被查封，甚至被利用成為傳播木馬給瀏覽網(wǎng)站用戶的一個(gè)載體。在那些黑客的眼里，網(wǎng)站并非是一個(gè)提供互聯(lián)網(wǎng)服務(wù)和信息交流的平臺(tái)，反而成為可以被低成本利用獲取價(jià)值的一個(gè)途徑。

下圖：2010年十大WEB攻擊統(tǒng)計(jì)

目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁，盜取管理員密碼，數(shù)據(jù)庫注入和破壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。

現(xiàn)在大量的黑客網(wǎng)站上面都提供了入侵WEB服務(wù)器的教程，而且大量的黑客工具隨處可見，這使得攻擊WEB服務(wù)器越來越容易，安全面臨著嚴(yán)重的威脅！

我們看看當(dāng)前網(wǎng)站安全狀況，數(shù)字的增長(zhǎng)速度令人震驚。具不完全統(tǒng)計(jì)，這幾年中國大陸網(wǎng)站入侵導(dǎo)致網(wǎng)頁被篡改成倍增長(zhǎng)；2010年僅網(wǎng)頁篡改已經(jīng)是2007年的60倍，達(dá)到121623，這還不包含未被官方披露的數(shù)字。

還有很多網(wǎng)站被黑客所利用，進(jìn)行網(wǎng)頁掛馬，導(dǎo)致瀏覽這些網(wǎng)頁的人自動(dòng)被種植木馬?？梢哉f經(jīng)常上網(wǎng)人幾乎都遭遇過網(wǎng)頁木馬，輕則使系統(tǒng)異常、成為黑客們的傀儡終端，重責(zé)導(dǎo)致個(gè)人敏感數(shù)據(jù)被盜。

很多用戶認(rèn)為，在網(wǎng)絡(luò)中部署多層的防火墻，入侵檢測(cè)系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護(hù)WEB應(yīng)用了，但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，作用十分有限。

黑客之所以能夠攻擊用戶，都是利用了防火墻開放的端口，躲過防火墻的監(jiān)測(cè)，直接針對(duì)目標(biāo)應(yīng)用程序。他們想出復(fù)雜的攻擊方法，能夠繞過傳統(tǒng)防火墻。據(jù)統(tǒng)計(jì)，目前70%的攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。對(duì)于這類攻擊，傳統(tǒng)防火墻的防護(hù)效果，并不太理想，存在著以下不足之處：無法檢測(cè)加密的Web流量；普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測(cè)；對(duì)于Web應(yīng)用程序，防范能力不足……

傳統(tǒng)防火墻的不足主要體現(xiàn)在：

1.主要工作在OSI 模型三、四層，基于IP 報(bào)文進(jìn)行檢測(cè)，控制對(duì)網(wǎng)絡(luò)的訪問。

2.在設(shè)計(jì)之初，就無需理解Web 應(yīng)用程序語言如HTML 及XML，也無法理解

HTTP 會(huì)話。

3.無法檢測(cè)、阻斷、修訂、刪除或重寫HTTP應(yīng)用的請(qǐng)求或應(yīng)答內(nèi)容。

4.為了保障對(duì)web應(yīng)用的訪問，防火墻會(huì)開放Web應(yīng)用的80端口，這意味著

Internet上的任意IP都能直接訪問Web應(yīng)用。

5.狀態(tài)防火墻無法偵測(cè)很多應(yīng)用層的攻擊，如果一個(gè)攻擊隱藏在合法的數(shù)據(jù)

包中，它仍然能通過防火墻到達(dá)應(yīng)用服務(wù)器。

IDS，IPS通過使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫進(jìn)行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來才會(huì)出現(xiàn)的攻擊，以及通過靈活編碼和報(bào)文分割來實(shí)現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護(hù)。

