Web應用與Web應用防火墻((一)
《網絡世界》評測實驗室 董培欣
摘要: 從廠商發布資料分析,Web應用防火墻是目前企業Web服務安全防護的一種有效手段;從技術評測角度來講,過于稀少的評測報告無法對廠商目前所具備的產品技術能力進行分析;售后服務方面廠商情況喜憂參半,有的廠商有全面的技術服務支持能力,有的則不全面具備。
Abstract:
Key words :
Web應用防火墻產品橫向對比
一、什么是Web應用?
應用程序有兩種模式C/S、B/S。C/S是客戶端/服務器端程序,也就是說這類程序一般獨立運行。而B/S就是瀏覽器端/服務器端應用程序,這類應用程序一般借助IE等瀏覽器來運行。
Web應用,通常是指使用B/S(瀏覽器/服務器)架構搭建的信息系統,為了適應某個業務流程而設計開發使用的系統。
以目前的技術看,局域網建立B/S結構的網絡應用,并通過Internet/Intranet模式下數據庫應用,相對易于把握、成本也是較低的,B/S架構管理軟件更是方便、速度快、效果優。Web應用的最大特點是:用戶可以通過WWW瀏覽器去訪問Internet上的文本、數據、圖像、動畫、視頻點播和聲音信息,這些信息都是由許許多多的Web服務器產生的,而每一個Web服務器又可以通過各種方式與數據庫服務器連接,大量的數據實際存放在數據庫服務器中。客戶端除了WWW瀏覽器,一般無須任何用戶程序,只需從Web服務器上下載程序到本地來執行,在下載過程中若遇到與數據庫有關的指令,由Web服務器交給數據庫服務器來解釋執行,并返回給Web服務器,Web服務器又返回給用戶。在這種結構中,將許許多多的網連接到一塊,形成一個巨大的網,即全球網。而各個企業可以在此結構的基礎上建立自己的Intranet。
二、什么用戶需要Web應用?
1、政府部門
政府網站的Web應用日益成為政府信息公開的窗口,有別于媒體網站、商業網站的地方在于,其訪問者有自身的需求特點,政府網站需要做到提供優質服務、整合政府資源、增強政府與公眾的互動以及增加親和貼身的服務形式。
2、行業用戶
電信、銀行、金融等行業在很早就已經開始進行了Web應用的部署,并且應用規模龐大。“云計算”、“云存儲”、下一代數據中心……眾多最新的網絡技術被運用在其中。
3、企業用戶
銷售型企業正在利用Web應用構建越來越多的電子商務系統。研發服務型企業也在利用Web應用建立流程控制、質量管理、售后服務等多種體系。傳媒企業的網絡化熱潮更是不斷。
由此可知,Web應用基本上已經涵蓋了各類行業的應用,并且在技術深入程度和覆蓋廣泛性上也在不斷的進行發展。
三、制約Web應用發展的主要因素
當前Web應用在大企業及行業用戶中發展十分迅速,但在中小企業中發展緩慢。總結下來有以下幾個原因:
1、Web應用安全問題
Web應用的發展得益于網絡的開放性,Web應用的弊病也出自網絡的開放性——安全問題成為了Web應用發展的強大阻礙。當前Web應用安全漏洞多、網絡攻擊猖獗、黑客技術的產業化……一系列的安全問題在困擾著Web應用在企業中的發展。而Web應用安全問題的多樣性,也使得絕大多數用戶無力進行應對。因此極大的制約了Web應用在企業中的發展。我們將在下文中進一步做出詳細的分析。
2、Web應用軟件問題
Web應用軟件目前還沒有形成成熟的應用體系,基本上處于企業邊研發邊應用的階段。普遍適用性不強,無法形成規模效應。Web應用軟件解決辦法我們將在今年下半階段的“在線辦公軟件橫向對比評測”中進行更進一步分析。本文中不再進行更詳細闡述。
上述問題如果不能很好解決,必將影響到企業Web應用的發展。而企業自身Web應用技術實力不強,Web應用技術開發、安全防護投入過大這些問題普遍存在,如果沒有很好的解決方案企業Web應用發展必然會有很大阻礙。
四、網絡安全產品追述—1
對于一般企業用戶來講,通過采用專業的網絡安全設備對網絡安全進行防護是一種十分理想的網絡安全解決方案。那在企業Web應用方面應該采用什么樣的安全產品呢?在這里我們對網絡安全防護技術進行一個簡單追述。
1、防火墻(FireWall)

華賽Eudemon8080e
防火墻是最早采用互聯網安全防護產品。但是在應用過程中逐漸發現基于網絡端口防護和包過濾防護技術的防火墻產品無法有效的對應用安全進行攔截(在Web應用方面由其突出)。但防火墻產品目前依然未退出安全市場,反而因為其強大的數據轉發能力、防攻擊能力和靈活的安全策略設置功能被越來越多的運用在企業內網隔離、安全區域劃分和網絡地址轉換(NAT)之中。
2、入侵檢測/防御(IDS/IPS)

