龙源期刊网应用防火墙的应用与研究作者:魏涛来源:《现代商贸工业》2012年第24期摘要:介绍了Web应用防火墙实现Web应用防护的方法。Web应用防火墙的使用提高了Web服务器的稳定性和安全性,避免黑客绕过网络层的防护实现针对Web应用的攻击,提高网络中Web应用的安全性。关键词:Web应用;Web应用防火墙中图分类号:F49文献标识码:A文章编号:16723198(2012)240213020引言应用程序的开发通常采用C/S、B/S两种架构。Web应用是指为了某个业务流程而使用B/S(浏览器/服务器)架构开发的信息系统。Web网站是企业和用户实现快速、高效的交流平台。Web应用基本上涵盖了各类行业的应用。因此,Web网站也成为黑客或恶意程序首选的攻击目标,造成数据丢失、网站内容篡改等威胁,影响业务的正常开展。网络安全防护常用技术有防火墙,基于网络层的防护和包过滤技术无法对应用层的攻击进行有效拦截;入侵检测/防御(IDS/IPS)系统,误判率较高、无法防御加密、TCP碎片以及其他绕过检测系统的攻击;Web安全网关(WSG),可对网络病毒、跨站、恶意脚本等攻击进行防护,但保护的对象主要是网络用户,而不是Web服务器。由于各个行业中广泛使用Web网站以及Web应用,而目前常见的网络层的安全防护、安全补丁升级、软件升级等措施都达不到很好的防护效果,因此需要Web应用防火墙实现应用层面的保护。1Web应用防火墙概述龙源期刊网协议、分析用户请求数据,实现往返流量的监测和控制。Web应用防火墙的数据中心应能针对网络中新增加的应用程序、新的软件模块而进行相应的变化、更新。对于目前常见的跨站脚本攻击、SQL注入攻击、命令注入攻击、cookie/session劫持、参数篡改、缓冲溢出攻击、日志篡改、应用平台漏洞攻击、DOS攻击、HTTPS类攻击等攻击行为都应有良好的防护效果。2Web应用防火墙架构设计Web应用防火墙使用服务器核心内嵌技术实现对用户请求数据的检查,在内核中实现了文件保护机制及自保护机制(进程、配置文件、注册表及服务保护);Web服务器核心内嵌技术是指通过Web服务器(IIS、Apache等)提供的框架接口在Web服务器中嵌入一个过滤模块,该模块能够对进出Web服务器的所有HTTP请求(检测内容包括HTTP协议头部及数据部分,支持所有类型HTTP请求方法)和响应数据包进行合法性检查和修改,从而能够实现攻击检测、敏感关键字过滤等功能。内嵌的安全模块将与Web系统无缝连接,使系统中不存在单独运行的安全模块进程,避免模块被终止进程;安全模块与Web系统的完全整合提高了数据分析的准确性、保障了Web应用服务的稳定性和兼容性。用户请求数据基于核心内嵌技术实现攻击防护、双向关键字过滤功能,同时,提供后门检测及网页挂马检测功能,将安全风险降至最低。告警模块负责告警信息接收、告警日志生成;备份恢复模块提供文件备份及恢复功能;Web管理系统提供B/S的管理方式。3Web应用防火墙功能概述(1)Web应用防护。通过Web应用防火墙的核心内嵌技术,固化针对Web应用防护的专用特征规则库,对当前主要的Web应用攻击手段实现了有效的防护,应对黑客传统攻击(WebShell、非法上传)以及新兴的SQL注入和跨站脚本等攻击手段。(2)文件保护。采用事件触发检测技术来实现文件保护技术,在网页文件被修改时(比如产生了网页文件的写入、删除等事件)进行合法性检查。Web应用防火墙在接收到针对指定的网页文件的操作请求时,先检查这个请求是否来自合法的进程和用户;如果合法则通过细化的文件防护规则进行进一步判断,合法则正常完成文件操作;如果该请求来自非法的进程或用户,则拒绝对相应文件的操作,达到防篡改的目的。(3)网页挂马及后门检测。龙源期刊网应用防火墙通过爬虫技术和网页挂马检测技术,全面检查网站各级页面中是否被植入恶意代码,确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。同时,Web应用防火墙提供本地后门扫描功能,将网站安全面临的风险降至最低。(4)网页篡改检测。Web应用防火墙实时监测网站服务器的相关是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。与此同时,Web应用防火墙系统将对外显示之前的正确页面,防止被篡改的内容被访问到。(5)安全策略。①请求包大小限制。限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。②HTTP/HTTPS请求方法限制。限制HTTP/HTTPS各种方法的访问,包括:GET,POST,DELETE,HEAD,CONNECT,TRACE,PUT。支持黑白名单的配置,设定可信的访问客户端IP(白名单)不受安全策略规则的检测;设定非法的访问客户端IP(黑名单),直接禁止其对任何Web服务器的访问。③用户自定义规则库。用户自定义规则库,可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。(6)Web应用审计。Web应用防火墙将提供保护内容的增加、删除、修改和恢复等操作行为的审计;保护内容进行访问等操作行为的审计;管理人员登录后的操作行为的审计。(7)产品部署。Web应用防火墙的部署应支持透明模式、网关模式、旁路监控模式以及HA双机模式来满足用户的各种不同网络结构的应用需求。(8)产品支持。龙源期刊网黑客攻击技术在不断更新发展,Web安全攻防是长期、持续变化的过程,Web应用防火墙产品应提供周期性的规则升级服务,帮助客户应对最新类型的攻击。4结束语目前常见的网络安全设备大多工作在网络层,无法针对Web应用数据进行有效的分析、防护。在Web网站和Web应用被广泛使用的今天,用户需要采用专门的Web安全防护措施来实现Web应用的安全性。参考文献[1]吴秀梅.防火墙技术及应用教程[M].北京:清华大学出版社,2010,(10).[2]刘宗田.Web站点安全与防火墙技术[M].北京:机械工业出版社,2007,(12).