王微微

摘 要：做好網絡防火墻工作，才能保證應用程序正常運作。結合目前日益嚴重的網絡安全問題和現有的網絡安全產品，說明了安裝Web防火墻的重要性。發(fā)現防火墻技術仍不夠成熟，提出了Web應用防火墻技術可以保護Web應用程序免受普通攻擊，并對Web應用防火墻的主要技術進行了描述。

關鍵詞：Web；防火墻；技術；WAF

中圖分類號：TP311.563+.1 文獻標識碼：A 文章編號：2095-6835（2014）07-0144-02

隨著信息化時代的來臨，我國的信息化進程進一步加快，人們的工作和生活通過網絡也得到了很好的改變。但是，隨之而來的網絡安全問題也日益嚴重，一些公司和機構由于網絡安全保護工作落實不到位，遭受了巨大的經濟損失。因此，如何解決此類問題值得我們去思考，本文就此進行討論、分析。

1 Web安全背景

隨著互聯網的普及，網絡世界變得豐富多彩，并越來越融入到我們的工作和生活中。政府部門為了提高辦事效率，企業(yè)為了提高生產力、減少投資、增加收益，都紛紛將許多關鍵業(yè)務放到基于Web應用的平臺上，例如電子政務、網上銀行、網上報名、電子商務和企業(yè)ERP系統(tǒng)，等等。

1.1 安裝Web防火墻的必要性

據美國高德納公司統(tǒng)計顯示，近些年所發(fā)生惡意網絡行為（包括黑客攻擊）的3/4以上是利用Web服務漏洞進行攻擊，有2/3的網站相當脆弱，易受到攻擊。但是，現有的諸多安全產品未能對惡意網絡行為做出有效的防護。

Web業(yè)務的迅速發(fā)展也引起了黑客的關注，他們將注意力從以往對傳統(tǒng)網絡服務器的攻擊逐步轉移到了對Web業(yè)務的攻擊上。黑客利用網站操作系統(tǒng)漏洞和Web程序的SQL注入漏洞，得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據或在網頁中植入惡意代碼，使得網站訪問者受到侵害。這些攻擊導致網站遭受聲譽損失、經濟損失，有的甚至會造成惡劣的政治影響。

1.2 現有網絡安全產品的局限性

1.2.1 防火墻的局限性

防火墻是網絡安全保障體系的第一道防線，但由于它在網絡層工作，無法提供對應用層的防護。

1.2.2 IDS/IPS的局限性

IDS（侵入檢測系統(tǒng)）/IPS（入侵防御系統(tǒng)）工作定位在分析傳輸層和網絡層的數據，對復雜的各種應用層協議報文，特別是對經過加密、編碼和分片的數據包，其分析檢測存在局限。其主要基于已發(fā)現的知名漏洞，通過被動添加方式來進行防護；而對于未知攻擊和存在于用戶私有Web應用程序代碼內的漏洞隱患，則無能為力。

2 WAF的技術分析

2.1 常見的Web攻擊手法

目前，已知的應用層和網絡層攻擊方法很多，這些攻擊被分為若干類，表1中列出最常見的幾種攻擊手法。

2.2 WAF的工作原理

WAF（Web應用防護系統(tǒng)）旨在保護Web應用程序免受常見攻擊的威脅，通過分析應用層的流量，發(fā)現任何違法安全策略的安全問題。

WAF在網絡中一般位于Web應用服務器前，用于保護防火墻之后的應用服務器。它提供的功能可能包括服務器之間的流量負載均衡、壓縮、加密、HTTP和HTTPS流量的反向代理、檢查應用程序的一致性和匯聚TCP會話等。

2.2.1 代理模塊

WAF的代理模塊可以工作于三種模式，即透明代理模式、反向代理模式和路由代理模式。

透明代理模式的工作原理是：當Web客戶端對服務器有鏈接請求時，TCP鏈接請求被WAF截取和監(jiān)控。

反向代理模式是指將真實服務器的地址映射到反向代理服務器上，此時代理服務器對外表現為一個真實服務器，由于客戶端訪問的就是WAF，因此WAF無需像其他模式一樣需要采用特殊處理去劫持客戶端與服務器的會話，然后為其做透明代理。

路由代理模式與網橋透明代理的唯一區(qū)別就是該代理工作在路由轉發(fā)模式而非網橋模式，其他工作原理都一樣。由于工作在路由（網關）模式，因此需要為WAF的轉發(fā)接口配置IP地址和路由。

