ＷＥＢ应用防火墙解读绿盟科技产品市场部 赵旭摘　要：本文结合一家第三方互联网支付公司遇到的安全事件，介绍了来自Ｗｅｂ安全的挑战，以及Ｗｅｂ应用安全的防护解决思路。

并对如何正确选择ＷＡＦ、正确配置使用ＷＡＦ　提供了有益的建议。

关键词：Ｗｅｂ应用安全；ＷＡＦ作为一家第三方互联网支付公司的ＣＩＯ，Ｄａｖｅ为公司近期发生的一系列安全事件忙得焦头烂额。

虽然已经在公司的网络出口处部署了防火墙、入侵检测系统等安全设备，但是几个月前，公司网站和支付服务器还是遭受到拒绝服务攻击导致业务瘫痪。

拒绝服务攻击事件还没处理完，Ｄａｖｅ又接到员工报告，公司门户网站被Ｇｏｏｇｌｅ报出含有恶意软件。

来自Ｗｅｂ的安全挑战Ｄａｖｅ的烦恼其实是日前众多ＩＴ管理者遭遇的缩影之一。

随着机构的计算及业务资源逐渐向数据中心高度集中，Ｗｅｂ成为一种普适平台，上面承载了越来越多的核心业务。

Ｗｅｂ的开放性带来丰富资源、高效率、新工作方式的同时，也使机构的资产暴露在越来越多的威胁中。

现今Ｗｅｂ安全问题对我们来说已屡见不鲜，以下是收录于国际安全组织ＷＡＳＣＷＨＩＤ项目中的几起安全事件　：（１）　２００９年５月２６日，法国移动运营商Ｏｒａｎｇｅ　Ｆｒａｎｃｅ提供照片管理的网站频道有ＳＱＬ注入漏洞，黑客利用此漏洞获取到２４５，０００条用户记录（包括Ｅ－ｍａｉｌ、姓名及明文方式的密码）。

（２）２００９年１月２６日，美国军方两台重要的服务器被土耳其黑客渗透，网页被篡改，黑客采用的是ＳＱＬ注入攻击手段。

（３）　２００９年１月２６日，印度驻西班牙使馆网站被挂马（通过ｉＦｒａｍｅ攻击植入恶意代码）。

Ｗｅｂ应用安全防护解决思路Ｗｅｂ应用安全问题本质上源于软件质量问题。

但Ｗｅｂ应用较传统的软件，具有其独特性。

Ｗｅｂ应用往往是某个机构所独有的应用，对其存在的漏洞，已知的通用漏洞签名缺乏有效性；需要频繁地变更以满足业务目标，从而使得很难维持有序的开发周期；需要全面考虑客户端与服务端的复杂交互场景，而往往很多开发者没有很好地理解业务流程；人们通常认为Ｗｅｂ开发比较简单，缺乏经验的开发者也可以胜任。

针对Ｗｅｂ应用安全，理想情况下应该在软件开发生命周期遵循安全编码原则，并在各阶段采取相应的安全措施。

然而，多数网站的实际情况是：大量早期开发的Ｗｅｂ应用，由于历史原因，都存在不同程度的安全问题。

对于这些已上线、正提供生产的Ｗｅｂ应用，由于其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难施行或者需要较长的整改周期。

针对这种现状，专业的Ｗｅｂ安全防护工具是一种合理的选择。

Ｗｅｂ应用防火墙（以下简称ＷＡＦ）正是这类专业工具，提供了一种安全运维控制手段：基于对ＨＴＴＰ／ＨＴＴＰＳ流量的双向分析，为Ｗｅｂ应用提供实时的防护。

与传统防火墙／ＩＰＳ设备相比较，ＷＡＦ最显著的技术差异性体现在：（１）　对ＨＴＴＰ有本质的理解：能完整地解析ＨＴＴＰ，包括报文头部、参数及载荷。

支持各种ＨＴＴＰ　编码（如ｃｈｕｎｋｅｄｅｎｃｏｄｉｎｇ、ｒｅｑｕｅｓｔ／ｒｅｓｐｏｎｓｅ压缩）　；提供严格的ＨＴＴＰ协议验证；提供ＨＴＭＬ限制；支持各类字符集编码；具备ｒｅｓｐｏｎｓｅ过滤能力。

