Web應用與Web應用防火墻((一)
《網(wǎng)絡世界》評測實驗室 董培欣
摘要: 從廠商發(fā)布資料分析,Web應用防火墻是目前企業(yè)Web服務安全防護的一種有效手段;從技術評測角度來講,過于稀少的評測報告無法對廠商目前所具備的產(chǎn)品技術能力進行分析;售后服務方面廠商情況喜憂參半,有的廠商有全面的技術服務支持能力,有的則不全面具備。
Abstract:
Key words :
Web應用防火墻產(chǎn)品橫向?qū)Ρ?/p>
一、什么是Web應用?
應用程序有兩種模式C/S、B/S。C/S是客戶端/服務器端程序,也就是說這類程序一般獨立運行。而B/S就是瀏覽器端/服務器端應用程序,這類應用程序一般借助IE等瀏覽器來運行。
Web應用,通常是指使用B/S(瀏覽器/服務器)架構搭建的信息系統(tǒng),為了適應某個業(yè)務流程而設計開發(fā)使用的系統(tǒng)。
以目前的技術看,局域網(wǎng)建立B/S結構的網(wǎng)絡應用,并通過Internet/Intranet模式下數(shù)據(jù)庫應用,相對易于把握、成本也是較低的,B/S架構管理軟件更是方便、速度快、效果優(yōu)。Web應用的最大特點是:用戶可以通過WWW瀏覽器去訪問Internet上的文本、數(shù)據(jù)、圖像、動畫、視頻點播和聲音信息,這些信息都是由許許多多的Web服務器產(chǎn)生的,而每一個Web服務器又可以通過各種方式與數(shù)據(jù)庫服務器連接,大量的數(shù)據(jù)實際存放在數(shù)據(jù)庫服務器中??蛻舳顺薟WW瀏覽器,一般無須任何用戶程序,只需從Web服務器上下載程序到本地來執(zhí)行,在下載過程中若遇到與數(shù)據(jù)庫有關的指令,由Web服務器交給數(shù)據(jù)庫服務器來解釋執(zhí)行,并返回給Web服務器,Web服務器又返回給用戶。在這種結構中,將許許多多的網(wǎng)連接到一塊,形成一個巨大的網(wǎng),即全球網(wǎng)。而各個企業(yè)可以在此結構的基礎上建立自己的Intranet。
二、什么用戶需要Web應用?
1、政府部門
政府網(wǎng)站的Web應用日益成為政府信息公開的窗口,有別于媒體網(wǎng)站、商業(yè)網(wǎng)站的地方在于,其訪問者有自身的需求特點,政府網(wǎng)站需要做到提供優(yōu)質(zhì)服務、整合政府資源、增強政府與公眾的互動以及增加親和貼身的服務形式。
2、行業(yè)用戶
電信、銀行、金融等行業(yè)在很早就已經(jīng)開始進行了Web應用的部署,并且應用規(guī)模龐大。“云計算”、“云存儲”、下一代數(shù)據(jù)中心……眾多最新的網(wǎng)絡技術被運用在其中。
3、企業(yè)用戶
銷售型企業(yè)正在利用Web應用構建越來越多的電子商務系統(tǒng)。研發(fā)服務型企業(yè)也在利用Web應用建立流程控制、質(zhì)量管理、售后服務等多種體系。傳媒企業(yè)的網(wǎng)絡化熱潮更是不斷。
由此可知,Web應用基本上已經(jīng)涵蓋了各類行業(yè)的應用,并且在技術深入程度和覆蓋廣泛性上也在不斷的進行發(fā)展。
三、制約Web應用發(fā)展的主要因素
當前Web應用在大企業(yè)及行業(yè)用戶中發(fā)展十分迅速,但在中小企業(yè)中發(fā)展緩慢。總結下來有以下幾個原因:
1、Web應用安全問題
Web應用的發(fā)展得益于網(wǎng)絡的開放性,Web應用的弊病也出自網(wǎng)絡的開放性——安全問題成為了Web應用發(fā)展的強大阻礙。當前Web應用安全漏洞多、網(wǎng)絡攻擊猖獗、黑客技術的產(chǎn)業(yè)化……一系列的安全問題在困擾著Web應用在企業(yè)中的發(fā)展。而Web應用安全問題的多樣性,也使得絕大多數(shù)用戶無力進行應對。因此極大的制約了Web應用在企業(yè)中的發(fā)展。我們將在下文中進一步做出詳細的分析。
2、Web應用軟件問題
Web應用軟件目前還沒有形成成熟的應用體系,基本上處于企業(yè)邊研發(fā)邊應用的階段。普遍適用性不強,無法形成規(guī)模效應。Web應用軟件解決辦法我們將在今年下半階段的“在線辦公軟件橫向?qū)Ρ?/a>評測”中進行更進一步分析。本文中不再進行更詳細闡述。
上述問題如果不能很好解決,必將影響到企業(yè)Web應用的發(fā)展。而企業(yè)自身Web應用技術實力不強,Web應用技術開發(fā)、安全防護投入過大這些問題普遍存在,如果沒有很好的解決方案企業(yè)Web應用發(fā)展必然會有很大阻礙。
四、網(wǎng)絡安全產(chǎn)品追述—1
對于一般企業(yè)用戶來講,通過采用專業(yè)的網(wǎng)絡安全設備對網(wǎng)絡安全進行防護是一種十分理想的網(wǎng)絡安全解決方案。那在企業(yè)Web應用方面應該采用什么樣的安全產(chǎn)品呢?在這里我們對網(wǎng)絡安全防護技術進行一個簡單追述。
1、防火墻(FireWall)

