Web應(yīng)用與Web應(yīng)用防火墻((一)
《網(wǎng)絡(luò)世界》評測實驗室 董培欣
摘要: 從廠商發(fā)布資料分析,Web應(yīng)用防火墻是目前企業(yè)Web服務(wù)安全防護的一種有效手段;從技術(shù)評測角度來講,過于稀少的評測報告無法對廠商目前所具備的產(chǎn)品技術(shù)能力進行分析;售后服務(wù)方面廠商情況喜憂參半,有的廠商有全面的技術(shù)服務(wù)支持能力,有的則不全面具備。
Abstract:
Key words :
Web應(yīng)用防火墻產(chǎn)品橫向?qū)Ρ?/p>
一、什么是Web應(yīng)用?
應(yīng)用程序有兩種模式C/S、B/S。C/S是客戶端/服務(wù)器端程序,也就是說這類程序一般獨立運行。而B/S就是瀏覽器端/服務(wù)器端應(yīng)用程序,這類應(yīng)用程序一般借助IE等瀏覽器來運行。
Web應(yīng)用,通常是指使用B/S(瀏覽器/服務(wù)器)架構(gòu)搭建的信息系統(tǒng),為了適應(yīng)某個業(yè)務(wù)流程而設(shè)計開發(fā)使用的系統(tǒng)。
以目前的技術(shù)看,局域網(wǎng)建立B/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用,并通過Internet/Intranet模式下數(shù)據(jù)庫應(yīng)用,相對易于把握、成本也是較低的,B/S架構(gòu)管理軟件更是方便、速度快、效果優(yōu)。Web應(yīng)用的最大特點是:用戶可以通過WWW瀏覽器去訪問Internet上的文本、數(shù)據(jù)、圖像、動畫、視頻點播和聲音信息,這些信息都是由許許多多的Web服務(wù)器產(chǎn)生的,而每一個Web服務(wù)器又可以通過各種方式與數(shù)據(jù)庫服務(wù)器連接,大量的數(shù)據(jù)實際存放在數(shù)據(jù)庫服務(wù)器中。客戶端除了WWW瀏覽器,一般無須任何用戶程序,只需從Web服務(wù)器上下載程序到本地來執(zhí)行,在下載過程中若遇到與數(shù)據(jù)庫有關(guān)的指令,由Web服務(wù)器交給數(shù)據(jù)庫服務(wù)器來解釋執(zhí)行,并返回給Web服務(wù)器,Web服務(wù)器又返回給用戶。在這種結(jié)構(gòu)中,將許許多多的網(wǎng)連接到一塊,形成一個巨大的網(wǎng),即全球網(wǎng)。而各個企業(yè)可以在此結(jié)構(gòu)的基礎(chǔ)上建立自己的Intranet。
二、什么用戶需要Web應(yīng)用?
1、政府部門
政府網(wǎng)站的Web應(yīng)用日益成為政府信息公開的窗口,有別于媒體網(wǎng)站、商業(yè)網(wǎng)站的地方在于,其訪問者有自身的需求特點,政府網(wǎng)站需要做到提供優(yōu)質(zhì)服務(wù)、整合政府資源、增強政府與公眾的互動以及增加親和貼身的服務(wù)形式。
2、行業(yè)用戶
電信、銀行、金融等行業(yè)在很早就已經(jīng)開始進行了Web應(yīng)用的部署,并且應(yīng)用規(guī)模龐大。“云計算”、“云存儲”、下一代數(shù)據(jù)中心……眾多最新的網(wǎng)絡(luò)技術(shù)被運用在其中。
3、企業(yè)用戶
銷售型企業(yè)正在利用Web應(yīng)用構(gòu)建越來越多的電子商務(wù)系統(tǒng)。研發(fā)服務(wù)型企業(yè)也在利用Web應(yīng)用建立流程控制、質(zhì)量管理、售后服務(wù)等多種體系。傳媒企業(yè)的網(wǎng)絡(luò)化熱潮更是不斷。
由此可知,Web應(yīng)用基本上已經(jīng)涵蓋了各類行業(yè)的應(yīng)用,并且在技術(shù)深入程度和覆蓋廣泛性上也在不斷的進行發(fā)展。
三、制約Web應(yīng)用發(fā)展的主要因素
當前Web應(yīng)用在大企業(yè)及行業(yè)用戶中發(fā)展十分迅速,但在中小企業(yè)中發(fā)展緩慢??偨Y(jié)下來有以下幾個原因:
1、Web應(yīng)用安全問題
Web應(yīng)用的發(fā)展得益于網(wǎng)絡(luò)的開放性,Web應(yīng)用的弊病也出自網(wǎng)絡(luò)的開放性——安全問題成為了Web應(yīng)用發(fā)展的強大阻礙。當前Web應(yīng)用安全漏洞多、網(wǎng)絡(luò)攻擊猖獗、黑客技術(shù)的產(chǎn)業(yè)化……一系列的安全問題在困擾著Web應(yīng)用在企業(yè)中的發(fā)展。而Web應(yīng)用安全問題的多樣性,也使得絕大多數(shù)用戶無力進行應(yīng)對。因此極大的制約了Web應(yīng)用在企業(yè)中的發(fā)展。我們將在下文中進一步做出詳細的分析。
2、Web應(yīng)用軟件問題
Web應(yīng)用軟件目前還沒有形成成熟的應(yīng)用體系,基本上處于企業(yè)邊研發(fā)邊應(yīng)用的階段。普遍適用性不強,無法形成規(guī)模效應(yīng)。Web應(yīng)用軟件解決辦法我們將在今年下半階段的“在線辦公軟件橫向?qū)Ρ?/a>評測”中進行更進一步分析。本文中不再進行更詳細闡述。
