梭子鱼WEB应用防火墙 给力“云”安全

WEB应用的发展，使网站产生越来越重要的作用，而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击，例如网页被挂马、网站SQL 注入，导致网页被篡改、网站被查封，甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里，网站并非是一个提供互联网服务和信息交流的平台，反而成为可以被低成本利用获取价值的一个途径。

下图：2010年十大WEB攻击统计

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换Web网站主页，盗取管理员密码，数据库注入和破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

现在大量的黑客网站上面都提供了入侵WEB服务器的教程，而且大量的黑客工具随处可见，这使得攻击WEB服务器越来越容易，安全面临着严重的威胁！

我们看看当前网站安全状况，数字的增长速度令人震惊。具不完全统计，这几年中国大陆网站入侵导致网页被篡改成倍增长；2010年仅网页篡改已经是2007年的60倍，达到121623，这还不包含未被官方披露的数字。

还有很多网站被黑客所利用，进行网页挂马，导致浏览这些网页的人自动被种植木马。可以说经常上网人几乎都遭遇过网页木马，轻则使系统异常、成为黑客们的傀儡终端，重责导致个人敏感数据被盗。

很多用户认为，在网络中部署多层的防火墙，入侵检测系统(IDS)，入侵防御系统(IPS)等设备，就可以保障网络的安全性，就能全面立体的防护WEB应用了，但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。

黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统防火墙。据统计，目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：无法检测加密的Web流量；普通应用程序加密后，也能轻易躲过防火墙的检测；对于Web应用程序，防范能力不足……

传统防火墙的不足主要体现在：

1.主要工作在OSI 模型三、四层，基于IP 报文进行检测，控制对网络的访问。

2.在设计之初，就无需理解Web 应用程序语言如HTML 及XML，也无法理解 HTTP 会话。

3.无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。

4.为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用。

5.状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器。

IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。

为了更好的理解两款产品差异性，我们先用这个保镖（WAF）和保安（IPS）比喻来描述。

大楼保安需要对所有进出大楼人员进行检查，一旦发现可疑人员则禁止他入内，但如果混进“貌似忠良”的坏人去撬保险柜等破坏行为，大楼保安是无能为力的。

私人保镖则是指高级别、更“贴身”的保护。他通常只保护特定的人员，所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等，因为被保护人的工作是需要去面对不同的人，去不同的场合，保镖的职责不能因为危险就阻止、改变他的行为，只能去预见可能的风险，然后量身定做合适的保护方案。

这两种角色的区别在于保安保护的是整个大楼，他不需要也无法知道谁是最需要保护的人，保镖则是明确了被保护对象名单，需要深刻理解被保护人的个性特点。

通过上面的比喻，大家应该明白两者的之所以会感觉相似是因为职责都是去保护，但差异在于职能定位的不同。

入侵检测系统(IPS)的不足

1.IPS使用攻击特征数据库作为检测机制，只能捕获已知攻击。针对某种特殊应用设计的攻击，或者“零日攻击”它将不能防御。

2.黑客只需做少许修改，现有的特征库将不起作用。

3.SSL加密使IPS设备对所有的web攻击失效。

4.IPS不能对URL和Unicode编码流量规范化。当攻击进行了相应的编码后， IPS也将失去作用。

5.基于“允许除非明确否认”的模式对所有流量放行，IPS不可避免的会放行一些它无法识别的恶意流量。

6.IPS只知道包和请求，而不知道网络和应用。IPS不知道用户特定的网络和应用架构，因而无法根据用户的特定应用环境来制定基于应用的安全策略。

网页防篡改的弱点在于对于攻击行为并不进行分析，也不阻止攻击的发生。

不可否认，网页被篡改是目前最直观的Web安全问题，无论是政府网站、高校网站，还是运营商网站、企业网站，都曾出现过严重的网页篡改事件，这让网页防篡改产品开始映入人们的眼帘。

但网页防篡改系统是一种软件解决方案，它的防护效果直接，但是只能保护静态页面，而无法保护动态页面。