Web安全---Web防火墻與掛馬檢查 Jack zhai ? 1、 Web防火墻產品：<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

防止網頁被篡改與審計恢復都是被動的，能阻斷***行為才是主動型的，前邊提到的IPS/UTM等產品是安全通用的網關，也有專門針對Web的硬件安全網關，國內的如：綠盟的Web防火墻，啟明的WIPS(web IPS)，國外的有imperva的WAF(Web Application Firewall)等。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> Web防火墻，主要是對Web特有***方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。由于是應用層而非網絡層的***，從技術角度都應該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。 Web防火墻產品部署在Web服務器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、Web Cache等Web服務器前的常見的產品協調部署。 Web防火墻的主要技術的對***的檢測能力，尤其是對Web服務***的檢測，不同的廠家技術差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術特點來說，有下面幾種方式： ?? 代理服務：代理方式本身就是一種安全網關，基于會話的雙向代理，中斷了用戶與服務器的直接連接，適用于各種加密協議，這也是Web的Cache應用中最常用的技術。代理方式防止了***者的直接進入，對DDOS***可以抑制，對非預料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術的代表。 ?? 特征識別：識別出***者是防護他的前提。特征就是***者的“指紋”，如緩沖區溢出時的Shellcode，SQL注入中常見的“真表達(1=1)”…應用信息沒有“標準”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種***都自己的特征，數量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數型地增長，安全界聲言要淘汰此項技術，但目前應用層的識別還沒有特別好的方式。 ?? 算法識別：特征識別有缺點，人們在尋求新的方式。對***類型進行歸類，相同類的特征進行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對***方式依賴性很強，如SQL注入、DDOS、XSS等都開發了相應的識別算法。算法識別是進行語義理解，而不是靠“長相”識別。 ?? 模式匹配：是IDS中“古老”的技術，把***行為歸納成一定模式，匹配后能確定是***行為，當然模式的定義有很深的學問，各廠家都隱秘為“專利”。協議模式是其中簡單的，是按標準協議的規程來定義模式；行為模式就復雜一些， Web防火墻最大的挑戰是識別率，這并不是一個容易測量的指標，因為漏網進去的***者，并非都大肆張揚，比如給網頁掛馬，你很難察覺進來的是那一個，不知道當然也無法統計。對于已知的***方式，可以談識別率；對未知的***方式，你也只好等他自己“跳”出來才知道。 “自學習”功能的發展： Imperva公司的WAF產品在提供***防護的同時，還提供了另外一個安全防護技術，就是對Web應用網頁的自動學習功能，由于不同的網站不可能一樣，所以網站自身頁面的特性沒有辦法提前定義，所以imperva采用設備自動預學習方式，從而總結出本網站的頁面的特點。具體的做法是這樣的： 通過一段時間的用戶訪問，WAF記錄了常用網頁的訪問模式，如一個網頁中有幾個輸入點，輸入的是什么類型的內容，通常情況的長度是多少…學習完畢后，定義出一個網頁的正常使用模式，當今后有用戶突破了這個模式，如一般的帳號輸入不應該有特殊字符，而XML注入時需要有“<”之類的語言標記，WAF就會根據你預先定義的方式預警或阻斷；再如密碼長度一般不超過20位，在SQL注入時加入代碼會很長，同樣突破了網頁訪問的模式。 網頁自學習技術，從Web服務自身的業務特定角度入手，不符合我的常規就是異常的，也是***檢測技術的一種，比起單純的Web防火墻來，不僅給***者下“通緝令”，而且建立進入自家的內部“規矩”，這種雙方向的控制，顯然比單向的要好。 Citrix公司收購了Teros后，推出的應用防火墻通過分析雙向流量來學習Web服務的用戶行為模式，建立了若干用戶行為模型，一但匹配上你是某個行為，就按該模式行為去衡量你的行為做法，有“越軌”企圖立即給予阻斷。這個自適應學習引擎與Imperva公司的網頁自學習有些類似，不過一個重點是學習網頁特點，一個是學習用戶訪問的規律。 從安全角度來說，網頁自學習技術與***防護結合使用，是理想的選擇。 “黑白名單”功能的使用： “黑名單”是明確需要阻斷的訪問者，一般來說是有過不良記錄的外部訪問者，或者名聲狼籍的人；“白名單”是需要無條件信任的訪問者。該技術在互聯網審計產品中常用。后來，由于***者可以采用代理服務器，IP地址不斷變化；僵尸網絡的“肉雞”也可能是實際用戶，采用封鎖IP的方式也越來越不是辦法。但是內網的Web服務就不同了，由于的內部業務的用戶是 “可預知”的，辦公室電腦的IP也是可以固定的，所以白名單技術在WEB防護上開始大量使用，若與身份認證系統連起來，還可以對用戶網卡的MAC地址一起綁定，抗欺騙、冒充的能力更為強一些。 很多Web防火墻包含了黑白名單的功能，該功能的使用效果依賴于用戶維護安全策略的動態更新，需要運維人員“比較勤快”，尤其是黑名單的維護需要動態跟蹤網絡訪問者的情況，所以真正能用好該方法的不是很多。 Web防火墻的未來出路：

