Web應(yīng)用防火墻及其檢測技術(shù)

◆尹淑玲 胡 嵐 溫 靜

（武昌理工學院 湖北 430223）

Web應(yīng)用防火墻及其檢測技術(shù)

◆尹淑玲 胡 嵐 溫 靜

（武昌理工學院 湖北 430223）

Web的普及，也帶來了針對Web攻擊的爆發(fā)，如何保護Web服務(wù)不受攻擊成為安全領(lǐng)域研究的熱點。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備主要是基于數(shù)據(jù)包檢測的方式，工作于OSI模型的網(wǎng)絡(luò)層和傳輸層，并不能在應(yīng)用層上對Web進行有效防護。本文結(jié)合目前日益嚴重的Web應(yīng)用安全問題和現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品，提出了Web 應(yīng)用防火墻技術(shù)可以保護Web應(yīng)用程序免受普通攻擊，并對Web 應(yīng)用防火墻的基本工作原理、組成模塊和檢測技術(shù)進行了描述。

Web攻擊；Web應(yīng)用防火墻；檢測技術(shù)

0 引言

近年來，隨著 Web 應(yīng)用的快速發(fā)展與普及，Web 安全問題日益凸顯，針對 Web 攻擊所能造成的危害日益嚴重。為了抵御針對Web應(yīng)用系統(tǒng)的各種惡意攻擊，用于防護Web應(yīng)用系統(tǒng)的Web應(yīng)用防火墻（Web Application Firewall，WAF）應(yīng)運而生。不同于傳統(tǒng)的防火墻、入侵防御系統(tǒng)，Web應(yīng)用防火墻工作在應(yīng)用層，通常被部署在Web服務(wù)器的前端，通過執(zhí)行專門針對HTTP/HTTPS的安全策略來維護Web應(yīng)用系統(tǒng)的安全。

從廣義上講，Web應(yīng)用防火墻是面向Web應(yīng)用的入侵防御系統(tǒng)，也是應(yīng)用級的網(wǎng)站安全綜合解決方案，集成了虛擬化軟件和硬件架構(gòu)的智能網(wǎng)絡(luò)平臺，可對各種流量實施深層探測并阻止各類Web攻擊。從狹義的角度而言，WAF是對Web服務(wù)的安全進行防護的一種軟硬件設(shè)備，主要防護的攻擊行為有XML攻擊、XSS攻擊、SQL注入等。

1 Web攻擊和WAF技術(shù)

Web攻擊與傳統(tǒng)的攻擊一樣，同樣可以分為惡意掃描、溢出攻擊、拒絕服務(wù)、會話劫持、信息竊取等等。與傳統(tǒng)攻擊的區(qū)別在于，Web攻擊的是針對Web應(yīng)用程序的應(yīng)用層攻擊，攻擊的對象不再是操作系統(tǒng)、TCP/IP協(xié)議棧等底層的組件。根據(jù)Web應(yīng)用的特點，Web的攻擊方式習慣上被分為SQL注入、XSS跨站攻擊、溢出攻擊、文件包含、信息泄露、拒絕服務(wù)、惡意上傳等等。

圖1 WAF的基本工作原理

WAF是針對網(wǎng)站W(wǎng)eb服務(wù)器的應(yīng)用級入侵的防御，它彌補了防火墻、入侵防御系統(tǒng)這類安全設(shè)備對Web應(yīng)用攻擊防護能力不足的缺陷。WAF原理是在WEB服務(wù)器獲取網(wǎng)絡(luò)數(shù)據(jù)包前，對數(shù)據(jù)包進行深度檢查，精確辨別正常用戶訪問與惡意攻擊，對惡意攻擊的數(shù)據(jù)包進行過濾，達到保護WEB服務(wù)器的目的。WAF一般至少有三個核心模塊，分別為入侵檢測模塊、規(guī)則策略模塊和防護模塊，如圖1所示。WAF還有其他的一些必需模塊來實現(xiàn)如管理、授權(quán)認證等功能，有些廠商產(chǎn)品為了增加WAF的附加特性還會增加數(shù)據(jù)加密、負載均衡等額外的模塊。

1.1 入侵檢測模塊

WAF的入侵檢測模塊是用來處理所有輸入輸出的信息流，所有發(fā)往WEB應(yīng)用的數(shù)據(jù)都會被截取并做有效的分析與檢測。WAF的入侵檢測方法和技術(shù)路線與IPS基本相似，只是在處理協(xié)議棧上稍有不同，IPS需要處理各種各樣的協(xié)議，而WAF只需高效處理HTTP和HTTPS兩種協(xié)議即可。