（２）提供应用层规则：Ｗｅｂ应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。

ＷＡＦ提供专用的应用层规则，且具备检测变形攻击的能力，如检测ＳＳＬ加密流量中混杂的攻击。

（３）提供正向安全模型（白名单）　：仅允许已知有效的输入通过，为Ｗｅｂ应用提供了一个外部的输入验证机制，安全性更为可靠。

（４）提供会话防护机制：ＨＴＴＰ协议最大的弊端在于缺乏一个可靠的会话管理机制。

ＷＡＦ为此进行有效补充，防护基于会话的攻击类型，如ｃｏｏｋｉｅ篡改及会话劫持攻击。

如何正确选择ＷＡＦ并非对Ｗｅｂ服务器提供保护的“盒子”都是ＷＡＦ。

事实上，一个真正满足需求的ＷＡＦ应该具有二维的防护体系：（１）纵向提供纵深防御：通过建立协议层次、信息流向等纵向结构层次，构筑多种有效防御措施阻止攻击并发出告警。

（２）横向：满足合规要求；缓解各类安全威胁（包括网络层面、Ｗｅｂ基础架构及Ｗｅｂ应用层面）　；降低服务响应时间、显著改善终端用户体验，优化业务资源和提高应用系统敏捷性。

　在选择ＷＡＦ产品时，建议参考以下步骤：（１）结合业务需求明确安全策略目标，从而定义清楚ＷＡＦ产品必须具备的控制能力；（２）评估每一家厂商ＷＡＦ产品可以覆盖的风险类型；（３）测试产品功能、性能及可伸缩性；（４）评估厂商的技术支持能力；（５）评估内部维护团队是否具备维护、管理ＷＡＦ产品的必需技能；（６）权衡安全、产出以及总成本。

“成本”不仅仅意味着购买安全产品／服务产生的直接支出，还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销。

ＷＡＦ应用场景相信通过前文的介绍，大家对ＷＡＦ产品已经有了初步了解。

但也可能存在疑问，部署ＷＡＦ，实际到底可以解决什么问题？下面将介绍几个典型的应用场景。

ＷＡＦ支持完全代理方式，作为Ｗｅｂ客户端和服务器端的中间人，避免Ｗｅｂ服务器直接暴露在互联网上，监控ＨＴＴＰ／ＨＴＴＰＳ双向流量，对其中的恶意内容（包括攻击请求以及网页内容中被植入的恶意代码）进行在线清洗。

（１）网页篡改在线防护按照网页篡改事件发生的时序，提供事中防护以及事后补偿的在线防护解决方案。

事中，实时过滤ＨＴＴＰ请求中混杂的网页篡改攻击流量（如ＳＱＬ注入、ＸＳＳ等）。

事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行短信告警，对外仍显示篡改前的正常页面，用户可正常访问网站。

（２）网页挂马在线防护网页挂马为一种相对比较隐蔽的网页篡改方式，本质上这种方式也破坏了网页的完整性。

网页挂马攻击目标为各类网站的最终用户，网站作为传播网页木马的“傀儡帮凶”，严重影响网站的公信度。

当用户请求访问某一个页面时，ＷＡＦ会对服务器侧响应的网页内容进行在线检测，判断是否被植入恶意代码，并对恶意代码进行自动过滤。

（３）敏感信息泄露防护ＷＡＦ可以识别并更正Ｗｅｂ应用错误的业务流程，识别并防护敏感数据泄露，满足合规与审计要求，具体如下：①可自定义非法敏感关键字，对其进行自动过滤，防止非法内容发布为公众浏览。

②Ｗｅｂ站点可能包含一些不在正常网站数据目录树内的ＵＲＬ链接，比如一些网站拥有者不想被公开访问的目录、网站的Ｗｅｂ管理界面入口及以前曾经公开过但后来被隐藏的链接。