華賽Eudemon8080e
防火墻是最早采用互聯(lián)網(wǎng)安全防護產(chǎn)品。但是在應用過程中逐漸發(fā)現(xiàn)基于網(wǎng)絡端口防護和包過濾防護技術的防火墻產(chǎn)品無法有效的對應用安全進行攔截(在Web應用方面由其突出)。但防火墻產(chǎn)品目前依然未退出安全市場,反而因為其強大的數(shù)據(jù)轉(zhuǎn)發(fā)能力、防攻擊能力和靈活的安全策略設置功能被越來越多的運用在企業(yè)內(nèi)網(wǎng)隔離、安全區(qū)域劃分和網(wǎng)絡地址轉(zhuǎn)換(NAT)之中。
2、入侵檢測/防御(IDS/IPS)

DPtech IPS2000-TS-N
出于對防泛黑客攻擊及安全漏洞攔截的需求,又開發(fā)出了入侵檢測/防御產(chǎn)品(IDS/IPS)但早期IDS/IPS產(chǎn)品需要過多人為對檢測問題進行分析,并具有很高的誤判率,難以操控。同時IDS/IPS產(chǎn)品在防范網(wǎng)絡病毒、Web應用安全認證等問題上依然沒有很好的解決方案。但是IDS/IPS技術為今后的網(wǎng)絡安全打下了良好的技術基礎,當前新推出的Web應用防火墻、下一代防火墻所采用技術中有很多是從IDS/IPS中引申出來的。并且IDS/IPS的進一步技術發(fā)展前景依然十分廣闊。
3、統(tǒng)一威脅管理(UTM)

山石網(wǎng)科SG-6000-G5150
為了應對多方面網(wǎng)絡安全的挑戰(zhàn),安全廠商又推出了統(tǒng)一威脅管理(UTM)產(chǎn)品。統(tǒng)一威脅管理產(chǎn)品將防火墻、網(wǎng)絡病毒防護、IPS、反垃圾郵件和網(wǎng)絡內(nèi)容管理等一系列功能整合在了一起,可以為企業(yè)提供全面的網(wǎng)絡防護能力,是一種綜合安全防護能力很高的網(wǎng)絡安全產(chǎn)品。但在針對網(wǎng)站系統(tǒng)安全防護上,統(tǒng)一威脅管理產(chǎn)品的功能顯得有些多而不當,不能很好的為Web應用安全提供服務。
4、Web安全網(wǎng)關(WSG)

Wedge BeSecure 2080
Web安全網(wǎng)關是一種在統(tǒng)一威脅管理產(chǎn)品基礎上發(fā)展出來的一類全新的網(wǎng)絡應用安全防護產(chǎn)品。具備對Web應用安全更加深入的全面防護能力。可以對網(wǎng)絡病毒、SQL注入、跨站、惡意腳本等攻擊進行防護。Web安全網(wǎng)關在功能上與Web應用防火墻十分相近,但它保護的對象更多是面向網(wǎng)絡用戶而不是Web服務器。
5、Web應用防火墻(WAF)

