Web应用防火墙概述

细心的朋友应该会发现,2010年各类应用软件的安全补丁开始多了起来。特别是Adobe的补丁,Adobe软件安全漏洞曾在2009年大量曝出,Adobe软件一下成为了黑客的新宠,其安全性备受人们关注,Adobe软件公司在2010年开始时常推出用于修复AdobeReader或者Acrobat软件各类安全漏洞的补丁。

在2010年还有一个值得注意的安全动向是各类网页挂马、钓鱼网站的流行,经常有人误点了被挂马的链接,结果遭遇病毒木马、恶意程序的入侵,或者是被钓鱼网站所骗倒,网银账号密码甚至是网银里的钱款被骗走。

可以说,“应用安全”成为了2010年安全的一个主题,而且主要集中在应用软件安全问题和Web应用安全问题两方面。应用安全问题不仅存在于个人用户中,在企业用户里应用安全问题也极为重要。2010年造成伊朗核设施部分停摆的恶意程序Stuxnet(也就是所谓的“超级工厂病毒”),正是利用了伊朗核设备工厂里的企业级应用软件西门子SIMATICWinCC监控与数据采集(SCADA)系统的漏洞,才成功实现入侵。而在国内,近年来利用Web安全漏洞成为黑客攻击的主流,很多网站都深受其害,人们关注的焦点也就主要集中在了Web应用安全方面。从2008年开始国内陆续有不少安全公司开始研发Web应用防火墙,2009年的时候梭子鱼就投入了几百台WAF(Web应用防火墙)设备供用户测试,到了2010年各家安全厂商也开始推出类似产品。

传统防火墙与Web应用防火墙的区别

传统防火墙工作在网络层,通过地址转换、访问控制以及状态检测等功能对企业网络进行防护。但对于应用广泛的Web服务器,传统防火墙完全对外部网络开发HTTP应用端口,这种方式对Web应用无法做到任何防护。

入侵检测系统作为防火墙的有利补充,加强了网络的安全防御能力。但是,入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据,对于未知攻击和或伪装成正常流量的攻击,入侵检测系统不能检测和防御。更重要的是,对于应用系统中某一漏洞的目标攻击,他们没有任何防御能力,因为这些攻击没有明显的特征可供判断。另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率会上升,同时,系统的效率会降低。

也正因此,Web应用防火墙应运而生。WEB应用防火墙位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好的安全策略的行为。WEB应用防火墙具备事前预防、事中防护及事后补偿的综合能力。以WEB应用防火墙最为核心的事中防护能力为例,WEB应用防火墙作为一种专业的Web安全防护工具,基于对HTTP/HTTPS流量的双向解码和分析,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等,能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障Web应用的高可用性和可靠性。

Web应用防火墙的发展目前有两个方向,其一向高性能专业设备的方面发展,其二是朝Web应用综合网关的方面发展。梭子鱼公司技术总监谷新给出了自己对传统防火墙与Web应用防火墙的解读,他认为传统防火墙和WEB应用防火墙的本质区别在于,前者只是针对网络协议的第三层网络层、第四层传输层的访问控制和攻击防御,而后者深入到应用层对所有应用信息进行过滤,是专门为保护基于Web的应用程序而设计的。

Web应用防火墙的选择

OWASP(开放式Web应用程序安全项目组织)就有关Web应用防火墙的选择给出了一个参考标准:

很少出现误报(例如,不应该拒绝授权请求等)

默认防御的强度

容易操作模式

可以预防的漏洞类型

能够限制个人用户只能在当前对话中所看到的内容

配置预防特定问题的能力,如紧急补丁等

WAF提供形式:软件与硬件(一般偏好硬件)

Web应用防火墙(WAF)市场现在标准并不统一,很多不同的产品被归类到WAF范畴。研究机构BurtonGroup分析师RamonKrikken认为,“很多产品提供的功能远远超出了我们通常认为防火墙应该具有的功能,这使得产品的评价和比较难以进行。”

谷新表示标准的Web应用防火墙需要具备四大功能,即安全防护功能、加速功能以及可扩展性、IP审计。另外根据研究和咨询公司Xiom创始人OferShezaf提供的清单,下面列出Web应用防火墙应该具备的特性:深入理解HTTP、提供明确的安全模型、应用层规则、基于会话的保护、允许细粒度政策管理。

本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Firewall/

时间: 2024-12-31 01:29:01

Web应用防火墙概述的相关文章

梭子鱼Web应用防火墙9.0版为您提供更全面安全保障

梭子鱼 Web 应用防火墙 (WAF) 9.0 版现已面向新老用户正式发行.在此次发行的版本中,紧密地与梭子鱼下一代防火墙以及梭子鱼漏洞修复服务进行集成.以下是对此次更新的概述: 安全 与梭子鱼下一代防火墙集成 部署梭子鱼 Web 应用防火墙,是为了拦截绕过外围防火墙的 Web 应用攻击.在此情况下,梭子鱼WAF经配置可阻止攻击者访问网站.此前,这类攻击者仍可以进入网络,而需经梭子鱼WAF对其进行拦截.随着9.0版的发布,梭子鱼WAF现在可以将需被阻断的客户端配置推送至外围的梭子鱼下一代防火墙,

