【51CTO.com綜合報道】WEB應用的發展，使網站產生越來越重要的作用，而越來越多的網站在此過程中也因為存在安全隱患而遭受到各種攻擊，例如網頁被掛馬、網站SQL 注入，導致網頁被篡改、網站被查封，甚至被利用成為傳播木馬給瀏覽網站用戶的一個載體。在那些黑客的眼里，網站并非是一個提供互聯網服務和信息交流的平臺，反而成為可以被低成本利用獲取價值的一個途徑。

下圖：2010年十大WEB攻擊統計

目前，利用網上隨處可見的攻擊軟件，攻擊者不需要對網絡協議的深厚理解基礎，即可完成諸如更換Web網站主頁，盜取管理員密碼，數據庫注入和破壞整個網站數據等等攻擊。而這些攻擊過程中產生的網絡層數據，和正常數據沒有什么區別。

現在大量的黑客網站上面都提供了入侵WEB服務器的教程，而且大量的黑客工具隨處可見，這使得攻擊WEB服務器越來越容易，安全面臨著嚴重的威脅！

我們看看當前網站安全狀況，數字的增長速度令人震驚。具不完全統計，這幾年中國大陸網站入侵導致網頁被篡改成倍增長；2010年僅網頁篡改已經是2007年的60倍，達到121623，這還不包含未被官方披露的數字。

還有很多網站被黑客所利用，進行網頁掛馬，導致瀏覽這些網頁的人自動被種植木馬。可以說經常上網人幾乎都遭遇過網頁木馬，輕則使系統異常、成為黑客們的傀儡終端，重責導致個人敏感數據被盜。

很多用戶認為，在網絡中部署多層的防火墻，入侵檢測系統(IDS)，入侵防御系統(IPS)等設備，就可以保障網絡的安全性，就能全面立體的防護WEB應用了，但是為何基于WEB應用的攻擊事件仍然不斷發生?其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范，作用十分有限。

黑客之所以能夠攻擊用戶，都是利用了防火墻開放的端口，躲過防火墻的監測，直接針對目標應用程序。他們想出復雜的攻擊方法，能夠繞過傳統防火墻。據統計，目前70%的攻擊是發生在應用層，而不是網絡層。對于這類攻擊，傳統防火墻的防護效果，并不太理想，存在著以下不足之處：無法檢測加密的Web流量；普通應用程序加密后，也能輕易躲過防火墻的檢測；對于Web應用程序，防范能力不足……

傳統防火墻的不足主要體現在：

1.主要工作在OSI 模型三、四層，基于IP 報文進行檢測，控制對網絡的訪問。

2.在設計之初，就無需理解Web 應用程序語言如HTML 及XML，也無法理解

HTTP 會話。

3.無法檢測、阻斷、修訂、刪除或重寫HTTP應用的請求或應答內容。

4.為了保障對web應用的訪問，防火墻會開放Web應用的80端口，這意味著

Internet上的任意IP都能直接訪問Web應用。

5.狀態防火墻無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數據

包中，它仍然能通過防火墻到達應用服務器。

IDS，IPS通過使用深包檢測的技術檢查網絡數據中的應用層流量，和攻擊特征庫進行匹配，從而識別出以知的網絡攻擊，達到對應用層攻擊的防護。但是對于未知攻擊，和將來才會出現的攻擊，以及通過靈活編碼和報文分割來實現的應用層攻擊，IDS和IPS同樣不能有效的防護。

為了更好的理解兩款產品差異性，我們先用這個保鏢（WAF）和保安（IPS）比喻來描述。

大樓保安需要對所有進出大樓人員進行檢查，一旦發現可疑人員則禁止他入內，但如果混進"貌似忠良"的壞人去撬保險柜等破壞行為，大樓保安是無能為力的。

私人保鏢則是指高級別、更"貼身"的保護。他通常只保護特定的人員，所以事先需要理解被保護人的身份、習慣、喜好、作息、弱點等，因為被保護人的工作是需要去面對不同的人，去不同的場合，保鏢的職責不能因為危險就阻止、改變他的行為，只能去預見可能的風險，然后量身定做合適的保護方案。

