從2008年開始，大量企業(yè)、政府的網(wǎng)站遭遇Web攻擊，甚至有黑客通過攻擊企業(yè)網(wǎng)站勒索錢財(cái)。眾多的事例使企業(yè)逐漸認(rèn)識到，由于很多攻擊已經(jīng)轉(zhuǎn)向應(yīng)用層，傳統(tǒng)的防火墻、IPS、網(wǎng)頁防篡改設(shè)備都無法徹底阻止此類攻擊，必須要安裝Web應(yīng)用防火墻(以下簡稱WAF)來保護(hù)Web應(yīng)用。

　　保護(hù)應(yīng)用的“墻”

　　只要有網(wǎng)絡(luò)的地方就會有防火墻，但傳統(tǒng)的防火墻只是針對一些底層(網(wǎng)絡(luò)層、傳輸層)的信息進(jìn)行阻斷

　　，而WAF則深入到應(yīng)用層，對所有應(yīng)用信息進(jìn)行過濾，這是二者的本質(zhì)區(qū)別。

　　WAF的運(yùn)行基礎(chǔ)是應(yīng)用層訪問控制列表。整個應(yīng)用層的訪問控制列表所面對的對象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個網(wǎng)站互動過程中所提交的一些內(nèi)容，包括HTTP協(xié)議報(bào)文內(nèi)容，由于WAF對HTTP協(xié)議完全認(rèn)知，通過內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。

　　梭子魚中國區(qū)技術(shù)總監(jiān)谷新說：“區(qū)別于IDS/IPS，WAF的技術(shù)特點(diǎn)在于，能夠完全代理服務(wù)器的應(yīng)用層協(xié)議(HTTP/HTTPS)，包括對應(yīng)用層請求的審查，以及對請求響應(yīng)的代理，既能提供被動安全模式，也能提供主動安全模式進(jìn)行防御。”

　　綠盟科技產(chǎn)品市場經(jīng)理趙旭向記者介紹，WAF定位為網(wǎng)站安全防護(hù)設(shè)備，全面防范網(wǎng)站面臨的具有較高風(fēng)險(xiǎn)的安全問題。從降低網(wǎng)站安全風(fēng)險(xiǎn)角度來看，WAF產(chǎn)品應(yīng)以一個可閉環(huán)又可循環(huán)的方式去影響導(dǎo)致網(wǎng)站安全問題的各種因素(包括攻擊者因素、漏洞因素、技術(shù)影響性因素)，從而降低潛在的風(fēng)險(xiǎn)。

　　從攻擊發(fā)生的時(shí)間軸來看，WAF應(yīng)具備事前預(yù)防、事中防護(hù)及事后補(bǔ)償?shù)木C合能力。對最為核心的事中防護(hù)能力而言，WAF作為一種專業(yè)的Web安全防護(hù)工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性。

　　對于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補(bǔ)，形成環(huán)環(huán)相扣的動態(tài)安全防護(hù)。事前是用掃描方式主動檢查網(wǎng)站，而事后的防篡改可以保證即使出現(xiàn)疏漏也讓攻擊的步伐止于此，不能進(jìn)一步修改和損壞網(wǎng)站文件，對于要求高信譽(yù)和完整性的用戶來說，這是尤為重要的環(huán)節(jié)。

　　WAF的核心技術(shù)在于對HTTP本質(zhì)的理解以及Web攻擊防護(hù)的能力。前者要求WAF能完整地解析HTTP，包括報(bào)文頭部、參數(shù)及載荷;支持各種HTTP 編碼(如chunked encoding);提供嚴(yán)格的HTTP協(xié)議驗(yàn)證;提供HTML限制;支持各類字符集編碼;具備HTTP Response過濾能力。從降低安全風(fēng)險(xiǎn)的角度而言，后者要求WAF能有效影響攻擊者因素中的機(jī)會、群體因子以及漏洞因素中的發(fā)現(xiàn)難易度、利用難易度、入侵檢測與覺察度因子。

　　下面我們來看看WAF是如何防御Web攻擊的。CSRF是一類被廣泛利用的Web應(yīng)用安全漏洞，該攻擊通過偽造來自受信任用戶的服務(wù)請求，誘使用戶按照攻擊者的意圖訪問網(wǎng)站信息，或者執(zhí)行一些惡意的操作，比如登出網(wǎng)站，購買物品，改變賬戶信息，獲取賬號，或其他任何網(wǎng)站授權(quán)給該用戶的操作等。

　　谷新表示，WAF利用數(shù)字加密、簽名，或時(shí)間戳Cookie，來保護(hù)信息不被篡改，同時(shí)將會話Cookie與源客戶端請求進(jìn)行綁定，來阻止他人利用受信用戶進(jìn)行CSRF攻擊。

　　趙旭介紹說，相對于使用特征集的靜態(tài)防護(hù)，WAF所采用的動態(tài)防護(hù)機(jī)制更具智能性和靈活性�；�本思路是通過WAF隨機(jī)產(chǎn)生的隱含表單來打斷一個不變的會話，也就是說即使攻擊者獲取到了用戶身份，但是隨機(jī)變化的驗(yàn)證碼讓攻擊者無法構(gòu)造一個不變的報(bào)文。

　　除了上述用戶輸入類型的攻擊，還有一類影響Web應(yīng)用可用性的攻擊也比較典型，即應(yīng)用層DDoS攻擊，在國內(nèi)更習(xí)慣稱為CC攻擊。不同于網(wǎng)絡(luò)層帶寬耗盡型的DDoS攻擊，此類攻擊構(gòu)思更為精巧，意在以相對較小的代價(jià)耗盡Web服務(wù)器側(cè)的系統(tǒng)資源，如磁盤存儲、數(shù)據(jù)庫連接、線程等。2009年6月18日，國際安全組織SANS報(bào)導(dǎo)了一種新型Apache HTTP DoS工具。運(yùn)用此工具，一個帶寬很小的用戶都可能對一臺高速服務(wù)器發(fā)起攻擊。該工具對Apache 1.x和 Apache 2.x 版本以及Squid都有效。攻擊原理為：如果向服務(wù)器發(fā)送不完整的HTTP請求報(bào)文，會讓HTTP連接一直處于開放狀態(tài)。工具可在Web服務(wù)器超時(shí)時(shí)間內(nèi)頻繁發(fā)起這樣的連接，導(dǎo)致連接耗盡。其構(gòu)思精巧之處還在于，GET請求是不帶數(shù)據(jù)的，而攻擊者惡意構(gòu)造了Content-Length字段、表示后續(xù)有數(shù)據(jù)，哄騙Web服務(wù)器持續(xù)等待后續(xù)數(shù)據(jù)的到達(dá)，從而占用連接。

　　基于規(guī)則的DoS防護(hù)或者調(diào)整Apache配置(如增加MaxClients值，只是增加攻擊的難度)均很難應(yīng)對這種攻擊工具。而應(yīng)用了多種防護(hù)技術(shù)(重定向、HTTP頭部解析會話超時(shí)機(jī)制以及請求方法識別等)的WAF產(chǎn)品，可天然應(yīng)對基于這類工具的攻擊。