Web应用防火墙(WAF)是这两年刚刚兴起的、针对愈演愈烈的Web应用层攻击而衍生出的一种产品。按照国际上公认的一种说法,WAF是通过执行一系列针对HTTP/HTTPS的安全策略来保护Web应用的产品。
目前市场上有诸如Web应用防火墙、应用防火墙、Web安全网关、下一代防火墙等多种易引起混淆的概念,用户在选择时往往会感到困惑。让我们一一细述,首先从Web应用防火墙说起。
随着网络购物和网上交易这种涉及到金钱交易的网上活动的流行,这些活动的安全性目前来看是用户最为关注的问题。而Web应用防火墙的目标很简单,就是保护应用层的安全,且仅仅是Web应用层面的安全。
Web应用流行的征兆,对于普通的用户来说,最直接的体现就是网站类型越来越丰富了,网站数量越来越多了,利用网站可以做的事情也越来越全面了。从生活琐事到工作内容都可以通过互联网来满足用户的需求。那么,随之而来的也就是黑客利用这些操作进行的牟利活动。这是WAF出现的背景之一。
梭子鱼网络有限公司(Barracuda Networks Inc.)中国区技术总监谷新表示,WAF的出现,还是由于传统的防火墙对于应用层的攻击是无法进行有效的抵抗的,迫切需要一种专门针对Web应用的防火墙出现。以往的网络安全往往是针对的第三层和第四层,因为针对这两层的攻击相对来说比较简单。比如DoS攻击,传统防火墙可以识别这种针对IP的攻击。但是,随着网络攻击技术的发展,还有黑客对于传统防火墙逐渐生出的“免疫力”,以及黑客技术的迅速发展,传统防火墙逐渐显现出不足。谷新表示:“以往黑客是为了炫耀本身的技术,而现在更多的是为了利益,是为了获取有用的信息。”这也是WAF出现的背景之一。
除去上述的几个背景之外,WAF的出现还有一个客观因素。在几年之前,像IDS、IPS这类的设备也能起到一部分的防止应用层攻击的作用,但是不能从根本上防护应用层的攻击,因为这些设备的安全防护都是基于特征码的。例如病毒库,这种方式针对已知病毒可有效防护,但是对于未知的攻击,例如零日攻击却无法进行有效防护。因为Web应用层的攻击往往是针对应用系统的漏洞进行的,每个应用在发布时往往带着很多漏洞,而这些漏洞可能会在日后运行过程中不断的出现。但黑客却可以通过运行监测程序发现用户未知的漏洞,且往往很快就能发布攻击。
例如,新浪微博就曾出现了一次比较大的web攻击事件。微博用户中招后会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,形成恶性循环。大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子” 等带链接的微博与私信,并自动关注一位名为hellosamy的用户。
而WAF的出现,即有效解决了这一问题。梭子鱼网络有限公司资深售前技术经理肖作葵对此作了进一步的解释,和传统网络防火墙的低层处理机制以及与 IPS对于HTTP、HTTPS和FTP流量的简单操作相比,梭子鱼WEB应用防火墙可对HTTP流量进行代理,并全面扫描7层数据,确保攻击在到达 Web服务器之前就将其阻断。许多Web应用由于断断续续的代码加固及安全维护,致使这些Web应用通常存在严重的安全漏洞及隐患。 梭子鱼WEB应用防火墙能够阻断所有常见的Web攻击。作为一个反向代理,在阻断攻击的同时,能够对外发的HTTP响应进行全面的监控,确保诸如信用卡卡号、社保卡卡号等敏感信息的泄露。结合动态学习功能,梭子鱼应用防火墙能够学习Web服务器的内在结构并生成策略,从而确保网站的高安全性。