|
WEB攻擊的數(shù)量逐年上升,占了大部分攻擊事件比例���。WEB安全已經(jīng)推到了前沿浪尖���,無論是政府還是企業(yè)都迫切解決這個棘手的問題,Gartner統(tǒng)計:目前75%攻擊轉移到應用層��。原有的傳統(tǒng)防御設備已經(jīng)不能滿足企業(yè)對網(wǎng)絡攻擊的防御����。WEB應用技術在積極發(fā)展的同時需要強有力的安全保障,所以WAF是應形勢需求誕生的產(chǎn)品����,它走上應用安全的舞臺,是一個必然的趨勢����。
Web漏洞歸類
眾所周知,WEB服務系統(tǒng)實際不是一個單一的軟件,它由OS+Database+WEB服務軟件(比如:IIS����、Apache)+腳本程序(比如:Jscript、PHP代碼文件)構成����,所以要考慮它最基本的依賴,那就是OS和Database��、WEB服務軟件自身的安全��,這個可以通過安全加固服務來實現(xiàn)��,而最核心的應用程序代碼是不能用同樣的手段來解決�����,這也是WEB安全問題的主要來源���。
WEB 應用安全漏洞與操作系統(tǒng)或者網(wǎng)絡設備的漏洞是不同的�,這是因為編寫代碼者是不同的���,產(chǎn)生的代碼也是不同的���,所以國外有成立正門的WEB安全組織來歸類一些漏洞���,讓開發(fā)人員、安全廠家�、第三方專家等能用一種一致的語言來討論WEB安全問題�����。比較有名的是OWASP的TOP10漏洞��,還有Web Application Security Consortium (WASC)歸類的Thread Classification�����,如下表:
從安全角度看��,WEB從設計到開發(fā)必須遵循:
1.安全設計
2.安全編碼
3.安全測試(代碼審計和掃描�、滲透)
4.安全運維
其中最根本的在于安全設計和安全編碼,也就是上線前必須保證WEB產(chǎn)品的自身強壯性�。目前大部分的WEB應用程序是用戶自己或請人編寫,其他的或網(wǎng)站里部分組件���,比如論壇���、郵件系統(tǒng)����、留言板等會用到商業(yè)版�����,代碼是不相同的�����,而且程序員的水平參差不齊���,更重要的是他們都遵循了軟件的安全開發(fā)標準嗎���?
記住,這是我們?yōu)槭裁葱枰猈AF的第一個理由���!
攻擊從未停止
讓我們先看下圖����,是攻擊網(wǎng)站的基本步驟和方法�。
如上所示��,互聯(lián)網(wǎng)每天都充斥著數(shù)千萬的攻擊流量����,而WAF可以自動識別和屏蔽大部分主流的攻擊工具特征��,使得它們在攻擊的前奏就失效�����,綠盟科技WAF采用的是透明代理模式�����,使得客戶端和服務器的雙向流量都必須經(jīng)過WAF清洗�����,而又無需另外配置���,保持原有的網(wǎng)絡結構,每個報文需要接受WAF對其的“搜身檢查”����,合格之后再進行轉發(fā)�。
可能有人會說Firewall和IPS不是這樣的設備嗎�?它們?yōu)槭裁床荒芊烙兀吭敿毜膶Ρ葏?shù)我就不列舉了��,大家知道OSI 7層模型�����,防火墻通常工作在OSI的第三層�,也就是針對網(wǎng)絡層,包括包過濾型和狀態(tài)包檢測型防火墻���,即使是應用層防火墻也無法阻擋大多數(shù)WEB攻擊行為���,這是它自身技術定位決定的局限性。攻擊者只需在瀏覽器上操縱URL就可攻擊目標網(wǎng)站���。當然���,作為互補型的IDS(入侵檢測系統(tǒng))、IPS(入侵防護系統(tǒng))產(chǎn)品是能防護應用層的攻擊行為���,但是市面上絕大多數(shù)的產(chǎn)品都只能防護一部分WEB攻擊�,甚至有些產(chǎn)品也是直接在IDS類產(chǎn)品上做修改而形成的WAF,基本只依靠規(guī)則來實現(xiàn)�����,嚴重滯后于繁雜多樣的WEB攻擊手段�����。當然�����,我在這里要重申一下��,WAF可以和傳統(tǒng)的FS+IPS作為一個有益的補充�,但絕不是去代替他們��。
所以�,WAF的自身代理架構使得分析和阻擋攻擊具有天然的優(yōu)勢,這是我們?yōu)槭裁葱枰猈AF的第二個理由�!
WAF的防護原理
好,我們再回到防護盲點的產(chǎn)生這個焦點話題�����,那就是無論如何安全設計和編碼,或者經(jīng)過最嚴謹代碼審計����、滲透測試之后都難免會有漏洞,因為理論上1000行代碼就有1個Bug���,檢查只能讓這些減少而已���,無法真正做到?jīng)]有安全漏洞的產(chǎn)品,這也就是為什么軟件廠商會不斷地推出一個個補丁來彌補�����,而這些Bug只要能被攻擊者發(fā)現(xiàn)和利用那么就會帶來威脅��。
也就是說代碼缺陷是先天存在的����,即使后來修復也會具有一定的滯后性,而且不能保證100%地發(fā)現(xiàn)所有存在的漏洞那個缺陷�����。為了給大家更好地理解WAF防護的天然優(yōu)勢我們從兩個例子來進行分析,從技術實現(xiàn)角度看WAF����,SQL注入采用了規(guī)則集靜態(tài)防護,CSRF采用了算法的動態(tài)防護��。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商�����!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
