Web應(yīng)用與Web應(yīng)用防火墻((一)
《網(wǎng)絡(luò)世界》評(píng)測(cè)實(shí)驗(yàn)室 董培欣
摘要: 從廠商發(fā)布資料分析,,Web應(yīng)用防火墻是目前企業(yè)Web服務(wù)安全防護(hù)的一種有效手段;從技術(shù)評(píng)測(cè)角度來(lái)講,,過(guò)于稀少的評(píng)測(cè)報(bào)告無(wú)法對(duì)廠商目前所具備的產(chǎn)品技術(shù)能力進(jìn)行分析;售后服務(wù)方面廠商情況喜憂參半,,有的廠商有全面的技術(shù)服務(wù)支持能力,,有的則不全面具備,。
Abstract:
Key words :
Web應(yīng)用防火墻產(chǎn)品橫向?qū)Ρ?/p>
一,、什么是Web應(yīng)用,?
應(yīng)用程序有兩種模式C/S、B/S,。C/S是客戶端/服務(wù)器端程序,,也就是說(shuō)這類程序一般獨(dú)立運(yùn)行。而B/S就是瀏覽器端/服務(wù)器端應(yīng)用程序,,這類應(yīng)用程序一般借助IE等瀏覽器來(lái)運(yùn)行,。
Web應(yīng)用,通常是指使用B/S(瀏覽器/服務(wù)器)架構(gòu)搭建的信息系統(tǒng),,為了適應(yīng)某個(gè)業(yè)務(wù)流程而設(shè)計(jì)開發(fā)使用的系統(tǒng),。
以目前的技術(shù)看,局域網(wǎng)建立B/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用,,并通過(guò)Internet/Intranet模式下數(shù)據(jù)庫(kù)應(yīng)用,,相對(duì)易于把握、成本也是較低的,,B/S架構(gòu)管理軟件更是方便,、速度快、效果優(yōu),。Web應(yīng)用的最大特點(diǎn)是:用戶可以通過(guò)WWW瀏覽器去訪問(wèn)Internet上的文本,、數(shù)據(jù)、圖像,、動(dòng)畫,、視頻點(diǎn)播和聲音信息,這些信息都是由許許多多的Web服務(wù)器產(chǎn)生的,,而每一個(gè)Web服務(wù)器又可以通過(guò)各種方式與數(shù)據(jù)庫(kù)服務(wù)器連接,,大量的數(shù)據(jù)實(shí)際存放在數(shù)據(jù)庫(kù)服務(wù)器中??蛻舳顺薟WW瀏覽器,,一般無(wú)須任何用戶程序,只需從Web服務(wù)器上下載程序到本地來(lái)執(zhí)行,,在下載過(guò)程中若遇到與數(shù)據(jù)庫(kù)有關(guān)的指令,,由Web服務(wù)器交給數(shù)據(jù)庫(kù)服務(wù)器來(lái)解釋執(zhí)行,并返回給Web服務(wù)器,,Web服務(wù)器又返回給用戶,。在這種結(jié)構(gòu)中,將許許多多的網(wǎng)連接到一塊,,形成一個(gè)巨大的網(wǎng),,即全球網(wǎng)。而各個(gè)企業(yè)可以在此結(jié)構(gòu)的基礎(chǔ)上建立自己的Intranet,。
二,、什么用戶需要Web應(yīng)用?
