安全认知由浅入深讲述Web应用防火墙.doc

安全认知：由浅入深讲述Web应用防火墙 有趣的是，还没有人能真正知道web应用防火墙究竟是什么，或者确切的说，还没有一个 大家认可的精确定义。从广义上來说，Web应用防火墙就是一些增强Web应用安全性的工 具。然而，如果我们要深究它精确的定义，就可能会得到更多的疑问。因为一些Web应用 防火墙是硬件设备，一些则是应用软件;-?些是基于网络的，另一些则是嵌入WEB服务器的。 国外市场上具有WEB应用防火墙功能的产品名称就有不同的几十种，更不用说是产品的形 式和描述了。它难以界定的原因是这个名称包含的东西太多了。较低的网络层（Web应用防 火墙被安置在笫七层）被许多设备所覆盖，每-?种设备都有它们独特的功能，比如路由器， 交换机，防火墙，入侵检测系统，入侵防御系统等等。然而，在HTTP的世界里，所冇这些 功能都被融入在一个设备里：Web应用防火墙。 总体来说，Web应用防火墙的具冇以下四个方Ifli的功能： 审计设备：用來截获所有HTTP数据或者仅仅满足某些规则的会话。 访问控制设备：用来控制对Web hV用的访问，既包括主动安全模式也包括被动安全模式。 架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基 础结构等。 WEB应用加|舌|工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应 用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。 但是，需要指出的是，并非每种被称为Web应川防火墙的设备都同时具冇以上四种功能。 由于WEB应用防火墙的多面性，拥有不同知识背景的人往往会关注它不同方而的特点。比 如具冇网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的IDS设备;具冇防火 墙口身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来口于“深度检测 防火墙”这个术语。他们认为深度检测防火墙是-?种和Web应用防火墙功能相当的设备。 然而，尽管两种设备有些相似之处，但是差异还是很大的。深度检测防火墙通常工作在的网 络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且很好地支 持它。 直接更改WEB代码解决安全问题是否更好?这是毋庸置疑的，但也没那么容易（实现）。 因为，通过更改WEB应用代码是否一定就能增强系统安全性能，这木身就存在争论。而且 现实也更加复朵： *不可能确保100%的安全。人的能力有限，会不可避免地犯错误。 *绝大多数情况下，很少冇人力求100%的安全。如今的现实生活中那些引领应用发展的人 更多注重功能而不是安全。这种观念正在改变，只是冇点缓慢。 * 一个复杂的系统通常包含第三方产品（组件，函数库），它们的安全性能是不为人知的。如 果这个产品的源代码是保密的，那么你必须依赖商品的厂商提供补丁。即使有些情况下源代 码是公开的，你也不可能有精力去修正它们。 *我们不得不使用存在安全隐患的业务系统，尽管这些旧系统根本无法改进。 因此，为了获得最好的效果，我们需要双管齐下：一方而，必须提高管理者和开发者的安全 意识；另一方面，尽可能提高应用系统的安全性。 Web应用防火墙的特点 Web应用防火墙的一些常见特点如下。 异常检测协议 如果阅读过各种RFC,就会发现一个被反复强调的主题。人多数RFC建议应川自己使川协 议时要保导，而对于接受其他发送者的协议时可以自由些。Web服务器就是这样做的，但 这样的行为也给所冇的攻击者打开了大门。儿乎所冇的WAF对HTTP的请求执行某种异常 检测，拒绝不符合Http标准的请求。并且，它也可以只允许HTTP协议的部分选项通过， 从而减少攻击的影响范围。甚至，一些WAF还可以严格限定HTTP协议中那些过于松散或 未被完全制定的选项。 增强的输入验证 就频繁发牛?的Web安全问题而言，有些是源于对Web设计模型的误解，有些则來自于程序 师认为浏览器是可信的。很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览 器只是一个用户控制的简单工具，因此攻击者可以非常容易地绕过输入验证，宜接将恶意代 码输入到WEB应用服务器。 有一个解决上述问题的正确方法，就是在服务端进行输入验证。如果这个方法不能实现，还 可以通过在客户和应川服务器之间增加代理，让代理去执行Web页面上嵌入的JavaScript, 实现输入验证。 消极的安全模型VS积极的安全模型 曾经设置过防火墙规则的人，可能会碰到这样的建议：允许己知安全的流量，拒绝具他一切 访问。这就是一种很好的积极安全模型。恰恰相反，消极安全模型则是默认允许一切访问， 只拒绝一些已知危险的流量模式。 每种安全模型方式都存在各自的问题: 消极安全模型：什么是危险的？ 积极安全模型：什么是安全的？ 消极安全模式通常使用的更多。识别岀一种危险的模式并且配置H己的系统禁止