WEB应用防火墙定义

二.WEB应用防火墙的特点

三.如何选择WEB应用防火墙

四.常见产品

WEB应用防火墙定义

利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

总体来说，Web应用防火墙的具有以下四大个方面的功能(参考WAF入门，对内容做了一些删减及改编)：

1)审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。

2)访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

3)架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

4)WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。

同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)

二.WEB应用防火墙的特点

Web应用防火墙的一些常见特点如下。

1、异常检测协议

Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

2、增强的输入验证

增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

3、及时补丁

修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

(附注：及时补丁的原理可以更好的适用于基于XML的应用中，因为这些应用的通信协议都具规范性。)

4、基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

5、状态管理

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败)，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

6、其他防护技术

WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

三.如何选择WEB应用防火墙

从Web应用防火墙功能对比表格中，我们可以看出，目前Web应用防火墙的功能性还不统一，几个厂商Web应用防火墙的主要功能项还有较大出入。另外，功能描述也不相同，有些同种的功能各个厂商厂商的描述各不相同。为了对厂商真实体现厂商产品功能，这一部分资料按各厂商介绍在表格中予以重现。还有一些厂商存在明显的技术资料发布不全现象，这方面以思杰(Citrix)最具代表性。如果不是其网站产品介绍中存在“利用集成式应用防火墙增强了安全性”这一句话，和其英文网站上的相关介绍，我们几乎认定其Citrix NetScaler产品仅是一款Web应用加速产品!所幸的是，在本次活动截止前一天，思杰市场人员将Citrix NetScaler中文资料发给了我们，才使得思杰Citrix NetScaler产品功能对比的项目不至于留白!

但是在产品功能项目差异大，内容不统一的情况下，用户应该如何对产品进行选择呢?下面我们就综合分析一下，在选择Web应用防火墙产品时，哪几方面的信息是用户最需要了解的。

1、产品宣传

通过厂商的产品宣传，可以了解厂商产品的市场定位，以及厂商对用户应用需求的了解情况。从中可以初步分析厂商产品是否可以满足用户的实际应用需求。

2、产品功能介绍

在产品功能介绍中，可以粗略了解产品的各项功能，在经过对比后可以了解厂商产品的功能是否齐备，可否满足用户应用的需求。

3、产品评测报告

这是用户容易忽略，某些厂商刻意忽略的重要信息。对于网络产品来讲，市场定位容易描述，产品功能也可以相互借鉴，但具体的功能测试是很难仿造的。评测报告中的每个指标、每个数据都是厂商研发技术实力的最直观体现，只有对产品技术具备最深入理解的厂商才可以在用户面前交出一份令用户满意的评测报告!

4、售后服务

把售后服务放到产品销售前面，就在于它的重要性。一般的网络产品往往会使用户忽略售后服务的重要，质量过硬的网络产品有可能插电一次性设置后几年都不需要变动。但是Web应用防火墙这类网络安全产品就全然不同了，层出不穷的网络威胁会时刻对其发出挑战。没有完善研发售后服务能力的厂商将无力面对这些威胁，这样用户的网络安全也就失去了相应的保障。

5、产品销售

产品的销售厂商在哪里，从那里可以得到什么样的服务，技术支持能力如何……这些同样也需要用户在选择产品时事先进行了解。

四.常见产品

· 梭子鱼WEB应用防火墙

梭子鱼WEB应用防火墙，即WAF通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。

2．应用层防火墙与传统的入侵检测设备之间具有本质上的区别

在TCP/IP模型中网络流量从物理层到应用层是逐层递交，入侵检测设备（IPS）主要定位在分析传输层和网络层的数据，而再往上则是复杂的各种应用层协议报文，而应用层防火墙（WAF）则仅提供对Web应用流量全部层面的监管。IPS需要处理网络中所有的流量，而WAF仅处理与Web应用相关的协议，其他的则给予转发。

3．梭子鱼WEB应用防火墙可以防御的攻击类型：

1）SQL注入：一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串，来获取返回的机密数据。

2）跨站点脚本：黑客插入脚本代码（如JavaScript或ActiveX）到一个输入字符串，导致Web服务器泄漏用户名和密码等信息。

3）操作系统命令注入：一些应用程序从web输入来创建操作系统命令，就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制，黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。

4）会话劫持：黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户帐户信息。

5）篡改参数或URL：web应用程序通常在返回的的web页面中嵌入参数和URL，或者用授权的参数更新缓存。黑客可以修改这些参数、URL或缓存，使Web服务器返回不应泄漏的信息。

6）缓冲区溢出：应用程序代码应该检查输入数据的长度，以确保输入数据不会超出剩余的缓冲区和修改相邻的存储。黑客很快就会发现应用程序不检查溢出，并创建输入来导致溢出。