web网络安全解决方案

web网络安全解决方案

（文档版本号：V1.0）

沈阳东网科技有限公司

修订记录

日期修订版本描述作者2015-4-2 V1.0 初稿生成李政伟

目录

一、前言 (1)

二、如何确保web的安全应用 (1)

三、常见部署模式 (1)

四、需求说明 (5)

五、网络拓扑 (6)

六、总结 (6)

I

一、前言

Web应用处在一个相对开放的环境中，它在为公众提供便利服务的同时，也极易成为不法分子的攻击目标，黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前，信息安全攻击约有75%都是发生在Web应用而非网络层面上。

Web攻击者针对Web应用程序的可能漏洞、 Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

二、如何确保web的安全应用

在Web系统的各个层面，都会使用不同的技术来确保安全性：为了保护客户端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输安全，通信层通常会使用SSL技术加密数据；为了阻止对不必要暴露的端口和非法的访问，用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。

但是，对于Web应用而言，Web服务端口即80和443端口是一定要开放的，恶意的用户正是利用这些Web端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统安全设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合Web系统对请求进行深入分析，针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP保护的网站。

因此，在大量而广泛的Web网站和Web应用中，需要采用专门的Web安全防护系统来保护Web应用层面的安全，WAF（Web Application Firewall，WEB应用防火墙）产品开始流行起来。

WAF产品按照形态划分可以分为三种，硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷，已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起，产品及市场也都还未成熟。与前两种形态相比，硬件WAF经过多年的应用，在各方面都相对成熟及完善，也是目前市场中WAF产品的主流形态。

既然是硬件产品，网络部署对于用户来说，是一个必须要考虑的问题。纵观国内外的硬件WAF产品，通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个介绍。

三、常见部署模式

1.WAF部署位置

通常情况下，WAF 放在企业对外提供网站服务的DMZ 区域或者放在数据中心服务区域，也可以与防火墙或IPS 等网关设备串联在一起（这种情况较少）。总之，决定WAF 部署位置的是WEB 服务器的位置。因为WEB 服务器是WAF 所保护的对象。部署时当然要使WAF 尽量靠近WEB 服务器。

2. WAF 部署模式分类

根据WAF 工作方式及原理不同可以分为四种工作模式：透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF 串行部署在WEB 服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF 旁路接在WEB 服务器上游的交换机上，用于只检测异常流量。

图1：WAF 部署模式分类

3. WAF 几种部署模式的技术原理

工作模式

技术原理

透明代理模式（也称网桥代理模式） 透明代理模式的工作原理是，当WEB 客户端对服务器有连接请求时，TCP 连接请求被WAF 截取和监控。WAF 偷偷的代理了WEB

客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。从WEB 客户端的角度看，WEB 客户端仍然是直接访问服

务器，感知不到WAF 的存在；从WAF 工作转发原理看和透明网桥转发一样，因而称之为透明代理模式，又称之为透明桥模式。 反向代理模式

反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF ，因此在WAF 无需像其它模式（如透明和路由代理模式）

一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP 的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF 设备，由WAF 设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发

出的请求的目的地址就直接是后台的服务器，所以透明代理工作方式不需要在WAF上配置IP映射关系。

路由代理模式路由代理模式，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。

端口镜像模式端口镜像模式工作时，WAF只对HTTP流量进行监控和报警，不进行拦截阻断。该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF 而言，流量只进不出。

4.WAF几种部署模式的典型拓扑

工作模式典型拓扑

透明代

理模式

（也称

网桥代

理模

式）

反向代

理模式