Web应用防火墙的应用与研究

Web应用防火墙的应用与研究

介绍了Web应用防火墙实现Web应用防护的方法。Web应用防火墙的使用提高了Web服务器的稳定性和安全性，避免黑客绕过网络层的防护实现针对Web 应用的攻击，提高网络中Web应用的安全性。

标签：

Web应用；Web应用防火墙

0 引言

应用程序的开发通常采用C/S、B/S两种架构。Web应用是指为了某个业务流程而使用B/S（浏览器/服务器）架构开发的信息系统。

Web网站是企业和用户实现快速、高效的交流平台。Web应用基本上涵盖了各类行业的应用。因此，Web网站也成为黑客或恶意程序首选的攻击目标，造成数据丢失、网站内容篡改等威胁，影响业务的正常开展。

网络安全防护常用技术有防火墙，基于网络层的防护和包过滤技术无法对应用层的攻击进行有效拦截；入侵检测/防御（IDS/IPS）系统，误判率较高、无法防御加密、TCP碎片以及其他绕过检测系统的攻击；Web安全网关（WSG），可对网络病毒、跨站、恶意脚本等攻击进行防护，但保护的对象主要是网络用户，而不是Web服务器。

由于各个行业中广泛使用Web网站以及Web应用，而目前常见的网络层的安全防护、安全补丁升级、软件升级等措施都达不到很好的防护效果，因此需要Web应用防火墙实现应用层面的保护。

1 Web应用防火墙概述

Web应用防火墙需理解HTTP/HTTPS协议、分析用户请求数据，实现往返流量的监测和控制。Web应用防火墙的数据中心应能针对网络中新增加的应用程序、新的软件模块而进行相应的变化、更新。对于目前常见的跨站脚本攻击、SQL 注入攻击、命令注入攻击、cookie/session劫持、参数篡改、缓冲溢出攻击、日志篡改、应用平台漏洞攻击、DOS攻击、HTTPS类攻击等攻击行为都应有良好的防护效果。

2Web应用防火墙架构设计

Web应用防火墙使用服务器核心内嵌技术实现对用户请求数据的检查，在内

核中实现了文件保护机制及自保护机制（进程、配置文件、注册表及服务保护）；Web服务器核心内嵌技术是指通过Web服务器（IIS、Apache等）提供的框架接口在Web服务器中嵌入一个过滤模块，该模块能够对进出Web服务器的所有HTTP请求（检测内容包括HTTP协议头部及数据部分，支持所有类型HTTP请求方法）和响应数据包进行合法性检查和修改，从而能够实现攻击检测、敏感关键字过滤等功能。内嵌的安全模块将与Web系统无缝连接，使系统中不存在单独运行的安全模块进程，避免模块被终止进程；安全模块与Web系统的完全整合提高了数据分析的准确性、保障了Web应用服务的稳定性和兼容性。

用户请求数据基于核心内嵌技术实现攻击防护、双向关键字过滤功能，同时，提供后门检测及网页挂马检测功能，将安全风险降至最低。告警模块负责告警信息接收、告警日志生成；备份恢复模块提供文件备份及恢复功能；Web管理系统提供B/S的管理方式。

3Web应用防火墙功能概述

（1）Web应用防护。

通过Web应用防火墙的核心内嵌技术，固化针对Web应用防护的专用特征规则库，对当前主要的Web应用攻击手段实现了有效的防护，应对黑客传统攻击（Web Shell、非法上传）以及新兴的SQL注入和跨站脚本等攻击手段。

（2）文件保护。

采用事件触发检测技术来实现文件保护技术，在网页文件被修改时（比如产生了网页文件的写入、删除等事件）进行合法性检查。Web应用防火墙在接收到针对指定的网页文件的操作请求时，先检查这个请求是否来自合法的进程和用户；如果合法则通过细化的文件防护规则进行进一步判断，合法则正常完成文件操作；如果该请求来自非法的进程或用户，则拒绝对相应文件的操作，达到防篡改的目的。

（3）网页挂马及后门检测。

Web应用防火墙通过爬虫技术和网页挂马检测技术，全面检查网站各级页面中是否被植入恶意代码，确保网站应用的完整性，有效避免网站成为恶意软件的分发、传播渠道。同时，Web应用防火墙提供本地后门扫描功能，将网站安全面临的风险降至最低。

（4）网页篡改检测。

Web应用防火墙实时监测网站服务器的相关是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。与此同时，Web应用防火墙系统将对外显示之前的正确页面，防止被篡改的内容被访问到。

（5）安全策略。

①请求包大小限制。

限制HTTP请求Head大小避免恶意代码通过，超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。

②HTTP/HTTPS请求方法限制。

限制HTTP/HTTPS各种方法的访问，包括：GET，POST，DELETE，HEAD，CONNECT，TRACE，PUT。支持黑白名单的配置，设定可信的访问客户端IP （白名单）不受安全策略规则的检测；设定非法的访问客户端IP（黑名单），直接禁止其对任何Web服务器的访问。

③用户自定义规则库。

用户自定义规则库，可以根据业务需求，针对某些关键字，数据段长度等相关信息，自定义安全过滤规则。

（6）Web应用审计。

Web应用防火墙将提供保护内容的增加、删除、修改和恢复等操作行为的审计；保护内容进行访问等操作行为的审计；管理人员登錄后的操作行为的审计。

（7）产品部署。

Web应用防火墙的部署应支持透明模式、网关模式、旁路监控模式以及HA 双机模式来满足用户的各种不同网络结构的应用需求。

（8）产品支持。

黑客攻击技术在不断更新发展，Web安全攻防是长期、持续变化的过程，Web应用防火墙产品应提供周期性的规则升级服务，帮助客户应对最新类型的攻击。

4 结束语

目前常见的网络安全设备大多工作在网络层，无法针对Web应用数据进行有效的分析、防护。在Web网站和Web应用被广泛使用的今天，用户需要采用专门的Web安全防护措施来实现Web应用的安全性。

参考文献

［1］吴秀梅.防火墙技术及应用教程［M］.北京：清华大学出版社，2010，