1,、政府部門
政府網(wǎng)站的Web應(yīng)用日益成為政府信息公開的窗口,,有別于媒體網(wǎng)站、商業(yè)網(wǎng)站的地方在于,,其訪問(wèn)者有自身的需求特點(diǎn),,政府網(wǎng)站需要做到提供優(yōu)質(zhì)服務(wù)、整合政府資源,、增強(qiáng)政府與公眾的互動(dòng)以及增加親和貼身的服務(wù)形式,。
2、行業(yè)用戶
電信,、銀行,、金融等行業(yè)在很早就已經(jīng)開始進(jìn)行了Web應(yīng)用的部署,并且應(yīng)用規(guī)模龐大,。“云計(jì)算”,、“云存儲(chǔ)”、下一代數(shù)據(jù)中心……眾多最新的網(wǎng)絡(luò)技術(shù)被運(yùn)用在其中,。
3,、企業(yè)用戶
銷售型企業(yè)正在利用Web應(yīng)用構(gòu)建越來(lái)越多的電子商務(wù)系統(tǒng)。研發(fā)服務(wù)型企業(yè)也在利用Web應(yīng)用建立流程控制,、質(zhì)量管理,、售后服務(wù)等多種體系,。傳媒企業(yè)的網(wǎng)絡(luò)化熱潮更是不斷。
由此可知,,Web應(yīng)用基本上已經(jīng)涵蓋了各類行業(yè)的應(yīng)用,,并且在技術(shù)深入程度和覆蓋廣泛性上也在不斷的進(jìn)行發(fā)展,。
三,、制約Web應(yīng)用發(fā)展的主要因素
當(dāng)前Web應(yīng)用在大企業(yè)及行業(yè)用戶中發(fā)展十分迅速,但在中小企業(yè)中發(fā)展緩慢,??偨Y(jié)下來(lái)有以下幾個(gè)原因:
1、Web應(yīng)用安全問(wèn)題
Web應(yīng)用的發(fā)展得益于網(wǎng)絡(luò)的開放性,,Web應(yīng)用的弊病也出自網(wǎng)絡(luò)的開放性——安全問(wèn)題成為了Web應(yīng)用發(fā)展的強(qiáng)大阻礙,。當(dāng)前Web應(yīng)用安全漏洞多、網(wǎng)絡(luò)攻擊猖獗,、黑客技術(shù)的產(chǎn)業(yè)化……一系列的安全問(wèn)題在困擾著Web應(yīng)用在企業(yè)中的發(fā)展,。而Web應(yīng)用安全問(wèn)題的多樣性,也使得絕大多數(shù)用戶無(wú)力進(jìn)行應(yīng)對(duì),。因此極大的制約了Web應(yīng)用在企業(yè)中的發(fā)展,。我們將在下文中進(jìn)一步做出詳細(xì)的分析。
2,、Web應(yīng)用軟件問(wèn)題
Web應(yīng)用軟件目前還沒有形成成熟的應(yīng)用體系,,基本上處于企業(yè)邊研發(fā)邊應(yīng)用的階段。普遍適用性不強(qiáng),,無(wú)法形成規(guī)模效應(yīng),。Web應(yīng)用軟件解決辦法我們將在今年下半階段的“在線辦公軟件橫向?qū)Ρ?/a>評(píng)測(cè)”中進(jìn)行更進(jìn)一步分析。本文中不再進(jìn)行更詳細(xì)闡述,。
上述問(wèn)題如果不能很好解決,,必將影響到企業(yè)Web應(yīng)用的發(fā)展。而企業(yè)自身Web應(yīng)用技術(shù)實(shí)力不強(qiáng),,Web應(yīng)用技術(shù)開發(fā),、安全防護(hù)投入過(guò)大這些問(wèn)題普遍存在,如果沒有很好的解決方案企業(yè)Web應(yīng)用發(fā)展必然會(huì)有很大阻礙,。
四,、網(wǎng)絡(luò)安全產(chǎn)品追述—1
對(duì)于一般企業(yè)用戶來(lái)講,通過(guò)采用專業(yè)的網(wǎng)絡(luò)安全設(shè)備對(duì)網(wǎng)絡(luò)安全進(jìn)行防護(hù)是一種十分理想的網(wǎng)絡(luò)安全解決方案,。那在企業(yè)Web應(yīng)用方面應(yīng)該采用什么樣的安全產(chǎn)品呢,?在這里我們對(duì)網(wǎng)絡(luò)安全防護(hù)技術(shù)進(jìn)行一個(gè)簡(jiǎn)單追述。
1、防火墻(FireWall)
華賽Eudemon8080e
防火墻是最早采用互聯(lián)網(wǎng)安全防護(hù)產(chǎn)品,。但是在應(yīng)用過(guò)程中逐漸發(fā)現(xiàn)基于網(wǎng)絡(luò)端口防護(hù)和包過(guò)濾防護(hù)技術(shù)的防火墻產(chǎn)品無(wú)法有效的對(duì)應(yīng)用安全進(jìn)行攔截(在Web應(yīng)用方面由其突出),。但防火墻產(chǎn)品目前依然未退出安全市場(chǎng),反而因?yàn)槠鋸?qiáng)大的數(shù)據(jù)轉(zhuǎn)發(fā)能力,、防攻擊能力和靈活的安全策略設(shè)置功能被越來(lái)越多的運(yùn)用在企業(yè)內(nèi)網(wǎng)隔離,、安全區(qū)域劃分和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)之中。
2,、入侵檢測(cè)/防御(IDS/IPS)
DPtech IPS2000-TS-N
