走出WEB應用防火牆認識誤區 .
Web應用的日益普及和Web攻擊的與日俱增,,讓Web安全問題備受關注。但對於正常流量中的危險分子,傳統的安全產品根本無能為力,此時,我們該靠什麼來保護Web應用?Web應用防火牆無疑是最佳之選。但Web應用防火牆究竟是什麼?它和傳統的安全產品有什麼不同?應用起來又有要注意什麼?請看《走出Web應用防火牆認識誤區》系列文章。 .
系列之二:WAF是強不是牆 .
早在2004年,國外一些安全廠商就提出了Web應用防火牆(Web Application Firewall,簡稱WAF)的概念,並開始了逐步的嘗試(例如梭子魚網絡有限公司將Netcontinuum公司納入旗下,當時的Netcontinuum就是這一領域的先行者,其解決方案包含網站的網絡應用安全、通信管理和SSL加速等)。支付卡行業安全標准委員會也發布了支付卡行業數據安全標准(PCI DSS),這讓Web應用防火牆開始被越來越多的人所熟知。但因為業界一直缺乏明確的標准,有些安全產品也能夠在一定層次上保護某些Web應用,人們對Web應用防火牆的認識一直處於“霧裡看花”的狀態,在很多問題上都很困惑。
.
那麼,Web應用防火牆既然也叫“防火牆”,是不是和傳統防火牆差不多?它和IPS產品又有什麼區別?網頁防篡改產品也能保護Web應用,它是不是也可以算是Web應用防火牆的一種? .
WAF不同於傳統防火牆
.
傳統防火牆的弱點在於:工作在三四層,攻擊可以從80或443端口順利通過防火牆檢測。 .
由於Web應用防火牆的名字中有“防火牆”三個字,所以很多用戶都很困惑,我的網絡中已經有了防火牆,再引入Web應用防火牆,是不是屬於重復投資?
.
實際上,Web應用防火牆和傳統意義上的防火牆,然名字中都有“防火牆”三個字,但它們屬於兩類完全不同的產品,不能互相替代。 .
從部署位置上看,傳統防火牆需要架設在網關處,而Web應用防火牆則部署在Web客戶端和Web服務器之間。 .
從防范內容來看,傳統防火牆只是針對一些底層(網絡層、傳輸層)的信息進行阻斷,提供IP、端口防護,對應用層不做防護和過濾;而Web應用防火牆則專注在應用核心層,對所有應用信息進行過濾,從而發現違反預先定義好的安全策略的行為。 .
Web應用防火牆作為一種專業的Web安全防護工具,基於對HTTP/HTTPS流量的雙向解碼和分析,可應對HTTP/HTTPS應用中的各類安全威脅,如SQL注入、XSS、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應用層DDoS等,能有效解決網頁篡改、網頁掛馬、敏感信息洩露等安全問題,充分保障Web應用的高可用性和可靠性。 .
WAF不同於IPS .
IPS入侵防御的弱點在於它基於已知漏洞和攻擊行為的防護,而且不能終止和處理SSL流量。 .
Web應用防火牆的與眾不同之處在於它對Web應用的理解,對HTTP協議的深刻理解,和對應用層攻擊的理解。 .
與傳統防火牆/IPS設備相比,WAF最顯著的技術差異性體現在: .
1.對HTTP有本質的理解:能完整地解析HTTP,支持各種HTTP編碼,提供嚴格的HTTP協議驗證,提供HTML限制,支持各類字符集編碼,具備response過濾能力。 .
2.提供應用層規則:Web應用通常是定制化的,傳統的針對已知漏洞的規則往往不夠有效。WAF提供專用的應用層規則,且具備檢測變形攻擊的能力,如檢測SSL加密流量中混雜的攻擊。 .
3.提供正向安全模型(白名單模型):僅允許已知有效的輸入通過,為Web應用提供了一個外部的輸入驗證機制,安全性更為可靠。 .
4.提供會話防護機制:防護基於會話的攻擊類型,如Cookie篡改及會話劫持攻擊。 .
WAF不局限於網頁防篡改 .
網頁防篡改的弱點在於對於攻擊行為並不進行分析,也不阻止攻擊的發生。 .
不可否認,網頁被篡改是目前最直觀的Web安全問題,無論是政府網站、高校網站,還是運營商網站、企業網站,都曾出現過嚴重的網頁篡改事件,這讓網頁防篡改產品開始映入人們的眼簾。 .
但網頁防篡改系統是一種軟件解決方案,它的防護效果直接,但是只能保護靜態頁面,而無法保護動態頁面。 .