一. WEB應用安全危機四伏

　　隨著互聯(lián)網(wǎng)技術與應用的不斷發(fā)展，新的互聯(lián)網(wǎng)業(yè)務增長點與商業(yè)模式不斷產生，并深入到社會經濟、政治等各個層面。隨之產生的不僅僅是價值，還有眾多的安全威脅，承載在新興應用和技術上的攻擊不斷涌現(xiàn)。Web應用極為豐富的今天，Web服務器以其強大的計算能力和處理性能及所蘊含的高昂價值，成為被攻擊的主要目標。走在信息化與互聯(lián)網(wǎng)經濟前沿的政府、企業(yè)、IDC等組織面臨著各種針對Web的安全問題：

　　網(wǎng)頁篡改：根據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調中心(簡稱CNCERT/CC)2007年上半年的工作報告顯示，網(wǎng)站漏洞百出，被篡改的大陸網(wǎng)站數(shù)量明顯上升，總數(shù)達到28367個，比去年全年增加近16%。

　　拒絕服務攻擊：針對Web應用的分布式拒絕服務(Distributed Denial of Service，以下簡稱：DDoS)攻擊問題也相當嚴重。對中小企業(yè)，尤其是以網(wǎng)絡為核心業(yè)務的企業(yè)，攻擊者往往采用有組織的DDoS攻擊等手段進行勒索，迫使企業(yè)接受相應條件，嚴重影響企業(yè)正常業(yè)務的開展。

　　SQL注入、跨站腳本漏洞：信息安全國際權威機構SANS 2007年發(fā)布的全球20大安全風險排行榜上，Web應用安全漏洞名列前茅，最廣為攻擊者利用的漏洞為SQL注入及跨站腳本。其中，SQL注入漏洞通常為攻擊者利用，用于讀取、創(chuàng)建、更新或是刪除應用程序中的任意數(shù)據(jù)，最為糟糕的情況下，攻擊者可能獲得整個數(shù)據(jù)庫系統(tǒng)的完全控制權;跨站腳本，即XSS(Cross-Site Scripting)，允許攻擊者在受害者的瀏覽器中執(zhí)行腳本，從而劫持用戶會話、篡改Web站點、插入惡意內容、實施釣魚攻擊等。

　　常見的蠕蟲、黑客攻擊

　　由這些安全問題，進一步衍生出維護、管理問題：

　　內部維護人員疲于補救Web應用安全漏洞

　　需要付出高昂成本以獲取第三方服務：應急響應、安全加固、滲透測試

　　隨著攻擊者知識的日趨成熟，針對Web應用的攻擊工具與手法日趨復雜多樣。傳統(tǒng)的邊界安全設備，如防火墻，局限于自身的檢測機制和防護深度，已經不能滿足日益發(fā)展的Web應用防護的全部需求。

　　二. WAF：新興信息安全技術

　　Web應用防火墻(Web Application Firewall, 簡稱：WAF)代表了一類新興的信息安全技術，用以解決諸如防火墻一類傳統(tǒng)設備束手無策的Web應用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應用層，因此對Web應用防護具有先天的技術優(yōu)勢�；�于對Web應用業(yè)務和邏輯的深刻理解，WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求將予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。

　　WAF作為一種在國際安全市場上新起的專用設備，在世界范圍的安全市場內有明確的功能定義：國際權威測評機構NSS對WAF有著詳細的測試方案;國際組織WEB應用安全聯(lián)盟(Web Application Security Consortium，簡稱：WASC)發(fā)布了WAF產品評估標準，為技術人員進行產品技術選型時提供參考，以選擇最為適合自身應用環(huán)境的WAF產品。但國外WAF的定義在某些方面缺少對中國國情的特殊性考慮，比如目前國內比較泛濫的DDoS攻擊等。

　　因此，一個完善的、真正能解決國內Web應用安全問題的WAF產品應該具備以下特點：

　　具備針對各類Web應用攻擊的檢測和防御能力，如蠕蟲威脅、黑客攻擊、SQL注入、跨站腳本等，滿足對檢測、防御能力在廣度和深度上的要求;

　　針對國內極為猖獗的DDoS攻擊進行防護，尤其是針對應用層的DDoS攻擊進行細粒度防護，如CC攻擊、針對網(wǎng)游的DDoS攻擊等;

　　很多Web應用安全問題，究其根本，還是在于Web應用程序開發(fā)階段留下的安全隱患為攻擊者所利用。除了對應用流量進行監(jiān)控以防護Web應用攻擊，WAF還應具備Web應用漏洞掃描能力，加強Web應用自身的安全性;

　　具備良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施，確保Web應用核心業(yè)務的連續(xù)性和高可靠性;

　　考慮到Web應用的復雜性與業(yè)務變更的頻繁，要求WAF產品具備簡便、靈活的配置與管理功能，并能提供細粒度的防護策略配置。

標簽： cc攻擊 ddos idc web服務器 web應用防火墻 安全 防火墻 服務器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)技術 互聯(lián)網(wǎng)業(yè)務 腳本 漏洞 數(shù)據(jù)庫 網(wǎng)絡 信息安全 信息化

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。