分类: 系统运维
2009-05-12 11:40:56
随着互联网技术与应用的不断发展,新的互联网业务增长点与商业模式不断产生,并深入到社会经济、政治等各个层面。随之产生的不仅仅是价值,还有 众多的安全威胁,承载在新兴应用和技术上的攻击不断涌现。Web应用极为丰富的今天,Web服务器以其强大的计算能力和处理性能及所蕴含的高昂价值,成为 被攻击的主要目标。走在信息化与互联网经济前沿的政府、企业、IDC等组织面临着各种针对Web的安全问题:
网页篡改:根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2007年上半年的工作报告显示,网站漏洞百出,被篡改的大陆网站数量明显上升,总数达到28367个,比去年全年增加近16%。
拒绝服务攻击:针对Web应用的分布式拒绝服务(Distributed Denial of Service,以下简称:DDoS)攻击问题也相当严重。对中小企业,尤其是以网络为核心业务的企业,攻击者往往采用有组织的DDoS攻击等手段进行勒 索,迫使企业接受相应条件,严重影响企业正常业务的开展。
SQL注入、跨站脚本漏洞:信息安全国际权威机构SANS 2007年发布的全球20大安全风险排行榜上,Web应用安全漏洞名列前茅,最广为攻击者利用的漏洞为SQL注入及跨站脚本。其中,SQL注入漏洞通常为 攻击者利用,用于读取、创建、更新或是删除应用程序中的任意数据,最为糟糕的情况下,攻击者可能获得整个数据库系统的完全控制权;跨站脚本,即 XSS(Cross-Site Scripting),允许攻击者在受害者的浏览器中执行脚本,从而劫持用户会话、篡改Web站点、插入恶意内容、实施钓鱼攻击等。
常见的蠕虫、黑客攻击
由这些安全问题,进一步衍生出维护、管理问题:
内部维护人员疲于补救Web应用安全漏洞
需要付出高昂成本以获取第三方服务:应急响应、安全加固、渗透测试
随着攻击者知识的日趋成熟,针对Web应用的攻击工具与手法日趋复杂多样。传统的边界安全设备,如防火墙,局限于自身的检测机制和防护深度,已经不能满足日益发展的Web应用防护的全部需求。
Web应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因 此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其 安全性与合法性,对非法的请求将予以实时阻断,从而对各类网站站点进行有效防护。
WAF作为一种在国际安全市场上新起的专用设备,在世界范围的安全市场内有明确的功能定义:国际权威测评机构NSS对WAF有着详细的测试方 案;国际组织WEB应用安全联盟(Web Application Security Consortium,简称:WASC)发布了WAF产品评估标准,为技术人员进行产品技术选型时提供参考,以选择最为适合自身应用环境的WAF产品。但 国外WAF的定义在某些方面缺少对中国国情的特殊性考虑,比如目前国内比较泛滥的DDoS攻击等。
因此,一个完善的、真正能解决国内Web应用安全问题的WAF产品应该具备以下特点:
具备针对各类Web应用攻击的检测和防御能力,如蠕虫威胁、黑客攻击、SQL注入、跨站脚本等,满足对检测、防御能力在广度和深度上的要求;
针对国内极为猖獗的DDoS攻击进行防护,尤其是针对应用层的DDoS攻击进行细粒度防护,如CC攻击、针对网游的DDoS攻击等;
很多Web应用安全问题,究其根本,还是在于Web应用程序开发阶段留下的安全隐患为攻击者所利用。除了对应用流量进行监控以防护Web应用攻击,WAF还应具备Web应用漏洞扫描能力,加强Web应用自身的安全性;
具备良好的可靠性,提供硬件BYPASS或HA等可靠性保障措施,确保Web应用核心业务的连续性和高可靠性;
考虑到Web应用的复杂性与业务变更的频繁,要求WAF产品具备简便、灵活的配置与管理功能,并能提供细粒度的防护策略配置。