隨著互聯網技術的發展,Web技術得到了日益廣泛的應用,越來越多的企業和單位對網絡的帶寬提出了更高的需求,但同時Web安全威脅已經進入快速發展階段。據統計,2013年有超過半數的企業的Web應用被洩露,其中不少因此遭到嚴重的財務損失。近年來,企業安全事件屢見報端:2011年,多家公司和政府網站被黑客攻擊;2012年的DDoS攻擊令眾多美國銀行網站癱瘓;更不用提那些造成數百萬用戶信用卡信息洩露的網絡安全事故了。傳統的網絡安全防護體系如防火牆,入侵檢測系統已無法招架,如今的黑客Web的攻擊手段也日新月異,如XSS跨站攻擊、網站SQL注入,導致網頁被篡改、網站被查封,這些攻擊手段甚至使Web成為傳播木馬給瀏覽網站用戶的一個載體。如何能應對新形勢下的網絡攻擊是每個單位和企業需要迫切解決和麵對的難題。
1 Web應用防火牆
1.1 Web應用防火牆簡介Web應用防火牆,也被稱為網站應用級入侵防禦系統(Web Application FircwaU,以下簡稱:WAF),按照國際公認的定義,WAF是指通過執行一系列針對HTTP/HTTPS的安全策略專門為Web應用提供保護的產品。它主要用於防禦針對網絡應用層的攻擊,例如SQL注入攻擊、跨站腳本攻擊、命令注入攻擊、Cookie/Session劫持、參數篡改、緩衝溢出攻擊、日誌篡改、應用平臺漏洞攻擊、DOS攻擊、HTTP類攻擊等攻擊行為悼J。在眾多的Web攻擊方式中,SQL注入攻擊和XSS跨站攻擊能夠更直接獲取到用戶數據,從這兩種攻擊方式出現一直到今天,都是一直高居OWASP TOP 10,而未來攻擊的發展趨勢,XSS跨站腳本攻擊會一直名列前茅,SQL注入攻擊也不會隨著防禦意識的提高而消失。而這些攻擊手段,尤其是XSS和SQL注入都是傳統安全設備無法防禦的安全威脅。WAF的定位是對原有信息安全架構下如網絡防火牆,入侵防禦系統等的一個有效補充,從而對企業信息系統的安全提供了有力的保障。
1.2 web應用防火牆和傳統防火牆的區別傳統的防火牆是位於兩個(或多個)網絡之間,它們是實施網間訪問控制的一組組件的集合,內部和外部網絡之間的所有網絡數據都必須經過防火牆,而只有符合安全策略的數據流才能通過防火牆,它工作在開放系統互連參考模型(OSI)的網絡層,通過地址轉換、訪問控制機器的狀態檢測等功能,對企業網絡層數據進行保護。對於應用最廣泛的Web服務器,由於其工作在OSI的第七層即應用層,防火牆需要對外部網絡完全開放HTTP/HTTPS應用端口,這種安全策略對Web應用沒有任何的保護,因此基於網絡層的防護和包過濾技術無法對應用層的攻擊進行有效的欄截,沒有很好的保護Web應用程序的能力。WAF工作在ISO互聯網參考模型的應用層,它的數據中心主要針對網絡中新增加應用程序,新的軟件模塊進行相應的監聽,發現不符合規則的訪問,訪問將會被阻止。對於現今常見的跨站腳本攻擊、SQL注入攻擊、DOS攻擊、HTTPS類攻擊等攻擊行為都有很好的防禦效果。
1.3 Web應用防火牆的部署方式Web應用防火牆的部署主要有透明模式、路由模式、旁路監控模式以及HA雙擊模式來滿足用戶的各種不同網絡結構的應用需求。
1)透明部署方式透明部署方式是在Web服務器和防火牆之間插入WAF,在透明模式下,Web應用防火牆只對流經OSI應用層的數據進行分析,而對其他層的流量不作控制,因此透明模式的最大特點就是快速、方便、簡單。
2)路由部署方式部署網橋透明模式的WAF的設備,其“透明”概念與網橋透明模式中相似,可以將其看做一個路由設備,將其作為路由器進行部署,同時確保要檢測的HTTP流量(指定IP和端口)經過WAF設備即可。這種部署模式是網絡安全防護中保護程度最高的,但是需要對防火牆和Web應用服務的路由設置做出一定的調整,對網絡管理員的要求較高。
3)旁路部署方式旁路部署模式是將WAF置於局域網交換機下,訪問Web服務器的所有連接通過安全策略指向WAF。它的優點是對網絡的影響較小,但是在該模式下,Web服務器無法獲取訪問者的真實IP地址。
4)離線部署模式離線模式下WAF的防護引擎,通常是部署在交換機的鏡像口(需要交換機支持)上,其作為一個旁觀者、監聽者的角色,僅對HTTP數據流進行檢測,並且記錄訪問和攻擊信息,而不對攻擊進行攔截。該種模式的優點是,可以不對現有的網絡進行修改。並且對Web服務器的訪問沒有任何的影響,可以通過部署離線模式,瞭解網站的訪問情況和攻擊情況,並且調整WAF的配置參數,以適應Web服務器的具體情況,為後續部署其他工作模式做好準備。
閱讀更多 山藥蛋自媒體心得 的文章
