層出不窮的web安全事件

如今，Web環境的互聯網應用越來越廣泛，如Web2.0、社交網絡、微博等新型互聯網產品相繼誕生，企業信息化的過程中各種應用也都架設在Web平臺上，Web業務迅速發展的同時讓web安全威脅也日漸凸顯，黑客利用網站操作系統的漏洞得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，植入惡意代碼，侵害網站訪問者。

來自國內的報告顯示，2010年4月16日、17日，面向美國市場的阿里巴巴全球速賣通受到不明身份黑客的持續惡意攻擊，黑客針對速賣通網站在國內和美國的服務器采取了多種手段的攻擊。同年5月10日至5月16日一周內，中國境內就有81個政府網站被篡改； 截止當年5月24日，包括我國的2所一流大學與10多所重點大學在內的眾多高校網站被掛木馬；

與之相應的，國外的Web安全事件也是頻頻爆出：日本最大的BBS網站2ch被攻擊，因服務器癱瘓從而受到重大損失的美國IT公司表明與聯邦調查局（FBI）達成協議，將對黑客攻擊采取法律手段。本次攻擊來自于韓國黑客的可能性很大，2ch以外的服務器使用者也被殃及，其中包括與美國政府有關網站。損失高達250萬美元；來自歐洲的報告稱，2009年5 月 26 日，法國移動運營商Orange France 提供照片管理的網站頻道被曝存在SQL注入漏洞，黑客利用此漏洞獲取到245,000 條用戶記錄（包括E-mail、姓名及明文方式的密碼）。

針對Web應用的攻擊手段和技術日趨高明、隱蔽，致使大多Web應用處在高風險的環境中。Web應用安全問題不斷升溫，受到越來越多的網絡用戶關注。

針對web的攻擊攻擊緣何趨多？

在用戶的場景中，B/S結構已經逐步替代C/S結構成為客戶首選的應用場景，簡單、方便、快捷、無縫介入等，種種便利使得客戶越來越喜歡B/S結構的場景，也使得原有私有的、非標準的C/S結構逐步被替代，大量統一的、開源的B/S結構使得攻擊者有了一個集中可供研究滲透的基礎。于是黑客將攻擊轉向幾乎無所不在的 80 開放端口（Web通信最常用的端口）。這兩點原因導致美國大約有 75 % 的企業在 2003 年因 Web攻擊而遭受經濟損失。

導致 Web 應用進一步面臨威脅的原因還有 Web 服務器與應用底層架構的變化以及使用非安全開放源代碼組件現象的增加。Web 服務器與 Web 應用已經從最初提供簡單的靜態內容演變到提供豐富的動態內容。現在，Web 服務器與應用除了可以創建動態頁面和啟動應用程序外，還可以同數據庫進行通信以生成對用戶有用的內容。大多數 Web 服務器平臺都將應用程序與服務器捆綁在一起，即使最簡單的網站也會和Web應用進行交互，這為攻擊提供了機會。很多攻擊行為利用了當前Web體系架構存在的安全漏洞。這些攻擊手段包括篡改主要Web接口、導致服務器上的嵌入式 Web 應用執行預期之外的功能、安裝惡意應用程序以及欺騙后臺數據庫使其向攻擊者發送敏感信息等。

與網絡層安全相似，Web應用的安全強度也取決于整個體系中最脆弱的那一環。要構建安全的Web應用平臺，開發人員必須在 Web應用的每個層面精心設計安全性。運行 Web 應用的服務器也必須不斷更新。遺憾的是，許多企業在設計 Web 應用時，開發人員并未全面考慮安全性。更糟糕的是，有的用戶只為 Web 服務器中可從外界訪問的那部分設計了安全性，而忽略了內部訪問Web應用的安全性。攻擊 Web應用最常見也是最見效的手法就是利用漏洞，尋找可以獲得對服務器平臺（包括Microsof t SQL Server、IIS、Apache Web服務器）的根訪問權的安全漏洞。其中，SQL 植入屬于最危險的攻擊形式之一。在發動 SQL 植入攻擊時，攻擊者將意料之外的 SQL 命令植入到 Web 應用表格域中，這可以讓攻擊者在后端數據庫服務器上執行命令，并且可能獲得管理員權限。緩沖區溢出攻擊是一種利用超出應用程序所能處理的數據量淹沒應用程序的攻擊，這種攻擊可以使攻擊者能夠在目標系統上執行命令。常見的攻擊手段還有跨網站腳本攻擊，這種攻擊常用在網頁模仿攻擊中。跨網站腳本攻擊有多種形式，包括誘騙用戶連接到貌似著名網站上來收集用戶信息，或直接接管用戶的Web會話。