ＷＡＦ提供细粒度的ＵＲＬ　ＡＣＬ，防止对这些链接的非授权访问。

［下转５１页］法闯入者的任何不良企图。

可以记录和统计有关网络使用滥用的情况。

但是防火墙技术只能防外不防内，不能防范网络内部的攻击，也不能防范病毒。

防火墙技术属于典型的被动防御和静态安全技术，网络管理员可将防火墙技术与其他安全技术配合使用，这样可以更好地提高网络的安全性。

４．３ 数据加密技术数据加密技术是保护网络上传输的信息不被恶意者篡改截取一种重要措施和方法，其他一切安全技术的基础和核心。

此方法可以将被传送的信息进行加密，使信息以密文的形式在网络上传输。

这样，即使攻击者截获了信息，也无法知道信息的内容。

通过这种方法，我们可以达到一些敏感的数据只能被相应权限的人访问的目的，防止被一些怀有不良用心的人看到或者破坏。

按照接收方和发送方的密钥是否相同，可将加密算法分为对称算法和公开密钥算法，这两种算法依旧是本世纪的主流算法。

在对称算法中，加密密钥和解密密钥相同或者加密密钥能够从解密密钥中推算出来，反之也成立。

最具代表性的对称算法便是ＤＥＳ算法。

对称算法优点是速度快，历史悠久，但是其密钥必须通过安全的途径传送，因此其密钥管理成为系统安全的重要因素。

在公开密钥算法中，加密密钥和解密密钥互不相同，并且几乎不可能从加密密钥推导出解密密钥。

ＲＳＡ算法是公开密钥算法中最具影响力和最为典型的算法，是第一个能同时用于数字签名和加密的算法。

公开密钥算法较对称密钥算法相比其密钥管理简单，但是其加密算法复杂，速度慢。

在维护网络安全的工作中，我们可以适当地采取数据加密这种主动防御的技术，来提高信息通讯的安全性。

为了达到网络安全的目的，除了上面介绍的几种之外，还有一些被广泛应用的网络安全技术，例如入侵检测、身份验证、访问控制、安全管理、安全审计等等。

５ 结束语网络安全涉及到计算机科学、　网络技术、　通信技术、　密码技术、　信息安全技术、　应用数学、　数论、　信息论等多种学科，是一个复杂的且涉及多方面的系统工程，　我们需要采取被动防御与主动防御的相结合的方法，动态地不断地提高安全防范技术。

在此基础上，我们应当加强管理，不断提高全民网络道德水准和网络安全意识。

参考文献［１］黄传河，杜瑞颖，张沪寅．网络安全．武汉大学出版社．２００４．［２］刘鹏威．网络安全解析．中国高新技术企业．２００８．［３］刘莉，苗慧珠．计算机网络安全分析．青岛建筑工程学院学报．２００４．［４］曹天杰，张永平，毕方明．计算机系统安全．北京：高等教育出版社．２００７．［５］牛冠杰，笋大伟，李晨旸等．网络安全技术实践与代码详解．北京：人们邮电出版社．２００７．［６］傅长弘．网络安全探讨．中国西部科技．２００４．［７］晏伯武．网络安全的研究．科技创业．２００５．［８］陈小龙，韩育新．计算机网络安全与防护技术．有线电视技术．２００８．③网站隐身：过滤服务器侧出错信息，如错误类型、出现错误脚本的绝对路径、网页主目录的绝对路径、出现错误的ＳＱＬ语句及参数、软件的版本、系统的配置信息等，避免这些敏感信息为攻击者利用、提升入侵的概率。

④对数据泄密具备监管能力。

能过滤服务器侧响应内容中含有的敏感信息，如身份证号、信用卡号等。

（４）　ＷＥＢ应用交付ＷＡＦ同时提供ＳＳＬ加速及卸载、Ｗｅｂ　ｃａｃｈｉｎｇ及压缩等功能。

①通过应用加速，有效补偿由于传统安全设备检测、过滤处理引入的时延，优化服务器侧业务资源，改善最终用户体验。

②整合基础架构，降低维护的复杂性，节约基本建设费用及后期维护成本。

简化及统一策略管理，极大提高效率。

③加速加密流量。

参考资料［１］Ｔｈｅ　Ｗｅｂ　Ｈａｃｋｉｎｇ　Ｉｎｃｉｄｅｎｔｓ　Ｄａｔａｂａｓｅ．　ＵＲＬ：　ｈｔｔｐ：／／ｗｗｗ．ｘｉｏｍ．ｃｏｍ／ｗｈｉｄ．关于绿盟科技绿盟科技（ＮＳＦＯＣＵＳ　Ｃｏ．，　Ｌｔｄ．）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在安全网关、入侵检测／保护、远程安全评估、应用与内容安全、ＤＤｏＳ攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。

［上接５页］。