DPtech IPS2000-TS-N
出于對防泛黑客攻擊及安全漏洞攔截的需求,又開發出了入侵檢測/防御產品(IDS/IPS)但早期IDS/IPS產品需要過多人為對檢測問題進行分析,并具有很高的誤判率,難以操控。同時IDS/IPS產品在防范網絡病毒、Web應用安全認證等問題上依然沒有很好的解決方案。但是IDS/IPS技術為今后的網絡安全打下了良好的技術基礎,當前新推出的Web應用防火墻、下一代防火墻所采用技術中有很多是從IDS/IPS中引申出來的。并且IDS/IPS的進一步技術發展前景依然十分廣闊。
3、統一威脅管理(UTM)

山石網科SG-6000-G5150
為了應對多方面網絡安全的挑戰,安全廠商又推出了統一威脅管理(UTM)產品。統一威脅管理產品將防火墻、網絡病毒防護、IPS、反垃圾郵件和網絡內容管理等一系列功能整合在了一起,可以為企業提供全面的網絡防護能力,是一種綜合安全防護能力很高的網絡安全產品。但在針對網站系統安全防護上,統一威脅管理產品的功能顯得有些多而不當,不能很好的為Web應用安全提供服務。
4、Web安全網關(WSG)

Wedge BeSecure 2080
Web安全網關是一種在統一威脅管理產品基礎上發展出來的一類全新的網絡應用安全防護產品。具備對Web應用安全更加深入的全面防護能力。可以對網絡病毒、SQL注入、跨站、惡意腳本等攻擊進行防護。Web安全網關在功能上與Web應用防火墻十分相近,但它保護的對象更多是面向網絡用戶而不是Web服務器。
5、Web應用防火墻(WAF)

梭子魚Web應用防火墻 BWF960
于是近年來又有新的Web應用安全防護技術推出——Web應用防火墻(WAF)。利用國際上公認的一種說法:Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。
總體來說,Web應用防火墻的具有以下四大個方面的功能(參考WAF入門,對內容做了一些刪減及改編):
1)審計設備:用來截獲所有HTTP數據或者僅僅滿足某些規則的會話。
2)訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。
3)架構/網絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
4)WEB應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且能夠保護WEB應用編程錯誤導致的安全隱患。
需要指出的是,并非每種被稱為Web應用防火墻的設備都同時具有以上四種功能。
同時WEB應用防火墻還具有多面性的特點。比如從網絡入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火墻角度來看,WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測防火墻”的增強。(深度檢測防火墻通常工作在的網絡的第三層以及更高的層次,而Web應用防火墻則在第七層處理HTTP服務并且更好地支持它。)
五、Web應用防火墻的特點
Web應用防火墻的一些常見特點如下。
1、異常檢測協議
Web應用防火墻會對HTTP的請求進行異常檢測,拒絕不符合HTTP標準的請求。并且,它也可以只允許HTTP協議的部分選項通過,從而減少攻擊的影響范圍。甚至,一些Web應用防火墻還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。
2、增強的輸入驗證
增強輸入驗證,可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為。從而減小Web服務器被攻擊的可能性。
3、及時補丁
修補Web安全漏洞,是Web應用開發者最頭痛的問題,沒人會知道下一秒有什么樣的漏洞出現,會為Web應用帶來什么樣的危害。現在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。當然,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應的補丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。
(附注:及時補丁的原理可以更好的適用于基于XML的應用中,因為這些應用的通信協議都具規范性。)
4、基于規則的保護和基于異常的保護
基于規則的保護可以提供各種Web應用的安全規則,WAF生產商會維護這個規則庫,并時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基于合法應用數據建立模型,并以此為依據判斷應用數據的異常。但這需要對用戶企業的應用具有十分透徹的了解才可能做到,可現實中這是十分困難的一件事情。
5、狀態管理
WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件(比如登陸失敗),并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。
6、其他防護技術
WAF還有一些安全增強的功能,可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如:隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。
六、Web應用防火墻功能對比
通過上述技術特點,可以了解WAF能為Web應用用戶帶來全面的Web安全防護能力。但是實際的Web應用防火墻是否可以實現上述功能呢?下面對目前國內主流的Web應用防火墻產品的功能進行一下對比。
本次對比中《網絡世界》評測實驗室選擇了六個在國內知名度較高,具備一定影響力的主流廠商的產品進行功能性對比。廠商名單如下:梭子魚(BARRACUDA),思科(Cisco),思杰(Citrix),安恒信息(DBAPPSecurity),飛塔(Fortinet),綠盟(NSFOCUS)(以廠商英文字母排序)。
企業產品信息通過Web的形式向用戶發布本身就是企業Web應用的最好體現,Web應用防火墻相關廠商在這方面應當有著很多的先天技術優勢。那WAF廠商在網站上是如何對自身產品進行宣傳的呢?出于這方面的考慮,同時也為了對更多Web應用防火墻產品進行了解,本次功能性對比過程中,首次采取了以收集廠商網站上發布Web應用防火墻功能信息的方式進行(以中文資料為準)。以下對比信息均采集于廠商網站中與Web應用防火墻相關的產品信息及產品技術白皮書。目的是從一個用戶初次采購Web應用防火墻的角度,從廠商公開發布的Web應用防火墻信息中對產品進行了解,并做出初步的判定。
Web應用防火墻功能對比表

此內容為AET網站原創,未經授權禁止轉載。