|
WEB攻擊的數(shù)量逐年上升�����,占了大部分攻擊事件比例��。WEB安全已經(jīng)推到了前沿浪尖�,無論是政府還是企業(yè)都迫切解決這個棘手的問題����,Gartner統(tǒng)計:目前75%攻擊轉(zhuǎn)移到應(yīng)用層��。原有的傳統(tǒng)防御設(shè)備已經(jīng)不能滿足企業(yè)對網(wǎng)絡(luò)攻擊的防御���。WEB應(yīng)用技術(shù)在積極發(fā)展的同時需要強(qiáng)有力的安全保障���,所以WAF是應(yīng)形勢需求誕生的產(chǎn)品,它走上應(yīng)用安全的舞臺�����,是一個必然的趨勢�����。
Web漏洞歸類
眾所周知���,WEB服務(wù)系統(tǒng)實際不是一個單一的軟件,它由OS+Database+WEB服務(wù)軟件(比如:IIS�����、Apache)+腳本程序(比如:Jscript、PHP代碼文件)構(gòu)成�����,所以要考慮它最基本的依賴���,那就是OS和Database����、WEB服務(wù)軟件自身的安全�,這個可以通過安全加固服務(wù)來實現(xiàn),而最核心的應(yīng)用程序代碼是不能用同樣的手段來解決�,這也是WEB安全問題的主要來源。
WEB 應(yīng)用安全漏洞與操作系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的漏洞是不同的��,這是因為編寫代碼者是不同的���,產(chǎn)生的代碼也是不同的����,所以國外有成立正門的WEB安全組織來歸類一些漏洞���,讓開發(fā)人員��、安全廠家�、第三方專家等能用一種一致的語言來討論WEB安全問題。比較有名的是OWASP的TOP10漏洞�,還有Web Application Security Consortium (WASC)歸類的Thread Classification,如下表:
從安全角度看��,WEB從設(shè)計到開發(fā)必須遵循:
1.安全設(shè)計
2.安全編碼
3.安全測試(代碼審計和掃描�����、滲透)
4.安全運維
其中最根本的在于安全設(shè)計和安全編碼�����,也就是上線前必須保證WEB產(chǎn)品的自身強(qiáng)壯性�����。目前大部分的WEB應(yīng)用程序是用戶自己或請人編寫�,其他的或網(wǎng)站里部分組件����,比如論壇、郵件系統(tǒng)����、留言板等會用到商業(yè)版�����,代碼是不相同的����,而且程序員的水平參差不齊���,更重要的是他們都遵循了軟件的安全開發(fā)標(biāo)準(zhǔn)嗎�?
記住�,這是我們?yōu)槭裁葱枰猈AF的第一個理由!
攻擊從未停止
讓我們先看下圖���,是攻擊網(wǎng)站的基本步驟和方法���。
如上所示,互聯(lián)網(wǎng)每天都充斥著數(shù)千萬的攻擊流量��,而WAF可以自動識別和屏蔽大部分主流的攻擊工具特征�����,使得它們在攻擊的前奏就失效,綠盟科技WAF采用的是透明代理模式����,使得客戶端和服務(wù)器的雙向流量都必須經(jīng)過WAF清洗,而又無需另外配置�,保持原有的網(wǎng)絡(luò)結(jié)構(gòu),每個報文需要接受WAF對其的“搜身檢查”�����,合格之后再進(jìn)行轉(zhuǎn)發(fā)���。
可能有人會說Firewall和IPS不是這樣的設(shè)備嗎�����?它們?yōu)槭裁床荒芊烙����?詳?xì)的對比參數(shù)我就不列舉了����,大家知道OSI 7層模型��,防火墻通常工作在OSI的第三層,也就是針對網(wǎng)絡(luò)層����,包括包過濾型和狀態(tài)包檢測型防火墻,即使是應(yīng)用層防火墻也無法阻擋大多數(shù)WEB攻擊行為�,這是它自身技術(shù)定位決定的局限性。攻擊者只需在瀏覽器上操縱URL就可攻擊目標(biāo)網(wǎng)站��。當(dāng)然�����,作為互補(bǔ)型的IDS(入侵檢測系統(tǒng))�、IPS(入侵防護(hù)系統(tǒng))產(chǎn)品是能防護(hù)應(yīng)用層的攻擊行為,但是市面上絕大多數(shù)的產(chǎn)品都只能防護(hù)一部分WEB攻擊���,甚至有些產(chǎn)品也是直接在IDS類產(chǎn)品上做修改而形成的WAF�����,基本只依靠規(guī)則來實現(xiàn)����,嚴(yán)重滯后于繁雜多樣的WEB攻擊手段���。當(dāng)然�����,我在這里要重申一下�,WAF可以和傳統(tǒng)的FS+IPS作為一個有益的補(bǔ)充,但絕不是去代替他們����。
所以,WAF的自身代理架構(gòu)使得分析和阻擋攻擊具有天然的優(yōu)勢�����,這是我們?yōu)槭裁葱枰猈AF的第二個理由���!
WAF的防護(hù)原理
好�,我們再回到防護(hù)盲點的產(chǎn)生這個焦點話題�����,那就是無論如何安全設(shè)計和編碼�����,或者經(jīng)過最嚴(yán)謹(jǐn)代碼審計、滲透測試之后都難免會有漏洞��,因為理論上1000行代碼就有1個Bug�����,檢查只能讓這些減少而已��,無法真正做到?jīng)]有安全漏洞的產(chǎn)品����,這也就是為什么軟件廠商會不斷地推出一個個補(bǔ)丁來彌補(bǔ)��,而這些Bug只要能被攻擊者發(fā)現(xiàn)和利用那么就會帶來威脅�。
也就是說代碼缺陷是先天存在的,即使后來修復(fù)也會具有一定的滯后性�,而且不能保證100%地發(fā)現(xiàn)所有存在的漏洞那個缺陷。為了給大家更好地理解WAF防護(hù)的天然優(yōu)勢我們從兩個例子來進(jìn)行分析�,從技術(shù)實現(xiàn)角度看WAF,SQL注入采用了規(guī)則集靜態(tài)防護(hù)�����,CSRF采用了算法的動態(tài)防護(hù)。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