為了更好的理解兩款產(chǎn)品差異性，我們先用這個(gè)保鏢（WAF）和保安（IPS）比喻來描述。

大樓保安需要對(duì)所有進(jìn)出大樓人員進(jìn)行檢查，一旦發(fā)現(xiàn)可疑人員則禁止他入內(nèi)，但如果混進(jìn)"貌似忠良"的壞人去撬保險(xiǎn)柜等破壞行為，大樓保安是無能為力的。

私人保鏢則是指高級(jí)別、更"貼身"的保護(hù)。他通常只保護(hù)特定的人員，所以事先需要理解被保護(hù)人的身份、習(xí)慣、喜好、作息、弱點(diǎn)等，因?yàn)楸槐Ｗo(hù)人的工作是需要去面對(duì)不同的人，去不同的場(chǎng)合，保鏢的職責(zé)不能因?yàn)槲ｋU(xiǎn)就阻止、改變他的行為，只能去預(yù)見可能的風(fēng)險(xiǎn)，然后量身定做合適的保護(hù)方案。

這兩種角色的區(qū)別在于保安保護(hù)的是整個(gè)大樓，他不需要也無法知道誰是最需要保護(hù)的人，保鏢則是明確了被保護(hù)對(duì)象名單，需要深刻理解被保護(hù)人的個(gè)性特點(diǎn)。

通過上面的比喻，大家應(yīng)該明白兩者的之所以會(huì)感覺相似是因?yàn)槁氊?zé)都是去保護(hù)，但差異在于職能定位的不同。

入侵檢測(cè)系統(tǒng)(IPS)的不足

1. IPS使用攻擊特征數(shù)據(jù)庫作為檢測(cè)機(jī)制，只能捕獲已知攻擊。針對(duì)某種特殊應(yīng)用設(shè)計(jì)的攻擊，或者"零日攻擊"它將不能防御。

2. 黑客只需做少許修改，現(xiàn)有的特征庫將不起作用。

3. SSL加密使IPS設(shè)備對(duì)所有的web攻擊失效。

4. IPS不能對(duì)URL和Unicode編碼流量規(guī)范化。當(dāng)攻擊進(jìn)行了相應(yīng)的編碼后， IPS也將失去作用。

5. 基于"允許除非明確否認(rèn)"的模式對(duì)所有流量放行，IPS不可避免的會(huì)放行一些它無法識(shí)別的惡意流量。

6. IPS只知道包和請(qǐng)求，而不知道網(wǎng)絡(luò)和應(yīng)用。IPS不知道用戶特定的網(wǎng)絡(luò)和應(yīng)用架構(gòu)，因而無法根據(jù)用戶的特定應(yīng)用環(huán)境來制定基于應(yīng)用的安全策略。

網(wǎng)頁防篡改的弱點(diǎn)在于對(duì)于攻擊行為并不進(jìn)行分析，也不阻止攻擊的發(fā)生。

不可否認(rèn)，網(wǎng)頁被篡改是目前最直觀的Web安全問題，無論是政府網(wǎng)站、高校網(wǎng)站，還是運(yùn)營(yíng)商網(wǎng)站、企業(yè)網(wǎng)站，都曾出現(xiàn)過嚴(yán)重的網(wǎng)頁篡改事件，這讓網(wǎng)頁防篡改產(chǎn)品開始映入人們的眼簾。

但網(wǎng)頁防篡改系統(tǒng)是一種軟件解決方案，它的防護(hù)效果直接，但是只能保護(hù)靜態(tài)頁面，而無法保護(hù)動(dòng)態(tài)頁面。

