技術(shù)分享:WAF選型須關(guān)注五大功能
來源:?jiǎn)⒚餍浅?/div>
綠海
摘要: 在互聯(lián)網(wǎng)應(yīng)用高速發(fā)展的同時(shí),,承載Web信息系統(tǒng)的Web服務(wù)器也面臨著巨大安全挑戰(zhàn),。因此,針對(duì)Web應(yīng)用層的防御產(chǎn)品——WAF(Web Application Firewall,,Web應(yīng)用防火墻)產(chǎn)品已經(jīng)成為構(gòu)建客戶網(wǎng)站安全解決方案的首要選擇。
Abstract:
Key words :
在互聯(lián)網(wǎng)應(yīng)用高速發(fā)展的同時(shí),,承載Web信息系統(tǒng)的Web服務(wù)器也面臨著巨大安全挑戰(zhàn),。因此,,針對(duì)Web應(yīng)用層的防御產(chǎn)品——WAF(Web Application Firewall,Web應(yīng)用防火墻)產(chǎn)品已經(jīng)成為構(gòu)建客戶網(wǎng)站安全解決方案的首要選擇,。
根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡(jiǎn)稱CNCERT/CC)的統(tǒng)計(jì)報(bào)告,,2011年境內(nèi)被篡改網(wǎng)站數(shù)量多達(dá) 36612 個(gè),其中有不少是.com和.com.cn的域名類網(wǎng)站,,甚至有一些.gov.cn域名類網(wǎng)站,,網(wǎng)站的安全形勢(shì)十分嚴(yán)峻。
WAF這一防御系統(tǒng)能夠保護(hù)各網(wǎng)站W(wǎng)eb服務(wù)器免受應(yīng)用級(jí)入侵,,它彌補(bǔ)了防火墻,、IPS這類安全設(shè)備對(duì)Web應(yīng)用攻擊防護(hù)能力不足的問題。但是,,市場(chǎng)上的WAF產(chǎn)品很多,,WAF產(chǎn)品到底具備哪些功能才能滿足國內(nèi)客戶對(duì)Web服務(wù)器防護(hù)的需求?客戶會(huì)陷入功能、性能,、易用性的選擇性困惑中,。事實(shí)上,無論是國內(nèi)還是國外的WAF產(chǎn)品,,除了HTTP協(xié)議吞吐能力一般必須達(dá)到200M至8G之間的最基本的性能要求之外,,功能的訴求點(diǎn)概括起來不外乎五個(gè)方面,如圖所示:
首先,,WAF產(chǎn)品應(yīng)該具有Web非授權(quán)訪問的防護(hù)功能,。這類攻擊會(huì)在客戶端毫不知情的情況下,竊取客戶端或者網(wǎng)站上含有敏感信息的文件,,譬如Cookie文件,,通過盜用這些文件,對(duì)一些網(wǎng)站進(jìn)行未授權(quán)情況下的行為操作,,譬如轉(zhuǎn)賬等行為,,因此,針對(duì)這類的防護(hù),,需要特別留意,。另外,WAF產(chǎn)品必須要具備針對(duì)跨站請(qǐng)求偽造(Cross-site request forgery,,CSRF)攻擊的防護(hù)功能,。
其次,WAF產(chǎn)品應(yīng)該具備對(duì)Web攻擊的防護(hù)功能,。這類攻擊主要包含了SQL注入攻擊和XSS跨站攻擊,。一般來說SQL注入攻擊利用Web應(yīng)用程序不對(duì)輸入數(shù)據(jù)進(jìn)行檢查過濾的缺陷,將惡意的SQL語句注入到后臺(tái)數(shù)據(jù)庫,,達(dá)到竊取(篡改)數(shù)據(jù),,控制服務(wù)器的目的,。XSS攻擊指惡意攻擊者往Web頁面里插入惡意代碼,,當(dāng)受害者瀏覽該Web頁面時(shí),,嵌入其中的代碼會(huì)被受害者的Web客戶端執(zhí)行,達(dá)到惡意攻擊的目的,。另外,,WAF產(chǎn)品還應(yīng)該具備對(duì)應(yīng)用層DoS攻擊的防護(hù)能力,譬如目前最常見就是HTTP Flood攻擊(如:CC攻擊),,這是WAF產(chǎn)品較高的技術(shù)準(zhǔn)入門檻,。
第三,WAF產(chǎn)品應(yīng)該具備Web惡意代碼的防護(hù)功能,。譬如,,WebShell就是一個(gè)ASP或PHP木馬后門,攻擊者在入侵網(wǎng)站后,,常常將這些木馬后門文件放置在Web服務(wù)器的站點(diǎn)目錄中,,與正常的頁面文件混在一起,這就要求WAF產(chǎn)品能準(zhǔn)確識(shí)別和防護(hù),。另外,,還有對(duì)網(wǎng)頁掛馬的防護(hù),一般這類攻擊的主要目的是讓用戶將木馬下載到本地,,并進(jìn)一步執(zhí)行,,從而使用戶電腦遭到攻擊和控制,最終目的是盜取用戶的敏感信息,,如各類賬號(hào),、密碼,因此這類功能也是WAF產(chǎn)品需要具備的基礎(chǔ)功能,。
第四,,WAF產(chǎn)品應(yīng)該具備基本的應(yīng)用交付能力。應(yīng)用交付是指應(yīng)用交付網(wǎng)絡(luò)(Application Delivery Networking,,ADN),,它借助WAF產(chǎn)品對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化,確保用戶的業(yè)務(wù)應(yīng)用能夠快速,、安全,、可靠地交付給內(nèi)部員工和外部服務(wù)群。通常情況下,,多服務(wù)器負(fù)載均衡是WAF產(chǎn)品常見的應(yīng)用交付形態(tài),。
最后,WAF產(chǎn)品應(yīng)該具備Web應(yīng)用合規(guī)功能,。應(yīng)用合規(guī)是指客戶端或者Web服務(wù)器所做的各類行為符合用戶設(shè)置的規(guī)定要求,,譬如基于URL的應(yīng)用層訪問控制和HTTP請(qǐng)求的合規(guī)性檢查,,都屬于Web應(yīng)用合規(guī)所強(qiáng)調(diào)的功能。在國際上PCI-DSS標(biāo)準(zhǔn),、國內(nèi)相關(guān)部門的合規(guī)規(guī)章制度要求下,,尤其是,企業(yè)或政府機(jī)構(gòu)中遵從的公安部等級(jí)保護(hù)的要求下,,WAF產(chǎn)品的應(yīng)用合規(guī)已經(jīng)成為客戶十分重視的基礎(chǔ)功能,。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。