出于對(duì)防泛黑客攻擊及安全漏洞攔截的需求,又開發(fā)出了入侵檢測(cè)/防御產(chǎn)品(IDS/IPS)但早期IDS/IPS產(chǎn)品需要過(guò)多人為對(duì)檢測(cè)問(wèn)題進(jìn)行分析,,并具有很高的誤判率,,難以操控。同時(shí)IDS/IPS產(chǎn)品在防范網(wǎng)絡(luò)病毒,、Web應(yīng)用安全認(rèn)證等問(wèn)題上依然沒有很好的解決方案。但是IDS/IPS技術(shù)為今后的網(wǎng)絡(luò)安全打下了良好的技術(shù)基礎(chǔ),,當(dāng)前新推出的Web應(yīng)用防火墻,、下一代防火墻所采用技術(shù)中有很多是從IDS/IPS中引申出來(lái)的。并且IDS/IPS的進(jìn)一步技術(shù)發(fā)展前景依然十分廣闊,。
3,、統(tǒng)一威脅管理(UTM)
山石網(wǎng)科SG-6000-G5150
為了應(yīng)對(duì)多方面網(wǎng)絡(luò)安全的挑戰(zhàn),安全廠商又推出了統(tǒng)一威脅管理(UTM)產(chǎn)品,。統(tǒng)一威脅管理產(chǎn)品將防火墻,、網(wǎng)絡(luò)病毒防護(hù)、IPS,、反垃圾郵件和網(wǎng)絡(luò)內(nèi)容管理等一系列功能整合在了一起,可以為企業(yè)提供全面的網(wǎng)絡(luò)防護(hù)能力,,是一種綜合安全防護(hù)能力很高的網(wǎng)絡(luò)安全產(chǎn)品,。但在針對(duì)網(wǎng)站系統(tǒng)安全防護(hù)上,,統(tǒng)一威脅管理產(chǎn)品的功能顯得有些多而不當(dāng),,不能很好的為Web應(yīng)用安全提供服務(wù)。
4,、Web安全網(wǎng)關(guān)(WSG)
Wedge BeSecure 2080
Web安全網(wǎng)關(guān)是一種在統(tǒng)一威脅管理產(chǎn)品基礎(chǔ)上發(fā)展出來(lái)的一類全新的網(wǎng)絡(luò)應(yīng)用安全防護(hù)產(chǎn)品。具備對(duì)Web應(yīng)用安全更加深入的全面防護(hù)能力,??梢詫?duì)網(wǎng)絡(luò)病毒、SQL注入、跨站,、惡意腳本等攻擊進(jìn)行防護(hù)。Web安全網(wǎng)關(guān)在功能上與Web應(yīng)用防火墻十分相近,,但它保護(hù)的對(duì)象更多是面向網(wǎng)絡(luò)用戶而不是Web服務(wù)器,。
5、Web應(yīng)用防火墻(WAF)
梭子魚Web應(yīng)用防火墻 BWF960
于是近年來(lái)又有新的Web應(yīng)用安全防護(hù)技術(shù)推出——Web應(yīng)用防火墻(WAF),。利用國(guó)際上公認(rèn)的一種說(shuō)法:Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。
總體來(lái)說(shuō),,Web應(yīng)用防火墻的具有以下四大個(gè)方面的功能(參考WAF入門,,對(duì)內(nèi)容做了一些刪減及改編):
1)審計(jì)設(shè)備:用來(lái)截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會(huì)話。
2)訪問(wèn)控制設(shè)備:用來(lái)控制對(duì)Web應(yīng)用的訪問(wèn),,既包括主動(dòng)安全模式也包括被動(dòng)安全模式,。
3)架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具:當(dāng)運(yùn)行在反向代理模式,他們被用來(lái)分配職能,,集中控制,,虛擬基礎(chǔ)結(jié)構(gòu)等。
4)WEB應(yīng)用加固工具:這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性,,它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn),,而且能夠保護(hù)WEB應(yīng)用編程錯(cuò)誤導(dǎo)致的安全隱患。
需要指出的是,,并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時(shí)具有以上四種功能,。
同時(shí)WEB應(yīng)用防火墻還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測(cè)的角度來(lái)看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備;從防火墻角度來(lái)看,,WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測(cè)防火墻”的增強(qiáng),。(深度檢測(cè)防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次,而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它,。)
五,、Web應(yīng)用防火墻的特點(diǎn)
Web應(yīng)用防火墻的一些常見特點(diǎn)如下。
1,、異常檢測(cè)協(xié)議
Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè),,拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且,,它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過(guò),,從而減少攻擊的影響范圍。甚至,,一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過(guò)于松散或未被完全制定的選項(xiàng),。
