一. WEB應(yīng)用安全危機(jī)四伏

　　隨著互聯(lián)網(wǎng)技術(shù)與應(yīng)用的不斷發(fā)展，新的互聯(lián)網(wǎng)業(yè)務(wù)增長點(diǎn)與商業(yè)模式不斷產(chǎn)生，并深入到社會(huì)經(jīng)濟(jì)、政治等各個(gè)層面。隨之產(chǎn)生的不僅僅是價(jià)值，還有眾多的安全威脅，承載在新興應(yīng)用和技術(shù)上的攻擊不斷涌現(xiàn)。Web應(yīng)用極為豐富的今天，Web服務(wù)器以其強(qiáng)大的計(jì)算能力和處理性能及所蘊(yùn)含的高昂價(jià)值，成為被攻擊的主要目標(biāo)。走在信息化與互聯(lián)網(wǎng)經(jīng)濟(jì)前沿的政府、企業(yè)、IDC等組織面臨著各種針對(duì)Web的安全問題：

　　網(wǎng)頁篡改：根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)2007年上半年的工作報(bào)告顯示，網(wǎng)站漏洞百出，被篡改的大陸網(wǎng)站數(shù)量明顯上升，總數(shù)達(dá)到28367個(gè)，比去年全年增加近16%。

　　拒絕服務(wù)攻擊：針對(duì)Web應(yīng)用的分布式拒絕服務(wù)(Distributed Denial of Service，以下簡稱：DDoS)攻擊問題也相當(dāng)嚴(yán)重。對(duì)中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，攻擊者往往采用有組織的DDoS攻擊等手段進(jìn)行勒索，迫使企業(yè)接受相應(yīng)條件，嚴(yán)重影響企業(yè)正常業(yè)務(wù)的開展。

　　SQL注入、跨站腳本漏洞：信息安全國際權(quán)威機(jī)構(gòu)SANS 2007年發(fā)布的全球20大安全風(fēng)險(xiǎn)排行榜上，Web應(yīng)用安全漏洞名列前茅，最廣為攻擊者利用的漏洞為SQL注入及跨站腳本。其中，SQL注入漏洞通常為攻擊者利用，用于讀取、創(chuàng)建、更新或是刪除應(yīng)用程序中的任意數(shù)據(jù)，最為糟糕的情況下，攻擊者可能獲得整個(gè)數(shù)據(jù)庫系統(tǒng)的完全控制權(quán);跨站腳本，即XSS(Cross-Site Scripting)，允許攻擊者在受害者的瀏覽器中執(zhí)行腳本，從而劫持用戶會(huì)話、篡改Web站點(diǎn)、插入惡意內(nèi)容、實(shí)施釣魚攻擊等。

　　常見的蠕蟲、黑客攻擊

　　由這些安全問題，進(jìn)一步衍生出維護(hù)、管理問題：

　　內(nèi)部維護(hù)人員疲于補(bǔ)救Web應(yīng)用安全漏洞

　　需要付出高昂成本以獲取第三方服務(wù)：應(yīng)急響應(yīng)、安全加固、滲透測(cè)試

　　隨著攻擊者知識(shí)的日趨成熟，針對(duì)Web應(yīng)用的攻擊工具與手法日趨復(fù)雜多樣。傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的檢測(cè)機(jī)制和防護(hù)深度，已經(jīng)不能滿足日益發(fā)展的Web應(yīng)用防護(hù)的全部需求。

　　二. WAF：新興信息安全技術(shù)

　　Web應(yīng)用防火墻(Web Application Firewall, 簡稱：WAF)代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)。基于對(duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對(duì)來自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求將予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。

　　WAF作為一種在國際安全市場(chǎng)上新起的專用設(shè)備，在世界范圍的安全市場(chǎng)內(nèi)有明確的功能定義：國際權(quán)威測(cè)評(píng)機(jī)構(gòu)NSS對(duì)WAF有著詳細(xì)的測(cè)試方案;國際組織WEB應(yīng)用安全聯(lián)盟(Web Application Security Consortium，簡稱：WASC)發(fā)布了WAF產(chǎn)品評(píng)估標(biāo)準(zhǔn)，為技術(shù)人員進(jìn)行產(chǎn)品技術(shù)選型時(shí)提供參考，以選擇最為適合自身應(yīng)用環(huán)境的WAF產(chǎn)品。但國外WAF的定義在某些方面缺少對(duì)中國國情的特殊性考慮，比如目前國內(nèi)比較泛濫的DDoS攻擊等。

　　因此，一個(gè)完善的、真正能解決國內(nèi)Web應(yīng)用安全問題的WAF產(chǎn)品應(yīng)該具備以下特點(diǎn)：

　　具備針對(duì)各類Web應(yīng)用攻擊的檢測(cè)和防御能力，如蠕蟲威脅、黑客攻擊、SQL注入、跨站腳本等，滿足對(duì)檢測(cè)、防御能力在廣度和深度上的要求;

　　針對(duì)國內(nèi)極為猖獗的DDoS攻擊進(jìn)行防護(hù)，尤其是針對(duì)應(yīng)用層的DDoS攻擊進(jìn)行細(xì)粒度防護(hù)，如CC攻擊、針對(duì)網(wǎng)游的DDoS攻擊等;

　　很多Web應(yīng)用安全問題，究其根本，還是在于Web應(yīng)用程序開發(fā)階段留下的安全隱患為攻擊者所利用。除了對(duì)應(yīng)用流量進(jìn)行監(jiān)控以防護(hù)Web應(yīng)用攻擊，WAF還應(yīng)具備Web應(yīng)用漏洞掃描能力，加強(qiáng)Web應(yīng)用自身的安全性;

　　具備良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施，確保Web應(yīng)用核心業(yè)務(wù)的連續(xù)性和高可靠性;

　　考慮到Web應(yīng)用的復(fù)雜性與業(yè)務(wù)變更的頻繁，要求WAF產(chǎn)品具備簡便、靈活的配置與管理功能，并能提供細(xì)粒度的防護(hù)策略配置。

標(biāo)簽： cc攻擊 ddos idc web服務(wù)器 web應(yīng)用防火墻 安全 防火墻 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)技術(shù) 互聯(lián)網(wǎng)業(yè)務(wù) 腳本 漏洞 數(shù)據(jù)庫 網(wǎng)絡(luò) 信息安全 信息化

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。