1. 概述

　　Web网站是和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。

　　根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的工作报告显示：

　　目前中国的安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。

　　对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置的可能，导致政府类网站存在安全隐患。对，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及应用层拒绝服务攻击(Denial Of Service)等，影响业务的正常开展。

　　2007 年到2009年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。

　　1.1. 常见攻击手法

　　目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列出了这些最常见的攻击技术，其中最后一列描述了安恒WAF如何对该攻击进行防护。

　　攻击方式描述安恒WAF的防护方法

　　跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。通过检查应用流量，阻止各种恶意的脚本插入到URL, header及form中。

　　SQL 注入攻击者通过输入一段查询代码窃取或修改数据库中的数据。通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL, header及form中。

　　命令注入攻击者利用网页漏洞将含有或软件平台命令注入到网页访问语句中以盗取数据或后端的控制权。通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL, header及form中。

　　cookie/seesion劫持Cookie/seesion通常用于用户身份认证，并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/seesion提高访问权限，或伪装成他人的身份登陆。通过检查应用流量，拒绝伪造身份登录的会话访问。

　　参数(或表单)篡改通过修改对URL、header和form中对用户输入数据的安全性判断，并且提交到服务器。利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生。

　　缓冲溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限。用户可以根据应用需求设定和限制数据边界条件，确保不危及脆弱的服务器。

　　日志篡改黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。.通过检查应用流量，防止带有日志篡改的应用访问。

　　应用平台漏洞攻击 黑客通过获悉应用平台后，可以利用该平台的已知漏洞进行攻击。当应用平台出现漏洞，且没有官方补丁时，同样面临被攻击的风险。安恒WAF将阻止已知的攻击，并提供安全策略规则升级服务，用户可以按计划进行安全应用策略升级。同时，对于高级用户，安恒WAF提供自定义规则库的添加，可以针对某些关键字，特殊应用做特殊安全处理。

　　DOS攻击通过DOS攻击请求，以达到消耗应用平台资源异常消耗的一种攻击，最终造成应用平台拒绝服务。可以防护所有的网络层的DoS。包括防止 SYN cookie ，应用层DOS攻击和对客户端连接速率进行限制。

　　HTTPS类攻击一些狡猾的黑客通过HTTPS进行HTTPS类的攻击，由于加密数据包无法进行有效的检测，导致通用的网络和普通WEB应用防火墙无能为力。支持用户上传HTTPS证书，在WAF进行第一轮认证，并对应用流量进行解密和侦测，对HTTPS类的所有攻击进行有效的拦截和防御。

　　2. 现有的防御技术

　　目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。

　　2.1. 传统网络防火墙

　　第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web及其器事实上是无安全检测和防范的。

　　状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而，状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器;同样，如果某个攻击进行了加密或编码该防火墙也不能检测。

　　2.2.检测系统(IDS)

　　入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的，它不能阻止攻击，也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击，此外，可以通过加密，TCP碎片攻击以及其他方式绕过入侵检测系统的防御。

　　3. Web安全需求

　　企业 对Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：

　　·对现有网络拓扑结构尽量无影响;

　　·方便管理，无需进行复杂的配置;

　　·对现有的访问速率不能造成太大的影响;

　　·对正常业务访问不能进行错误的拦截阻断。

　　3.1. Web应用防火墙

　　Web应用防火墙的两个关键功能是，深入理解HTTP/HTTPS协议，可监测往返流量，能对web流量进行安全控制。Web是经常变化的，包括新的应用程序、新的软件，不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境，应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求.

　　4. 安恒WAF的特点

　　安恒WAF提供高效的Web应用安全边界检查功能。安恒WAF整合了Web安全深度防御及站点隐藏等功能，能全方位的保护用户的Web数据中心。通过对对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测，提供了实时有效的入侵防护功能。安恒WAF充分考虑用户已有环境的差异性，对环境兼容性、应用多样性进行了深入的分析和总结。

　　4.1. 领先的透明代理模式

　　WEB应用防火墙技术经过不断的发展已经日益成熟，安恒WAF采用业界领先的代理技术实现WEB应用深度分析和防御。基于代理的防火墙技术在防护深度及细粒度方面有着包过滤防火墙无法比拟的优势，但是如果代理模式处理不当也会对网络及应用系统产生影响，最为明显的影响是对网络数据包文头的改变，导致服务器识别到的源地址是代理设备IP地址，无法识别真话的访问者。而且还会对HTTP应用数据流头部的影响，如增加X-Forwarded相关的字段或影响已有的代理环境，影响WEB业务的正常使用，以及致使WEB服务器访问日志失效。

　　安恒WAF凭着对网络及应用的深入解理，以及多年的研发经验，研发的WAF产品继承了代理防火墙技术深度防御的特性，同时也吸纳了网络防火墙对网络及应用透明的优点。安恒是国内首家发布全透明代理的模式的WEB应用防火墙厂家，安恒WAF的部署不会对网络及应用产生任何的影响，甚至安恒WAF的工作口不需要配置任何的IP即可正常工作。

　　4.2. 独创的镜像监控模式

　　WEB应用系统随着应用需求不同而千变万化，对应用的防护和安全识别提出了高的要求，因此应用环境中对WEB应用防火墙的接入需要经过深入的分析和调研才能实现。针对一些大型的业务系统，特别是对业务连续性有较高要求的行为如电信运营、金融证券、社会保障等需要不中断对外服务的应用系统对部署WAF产品是一个极大的挑战。

　　如果实现部署WAF前期的准备或者让WAF工作在监测模式下而不影响正常的业务是大型应用系统的一个钢性需求。安恒WAF产品独创的镜像监控模式彻底解决这个难题，安恒WAF产品支持端口镜像和串接镜像两种方式实现对数据包的分布，对安全的监测，端口镜像模式下仅需将监测流量镜像至WAF即可，而不会影响网络和应用系统;串接镜像时将WAF串接入需要监测的环境，此时WAF会自动复制一份数据包进行监测，也不会影响原有的网络及应用。

　　4.3. 双向SSL的支持

　　WEB应用防火墙技术可以完防护HTTP应用系统，然而针对于HTTPS的应用系统则是当前WEB应用防火墙技术的难点。基于HTTPS的应用系统，在网络环境常规的设备无法识别传输的应用数据，更无法识别来自应用层的攻击。要对HTTPS应用进行应用防护，必须要求WAF能良好的支持HTTPS协议并能对SSL数据流进行中继。由于SSL需要大量的数据运算对设备性能要求高，以及需要对用户端和服务器端双向的SSL支持这些技术难点，导致很多WEB应用防火墙无法实现对HTTPS的支持。

　　安恒WAF支持双向的SSL环境，能对原有的HTTPS应用系统良好的适应，无勿需改变原有环境，对HTTPS应用系统仍可透明部署和全面防御。安恒通过对HTTPS的支持从而实现了对HTTP、HTTPS的全面防护，解决了WEB防火墙无法防御HTTPS应用的短板。