WAF 防護(hù)核心WEB應(yīng)用
WEB應(yīng)用的重要性
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,WEB應(yīng)用越來(lái)越受到業(yè)務(wù)系統(tǒng)的重視,WEB應(yīng)用已經(jīng)與我們的核心業(yè)務(wù)系統(tǒng)密不可分。如今的電子政務(wù)、電子商務(wù)、網(wǎng)上銀業(yè)、網(wǎng)上營(yíng)業(yè)廳等均以WEB為載體。WEB也由原來(lái)的網(wǎng)站瀏覽的代名詞轉(zhuǎn)變?yōu)橹T如網(wǎng)上報(bào)名、網(wǎng)上交易、網(wǎng)上報(bào)稅等多種業(yè)務(wù)應(yīng)用系統(tǒng)。
WAF的價(jià)值
WEB價(jià)值重點(diǎn)體現(xiàn)在門戶網(wǎng)站的時(shí)代時(shí),我們所面臨的安全威脅主要源自網(wǎng)站被黑或者網(wǎng)站被篡改,因此網(wǎng)頁(yè)防篡改技術(shù)得到成長(zhǎng)并大量使用。應(yīng)用推運(yùn)系統(tǒng)架構(gòu)革新,而系統(tǒng)架構(gòu)的和革新推動(dòng)安全技術(shù)的發(fā)展。WEB應(yīng)用防火墻也不例外,也是在現(xiàn)有WEB防護(hù)技術(shù)力日益無(wú)法滿足業(yè)務(wù)的新需求時(shí)誕生的。
如果說(shuō)防篡改軟件是一種基于文件管理的被動(dòng)辦法,那么WAF則是從安全的本質(zhì)出發(fā),對(duì)威脅進(jìn)行主動(dòng)防御,并對(duì)WEB應(yīng)用進(jìn)行性能優(yōu)化的最佳方案。簡(jiǎn)單將防篡改軟件理解為是文件恢復(fù)管理,而WAF則是分析處理不安全的訪問(wèn)行為,這些不安全的行為包括網(wǎng)頁(yè)篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國(guó)WEB應(yīng)用環(huán)境下的WAF通常也會(huì)具有網(wǎng)頁(yè)防篡改的客戶端,功能和市面的網(wǎng)頁(yè)防篡改軟件幾乎相同。
WAF以獨(dú)立的硬件網(wǎng)關(guān)存在,其部署和使用過(guò)程中不需要對(duì)原有的WEB服務(wù)器作任何的調(diào)整,并且WAF本身支持多種部署方式,例如透明網(wǎng)橋模式的部署不需對(duì)網(wǎng)絡(luò)進(jìn)行任何調(diào)整。
與IPS相比WEB應(yīng)用防火墻可謂是專注于WEB應(yīng)用的IPS,與傳統(tǒng)的IPS不同,WEB應(yīng)用防火墻在特征匹配方面的粒度更細(xì),至少可以精確到如下幾個(gè)節(jié)點(diǎn):
對(duì)協(xié)議的全面理解以及協(xié)議規(guī)范性檢查
請(qǐng)求頭關(guān)鍵字段的識(shí)別和特征匹配,從而降低誤判
響應(yīng)頭敏感信息的處理防止服務(wù)器指紋泄露
響應(yīng)體特征匹配,屏蔽敏感信息泄露
針對(duì)單個(gè)請(qǐng)求,基于單個(gè)URL的匹配最大程度確認(rèn)業(yè)務(wù)系統(tǒng)的可用性
WAF的優(yōu)越性
WEB應(yīng)用防火墻技術(shù)架構(gòu)上最佳方案是采用代理技術(shù)實(shí)現(xiàn),然而標(biāo)準(zhǔn)的代理技術(shù)應(yīng)用到WEB應(yīng)用防火墻時(shí)卻存在一個(gè)先天的不足。代理技術(shù)會(huì)中斷業(yè)務(wù)請(qǐng)求,因此部署WEB應(yīng)用防火墻需要調(diào)整現(xiàn)有業(yè)務(wù)架構(gòu)或網(wǎng)絡(luò)數(shù)據(jù)走向。另一方面代理技術(shù)存在性能瓶頸,難在勝任大型的業(yè)務(wù)系統(tǒng)。
安恒信息采用內(nèi)核級(jí)代理技術(shù)解決了部署全透明和性能兩個(gè)技術(shù)瓶頸,是國(guó)內(nèi)首創(chuàng)的全透明WEB應(yīng)用防火墻,并成功應(yīng)用于諸多網(wǎng)上銀行、運(yùn)營(yíng)商BOSS系統(tǒng)、電子政務(wù)等核心業(yè)務(wù)系統(tǒng)。
WEB應(yīng)用防火墻采用基于特征庫(kù)的防御技術(shù)進(jìn)行防護(hù),而特征庫(kù)技術(shù)只能解決通用的,已知的攻擊行為。而WEB應(yīng)用系統(tǒng)千差萬(wàn)別,僅采用通用特征庫(kù)不僅防護(hù)效果不佳,而且可能會(huì)因?yàn)榇a的原因?qū)е抡`判,從而影響業(yè)務(wù)系統(tǒng)的可用性。因此安恒WEB應(yīng)用防火墻中加入了異常檢測(cè)引擎用于提高防護(hù)能力,降低誤判率。異常檢測(cè)技術(shù)可以用一個(gè)下面這個(gè)例子進(jìn)行說(shuō)明:
安全檢測(cè)好比閉路電視監(jiān)控系統(tǒng),基于特征的檢測(cè)技術(shù)即通過(guò)行人的身高、體重、外貌進(jìn)行檢測(cè),然后通過(guò)X光機(jī)檢測(cè)身上是否帶了已知的不安全裝備。而異常檢測(cè)則是通過(guò)對(duì)人的行為特征進(jìn)行分析,例如一個(gè)人進(jìn)門時(shí)身帶了一個(gè)手?jǐn)Q包,而走到大廳后將手?jǐn)Q包放下,人離開(kāi)。針對(duì)這種特為將為觸發(fā)報(bào)警動(dòng)作。
異常檢測(cè)到WEB安全檢測(cè)中主要用于補(bǔ)償特征庫(kù)的短板,可以有效的防御未知攻擊、盜鏈行為、應(yīng)用DDOS攻擊等。
評(píng)論