Web防火墻如何對(duì)網(wǎng)站進(jìn)行防護(hù)

李匯

Web應(yīng)用程序防火墻（WAF）可以通過(guò)監(jiān)視和過(guò)濾Internet與網(wǎng)站之間的HTTP通信來(lái)保護(hù)網(wǎng)站。

WAF可以防止網(wǎng)站受跨站請(qǐng)求偽造的攻擊，包括SQL注入和跨站點(diǎn)腳本（XSS）等，70 % ～ 80 %的應(yīng)用程序中有可被利用的嚴(yán)重漏洞，消除這些漏洞至關(guān)重要。

企業(yè)必須使用一系列專門(mén)針對(duì)OSI每個(gè)級(jí)別的工具（主要是第3層網(wǎng)絡(luò)級(jí)別的過(guò)濾和第7層應(yīng)用程序級(jí)別的過(guò)濾），來(lái)針對(duì)多種不同的攻擊媒介提供整體防御。

應(yīng)用程序和密碼設(shè)置永遠(yuǎn)不會(huì)完美，因此確保數(shù)據(jù)免受分布式拒絕服務(wù)（DDoS）攻擊、不良僵尸程序和垃圾郵件的侵害很重要，最重要的是在應(yīng)用程序中建立針對(duì)業(yè)務(wù)邏輯漏洞的防御機(jī)制。

Web應(yīng)用防火墻位于客戶機(jī)和他們想連接到互聯(lián)網(wǎng)服務(wù)之間，由WAF檢查這些連接。跨站點(diǎn)腳本是最常見(jiàn)的應(yīng)用程序攻擊媒介之一，攻擊者向客戶端的瀏覽器中注入惡意代碼、修改用戶設(shè)置、盜取或污染cookie、竊取機(jī)密數(shù)據(jù)甚至更改內(nèi)容顯示虛假信息。

Web應(yīng)用防火墻還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測(cè)的角度來(lái)看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備；從防火墻角度來(lái)看，WAF是一種防火墻的功能模塊；還有人把WAF看作是深度檢測(cè)防火墻的增強(qiáng)。

WAF可以防御的另一種威脅是服務(wù)器配置錯(cuò)誤。來(lái)賓帳戶和默認(rèn)密碼等不安全設(shè)置通常容易成為攻擊者的目標(biāo)，這是因?yàn)楣芾韱T沒(méi)有遵循最佳安全性做法，導(dǎo)致出現(xiàn)這些漏洞。

輸入驗(yàn)證效果不佳的網(wǎng)站可能容易受到代碼注入漏洞的攻擊，攻擊者試圖讓SQL語(yǔ)句潛行以訪問(wèn)未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)，WAF可以檢測(cè)并阻止這些嘗試。

過(guò)時(shí)的庫(kù)和軟件也是易受攻擊的領(lǐng)域，Web應(yīng)用程序防火墻可以用作臨時(shí)解決方案，阻止這些漏洞，并對(duì)其進(jìn)行修補(bǔ)。

監(jiān)視和日志記錄不足也可能導(dǎo)致惡意活動(dòng)的早期跡象被忽略，但是WAF可以充當(dāng)集中式日志記錄點(diǎn)，并將任何正在進(jìn)行的威脅通知管理員。

攻擊者還可能試圖通過(guò)掃描網(wǎng)站的結(jié)構(gòu)，然后利用不安全的框架訪問(wèn)敏感信息。Web應(yīng)用程序防火墻可以鎖定網(wǎng)站的某些區(qū)域，以便只通過(guò)受信任的訪問(wèn)。

WAF還會(huì)通過(guò)單一入口點(diǎn)實(shí)施地理、IP和基于身份的驗(yàn)證政策。增強(qiáng)輸入驗(yàn)證，可有效防止網(wǎng)頁(yè)篡改、信息泄露和木馬植入等惡意行為，從而減小Web服務(wù)器被攻擊的可能性。

現(xiàn)實(shí)情況是，每一天都有黑客對(duì)網(wǎng)站進(jìn)行攻擊，一項(xiàng)研究表明，網(wǎng)站遭受攻擊的平均頻率是每39 s一次。當(dāng)然，攻擊不一定每次都會(huì)成功，Web應(yīng)用程序防火墻的工作就是確保攻擊不會(huì)成功。

最常見(jiàn)的應(yīng)用程序攻擊類型包括SQL注入、DDoS、污損、惡意軟件和帳戶劫持，其中SQ注入占所有Web攻擊的2/3。

Web應(yīng)用的CC攻擊，是網(wǎng)絡(luò)安全領(lǐng)域的難題之一，如何做到智能高效地防護(hù)CC，是行業(yè)內(nèi)重點(diǎn)關(guān)注的話題。