Web应用防火墙应用与研究.docVIP

Web应用防火墙应用与研究 　　摘要： 　　介绍了Web应用防火墙实现Web应用防护的方法。Web应用防火墙的使用提高了Web服务器的稳定性和安全性，避免黑客绕过网络层的防护实现针对Web应用的攻击，提高网络中Web应用的安全性。 　　关键词： 　　Web应用；Web应用防火墙 　　中图分类号：F49 　　文献标识码：A 　　文章编号2012 　　0 引言 　　应用程序的开发通常采用C/S、B/S两种架构。Web应用是指为了某个业务流程而使用B/S（浏览器/服务器）架构开发的信息系统。 　　Web网站是企业和用户实现快速、高效的交流平台。Web应用基本上涵盖了各类行业的应用。因此，Web网站也成为黑客或恶意程序首选的攻击目标，造成数据丢失、网站内容篡改等威胁，影响业务的正常开展。 　　网络安全防护常用技术有防火墙，基于网络层的防护和包过滤技术无法对应用层的攻击进行有效拦截；入侵检测/防御（IDS/IPS）系统，误判率较高、无法防御加密、TCP碎片以及其他绕过检测系统的攻击；Web安全网关（WSG），可对网络病毒、跨站、恶意脚本等攻击进行防护，但保护的对象主要是网络用户，而不是Web服务器。 　　由于各个行业中广泛使用Web网站以及Web应用，而目前常见的网络层的安全防护、安全补丁升级、软件升级等措施都达不到很好的防护效果，因此需要Web应用防火墙实现应用层面的保护。 　　1 Web应用防火墙概述 　　Web应用防火墙需理解HTTP/HTTPS协议、分析用户请求数据，实现往返流量的监测和控制。Web应用防火墙的数据中心应能针对网络中新增加的应用程序、新的软件模块而进行相应的变化、更新。对于目前常见的跨站脚本攻击、SQL注入攻击、命令注入攻击、cookie/session劫持、参数篡改、缓冲溢出攻击、日志篡改、应用平台漏洞攻击、DOS攻击、HTTPS类攻击等攻击行为都应有良好的防护效果。 　　2Web应用防火墙架构设计 　　Web应用防火墙使用服务器核心内嵌技术实现对用户请求数据的检查，在内核中实现了文件保护机制及自保护机制（进程、配置文件、注册表及服务保护）；Web服务器核心内嵌技术是指通过Web服务器（IIS、Apache等）提供的框架接口在Web服务器中嵌入一个过滤???块，该模块能够对进出Web服务器的所有HTTP请求（检测内容包括HTTP协议头部及数据部分，支持所有类型HTTP请求方法）和响应数据包进行合法性检查和修改，从而能够实现攻击检测、敏感关键字过滤等功能。内嵌的安全模块将与Web系统无缝连接，使系统中不存在单独运行的安全模块进程，避免模块被终止进程；安全模块与Web系统的完全整合提高了数据分析的准确性、保障了Web应用服务的稳定性和兼容性。 　　用户请求数据基于核心内嵌技术实现攻击防护、双向关键字过滤功能，同时，提供后门检测及网页挂马检测功能，将安全风险降至最低。告警模块负责告警信息接收、告警日志生成；备份恢复模块提供文件备份及恢复功能；Web管理系统提供B/S的管理方式。 　　3Web应用防火墙功能概述 　　（1）Web应用防护。 　　通过Web应用防火墙的核心内嵌技术，固化针对Web应用防护的专用特征规则库，对当前主要的Web应用攻击手段实现了有效的防护，应对黑客传统攻击（Web　Shell、非法上传）以及新兴的SQL注入和跨站脚本等攻击手段。 　　（2）文件保护。 　　采用事件触发检测技术来实现文件保护技术，在网页文件被修改时（比如产生了网页文件的写入、删除等事件）进行合法性检查。Web应用防火墙在接收到针对指定的网页文件的操作请求时，先检查这个请求是否来自合法的进程和用户；如果合法则通过细化的文件防护规则进行进一步判断，合法则正常完成文件操作；如果该请求来自非法的进程或用户，则拒绝对相应文件的操作，达到防篡改的目的。 　　（3）网页挂马及后门检测。 　　Web应用防火墙通过爬虫技术和网页挂马检测技术，全面检查网站各级页面中是否被植入恶意代码，确保网站应用的完整性，有效避免网站成为恶意软件的分发、传播渠道。同时，Web应用防火墙提供本地后门扫描功能，将网站安全面临的风险降至最低。 　　（4）网页篡改检测。 　　Web应用防火墙实时监测网站服务器的相关是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。与此同时，Web应用防火墙系统将对外显示之前的正确页面，防止被篡改的内容被访问到。 　　（5）安全策略。 　　①　请求包大小限制。 　　限制HTTP请求Head大小避免恶意代码通过，超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。 　　②　HTTP/HTTPS请求方