這兩種角色的區別在于保安保護的是整個大樓，他不需要也無法知道誰是最需要保護的人，保鏢則是明確了被保護對象名單，需要深刻理解被保護人的個性特點。

通過上面的比喻，大家應該明白兩者的之所以會感覺相似是因為職責都是去保護，但差異在于職能定位的不同。

入侵檢測系統(IPS)的不足

1. IPS使用攻擊特征數據庫作為檢測機制，只能捕獲已知攻擊。針對某種特殊應用設計的攻擊，或者"零日攻擊"它將不能防御。

2. 黑客只需做少許修改，現有的特征庫將不起作用。

3. SSL加密使IPS設備對所有的web攻擊失效。

4. IPS不能對URL和Unicode編碼流量規范化。當攻擊進行了相應的編碼后， IPS也將失去作用。

5. 基于"允許除非明確否認"的模式對所有流量放行，IPS不可避免的會放行一些它無法識別的惡意流量。

6. IPS只知道包和請求，而不知道網絡和應用。IPS不知道用戶特定的網絡和應用架構，因而無法根據用戶的特定應用環境來制定基于應用的安全策略。

網頁防篡改的弱點在于對于攻擊行為并不進行分析，也不阻止攻擊的發生。

不可否認，網頁被篡改是目前最直觀的Web安全問題，無論是政府網站、高校網站，還是運營商網站、企業網站，都曾出現過嚴重的網頁篡改事件，這讓網頁防篡改產品開始映入人們的眼簾。

但網頁防篡改系統是一種軟件解決方案，它的防護效果直接，但是只能保護靜態頁面，而無法保護動態頁面。

網頁防篡改的不足

1.以"事后恢復"為基本原理,對于攻擊行為并不進行分析，也不阻止攻擊的發生。

2.許多類型的攻擊并不篡改網頁，如DDoS攻擊、CC攻擊、溢出攻擊、cookie

竊取、密碼攔截、數據竊取等，網站防篡改設備無能為力。

3.很多攻擊有可能產生篡改行為，但多數情況并不會篡改網頁，如SQL注入、

目錄穿越等；即使是"事后恢復"，網頁防篡改產品也存在工作原理漏洞、

服務負載增加、檢測機制繞開、連續篡改等安全問題。

Web應用防火墻是專門為保護基于Web的應用程序而設計的，從廣義上來說，Web應用防火墻就是一些增強Web應用安全性的工具。Web服務器理應通過80端口傳送數據包。所以所有發給支撐Web服務器系統80端口的數據包必須被允許通過防火墻。傳統的防火墻沒有辦法測定一個地址指向正確的數據包是否包含威脅，但Web應用防火墻可以仔細檢查數據包的內容來檢測并阻止威脅。

下面我們就用一款現在業內比較普遍的Barracuda應用防火墻來舉例，來看看應用防火墻是如何保護網站防止被惡意注入和篡改的了。

網絡架構和部署：代理模式（也支持橋模式）

代理模式是Web應用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。

在此模式中，所有的數據端口都將被開啟;端口WAN是對外的，直接面向因特網的端口。管理端口可以被分配到另一個網段，我們推薦將管理數據和實際的流量分離，避免因為實際流量和管理數據的沖突。

以下為示例拓撲圖：

網絡實現：

1、前端端口和后端端口位于不同的網段，所有外部客戶將會和應用虛擬IP地址進行連接，此虛擬ip將會和前端端口(eth1)進行綁定

2、客戶的連接將會在設備上終止，進行安全檢查和過濾

3、合法的流量將會WAN口建立新的連接到負載均衡設備

4、負載均衡進行流量的負載

5、代理模式可以開啟所有的安全功能

工作特點：基于應用層的檢測，同時又擁有基于狀態的網絡防火墻的優勢

對應用數據錄入完整檢查、HTTP包頭重寫、強制HTTP協議合規化，杜絕各種利用協議漏洞的攻擊和權限提升

預期數據的完整知識(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

實時策略生成及執行，根據您的應用程序定義相應的保護策略，而不是千篇一律的廠家預定義防攻擊策略，無縫的砌合您的應用程序，不會造成任何應用失真。

梭子魚策略WAF配置建議：

1. 配置服務：配置VIP地址和真實服務器地址。

2. 配置安全策略：開啟主動防護模式。

3. 開啟URL防護策略：例如阻斷SQL注入，跨站攻擊等。

4. 系統告警：一旦網站被攻擊，梭子魚馬上能通過郵件進行告警。

梭子魚以其功能強大，操作簡便，性價比高等優勢繼成為全球郵件安全和負載均衡市場領導者后，梭子魚WEB應用防火墻通過在技術上的不斷突破，占據市場的主體地位。

【責任編輯：守望幸福 TEL：（010）68476606】