梭子魚Web應用防火墻 BWF960
于是近年來又有新的Web應用安全防護技術推出——Web應用防火墻(WAF)。利用國際上公認的一種說法:Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。
總體來說,Web應用防火墻的具有以下四大個方面的功能(參考WAF入門,對內(nèi)容做了一些刪減及改編):
1)審計設備:用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。
2)訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。
3)架構/網(wǎng)絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
4)WEB應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且能夠保護WEB應用編程錯誤導致的安全隱患。
需要指出的是,并非每種被稱為Web應用防火墻的設備都同時具有以上四種功能。
同時WEB應用防火墻還具有多面性的特點。比如從網(wǎng)絡入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火墻角度來看,WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測防火墻”的增強。(深度檢測防火墻通常工作在的網(wǎng)絡的第三層以及更高的層次,而Web應用防火墻則在第七層處理HTTP服務并且更好地支持它。)
五、Web應用防火墻的特點
Web應用防火墻的一些常見特點如下。
1、異常檢測協(xié)議
Web應用防火墻會對HTTP的請求進行異常檢測,拒絕不符合HTTP標準的請求。并且,它也可以只允許HTTP協(xié)議的部分選項通過,從而減少攻擊的影響范圍。甚至,一些Web應用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。
2、增強的輸入驗證
增強輸入驗證,可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡入侵行為。從而減小Web服務器被攻擊的可能性。
3、及時補丁
修補Web安全漏洞,是Web應用開發(fā)者最頭痛的問題,沒人會知道下一秒有什么樣的漏洞出現(xiàn),會為Web應用帶來什么樣的危害。現(xiàn)在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當然,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應的補丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。
(附注:及時補丁的原理可以更好的適用于基于XML的應用中,因為這些應用的通信協(xié)議都具規(guī)范性。)
4、基于規(guī)則的保護和基于異常的保護
基于規(guī)則的保護可以提供各種Web應用的安全規(guī)則,WAF生產(chǎn)商會維護這個規(guī)則庫,并時時為其更新。用戶可以按照這些規(guī)則對應用進行全方面檢測。還有的產(chǎn)品可以基于合法應用數(shù)據(jù)建立模型,并以此為依據(jù)判斷應用數(shù)據(jù)的異常。但這需要對用戶企業(yè)的應用具有十分透徹的了解才可能做到,可現(xiàn)實中這是十分困難的一件事情。
5、狀態(tài)管理
WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失?。⑶以谶_到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。
6、其他防護技術
WAF還有一些安全增強的功能,可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護、抗入侵規(guī)避技術、響應監(jiān)視和信息泄露保護。
六、Web應用防火墻功能對比
通過上述技術特點,可以了解WAF能為Web應用用戶帶來全面的Web安全防護能力。但是實際的Web應用防火墻是否可以實現(xiàn)上述功能呢?下面對目前國內(nèi)主流的Web應用防火墻產(chǎn)品的功能進行一下對比。
本次對比中《網(wǎng)絡世界》評測實驗室選擇了六個在國內(nèi)知名度較高,具備一定影響力的主流廠商的產(chǎn)品進行功能性對比。廠商名單如下:梭子魚(BARRACUDA),思科(Cisco),思杰(Citrix),安恒信息(DBAPPSecurity),飛塔(Fortinet),綠盟(NSFOCUS)(以廠商英文字母排序)。
企業(yè)產(chǎn)品信息通過Web的形式向用戶發(fā)布本身就是企業(yè)Web應用的最好體現(xiàn),Web應用防火墻相關廠商在這方面應當有著很多的先天技術優(yōu)勢。那WAF廠商在網(wǎng)站上是如何對自身產(chǎn)品進行宣傳的呢?出于這方面的考慮,同時也為了對更多Web應用防火墻產(chǎn)品進行了解,本次功能性對比過程中,首次采取了以收集廠商網(wǎng)站上發(fā)布Web應用防火墻功能信息的方式進行(以中文資料為準)。以下對比信息均采集于廠商網(wǎng)站中與Web應用防火墻相關的產(chǎn)品信息及產(chǎn)品技術白皮書。目的是從一個用戶初次采購Web應用防火墻的角度,從廠商公開發(fā)布的Web應用防火墻信息中對產(chǎn)品進行了解,并做出初步的判定。
Web應用防火墻功能對比表

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載。