安恒信息明御WEB应用防火墙产品白皮书

1.概述 Web网站是企业和用户.合作伙伴及员工的快速.高效的交流平台.Web网站也容易成为黑客或恶意程序的攻击目标,造成数据损失,网站篡改或其他安全威胁. 根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的工作报告显示:  1.目前中国的互联网安全实际状况仍不容乐观.各种网络安全事件与去年同期相比都有明显增加. 2.对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,以达到泄愤和炫耀的目的,也不排除放置恶意代码的可能,导致政府类网站存在安全隐患.对中小企业,尤其是以网络为

进化中的Web应用防火墙

今后几个月,Web应用防火墙厂商Citrix.F5 Networks.Imperva.NetContinuum和Protegrity 将对其产品增加一些功能,以使它们在保护联网的企业数据方面发挥更大的作用. 有效保卫应用程序 虽然传统的防火墙多年来在第三层有效地阻断了一些数据包,但它在阻止利用应用程序漏洞进行的攻击方面却无能为力.Web应用防火墙可检测应用程序异常情况和敏感数据(如信用卡和社会保险号等)是否正被窃取,并阻断攻击或隐蔽敏感数据. Forrester Research的分析师Rob

走出WEB应用防火墙认识误区——WAF是强不是墙

在<走出Web应用防火墙认识误区>系列文章(一)中,我们分析讨论了谁能保护Web应用,在本文中我们将重点介绍WAF的特点和应用. 早在2004年,国外一些安全厂商就提出了Web应用防火墙(Web Application Firewall,简称WAF)的概念,并开始了逐步的尝试(例如梭子鱼网络有限公司将Netcontinuum公司纳入旗下,当时的Netcontinuum就是这一领域的先行者,其解决方案包含网站的网络应用安全.通信管理和SSL加速等).支付卡行业安全标准委员会也发布了支付卡行业数据

走出WEB应用防火墙认识误区——要主动也要被动

发挥作用需要一个过程 没有任何两个网络的架构和跑在上面的应用会是完全相同的,所以,任何安全产品要想真正发挥出其作用,都不能简单地将它放入网络就不管了,需要不断地根据实际情况调整安全策略.Web应用防火墙也是一样. 要想让Web应用防火墙很好地发挥作用,需要一个复杂的"过程",要让它逐渐适应并摸清用户的网络环境以及可能涉及的各种Web应用,同时判断出网络中可能存在哪些攻击行为,可能遇到哪些安全风险,再逐一加以阻断. 这个过程如果完全靠企业的IT管理人员手动去做,将是一个非常漫长而可怕的过

走出WEB应用防火墙认识误区——WAF采购要点

现在,市场上存在着大量的真假Web应用防火墙产品,用户对它的认识也不够清晰,再加上业界缺乏Web应用防火墙的衡量标准,Web应用防火墙的好坏评判变得十分困难. 其实,要想选到一款好的Web应用防火墙并不难,考察以下几个方面即可: 1.攻击拦截能力 WAF最主要的功能就是防范Web攻击,因此,攻击拦截能力至关重要.一款好的WAF产品,对于针对Web服务器的各种流行攻击都要具备强大的防御能力,还应该对数据泄密具备一定的监管能力,应该可以进行IP审计.而且,还应该可以及时.准确地发现异常的使用模式,并

如何选择合适的Web应用防火墙

大概十年前,Web应用防火墙(WAF)进入了IT安全领域,最早提供这类产品的供应商是几家新兴公司,如Perfecto(曾改名为Sanctum,后在2004年被WatchFire收购).KaVaDo(2005年被Protegrity收购)和NetContinuum(2007年被Barracuda收购).工作原理相当简单:随着攻击范围向IP堆栈的上层移动,瞄上针对特定应用的安全漏洞,这时势必需要开发旨在识别和预防这些攻击的产品.虽然网络防火墙在阻止较低层攻击方面很有效,但并不擅长解开IP数据包层,以

Web应用防火墙为修补攻击争取时间

在适当的位置安装Web应用防火墙意味着可以拥有一个缓冲时间来根据自己的计划来修补受到的攻击,这和匆忙去修改导致应用停止的攻击或者为开发人员和测试人员遇到的紧急情况支付额外的费用是不同的. "那是对投资最实际的回报",Imperva 公司的产品市场部负责人Mark Kraynak这样说到.Mark Kraynak同时也为Web应用安全协会最近发布的Web应用防火墙评估标准做出了很大的贡献. 作为众多防火墙的一种,协会给了Web应用防火墙是这样的定义"位于Web客户端和Web服务

网络安全需求促进Web应用防火墙发展

安装各种安全技术的网络相对来说能够得到较好的保护,而黑客和其它恶意第三方正在针对网上商务应用发起攻击.各公司正在配置 Web应用防火墙 (WAF) 技术以保护他们的网上应用,软件开发商对安全因素的疏忽使大多数网络应用存在众多缺陷. Frost&Sullivan 资深行业分析师 Jose Lopez 表示:"传统的网络安全措施只能保护开放系统互连 (OSI) 参考模式的较低层,并没有保护网上商务应用的能力,这种应用在 OSI 的第七层.由于 WAF 是唯一可用的有能力保护网上应用的完整技术