一. WEB應(yīng)用安全危機四伏

　　隨著互聯(lián)網(wǎng)技術(shù)與應(yīng)用的不斷發(fā)展，新的互聯(lián)網(wǎng)業(yè)務(wù)增長點與商業(yè)模式不斷產(chǎn)生，并深入到社會經(jīng)濟、政治等各個層面。隨之產(chǎn)生的不僅僅是價值，還有眾多的安全威脅，承載在新興應(yīng)用和技術(shù)上的攻擊不斷涌現(xiàn)。Web應(yīng)用極為豐富的今天，Web服務(wù)器以其強大的計算能力和處理性能及所蘊含的高昂價值，成為被攻擊的主要目標。走在信息化與互聯(lián)網(wǎng)經(jīng)濟前沿的政府、企業(yè)、IDC等組織面臨著各種針對Web的安全問題：

　　網(wǎng)頁篡改：根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)2007年上半年的工作報告顯示，網(wǎng)站漏洞百出，被篡改的大陸網(wǎng)站數(shù)量明顯上升，總數(shù)達到28367個，比去年全年增加近16%。

　　拒絕服務(wù)攻擊：針對Web應(yīng)用的分布式拒絕服務(wù)(Distributed Denial of Service，以下簡稱：DDoS)攻擊問題也相當(dāng)嚴重。對中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，攻擊者往往采用有組織的DDoS攻擊等手段進行勒索，迫使企業(yè)接受相應(yīng)條件，嚴重影響企業(yè)正常業(yè)務(wù)的開展。

　　SQL注入、跨站腳本漏洞：信息安全國際權(quán)威機構(gòu)SANS 2007年發(fā)布的全球20大安全風(fēng)險排行榜上，Web應(yīng)用安全漏洞名列前茅，最廣為攻擊者利用的漏洞為SQL注入及跨站腳本。其中，SQL注入漏洞通常為攻擊者利用，用于讀取、創(chuàng)建、更新或是刪除應(yīng)用程序中的任意數(shù)據(jù)，最為糟糕的情況下，攻擊者可能獲得整個數(shù)據(jù)庫系統(tǒng)的完全控制權(quán);跨站腳本，即XSS(Cross-Site Scripting)，允許攻擊者在受害者的瀏覽器中執(zhí)行腳本，從而劫持用戶會話、篡改Web站點、插入惡意內(nèi)容、實施釣魚攻擊等。

　　常見的蠕蟲、黑客攻擊

　　由這些安全問題，進一步衍生出維護、管理問題：

　　內(nèi)部維護人員疲于補救Web應(yīng)用安全漏洞

　　需要付出高昂成本以獲取第三方服務(wù)：應(yīng)急響應(yīng)、安全加固、滲透測試

　　隨著攻擊者知識的日趨成熟，針對Web應(yīng)用的攻擊工具與手法日趨復(fù)雜多樣。傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的檢測機制和防護深度，已經(jīng)不能滿足日益發(fā)展的Web應(yīng)用防護的全部需求。

　　二. WAF：新興信息安全技術(shù)

　　Web應(yīng)用防火墻(Web Application Firewall, 簡稱：WAF)代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護具有先天的技術(shù)優(yōu)勢�；�于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求將予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。

　　WAF作為一種在國際安全市場上新起的專用設(shè)備，在世界范圍的安全市場內(nèi)有明確的功能定義：國際權(quán)威測評機構(gòu)NSS對WAF有著詳細的測試方案;國際組織WEB應(yīng)用安全聯(lián)盟(Web Application Security Consortium，簡稱：WASC)發(fā)布了WAF產(chǎn)品評估標準，為技術(shù)人員進行產(chǎn)品技術(shù)選型時提供參考，以選擇最為適合自身應(yīng)用環(huán)境的WAF產(chǎn)品。但國外WAF的定義在某些方面缺少對中國國情的特殊性考慮，比如目前國內(nèi)比較泛濫的DDoS攻擊等。

　　因此，一個完善的、真正能解決國內(nèi)Web應(yīng)用安全問題的WAF產(chǎn)品應(yīng)該具備以下特點：

　　具備針對各類Web應(yīng)用攻擊的檢測和防御能力，如蠕蟲威脅、黑客攻擊、SQL注入、跨站腳本等，滿足對檢測、防御能力在廣度和深度上的要求;

　　針對國內(nèi)極為猖獗的DDoS攻擊進行防護，尤其是針對應(yīng)用層的DDoS攻擊進行細粒度防護，如CC攻擊、針對網(wǎng)游的DDoS攻擊等;

　　很多Web應(yīng)用安全問題，究其根本，還是在于Web應(yīng)用程序開發(fā)階段留下的安全隱患為攻擊者所利用。除了對應(yīng)用流量進行監(jiān)控以防護Web應(yīng)用攻擊，WAF還應(yīng)具備Web應(yīng)用漏洞掃描能力，加強Web應(yīng)用自身的安全性;

　　具備良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施，確保Web應(yīng)用核心業(yè)務(wù)的連續(xù)性和高可靠性;

　　考慮到Web應(yīng)用的復(fù)雜性與業(yè)務(wù)變更的頻繁，要求WAF產(chǎn)品具備簡便、靈活的配置與管理功能，并能提供細粒度的防護策略配置。

標簽： cc攻擊 ddos idc web服務(wù)器 web應(yīng)用防火墻 安全 防火墻 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)技術(shù) 互聯(lián)網(wǎng)業(yè)務(wù) 腳本 漏洞 數(shù)據(jù)庫 網(wǎng)絡(luò) 信息安全 信息化

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。