Web應用防護系統(也稱為:網站應用級入侵防禦系統。英文:Web Application Firewall,簡稱: WAF)。利用國際上公認的一種說法:Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全政策來專門為Web應用提供保護的一款産品。
中文名
Web應用防護系統
外文名
WAF
又 稱
網站應用級入侵防禦系統
功 能
專門為Web應用提供保護
目錄
- 1産生背景
- 2應用功能
- ▪審計裝置
- ▪通路控制裝置
- ▪架構/網絡設計工具
- ▪WEB應用加強工具
- 3特點
- ▪異常檢測協定
- ▪增強的輸入驗證
- ▪及時更新檔
- ▪基于規則的保護和基于異常的保護
- ▪狀态管理
- ▪其他防護技術
- 4編譯系統
産生背景
編輯
當WEB應用越來越為豐富的同時,WEB 伺服器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目标。SQL注入、網頁篡改、網頁挂馬等安全事件,頻繁發生。2007年,國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)監測到中國大陸被篡改網站總數累積達61228個,比2006年增加了1.5倍。其中,中國大陸政府網站被篡改各月累計達4234個。
企業等使用者一般采用防火牆作為安全保障體系的第一道防線。但是,在現實中,他們存在這樣那樣的問題,由此産生了WAF(Web應用防護系統)。Web應用防護系統(Web Application Firewall, 簡稱:WAF)代表了一類新興的資訊安全技術,用以解決諸如防火牆一類傳統裝置束手無策的Web應用安全問題。與傳統防火牆不同,WAF工作在應用層,是以對Web應用防護具有先天的技術優勢。基于對Web應用業務和邏輯的深刻了解,WAF對來自Web應用程式用戶端的各類請求進行内容檢測和驗證,確定其安全性與合法性,對非法的請求予以實時阻斷,進而對各類網站站點進行有效防護。
應用功能
編輯
審計裝置
對于系統自身安全相關的下列事件産生審計記錄:
(1)管理者登陸後進行的操作行為;
(2) 對安全政策進行添加、修改、删除等操作行為;
(3) 對管理角色進行增加、删除和屬性修改等操作行為;
(4) 對其他安全功能配置參數的設定或更新等行為。
通路控制裝置
用來控制對Web應用的通路,既包括主動安全模式也包括被動安全模式。
架構/網絡設計工具
當運作在反向代理模式,他們被用來配置設定職能,集中控制,虛拟基礎結構等。
WEB應用加強工具
這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且 能夠保護WEB應用程式設計錯誤導緻的安全隐患。
需要指出的是,并非每種被稱為Web應用防火牆的裝置都同時具有以上四種功能。
同時WEB應用防火牆還具有多面性的特點。比如從網絡入侵檢測的角度來看可以把WAF看成運作在HTTP層上的IDS裝置;從防火牆角度來看,WAF是一種防火牆的功能子產品;還有人把WAF看作“深層檢測防火牆”的增強。(深層檢測防火牆通常工作在的網絡的第三層以及更高的層次,而Web應用防火牆則在第七層處理HTTP服務并且更好地支援它。)
特點
編輯
異常檢測協定
Web應用防火牆會對HTTP的請求進行異常檢測,拒絕不符合HTTP标準的請求。并且,它也可以隻允許HTTP協定的部分選項通過,進而減少攻擊的影響範圍。甚至,一些Web應用防火牆還可以嚴格限定HTTP協定中那些過于松散或未被完全制定的選項。
增強的輸入驗證
增強輸入驗證,可以有效防止網頁篡改、資訊洩露、木馬植入等惡意網絡入侵行為。進而減小Web伺服器被攻擊的可能性。
環境部署結構圖 TecNova-WAF部署拓撲
及時更新檔
修補Web安全漏洞,是Web應用開發者最頭痛的問題,沒人會知道下一秒有什麼樣的漏洞出現,會為Web應用帶來什麼樣的危害。WAF可以為我們做這項工作了——隻要有全面的漏洞資訊WAF能在不到一個小時的時間内屏蔽掉這個漏洞。當然,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應的更新檔本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。
(附注:及時更新檔的原理可以更好的适用于基于XML的應用中,因為這些應用的通信協定都具規範性。)
基于規則的保護和基于異常的保護
基于規則的保護可以提供各種Web應用的安全規則,WAF生産商會維護這個規則庫,并時時為其更新。使用者可以按照這些規則對應用進行全方面檢測。還有的産品可以基于合法應用資料建立模型,并以此為依據判斷應用資料的異常。但這需要對使用者企業的應用具有十分透徹的了解才可能做到,可現實中這是十分困難的一件事情。
狀态管理
WAF能夠判斷使用者是否是第一次通路并且将請求重定向到預設登入頁面并且記錄事件。通過檢測使用者的整個操作行為我們可以更容易識别攻擊。狀态管理模式還能檢測出異常事件(比如登陸失敗),并且在達到極限值時進行處理。這對暴力攻擊的識别和響應是十分有利的。
其他防護技術
WAF還有一些安全增強的功能,可以用來解決WEB程式員過分信任輸入資料帶來的問題。比如:隐藏表單域保護、抗入侵規避技術、響應監視和資訊洩露保護。
編譯系統
Waf Build Tool