1.2 規(guī)則策略模塊

WAF規(guī)則策略模塊是用作為WAF檢測和過濾惡意流量的依據(jù)，類似于傳統(tǒng)防火墻的規(guī)則表。WAF的規(guī)則策略一般要求可以自定義，并用邏輯對有害的行為和惡意的代碼進行描述和判斷，或者是用邏輯對合法的行為和代碼進行描述和判斷，以此分別形成黑名單和白名單，黑白名單即為WAF的規(guī)則集。黑名單是盡可能地列出有害的惡意流量，這個工作基于人們對惡意流量的認知程度，對于傳統(tǒng)的、已知的威脅，WAF把它列入黑名單即可訪問，但是對于未知的威脅，或者已經(jīng)挖掘出的但未公開的漏洞等，黑名單是無能為力的。白名單卻正好相反，其核心思想是，除了合法的其他都是非法的，也就是說其建立一個合法的白名單，在名單內(nèi)部的客戶端可以訪問，不在名單內(nèi)的則拒絕訪問，這種方式確實有效地保護了Web服務(wù)器的安全，但是卻拒絕了或者犧牲了部分合法的用戶訪問，同時如何建立白名單、以及白名單退出機制也是比較棘手的問題。

1.3 防護模塊

防護模塊是WAF在檢測到入侵行為后，做出相應(yīng)的有效防御行為。WAF在受到惡意的攻擊后可以進行斷開鏈接、重置鏈接、丟棄數(shù)據(jù)包、封鎖惡意用戶等，實施地保護WEB服務(wù)器的安全。

2 WAF中的安全檢測技術(shù)

安全檢測是對企圖入侵、正在入侵或已經(jīng)發(fā)生的入侵進行識別并報警的技術(shù)。它可以檢測對信息系統(tǒng)的非授權(quán)訪問；可以檢測信息系統(tǒng)的運行狀態(tài)，并發(fā)現(xiàn)各種攻擊威脅、攻擊行為和攻擊結(jié)果；可以有效識別信息系統(tǒng)的非法攻擊。目前國內(nèi)外的WAF產(chǎn)品，其安全檢測手段各有特色，主要有雙向檢測、基于自學習模型的檢測和基于算法的檢測技術(shù)。

2.1 雙向檢測

目前多數(shù)WAF采用雙向檢測技術(shù)，即把WAF產(chǎn)品作為Web客戶端和服務(wù)器端的中間人，透明地部署在Web服務(wù)器前，通過重組、解析、理解HTTP請求與應(yīng)答，并根據(jù)內(nèi)置的規(guī)則庫進行匹配，對流經(jīng)系統(tǒng)的HTTP流量進行檢測和阻斷。其主要特點是建立雙向檢測安全模型，這類模型會以規(guī)則庫的方式出現(xiàn)，如果攻擊在規(guī)則庫中匹配上，識別和報警的準確率很高。當前主流的Web攻擊均可使用這種方式進行檢測和防護。

雙向檢測技術(shù)基于已知攻擊方式的特征建立黑名單規(guī)則庫進行特征匹配，實現(xiàn)快速的攻擊識別。其存在的缺點是，無法應(yīng)對某些缺乏明顯的攻擊特征的HTTP攻擊形式，當出現(xiàn)變種攻擊或位置攻擊時，無法及時準確判斷其是否為惡意攻擊，易出現(xiàn)漏報的情況，且隨著攻擊方式的日益增多，規(guī)則庫也勢必越來越龐大，規(guī)則庫維護的成本也相應(yīng)提高。

2.2 基于自學習模型的檢測

基于自學習模型的檢測包括對真實流量的學習、Web應(yīng)用的學習和Web服務(wù)的學習，通過合法通信的數(shù)據(jù)樣本生成規(guī)則集，實現(xiàn)Web應(yīng)用的深層安全防護。基于目前的研究成果，可以將自學習模型分為兩種類型，一種是對Web應(yīng)用網(wǎng)頁的自學習技術(shù)，偏重于學習網(wǎng)頁特點。這種方式是從Web服務(wù)自身的業(yè)務(wù)入手進行異常檢測，即通過一段時間的用戶訪問，WAF記錄一個網(wǎng)頁的訪問模式，如其中有多少個輸入點、輸入的數(shù)據(jù)類型、長度范圍等，學習完畢后，定義出這個網(wǎng)頁的正常使用模式。如果有用戶違反了這個模式，則WAF就會根據(jù)預(yù)先定義的方式報警或阻斷。另一種類型是對Web服務(wù)的用戶行為模式的學習，偏重于學習用戶訪問規(guī)律。主要方法是先根據(jù)具體的Web應(yīng)用服務(wù)，建立若干用戶行為模型，然后將用戶的行為與行為模型進行匹配，如果發(fā)現(xiàn)有不符合常規(guī)的行為，則立即進行處理。