上述問題如果不能很好解決,必將影響到企業(yè)Web應(yīng)用的發(fā)展。而企業(yè)自身Web應(yīng)用技術(shù)實力不強,Web應(yīng)用技術(shù)開發(fā)、安全防護投入過大這些問題普遍存在,如果沒有很好的解決方案企業(yè)Web應(yīng)用發(fā)展必然會有很大阻礙。
四、網(wǎng)絡(luò)安全產(chǎn)品追述—1
對于一般企業(yè)用戶來講,通過采用專業(yè)的網(wǎng)絡(luò)安全設(shè)備對網(wǎng)絡(luò)安全進行防護是一種十分理想的網(wǎng)絡(luò)安全解決方案。那在企業(yè)Web應(yīng)用方面應(yīng)該采用什么樣的安全產(chǎn)品呢?在這里我們對網(wǎng)絡(luò)安全防護技術(shù)進行一個簡單追述。
1、防火墻(FireWall)
華賽Eudemon8080e
防火墻是最早采用互聯(lián)網(wǎng)安全防護產(chǎn)品。但是在應(yīng)用過程中逐漸發(fā)現(xiàn)基于網(wǎng)絡(luò)端口防護和包過濾防護技術(shù)的防火墻產(chǎn)品無法有效的對應(yīng)用安全進行攔截(在Web應(yīng)用方面由其突出)。但防火墻產(chǎn)品目前依然未退出安全市場,反而因為其強大的數(shù)據(jù)轉(zhuǎn)發(fā)能力、防攻擊能力和靈活的安全策略設(shè)置功能被越來越多的運用在企業(yè)內(nèi)網(wǎng)隔離、安全區(qū)域劃分和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)之中。
2、入侵檢測/防御(IDS/IPS)
DPtech IPS2000-TS-N
出于對防泛黑客攻擊及安全漏洞攔截的需求,又開發(fā)出了入侵檢測/防御產(chǎn)品(IDS/IPS)但早期IDS/IPS產(chǎn)品需要過多人為對檢測問題進行分析,并具有很高的誤判率,難以操控。同時IDS/IPS產(chǎn)品在防范網(wǎng)絡(luò)病毒、Web應(yīng)用安全認證等問題上依然沒有很好的解決方案。但是IDS/IPS技術(shù)為今后的網(wǎng)絡(luò)安全打下了良好的技術(shù)基礎(chǔ),當前新推出的Web應(yīng)用防火墻、下一代防火墻所采用技術(shù)中有很多是從IDS/IPS中引申出來的。并且IDS/IPS的進一步技術(shù)發(fā)展前景依然十分廣闊。
3、統(tǒng)一威脅管理(UTM)
山石網(wǎng)科SG-6000-G5150
為了應(yīng)對多方面網(wǎng)絡(luò)安全的挑戰(zhàn),安全廠商又推出了統(tǒng)一威脅管理(UTM)產(chǎn)品。統(tǒng)一威脅管理產(chǎn)品將防火墻、網(wǎng)絡(luò)病毒防護、IPS、反垃圾郵件和網(wǎng)絡(luò)內(nèi)容管理等一系列功能整合在了一起,可以為企業(yè)提供全面的網(wǎng)絡(luò)防護能力,是一種綜合安全防護能力很高的網(wǎng)絡(luò)安全產(chǎn)品。但在針對網(wǎng)站系統(tǒng)安全防護上,統(tǒng)一威脅管理產(chǎn)品的功能顯得有些多而不當,不能很好的為Web應(yīng)用安全提供服務(wù)。
4、Web安全網(wǎng)關(guān)(WSG)
Wedge BeSecure 2080
Web安全網(wǎng)關(guān)是一種在統(tǒng)一威脅管理產(chǎn)品基礎(chǔ)上發(fā)展出來的一類全新的網(wǎng)絡(luò)應(yīng)用安全防護產(chǎn)品。具備對Web應(yīng)用安全更加深入的全面防護能力??梢詫W(wǎng)絡(luò)病毒、SQL注入、跨站、惡意腳本等攻擊進行防護。Web安全網(wǎng)關(guān)在功能上與Web應(yīng)用防火墻十分相近,但它保護的對象更多是面向網(wǎng)絡(luò)用戶而不是Web服務(wù)器。
5、Web應(yīng)用防火墻(WAF)
梭子魚Web應(yīng)用防火墻 BWF960
于是近年來又有新的Web應(yīng)用安全防護技術(shù)推出——Web應(yīng)用防火墻(WAF)。利用國際上公認的一種說法:Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。
總體來說,Web應(yīng)用防火墻的具有以下四大個方面的功能(參考WAF入門,對內(nèi)容做了一些刪減及改編):
1)審計設(shè)備:用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。
2)訪問控制設(shè)備:用來控制對Web應(yīng)用的訪問,既包括主動安全模式也包括被動安全模式。
3)架構(gòu)/網(wǎng)絡(luò)設(shè)計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎(chǔ)結(jié)構(gòu)等。
4)WEB應(yīng)用加固工具:這些功能增強被保護Web應(yīng)用的安全性,它不僅能夠屏蔽WEB應(yīng)用固有弱點,而且能夠保護WEB應(yīng)用編程錯誤導致的安全隱患。