網(wǎng)頁防篡改的不足

1.以"事后恢復(fù)"為基本原理,對(duì)于攻擊行為并不進(jìn)行分析，也不阻止攻擊的發(fā)生。

2.許多類型的攻擊并不篡改網(wǎng)頁，如DDoS攻擊、CC攻擊、溢出攻擊、cookie

竊取、密碼攔截、數(shù)據(jù)竊取等，網(wǎng)站防篡改設(shè)備無能為力。

3.很多攻擊有可能產(chǎn)生篡改行為，但多數(shù)情況并不會(huì)篡改網(wǎng)頁，如SQL注入、

目錄穿越等；即使是"事后恢復(fù)"，網(wǎng)頁防篡改產(chǎn)品也存在工作原理漏洞、

服務(wù)負(fù)載增加、檢測(cè)機(jī)制繞開、連續(xù)篡改等安全問題。

Web應(yīng)用防火墻是專門為保護(hù)基于Web的應(yīng)用程序而設(shè)計(jì)的，從廣義上來說，Web應(yīng)用防火墻就是一些增強(qiáng)Web應(yīng)用安全性的工具。Web服務(wù)器理應(yīng)通過80端口傳送數(shù)據(jù)包。所以所有發(fā)給支撐Web服務(wù)器系統(tǒng)80端口的數(shù)據(jù)包必須被允許通過防火墻。傳統(tǒng)的防火墻沒有辦法測(cè)定一個(gè)地址指向正確的數(shù)據(jù)包是否包含威脅，但Web應(yīng)用防火墻可以仔細(xì)檢查數(shù)據(jù)包的內(nèi)容來檢測(cè)并阻止威脅。

下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda應(yīng)用防火墻來舉例，來看看應(yīng)用防火墻是如何保護(hù)網(wǎng)站防止被惡意注入和篡改的了。

網(wǎng)絡(luò)架構(gòu)和部署：代理模式（也支持橋模式）

代理模式是Web應(yīng)用防火墻部署種的最佳模式。這個(gè)模式也是拓?fù)溥^程中推薦的模式，能夠提供最佳的安全性能。

在此模式中，所有的數(shù)據(jù)端口都將被開啟;端口WAN是對(duì)外的，直接面向因特網(wǎng)的端口。管理端口可以被分配到另一個(gè)網(wǎng)段，我們推薦將管理數(shù)據(jù)和實(shí)際的流量分離，避免因?yàn)閷?shí)際流量和管理數(shù)據(jù)的沖突。

以下為示例拓?fù)鋱D：

網(wǎng)絡(luò)實(shí)現(xiàn)：

1、前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接，此虛擬ip將會(huì)和前端端口(eth1)進(jìn)行綁定

2、客戶的連接將會(huì)在設(shè)備上終止，進(jìn)行安全檢查和過濾

3、合法的流量將會(huì)WAN口建立新的連接到負(fù)載均衡設(shè)備

4、負(fù)載均衡進(jìn)行流量的負(fù)載

5、代理模式可以開啟所有的安全功能

工作特點(diǎn)：基于應(yīng)用層的檢測(cè)，同時(shí)又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢(shì)

對(duì)應(yīng)用數(shù)據(jù)錄入完整檢查、HTTP包頭重寫、強(qiáng)制HTTP協(xié)議合規(guī)化，杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升

預(yù)期數(shù)據(jù)的完整知識(shí)(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

實(shí)時(shí)策略生成及執(zhí)行，根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略，而不是千篇一律的廠家預(yù)定義防攻擊策略，無縫的砌合您的應(yīng)用程序，不會(huì)造成任何應(yīng)用失真。

梭子魚策略WAF配置建議：

1. 配置服務(wù)：配置VIP地址和真實(shí)服務(wù)器地址。

2. 配置安全策略：開啟主動(dòng)防護(hù)模式。

3. 開啟URL防護(hù)策略：例如阻斷SQL注入，跨站攻擊等。

4. 系統(tǒng)告警：一旦網(wǎng)站被攻擊，梭子魚馬上能通過郵件進(jìn)行告警。

梭子魚以其功能強(qiáng)大，操作簡(jiǎn)便，性價(jià)比高等優(yōu)勢(shì)繼成為全球郵件安全和負(fù)載均衡市場(chǎng)領(lǐng)導(dǎo)者后，梭子魚WEB應(yīng)用防火墻通過在技術(shù)上的不斷突破，占據(jù)市場(chǎng)的主體地位。

【責(zé)任編輯：守望幸福 TEL：（010）68476606】