這種基于自學習模型的檢測技術(shù)對Web業(yè)務(wù)應(yīng)用的識別能力較強，但由于學習初期需要大量的經(jīng)驗積累，如果經(jīng)驗缺乏會造成學習準確度不高，例如在對SQL注入攻擊、XSS攻擊的變種識別能力上。另外，對經(jīng)驗的置信區(qū)間和學習時間也有一定的要求，同時，學習經(jīng)驗過程中對系統(tǒng)的資源消耗較大，因此檢測時延較長，降低了用戶的Web體驗。

2.3 基于算法的檢測

隨著技術(shù)的發(fā)展和創(chuàng)新，目前出現(xiàn)了一種基于算法的檢測技術(shù)，很好地彌補了基于規(guī)則庫的變種攻擊檢測準確率不高的問題，同時也彌補了基于自學習模型檢測技術(shù)的資源耗用問題。這種基于算法的檢測技術(shù)是根據(jù)攻擊手法進行分析，能實時地分析網(wǎng)絡(luò)數(shù)據(jù)，通過在WAF設(shè)備內(nèi)部構(gòu)建“輕型虛擬機”，模擬出攻擊行為以觀察其行為特征。因此，基于算法的檢測技術(shù)可以準確而全面地檢測和防御各類Web攻擊行為，徹底解決攻擊行為的變種問題。由這項技術(shù)做支撐，WAF對Web攻擊的檢測準確率顯著提高。因為檢測準確率高、誤報率少，因此對系統(tǒng)資源的消耗明顯減少。

3 結(jié)論

WAF工作于OSI模型中的應(yīng)用層，它的出現(xiàn)是為了保護Web服務(wù)器不受入侵和攻擊，彌補了傳統(tǒng)的網(wǎng)絡(luò)層安全設(shè)備的不足。隨著信息科學的迅速發(fā)展，在云計算、大數(shù)據(jù)的潮流下，Web應(yīng)用的安全問題變得越來越突出，也越來越來重要，我們要重視網(wǎng)絡(luò)防護工作，積極改進原有不完善的保護系統(tǒng)，采用防御能力更強的WAF，并熟悉、掌握其特點，真正做到從根本上對網(wǎng)絡(luò)安全進行保護，這對網(wǎng)絡(luò)發(fā)展和效益有著重要的推動作用。

[1]李雪，唐文.一種新的Web應(yīng)用防火墻的自學習模型[J].小型微型計算機系統(tǒng)，2014.

[2]姚琳琳，何倩.基于分布式對等架構(gòu)的Web應(yīng)用防火墻[J].計算機工程，2012.

[3]王宇，陸松年.Web 應(yīng)用防火墻的設(shè)計與實現(xiàn)[J].信息安全與通信保密，2011.

[4]李莉，翟征德.一種基于Web 應(yīng)用防火墻的主動安全加固方案[J].計算機工程與應(yīng)用，2011.

[5]The Open Web Application Security Project.OWASP Top 10 for 2013[EB/OL].http：//www.owasp.org.cn/owasp-pr oject/download/mobile-top-10-2013-2

[6]綠盟科技.國內(nèi)外 WAF 需求特點和技術(shù)發(fā)展分析[EB/ OL].http：//www.nsfocus.com/waf/qu-bie/qb_02.html，2012.

項目來源：國家自然科學基金（41101412）。

圖3 防火墻和入侵檢測聯(lián)動系統(tǒng)功能結(jié)構(gòu)圖

4 結(jié)論

防火墻和IDS聯(lián)動技術(shù)的相關(guān)探討，防火墻和IDS的結(jié)合應(yīng)用可發(fā)揮優(yōu)勢互補的效果，提高系統(tǒng)的安全防御能力。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們逐漸對網(wǎng)絡(luò)安全問題引起關(guān)注。在網(wǎng)絡(luò)的安全管理方面，沒有絕對的安全技術(shù)，只有不斷地提高安全防護意識，優(yōu)化網(wǎng)絡(luò)安全技術(shù)性能，從病毒防范、安全隔離、安全監(jiān)控、修補漏洞、數(shù)據(jù)備份等等方面加強安全保護措施，以降低網(wǎng)絡(luò)系統(tǒng)面臨的安全風險，為網(wǎng)絡(luò)提供一個安全的運行環(huán)境。

參考文獻：

[1]彭盛宏.淺析校園網(wǎng)存在的安全隱患及其對策[J].信息安全與技術(shù)，2012.

[2]邊春瑩.高校校園網(wǎng)安全策略的研究與設(shè)計[D].哈爾濱理工大學，2013.

[3]王相林，江宜為.IDS與防火墻聯(lián)動的網(wǎng)絡(luò)安全模型設(shè)計[J].科技通報，2011.

[4]吳凱.探討網(wǎng)絡(luò)安全技術(shù)中防火墻和IDS聯(lián)動的應(yīng)用分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.