需要指出的是,并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時具有以上四種功能。
同時WEB應(yīng)用防火墻還具有多面性的特點。比如從網(wǎng)絡(luò)入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設(shè)備;從防火墻角度來看,WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測防火墻”的增強。(深度檢測防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次,而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。)
五、Web應(yīng)用防火墻的特點
Web應(yīng)用防火墻的一些常見特點如下。
1、異常檢測協(xié)議
Web應(yīng)用防火墻會對HTTP的請求進行異常檢測,拒絕不符合HTTP標準的請求。并且,它也可以只允許HTTP協(xié)議的部分選項通過,從而減少攻擊的影響范圍。甚至,一些Web應(yīng)用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。
2、增強的輸入驗證
增強輸入驗證,可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。
3、及時補丁
修補Web安全漏洞,是Web應(yīng)用開發(fā)者最頭痛的問題,沒人會知道下一秒有什么樣的漏洞出現(xiàn),會為Web應(yīng)用帶來什么樣的危害?,F(xiàn)在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當然,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應(yīng)的補丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。
(附注:及時補丁的原理可以更好的適用于基于XML的應(yīng)用中,因為這些應(yīng)用的通信協(xié)議都具規(guī)范性。)
4、基于規(guī)則的保護和基于異常的保護
基于規(guī)則的保護可以提供各種Web應(yīng)用的安全規(guī)則,WAF生產(chǎn)商會維護這個規(guī)則庫,并時時為其更新。用戶可以按照這些規(guī)則對應(yīng)用進行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型,并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到,可現(xiàn)實中這是十分困難的一件事情。
5、狀態(tài)管理
WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失?。⑶以谶_到極限值時進行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。
6、其他防護技術(shù)
WAF還有一些安全增強的功能,可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護。
六、Web應(yīng)用防火墻功能對比
通過上述技術(shù)特點,可以了解WAF能為Web應(yīng)用用戶帶來全面的Web安全防護能力。但是實際的Web應(yīng)用防火墻是否可以實現(xiàn)上述功能呢?下面對目前國內(nèi)主流的Web應(yīng)用防火墻產(chǎn)品的功能進行一下對比。
本次對比中《網(wǎng)絡(luò)世界》評測實驗室選擇了六個在國內(nèi)知名度較高,具備一定影響力的主流廠商的產(chǎn)品進行功能性對比。廠商名單如下:梭子魚(BARRACUDA),思科(Cisco),思杰(Citrix),安恒信息(DBAPPSecurity),飛塔(Fortinet),綠盟(NSFOCUS)(以廠商英文字母排序)。
企業(yè)產(chǎn)品信息通過Web的形式向用戶發(fā)布本身就是企業(yè)Web應(yīng)用的最好體現(xiàn),Web應(yīng)用防火墻相關(guān)廠商在這方面應(yīng)當有著很多的先天技術(shù)優(yōu)勢。那WAF廠商在網(wǎng)站上是如何對自身產(chǎn)品進行宣傳的呢?出于這方面的考慮,同時也為了對更多Web應(yīng)用防火墻產(chǎn)品進行了解,本次功能性對比過程中,首次采取了以收集廠商網(wǎng)站上發(fā)布Web應(yīng)用防火墻功能信息的方式進行(以中文資料為準)。以下對比信息均采集于廠商網(wǎng)站中與Web應(yīng)用防火墻相關(guān)的產(chǎn)品信息及產(chǎn)品技術(shù)白皮書。目的是從一個用戶初次采購Web應(yīng)用防火墻的角度,從廠商公開發(fā)布的Web應(yīng)用防火墻信息中對產(chǎn)品進行了解,并做出初步的判定。
Web應(yīng)用防火墻功能對比表
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。