应用安全的防护利器——Web应用防火墙

细心的朋友应该会发现,2010年各类应用软件的安全补丁开始多了起来。特别是Adobe的补丁,Adobe软件安全漏洞曾在2009年大量曝出,Adobe软件一下成为了黑客的新宠,其安全性备受人们关注,Adobe软件公司在2010年开始时常推出用于修复Adobe Reader或者Acrobat软件各类安全漏洞的补丁。

在2010年还有一个值得注意的安全动向是各类网页挂马、钓鱼网站的流行,经常有人误点了被挂马的链接,结果遭遇病毒木马、恶意程序的入侵,或者是被钓鱼网站所骗倒,网银账号密码甚至是网银里的钱款被骗走。

可以说,“应用安全”成为了2010年安全的一个主题,而且主要集中在应用软件安全问题和Web应用安全问题两方面。应用安全问题不仅存在于个人用户中,在企业用户里应用安全问题也极为重要。2010年造成伊朗核设施部分停摆的恶意程序Stuxnet(也就是所谓的“超级工厂病毒”),正是利用了伊朗核设备工厂里的企业级应用软件西门子SIMATIC WinCC监控与数据采集(SCADA)系统的漏洞,才成功实现入侵。而在国内,近年来利用Web安全漏洞成为黑客攻击的主流,很多网站都深受其害,人们关注的焦点也就主要集中在了Web应用安全方面。从2008年开始国内陆续有不少安全公司开始研发Web应用防火墙,2009年的时候梭子鱼就投入了几百台WAF(Web应用防火墙)设备供用户测试,到了2010年各家安全厂商也开始推出类似产品。

传统防火墙与Web应用防火墙的区别

传统防火墙工作在网络层,通过地址转换、访问控制以及状态检测等功能对企业网络进行防护。但对于应用广泛的Web服务器,传统防火墙完全对外部网络开发HTTP应用端口,这种方式对Web应用无法做到任何防护。

入侵检测系统作为防火墙的有利补充,加强了网络的安全防御能力。但是,入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据,对于未知攻击和或伪装成正常流量的攻击,入侵检测系统不能检测和防御。更重要的是,对于应用系统中某一漏洞的目标攻击,他们没有任何防御能力,因为这些攻击没有明显的特征可供判断。另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率会上升,同时,系统的效率会降低。

也正因此,Web应用防火墙应运而生。WEB应用防火墙位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好的安全策略的行为。WEB应用防火墙具备事前预防、事中防护及事后补偿的综合能力。以WEB应用防火墙最为核心的事中防护能力为例,WEB应用防火墙作为一种专业的Web安全防护工具,基于对HTTP/HTTPS流量的双向解码和分析,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等,能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障Web应用的高可用性和可靠性。

Web应用防火墙的发展目前有两个方向,其一向高性能专业设备的方面发展,其二是朝Web应用综合网关的方面发展。梭子鱼公司技术总监谷新给出了自己对传统防火墙与Web应用防火墙的解读,他认为传统防火墙和WEB应用防火墙的本质区别在于,前者只是针对网络协议的第三层网络层、第四层传输层的访问控制和攻击防御,而后者深入到应用层对所有应用信息进行过滤,是专门为保护基于Web的应用程序而设计的。

Web应用防火墙的选择

OWASP(开放式Web应用程序安全项目组织)就有关Web应用防火墙的选择给出了一个参考标准:

很少出现误报(例如,不应该拒绝授权请求等)

默认防御的强度

容易操作模式

可以预防的漏洞类型

能够限制个人用户只能在当前对话中所看到的内容

配置预防特定问题的能力,如紧急补丁等

WAF提供形式:软件与硬件(一般偏好硬件)

Web应用防火墙(WAF)市场现在标准并不统一,很多不同的产品被归类到WAF范畴。研究机构Burton Group分析师Ramon Krikken认为,“很多产品提供的功能远远超出了我们通常认为防火墙应该具有的功能,这使得产品的评价和比较难以进行。”

谷新表示标准的Web应用防火墙需要具备四大功能,即安全防护功能、加速功能以及可扩展性、IP审计。另外根据研究和咨询公司Xiom创始人Ofer Shezaf提供的清单,下面列出Web应用防火墙应该具备的特性:深入理解HTTP、提供明确的安全模型、应用层规则、基于会话的保护、允许细粒度政策管理。