2.2.2 Web安全防護引擎

Web安全防護引擎與傳統(tǒng)防火墻或入侵防御系統(tǒng)相比，具有以下顯著特點。

2.2.2.1 對HTTP有本質的理解

對HTTP有本質的理解主要體現在以下幾點：①能完整地解析HTTP，包括報文頭部和參數及載荷；②支持各種HTTP編碼（比如壓縮）；③提供嚴格的HTTP協議驗證，提供HTML限制；④支持各類字符集編碼；⑤具備Response過濾能力。

2.2.2.2 提供應用層規(guī)則

Web應用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往是無效的。WAF提供專用的應用層規(guī)則，且具備檢測變形攻擊的能力，例如檢測SSL加密流量中混雜的攻擊。

2.3 WAF的擴展功能

2.3.1 Web掃描

WAF上集成Web漏洞掃描工具，用于查找一些明顯的Web安全漏洞，比如可以檢測Web應用程序是否存在SQL注入、跨站腳本漏洞或網站掛馬等常見網站漏洞。

2.3.2 Web防篡改

WAF中集成了防篡改系統(tǒng)，一般是在被監(jiān)控的Web上安裝監(jiān)控代理，由WAF進行集中控制和監(jiān)管，其工作原理與網頁防篡改系統(tǒng)的工作原理一致。通過防篡改功能，可保證網頁的真實性，杜絕篡改后的網頁被訪問，以維護網站的公信度。

2.3.3 WAF高可用性

高可用性對任何網絡安全設備來說都相當重要，特別是對WAF這種防護關鍵業(yè)務的安全設備。通過相關技術降低因WAF故障導致出現Web業(yè)務中斷的可能性，一般采用雙機熱備（多機集群）、軟硬件BYPASS來提高可用性，有的還會采用雙系統(tǒng)冗余技術來保證系統(tǒng)的可用性。

2.3.4 Web應用交付

由于Web應用交付設備已成為一些大型的、重要Web業(yè)務中不可缺少的組件，同時又部署在Web服務器之前，所以現有的WAF也多少集成了一些Web應用交付的功能，主要有負載均衡、Web加速和SSL卸載等。

2.3.4.1 負載均衡

負載均衡不僅能通過WAF實現服務器負載均衡器的功能，也能支持部署在已有負載均衡器的網絡環(huán)境。

2.3.4.2 Web加速

目前，主要采用的是Web緩存和網頁壓縮的技術，來實現Web加速。Web緩存是指將經常被訪問的網頁內容保存在WAF本身，或是把一些不經常變動的文件、圖片保存在客戶端，減少重復下載，實現加速；網頁壓縮技術是指對壓縮比例高的文件（例如TXT，HTML，HTM和ASP等）進行壓縮后再傳輸，利用瀏覽器內置的解壓機制解壓，從而提高訪問速度。

2.3.4.3 SSL卸載

使用SSL的網站服務器CPU需要承擔SSL協議和加解密計算負荷，SSL卸載指由WAF來處理SSL協議內容，減輕服務器負擔。

3 WAF的發(fā)展趨勢

隨著網絡技術和Web技術的不斷發(fā)展，Web應用防火墻技術也需要不斷更新和突破。Web2.0迅猛發(fā)展，使網站的交互性越來越強，同時也帶來了一些新的應用技術，比如XML，Ajar，

JSON，Flas和hWeb服務技術等。但是，這些新興協議和現有媒體類型都會帶來惡意軟件或安全漏洞，并且Web攻擊也會針對這些漏洞實施，所以，對Web2.0的有效防護將成為WAF今后一個重要的發(fā)展方向。

此外，隨著云時代的到來，提供云服務的Web應用安全也是今后一段時期內WAF的發(fā)展方向，尤其是對于眾多托管安全服務提供商（MSSP）來說，往往需要通過支持云安全的WAF部署，為終端客戶提供應用層的安全增值服務。

4 結束語

總體來說，信息化的進程會越來越快，網絡安全問題顯得尤為重要，我們要重視網絡防護工作，積極改進原有不完善的保護系統(tǒng)，采用防御能力更強的WAF，并熟悉、掌握其特點，真正做到從根本上對網絡安全進行保護，這對網絡發(fā)展和效益有著重要的推動作用。

參考文獻

[1]陳小兵，范淵，孫立偉.Web滲透技術及實戰(zhàn)案例解析[M].北京：電子工業(yè)出版社，2012.

[2]Michal Zalewski.Web之困：現代Web應用安全指南[M]朱筱丹，譯.北京：機械工業(yè)出版社，2013.

〔編輯：李玨〕