Web應(yīng)用防火墻安全大揭秘之“十誡” 上篇

WAF（Web application firewall，Web應(yīng)用防火墻）主要用來(lái)保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見(jiàn)攻擊。WAF位于Web客戶(hù)端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ�，從而發(fā)現(xiàn)違反預(yù)先定義好安全策略的行為。

盡管某些傳統(tǒng)防火墻也能提供一定程度的應(yīng)用認(rèn)知功能，但是它不具備WAF的精度和準(zhǔn)度。WAF可以檢測(cè)一個(gè)應(yīng)用程序是否按照其規(guī)定的方式運(yùn)行，而且它能讓你編寫(xiě)特定的規(guī)則來(lái)防止特定攻擊行為的再次發(fā)生。WAF也不同于入侵防御系統(tǒng)（IPS），兩者是完全不同的兩種技術(shù)，后者是基于簽名，而前者是從行為來(lái)分析，它能夠防護(hù)用戶(hù)自己無(wú)意中制造的漏洞。

目前WAF的主要推動(dòng)因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），該標(biāo)準(zhǔn)主要通過(guò)兩個(gè)辦法來(lái)驗(yàn)證是否合規(guī)：WAF和代碼審查。另外一個(gè)推動(dòng)因素是，人們?cè)絹?lái)越多的認(rèn)識(shí)到攻擊已經(jīng)開(kāi)始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序。根據(jù)WhiteHat Security公布的一份研究報(bào)告，從2006年1月到2008年12月間對(duì)877個(gè)網(wǎng)站進(jìn)行了評(píng)估，結(jié)果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個(gè)高�；蚓o急安全漏洞。

WAF的主要特性

Web應(yīng)用防火墻市場(chǎng)仍然不確定，有很多不同的產(chǎn)品被歸類(lèi)到WAF范疇。研究機(jī)構(gòu)Burton Group的分析師Ramon Krikken表示，“很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能，這使得產(chǎn)品的評(píng)價(jià)和比較難以進(jìn)行。”此外，通過(guò)將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式，新廠商開(kāi)始進(jìn)入市場(chǎng)。

根據(jù)研究和咨詢(xún)公司Xiom創(chuàng)始人Ofer Shezaf提供的清單，下面列出Web應(yīng)用防火墻應(yīng)該具備的特性：

深入理解HTTP。WAF必須全面深入分析和解析HTTP的有效性。

提供明確的安全模型。明確的安全模型只允許已知流量通過(guò)，這就給應(yīng)用程序提供了外部驗(yàn)證保護(hù)。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

應(yīng)用層規(guī)則：由于高昂的維護(hù)費(fèi)用，明確的安全模型應(yīng)該配合基于簽名的系統(tǒng)來(lái)運(yùn)作。不過(guò)由于web應(yīng)用程序是自定義編碼，傳統(tǒng)的針對(duì)已知漏洞的簽名是無(wú)效的。WAF規(guī)則應(yīng)該是通用的，并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。

基于會(huì)話的保護(hù)：HTTP的最大弱勢(shì)之一在于缺乏嵌入式的可靠的會(huì)話機(jī)制。WAF必須實(shí)現(xiàn)應(yīng)用程序會(huì)話管理，并保護(hù)應(yīng)用程序免受基于會(huì)話的攻擊和超時(shí)攻擊。

允許細(xì)粒度政策管理。例外政策應(yīng)該只對(duì)極少部分的應(yīng)用程序執(zhí)行，否則，可能會(huì)造成重大安全漏洞。

WAF的選擇標(biāo)準(zhǔn)

開(kāi)放網(wǎng)絡(luò)應(yīng)用安全計(jì)劃組織（OWASP）主要工作是改進(jìn)應(yīng)用軟件的安全性。以下是OWASP提出的WAF的選擇標(biāo)準(zhǔn)：

幾乎不出現(xiàn)誤報(bào)（即，從不拒絕授權(quán)請(qǐng)求）

默認(rèn)防御強(qiáng)度

具備易學(xué)模式

預(yù)防的攻擊類(lèi)型

具備將單個(gè)用戶(hù)限定在當(dāng)前對(duì)話中可見(jiàn)的能力

配置預(yù)防像緊急補(bǔ)丁等特定問(wèn)題的能力

波形因數(shù)：軟件與硬件（通常硬件優(yōu)先）

選擇WAF首要考慮的問(wèn)題

WAF與源代碼掃描

WAF不能修復(fù)應(yīng)用程序只能進(jìn)行實(shí)時(shí)保護(hù)的特點(diǎn)，過(guò)去一直備受指責(zé)。有些廠商甚至避免使用“WAF”術(shù)語(yǔ)形容他們的產(chǎn)品，而是代之以“應(yīng)用層意識(shí)”或“應(yīng)用層智能”。不過(guò)，現(xiàn)在人們已經(jīng)越來(lái)越普遍地認(rèn)為，通過(guò)正確的實(shí)施，WAF能夠成為多層安全模型中的重要組成部分，因?yàn)楫?dāng)人們修補(bǔ)應(yīng)用程序漏洞的時(shí)候WAF可以提供保護(hù)。

正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅(jiān)持的那樣，應(yīng)用程序中攻擊和漏洞太多，根本來(lái)不及修復(fù)代碼本身。他主張，通過(guò)評(píng)估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中，這樣就能為減輕當(dāng)前狀況并為過(guò)后再修復(fù)問(wèn)題提供選擇。

Gartner公司則建議客戶(hù)考慮采用技術(shù)手段消除應(yīng)用程序漏洞。在花錢(qián)購(gòu)買(mǎi)設(shè)備之前，用戶(hù)首先應(yīng)該考慮一下，是否通過(guò)更強(qiáng)大的系統(tǒng)開(kāi)發(fā)生命周期和使用源代碼掃描器等工具來(lái)消除漏洞。WAF對(duì)于那些不容易改變的應(yīng)用程序是非常有用的。雖然一小部分風(fēng)險(xiǎn)承受力低的公司需要采用上述兩種方法進(jìn)行安全防護(hù)，但是對(duì)于大多數(shù)公司而言，采用其中任意一種方法就足夠了。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]