Web動態防御系統在電網的應用研究

馮銘能，王 欣，梁辰愷（中訊郵電咨詢設計院有限公司廣東分公司，廣東廣州 510627）

1 概述

近年來，Web 應用的攻擊事件層出不窮，2019 年上半年，CNCERT 監測發現并協調處置我國境內遭篡改的網站有近4 萬個，其中被篡改的政府網站有222個，Web 安全形勢不容樂觀。在應對網站Web 攻擊中，Web 應用防火墻（Web Application Firewall，WAF）提供應用層安全防護，通過對HTTP/HTTPS 應用層數據的深度檢測分析識別，阻斷傳統網絡防火墻無法識別的Web 應用攻擊行為。傳統WAF 主要的功能如圖1所示。

圖1 WAF部署示意圖

a）漏洞攻擊防護：網站安全防護目前可攔截常見的Web 漏洞攻擊，如SQL 注入、XSS 跨站、獲取敏感信息、利用開源組件漏洞進行攻擊等常見的攻擊行為。

b）自定義攻擊特征：當發現有未公開的0Day 漏洞，或者剛公開但未修復的NDay 漏洞被利用時，WAF可以在發現漏洞到用戶修復漏洞這段空檔期通過自定義的正則表達式，對漏洞特征進行識別，抵擋黑客的攻擊，保障網站安全。

隨著Web攻擊的變異升級，傳統WAF過于依賴特征庫，存在誤報和漏報、維護成本高等問題，已無法滿足日益增多的網頁攻擊防護需求，傳統WAF主要存在以下問題。

a）規則依賴性高：傳統WAF 基于特征庫的防護方式，對0day 攻擊等新型攻擊和各種自動化和程序化的惡意流量，無法有效防御，并且經常出現誤判。由于WAF是基于事前的規則和簽名技術，使用規則匹配引擎，WAF的好壞就取決于簽名和引擎規則的質量。

b）維護復雜：由于攻擊種類繁多，并且企業的互聯網業務更新速度加快，傳統WAF 產品運維復雜，企業的安全運維成本不斷攀高?！?br>