Fortinet的Web加固安全方案

提到Web安全不得不提到OWASP。OWASP（開放Web軟體安全項目- Open Web Application Security Project）是一個開放社群、非營利性組織，目前全球有130個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力于協助政府或企業了解并改善網頁應用程式與網頁服務的安全性。OWASP被視為Web應用安全領域的權威參考。2009年發布的美國國家和國際立法、標準、準則、委員會和行業實務守則參考引用了OWASP。美國聯邦貿易委員（FTC）強烈建議所有企業需遵循OWASP十大WEB弱點防護守則。

OWASP提出的top 10攻擊，分別是注入攻擊、跨站腳本攻擊（XSS）、越權及會話管理、不安全直接對象引入、跨站冒名請求（CSRF）、不當的安全配置、不安全的密碼存儲、限制URL訪問失敗、薄弱的傳輸層保護、未驗證的網址重導向，Fortinet針對OWASP提出的TOP10攻擊均有對應的解決機制。

除了OWASP發布的Web攻擊特性，Fortiweb還包含內置的Web簽名庫及模板策略引擎，通過Fortiguard云安全服務體系不間斷的采集世界各地的Web安全事件，將安全事件出現的攻擊特征及趨勢還原分布到Fortiweb安全體系中，保證使用Fortiweb的客戶Web場景可以有效的抵御新型的Web攻擊行為。

Fortiweb在提供行業領先的Web 應用防火墻（WAF）技術之外， FortiWeb 還超越了傳統的Web安全設備，可提供XML 安全實現，在少數XML應用場景下也可做到完整應用交互防護。

作為安全解決方案，DDOS和DOS攻擊是經常遇到的問題。Fortiweb提供各種基于網絡層級應用層的防護，尤為需要提出的是，傳統DDOS防護都是基于閾值進行控制，在配置準確度和客戶體驗度上都不是很令人滿意。Fortiweb提出的挑戰式Web防護，在不干預服務器端應用的前提下，增加的挑戰行為，超出閾值的類DDOS攻擊如果無法滿足Fortiweb提出的挑戰將會被清理，滿足挑戰的請求行為會被正確轉發，把DDOS應用層防護提升到一個新的境界。

Fortiweb作為Fortinet安全產品線的一員，繼承了Fortinet硬件架構的特性，使用基于硬件的應用加速及服務器負載均衡等功能，為Web 安全的防護提供了性能及低消耗的保障，在大量復雜配置及海量并發大的情況下，依然保持令人滿意的應用轉發。

Fortiweb作為Web安全的加固方案，遵循業界對于Web交互過程中出現的攻擊行為防護準則，并且考慮到Web服務作為Web攻擊的目的地，加強本身的自由的健壯性是必須的，同時也提供了專家級別的Web應用掃描評估引擎，特地在事前對全部Web系統進行完整掃描，并提供合理的修復加固建議。

Fortiweb作為Web安全加固設備，還對Web服務優化提出的相當多的意見，內置的自學習模型，可以有效地分析全站的訪問行為，生成訪問baseline。當然，記錄的攻擊匯總及攻擊細節可以輔助網站維護者定制Web加固計劃。Fortiweb提供的WIS（web訪問趨勢分析）可以智能地描繪訪問者區域及興趣內容分布的趨勢，通過區域圖直觀地看到區域熱點分布和內容熱點點擊，更為有效地輔助管理人員建立用戶特性研究分析。

綜上可知，Fortiweb的安全體系、網絡層級應用層的防護及內置的自我學習模型等，能夠有效防護諸如數據竊取、DDoS、網頁篡改等各種高危害性的網站攻擊，全面保障Web站點防護，滿足網絡用戶對于Web安全的需求。