2、增強(qiáng)的輸入驗(yàn)證
增強(qiáng)輸入驗(yàn)證,可以有效防止網(wǎng)頁(yè)篡改,、信息泄露,、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性,。
3,、及時(shí)補(bǔ)丁
修補(bǔ)Web安全漏洞,是Web應(yīng)用開發(fā)者最頭痛的問(wèn)題,,沒人會(huì)知道下一秒有什么樣的漏洞出現(xiàn),,會(huì)為Web應(yīng)用帶來(lái)什么樣的危害。現(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞,。當(dāng)然,,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅,,但我們?cè)跊]有選擇的情況下,任何保護(hù)措施都比沒有保護(hù)措施更好,。
(附注:及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中,,因?yàn)檫@些應(yīng)用的通信協(xié)議都具規(guī)范性。)
4,、基于規(guī)則的保護(hù)和基于異常的保護(hù)
基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則,,WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù),并時(shí)時(shí)為其更新,。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè),。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型,并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常,。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到,,可現(xiàn)實(shí)中這是十分困難的一件事情。
5,、狀態(tài)管理
WAF能夠判斷用戶是否是第一次訪問(wèn)并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件,。通過(guò)檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件(比如登陸失?。?,并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的,。
6、其他防護(hù)技術(shù)
WAF還有一些安全增強(qiáng)的功能,,可以用來(lái)解決WEB程序員過(guò)分信任輸入數(shù)據(jù)帶來(lái)的問(wèn)題,。比如:隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù),。
六,、Web應(yīng)用防火墻功能對(duì)比
通過(guò)上述技術(shù)特點(diǎn),可以了解WAF能為Web應(yīng)用用戶帶來(lái)全面的Web安全防護(hù)能力,。但是實(shí)際的Web應(yīng)用防火墻是否可以實(shí)現(xiàn)上述功能呢,?下面對(duì)目前國(guó)內(nèi)主流的Web應(yīng)用防火墻產(chǎn)品的功能進(jìn)行一下對(duì)比。
本次對(duì)比中《網(wǎng)絡(luò)世界》評(píng)測(cè)實(shí)驗(yàn)室選擇了六個(gè)在國(guó)內(nèi)知名度較高,,具備一定影響力的主流廠商的產(chǎn)品進(jìn)行功能性對(duì)比,。廠商名單如下:梭子魚(BARRACUDA),思科(Cisco),,思杰(Citrix),,安恒信息(DBAPPSecurity),飛塔(Fortinet),,綠盟(NSFOCUS)(以廠商英文字母排序),。
企業(yè)產(chǎn)品信息通過(guò)Web的形式向用戶發(fā)布本身就是企業(yè)Web應(yīng)用的最好體現(xiàn),Web應(yīng)用防火墻相關(guān)廠商在這方面應(yīng)當(dāng)有著很多的先天技術(shù)優(yōu)勢(shì),。那WAF廠商在網(wǎng)站上是如何對(duì)自身產(chǎn)品進(jìn)行宣傳的呢,?出于這方面的考慮,同時(shí)也為了對(duì)更多Web應(yīng)用防火墻產(chǎn)品進(jìn)行了解,,本次功能性對(duì)比過(guò)程中,,首次采取了以收集廠商網(wǎng)站上發(fā)布Web應(yīng)用防火墻功能信息的方式進(jìn)行(以中文資料為準(zhǔn))。以下對(duì)比信息均采集于廠商網(wǎng)站中與Web應(yīng)用防火墻相關(guān)的產(chǎn)品信息及產(chǎn)品技術(shù)白皮書,。目的是從一個(gè)用戶初次采購(gòu)Web應(yīng)用防火墻的角度,,從廠商公開發(fā)布的Web應(yīng)用防火墻信息中對(duì)產(chǎn)品進(jìn)行了解,并做出初步的判定,。
Web應(yīng)用防火墻功能對(duì)比表
此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。