WEB應用的重要性
隨著互聯(lián)網技術的發(fā)展,WEB應用越來越受到業(yè)務系統(tǒng)的重視,WEB應用已經與我們的核心業(yè)務系統(tǒng)密不可分。如今的電子政務、電子商務、網上銀業(yè)、網上營業(yè)廳等均以WEB為載體。WEB也由原來的網站瀏覽的代名詞轉變?yōu)橹T如網上報名、網上交易、網上報稅等多種業(yè)務應用系統(tǒng)。
WAF的價值
WEB價值重點體現在門戶網站的時代時,我們所面臨的安全威脅主要源自網站被黑或者網站被篡改,因此網頁防篡改技術得到成長并大量使用。應用推運系統(tǒng)架構革新,而系統(tǒng)架構的和革新推動安全技術的發(fā)展。WEB應用防火墻也不例外,也是在現有WEB防護技術力日益無法滿足業(yè)務的新需求時誕生的。
如果說防篡改軟件是一種基于文件管理的被動辦法,那么WAF則是從安全的本質出發(fā),對威脅進行主動防御,并對WEB應用進行性能優(yōu)化的最佳方案。簡單將防篡改軟件理解為是文件恢復管理,而WAF則是分析處理不安全的訪問行為,這些不安全的行為包括網頁篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國WEB應用環(huán)境下的WAF通常也會具有網頁防篡改的客戶端,功能和市面的網頁防篡改軟件幾乎相同。
WAF以獨立的硬件網關存在,其部署和使用過程中不需要對原有的WEB服務器作任何的調整,并且WAF本身支持多種部署方式,例如透明網橋模式的部署不需對網絡進行任何調整。
與IPS相比WEB應用防火墻可謂是專注于WEB應用的IPS,與傳統(tǒng)的IPS不同,WEB應用防火墻在特征匹配方面的粒度更細,至少可以精確到如下幾個節(jié)點:
對協(xié)議的全面理解以及協(xié)議規(guī)范性檢查
請求頭關鍵字段的識別和特征匹配,從而降低誤判
響應頭敏感信息的處理防止服務器指紋泄露
響應體特征匹配,屏蔽敏感信息泄露
針對單個請求,基于單個URL的匹配最大程度確認業(yè)務系統(tǒng)的可用性
WAF的優(yōu)越性
WEB應用防火墻技術架構上最佳方案是采用代理技術實現,然而標準的代理技術應用到WEB應用防火墻時卻存在一個先天的不足。代理技術會中斷業(yè)務請求,因此部署WEB應用防火墻需要調整現有業(yè)務架構或網絡數據走向。另一方面代理技術存在性能瓶頸,難在勝任大型的業(yè)務系統(tǒng)。
安恒信息采用內核級代理技術解決了部署全透明和性能兩個技術瓶頸,是國內首創(chuàng)的全透明WEB應用防火墻,并成功應用于諸多網上銀行、運營商BOSS系統(tǒng)、電子政務等核心業(yè)務系統(tǒng)。
WEB應用防火墻采用基于特征庫的防御技術進行防護,而特征庫技術只能解決通用的,已知的攻擊行為。而WEB應用系統(tǒng)千差萬別,僅采用通用特征庫不僅防護效果不佳,而且可能會因為代碼的原因導致誤判,從而影響業(yè)務系統(tǒng)的可用性。因此安恒WEB應用防火墻中加入了異常檢測引擎用于提高防護能力,降低誤判率。異常檢測技術可以用一個下面這個例子進行說明:
安全檢測好比閉路電視監(jiān)控系統(tǒng),基于特征的檢測技術即通過行人的身高、體重、外貌進行檢測,然后通過X光機檢測身上是否帶了已知的不安全裝備。而異常檢測則是通過對人的行為特征進行分析,例如一個人進門時身帶了一個手擰包,而走到大廳后將手擰包放下,人離開。針對這種特為將為觸發(fā)報警動作。
異常檢測到WEB安全檢測中主要用于補償特征庫的短板,可以有效的防御未知攻擊、盜鏈行為、應用DDOS攻擊等。