有一種說法：因為Web服務器前的負載均衡設備、Web 加速設備是不可缺少的，又是Web服務器群的出口必經之路，所以Web防火墻的功能有可能與這些設備合并。這種發展趨勢有些象網關UTM與單獨的FW、IPS、AV、***等設備進化發展一樣，UTM就是這些網關的集成產品。 但我有一個不同的看法：UTM部署于網絡的外連接出口，一般是互聯網出口，其網絡安全隔離作用，這里的帶寬價格昂貴，所以擁有大帶寬的用戶很有限，而Web服務器群是與網絡主交換機連接的，提供的是應用處理能力，要求的參數常是并發用戶的數量與在線用戶的數量，服務器一般都是千兆接口，目前的交換機就可達到幾十個TB的交換能力，在大流量鏈路上做多功能集成的安全產品，又是應用層的檢測，對產品的硬件壓力是巨大的，能達到“線速”流量的產品一定價格昂貴，因此Web防火墻的這種合并思路是有待商榷的。

?

2、 Web***檢查工具：

Web安全不僅是維護網站自己安全，通過網站***用戶電腦的危害也十分棘手。網頁容易被掛上***，或被XSS***利用，是否有工具可以對所有的網頁進行安全檢查呢？這里用到了“爬蟲”技術。 “爬蟲”技術最早是搜索引擎“發明”的，搜索網站放出N個小“爬蟲”，在世界各地的網站上循環掃描，收集網站上的新信息，建立供世界人民查找的數據庫，這樣大家就可以從Google、百度等搜索門戶上搜到你想要的任何東東。由于“爬蟲”來自網站外部，可以模擬用戶打開網站的實際效果，所以“爬蟲”很快被網站用來測試自身性能的“用戶體驗”工具，比如網頁打開的速度，用戶互動的等待時間等。作為用戶體驗工具，“爬蟲”很快也在企業內部網絡上開始流行，關注用戶感受，是08年開始IT領域內最流行的開發理念。 所謂“爬蟲”就是這樣一些進程，按照一定的規則(橫向優先搜索、縱向優先搜索)，將網站上所有的頁面掃描一遍，(你知道很多網站的點擊率飛漲的原因了吧，是有無數的小爬蟲在工作…)，在對網頁上關心的事情進行檢查。由于是以用戶的身份“瀏覽”網頁，所以沒有靜態與動態頁面的差別。Web***檢查工具就是基于這個原理開發的，不同于搜索爬蟲的是，在網頁檢查時，重點查看網頁是否被掛***，或被XSS利用。因為網站內的URL鏈接去向應該可追溯的，所以對XSS的檢查是很有效的。(“爬蟲”有些象網頁防篡改的文件檢查進程是吧，不過一個是在Web服務器的內部，另一個是在web服務器的外部) Web***檢查工具一般作為安全服務檢查使用，也可以單獨部署一臺服務器，定期對網站檢查，發現問題及時報警。該工具目前市場上產品化的還很少，一般是非銷售的，也有些免費的類似軟件可以試用，隨著Web服務在企業內的應用增多，該工具可能會象防病毒檢查工具一樣流行。

總結

以上是生活随笔為你收集整理的Web安全(下)---主动类安全产品技术分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。