萬兆帶寬給網絡傳輸效率帶來的跳躍式前進，以及大數據、移動互聯網及網絡視頻等熱門技術的快速發展，使得網絡安全設備需要對流量進行更加深入與全面的分析，解決帶寬增加所帶來的新的安全挑戰，網絡安全也真正邁入萬兆時代。

萬兆網絡環境下的Web安全威脅與防御

萬兆網絡時代的安全面臨著性能的極大挑戰，從低端防護到高端核心防護，從接入到匯聚，從數據中心到城域網等都需要高性能的設備來保障網絡安全。

目前，主要的Web安全威脅有：SQL注入、XSS攻擊、惡意掃描、CRSF跨站請求偽造、DoS攻擊、網頁掛馬、網絡釣魚、后門、蠕蟲攻擊、Cookie篡改、網站盜鏈等。

其中，SQL注入與XSS攻擊是目前存在的較為普遍、利用最為廣泛、造成危害也最為嚴重的兩類Web安全威脅。

另外，CRSF跨站請求偽造、惡意掃描、網站釣魚等Web攻擊與防護也越來越引起業界重視。

面對如此之多的Web安全威脅，我們需要采取哪些防護手段？傳統的防護手段還可行嗎？

防火墻、防病毒、IDS/IPS等都是已被廣泛利用的傳統的Web安全防護措施，尤其是防火墻的部署，阻擋了大部分來自網絡層的攻擊，但是面對目前日趨復雜的Web安全威脅，特別是萬兆網絡環境下Web安全問題，似乎顯得有點心有余而力不足，無法識別與阻止正在流行的Web應用層攻擊。

部署在網關處/Web服務器上的防病毒系統可以有效的進行病毒檢測與防護，但是無法識別Web網站網頁中存在的惡意代碼，即網頁掛馬。因網頁掛馬通常表現為網頁程序中的一段正常的腳本，只在執行的時候才可能下載有害程序或盜取受害者的隱私。同理，對于應用程序中的漏洞，防病毒系統更難以識別。

IDS/IPS作為防火墻的有利補充，加強了Web的安全防御能力。但是，IDS/IPS需要預先構造攻擊特征庫來匹配網絡數據，技術本身存在一定的局限性。

與傳統的防火墻及IDS/IPS不同，WAF（Web Application Firewall，Web應用防火墻）工作在應用層，對Web應用防護具有先天的技術優勢。#p#

萬兆網絡安全產品市場需求

萬兆網絡環境下，用戶對網絡安全提出了新的需求，要求在保證網絡安全性的同時保證網絡的穩定性，能夠有效的防御針對萬兆的應用層攻擊。目前，運營商、教育行業、互聯網企業及政府的用戶需求最為突出。

因應用層防火墻出現的時間較短，國內用戶一度對其產生懷疑，而WAF產品對于網上支付等關鍵業務系統的防護效果也難以預估。于是用戶心生困惑，不知是否有必要部署這類產品，如需要又該如何選購？

對此，啟明星辰產品經理張元立表示從Web安全事件分析報告角度來看，部署WAF產品是非常必要的。另外，國外PCIDSS標準明確要求需部署WAF。

針對如何選購WAF產品，張元立給出了以下幾點選購建議：1、安全廠商的選擇。主要從產品是否能夠有持續的維護，在WAF市場的排名，本地化及服務能力這幾個方面來分析選擇。2、Web的攻擊防護能力。最好有專門的針對Web攻擊防護的團隊，3、設備的性能。有萬兆的接口，及10G以上的性能。4、萬兆的穩定性。不能影響到用戶的業務，要保證網絡的穩定。5、WAF安全服務團隊的選擇。在為用戶部署WAF產品前，服務團隊會對用戶網站進行漏洞掃描測試，然后進行有針對性的部署。后期維護時，如果有專門的WAF服務團隊，可以為用戶進行產品的調優。

那么部署了新設備，老舊設備該如何處理呢？張元立表示IT產品使用通用準則為5年，老舊設備達到生命周期了就要進行更換，如未達到生命周期，可通過網絡設備調整來節省開支，將新設備放置在核心位置，老舊設備放在綜合業務環境使用。#p#

萬兆WAF捍衛Web網站安全

啟明星辰天清萬兆WAF順應客戶需求，為客戶提供在萬兆環境下的WAF產品，捍衛Web網站安全。這類針對網站Web服務器的應用級入侵的防御系統，彌補了防火墻、IPS這類安全設備對Web應用攻擊的防護能力不足的問題，提高了Web業務系統的安全性。

