應用防火牆 讓黑客碰壁

當黑客攻擊Web應用時，網絡防火牆和入侵檢測產品發揮的作用有限，而應用防火牆卻讓黑客無功而返。
在6月份的時候有這樣一則新聞：美國科學家表示，許多網站目前都面臨一種新形式網絡攻擊——“HTTP請求走私”的威脅，這種攻擊將有害的數據包隱藏在看似合法的數據包中，通過HTTP請求破壞網站。
專家發現，“HTTP請求走私”最簡單的一種攻擊形式是添加多余的“內容長度的頭信息標簽”。通常，當浏覽器發出網頁請求時，它會發送包含詳細請求內容的數據包。一般情況下，數據包中只包含一個“內容長度的頭信息標簽”，以保證需要處理的數據大小。而在“HTTP請求走私”中，可能會出現兩個以上“內容長度的頭信息標簽”。科學家發現，不同的網站在遭到這種攻擊時會作出不同的反應，很可能會造成處理錯誤。另外，“HTTP請求走私”能夠突破安全過濾器，可以將新網站非法上載到網站緩沖區中。   

.

專家認為，黑客可能很快就會利用“HTTP請求走私”，對網站進行大規模攻擊。最好的防范措施，就是嚴格遵循超文本數據傳輸協議的各項要求。同時，專家也認為，之所以出現“HTTP請求走私”，說明超文本傳輸協議存在漏洞，應對其進行修改。
這條新聞所提到的攻擊只是網站所面對的眾多攻擊中的比較新的一個。隨著互聯網的飛速發展，Web應用也日益增多。今天，商業交易的各個部分都正在向Web上轉移，但每增加一個新的基於Web的應用系統，都會導致之前處於保護狀態下的後端系統直接連接到互聯網上，最後的結果就是將公司的關鍵數據置於外界攻擊之下。
據Gartner調查顯示，現在有75%的攻擊都是針對Web應用層發起的。尤其是金融服務業成為了眾矢之的，而攻擊者的主要目的就是直接獲取個人數據。
據美國計算機安全協會（CSI）/美國聯邦調查局（FBI）的研究表明，在接受調查的公司中，2004年有52%的公司的系統遭受過外部攻擊（包括系統入侵、濫用Web應用系統、網頁置換、盜取私人信息及拒絕服務等等），這些攻擊給269家受訪公司帶來的經濟損失超過1.41億美元，但事實上他們中有98%的公司都裝有防火牆。
為什麼防火牆沒有防住攻擊？因為他們安裝的是網絡防火牆，而真正能防御這些攻擊的是應用防火牆。早在2002年，IDC就曾在報告中認為，“網絡防火牆對應用層的安全已起不到什麼作用了，因為為了確保通信，網絡防火牆內的端口都必須處於開放狀態。”

.

