分类: 网络与安全
2011-02-22 15:54:57
从解决的角度来说,Web应用的防护应该是一个动态的安全防护过程,应该包含事前的安全编码、上线之前的安全检测及渗透、上线之后的监控及防护。由于当前大多数的系统是早期已经上线的Web应用系统,因此大多数的安全防护是通过增加安全防护设备来实现,如Web应用、网页防篡改、网站加固等手段。
Web应用防火墙
Web应用防火墙(WAF)目前尚未有统一的标准定义,国际上有两个组织OWASP和WASC曾经给出过相关定义。
简而言之,Web应用防火墙就是专门针对HTTP及HTTPS协议进行细粒度控制及防护的安全防护系统,主要是架设在之前来对来自客户端及返回的数据基于安全策略进行安全防护。
Web应用防火墙主要工作在应用层,主要是HTTP协议的控制和防护,能够实现对HTTP协议的细粒度解析和控制;传统防火墙主要工作在四层一下,主要是基于包的检测技术,不能实现对HTTP协议的精细控制。
Web应用防火墙的防护重点主要是来自访问端对Web服务器的攻击,通过安全策略来限制和控制来自外部的攻击;同时能够对服务器返回的数据进行防护,如服务器返回的错误信息防护,服务器返回的敏感内容的防护等。
Web应用防火墙的发展趋势
国外的Web应用防火墙主要在2000年左右出现,但由于当时的Web安全事件较少,市场一直没有启动;由于2005年安全问题开始转向Web安全,再加上2006年左右国外的PCI DSS标准推广,WAF正式登上历史舞台开始成为世人瞩目的焦点。
未来的发展趋势开始向防护及Web Service防护逐渐深入,开始和具体的业务系统配合更加紧密;防护会更加智能;功能会更加强大,逐渐渗透到应用交付领域,实现缓存加速和负载均衡等功能。
Web应用防火墙的竞争优势
通过上面多个问题的分析我们可以看出,WAF与UTM、的产品定位不同,WAF对用户的业务保障是一个有竞争力的安全解决方案。
目前Web应用防火墙主要分为:
·采用基于HTTP会话的检测技术的WAF厂商
·基于IPS技术号称WAF的厂商
·基于UTM或防火墙技术号称WAF的厂商
·基于负载均衡技术号称WAF的厂商
·部分防篡改厂商的WAF
目前国外的WAF主要是Imperva和两家;也曾经收购了一家WAF厂商,但是其产品分类是在应用交付领域。
的Web安全防护
对于企业的Web安全防护需要具体情况具体分析,主要需遵循如下原则:
(1)不能影响Web应用的正常运行及使用;
(2)Web安全防护不能影响Web服务的性能及可用性;
(3)Web安全防护不要对现有系统进行太多变更;
(4)尽量不要在Web服务器上安装插件,以免影响Web服务器的稳定性及安全性;
(5)需要在安全性和业务连续性保证方面取得一个较好的平衡点。