天清萬兆WAF由啟明星辰自主研發、采用VXID專利算法技術的新一代Web安全防護與應用交付類應用安全產品，它具有五大關鍵功能：

萬兆WAF功能一：Web攻擊防護

如圖所示， Web攻擊防護主要包括：SQL注入攻擊防護、XSS攻擊防護、Web惡意掃描防護、應用層DoS（HTTP FLOOD）防護。

Web攻擊防護功能圖

◆關于天清萬兆WAF是如何防御SQL注入攻擊、XSS攻擊以及惡意掃描的，詳見：《天清萬兆WAF防御SQL注入技術》《天清萬兆WAF防御XSS攻擊技術》《天清萬兆WAF防御惡意掃描》。

◆應用層DoS（HTTP FLOOD）防護，天清萬兆WAF能夠有效識別出攻擊行為和正常請求，在Web服務器受到 HTTP Flood 攻擊時，過濾攻擊行為，抑制異常用戶對 Web 服務器的資源消耗，同時響應正常請求，確保Web業務的可用性及連續性。

同時，天清 WAG還能夠針對 HTTP 請求中的 XML數據流進行合規檢查，防止非法用戶通過構造異常的XML文檔對Web服務器進行DoS攻擊。

萬兆WAF功能二：Web非授權訪問防護

◆CRSF攻擊防御：通過為一個被保護的URL設定一個或者多個來源URL來實現防護。欲了解更多，詳見：《天清萬兆WAF防御跨站請求偽造(CSRF) 》。

◆Cookie篡改防護：針對Cookie進行簽名保護，避免Cookie在明傳輸過程中被篡改，并可為Cookie強制添加httpponly屬性及secure屬性，從而實現進一步防護。

◆網站盜鏈防護：針對被保護網站的資源訪問請求進行檢測，判斷請求是否包含在允許的訪問來源范圍內，如果不屬于站內提交或信任站點提交，則會被視作網站盜鏈行為。

萬兆WAF功能三：Web惡意代碼防護

◆網頁掛馬防護：鑒于網頁掛馬下載和執行的多種復雜度，天清WAF主要針對網頁標簽鏈接中嵌入的鏈接內容進行檢測，主要采用黑名單和異型檢測兩種技術。

◆WebShell防護：天清WAF針對惡意WebShell上傳內置了主流WebShell庫進行攔截。另外，基于Web文件上傳控制功能，用戶可定義禁止ASP或PHP頁面文件上傳，有效防護基于WebShell的惡意攻擊。

萬兆WAF功能四：Web應用合規

◆基于URL的訪問控制：通過設定基于單一URL的源IP地址黑、白名單來控制用戶針對單一URL的訪問權限。

◆HTTP協議合規：對HTTP請求做合規性檢查，不合規定的請求丟棄，符合的進行處理。

◆敏感信息泄露防護：靈活定義HTTP錯誤是返回的默認頁面，避免因為微博服務異常，而導致的信息泄露。

◆文件上傳下載控制：可指定文件類型、文件名、文件大小，從而有效保護Web服務器資源與文件訪問安全。

◆Web表單關鍵字過濾：針對Webmail、網站論壇、網頁Blog等上傳內容的關鍵字過濾功能，進行內容清洗，從而保護Web服務器的內容健康與合規性、安全性。

萬兆WAF功能五：Web應用交付

◆網頁防篡改：按照網頁篡改事件發生的時序，天清WAF提供事中防護以及事后補償的在線防護解決方案。

◆基于URL的流量控制：根據Web服務器的處理性能對Web頁面訪問頻率進行控制，確保一些性能消耗比較大的Web頁面能在Web服務器承受的性能范圍之內被訪問。

◆Web應用加速：其主要目標是修改或優化TCP或其它協議、應用和數據流在網絡上的行為，以縮短 Web 服務的響應時間。

◆多服務器負載均衡：支持多服務器負載均衡，在代理模式下，可以定義多個為同一個 IP 地址服務的內部服務器之間的權重，以充分利用計算資源。

目前，國內首款天清萬兆WAF已被推出近一年時間，越來越多的客戶開始部署Web網站安全防護產品。據全球知名咨詢機構Frost & Sullivan發布的2012年度 WAF市場報告顯示，啟明星辰的天清WAF以25.2%的市場份額在中國市場名列前茅。

張元立表示，啟明星辰將向更加專業化的Web安全方面發展，針對新的安全威脅提供更好的解決方案。并將于今年Q3推出超萬兆WAF，解決超萬兆流量下的Web網站防護需求。