|從概念走向實用
應用防火牆其實是個安全“老兵”了。在十幾年前，就已經出現了應用防火牆的概念。但是為什麼遲遲沒有產品出現呢？華城技術有限公司負責人楊磊說：“因為系統的硬件平台跟不上。以前，網絡層數據的轉發處理就占用了CPU大量的資源，CPU根本無法再做應用層的處理；而可以進行高速網絡數據處理的ASIC技術又處理不了應用層數據的復雜性，所以應用防火牆沒有誕生的條件。”隨著NP（網絡處理器）性能的迅速提升,特別是基於通用CPU的多核NP 體系（例如Broadcom的雙核NP 1250，將2個64位MIPS芯片集成在一塊處理器芯片裡面，而且後續推出了集成4個CPU的處理器；而Cavium公司也推出了集成16個MIPS CPU和硬件加速處理單元的網絡服務處理器OCTEON）產生之後，，利用多CPU的並行處理能力和軟件的靈活性，應用防火牆可以實現對復雜應用的安全處理，並且能夠達到千兆線速的性能。
在2004年，應用防火牆終於沖破概念的圍城，真正實現了產品化。國外有Teros、Sanctum、Netcontinuum和Kavado等廠商推出了Web應用防火牆，目前在國內記者看到的產品僅僅有華城技術（secnumen）的AppRock和F5網絡公司的TrafficShield。
現在我們所說的應用防火牆，一般是指Web應用防火牆和數據庫防火牆（也叫SQL防火牆），而現在我們所能見到的產品基本都是Web應用防火牆。 .
應用前面的銅牆鐵壁
安裝了網絡防火牆和IDS，就能抵擋應用層攻擊嗎？不能。因為在保護應用方面，網絡防火牆和IDS各有不足。
網絡防火牆有洞
網絡防火牆技術的發展已經非常成熟，也是目前網絡安全技術中最實用和作用最大的技術。
但是，作為目前應用最為廣泛的HTTP服務器等應用服務器，通常是部署在防火牆的DMZ區域，防火牆完全向外部網絡開放HTTP應用端口，這種方式對於HTTP應用沒有任何的保護作用。即使使用HTTP代理型的防火牆，防火牆也只是驗證HTTP協議本身的合法性，完全不能理解HTTP協議所承載的數據，也無從判斷對HTTP服務器的訪問行為是否合法。攻擊者知道正面攻破網絡防火牆十分困難，於是從簡單的端口掃描攻擊轉向通過應用層協議進入企業內部，目前，利用網上隨處可見的攻擊軟件，攻擊者不需要對網絡協議有深厚的理解，即可完成諸如更換Web網站主頁、盜取管理員密碼、破壞整個網站數據等攻擊。而這些攻擊過程中產生的網絡層數據，和正常數據沒有什麼區別。一個最簡單的例子就是在請求中包含SQL注入代碼，或者提交可以完成獲取其他用戶認證信息的跨站腳本，這些數據不管是在傳統防火牆所處理的網絡層和傳輸層，還是在代理型防火牆所處理的協議會話層，都會認為是合法的。
明白了防火牆的工作原理，我們就知道，對於應用層攻擊，網絡防火牆是無能為力的。 .
入侵檢測有限
目前最成熟的入侵檢測技術就是攻擊特征檢測。入侵檢測系統首先建立一個包含目前大多已知攻擊特征的數據庫，然後檢測網絡數據中的每一個報文，判斷是否含有數據庫中的任何一個攻擊特征，如果有，則認為發生相應的攻擊，否則認為是合法的數據。
入侵檢測系統作為防火牆的有力補充，加強了網絡的安全防御能力。但是，入侵檢測技術的作用存在一定的局限性。由於需要預先構造攻擊特征庫來匹配網絡數據，對於未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測系統不能檢測和防御。另外就是其技術實現的矛盾，如果需要防御更多的攻擊，那麼就需要很多的規則，但是隨著規則的增多，系統出現的虛假報告（對於入侵防御系統來說，會產生中斷正常連接的問題）率就會上升，同時，系統的效率會降低。
對於應用攻擊，入侵檢測系統可以有效的防御部分攻擊，但不是全部。
應用防火牆有效
網絡面臨的許多安全問題單靠網絡防火牆是無法解決的，必須通過一種全新設計的高性能安全代理專用設備來配合網絡防火牆。具體來說，利用網絡防火牆阻擋外面的端口掃描攻擊，利用應用安全防護技術，深層管理和控制由用戶訪問外部資源而引起的應用層攻擊，解決針對應用的、具有破壞性的復雜攻擊。
應用防火牆真正實現了對網絡應用的保護，是傳統安全技術的有效補充。應用防火牆可以阻止針對Web應用的攻擊，而不僅僅是驗證HTTP協議。這些攻擊包括利用特殊字符或通配符修改數據的數據攻擊、設法得到命令串或邏輯語句的邏輯內容攻擊，以及以賬戶、文件或主機為主要目標的目標攻擊。2004年所出現的Web應用10大漏洞，應用防火牆均可以防御，未知攻擊也無法越過應用防火牆。 .
業界標准的應用防火牆一般采用主動安全技術實現對應用的保護。主動安全技術是指建立正面規則集，也就是說明哪些行為和訪問是合法的規則描述。對於接收到的應用數據（從網絡協議還原出來的應用數據，不是數據報文頭），判斷是否符合合法規則。因為只允許通過已知的正常數據，這種方式可以防御所有的未知攻擊。
應用防火牆技術是現有網絡安全架構的一個重要補充，而不是取代傳統防火牆和入侵檢測等安全設備。傳統安全設備阻擋攻擊者從正面入侵，著重進行網絡層的攻擊防護；而應用防火牆著重進行應用層的內容檢查和安全防御，與傳統安全設備共同構成全面、有效的安全防護體系。