1、1.概述Web網站是企業和用戶、合作伙伴及員工的快速、高效的交流平臺。Web網站也容易成為黑客或惡意程序的攻擊目標，造成數據損失，網站篡改或其他安全威脅。根據國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC的工作報告顯示：目前中國的互聯網安全實際狀況仍不容樂觀。各種網絡安全事件與去年同期相比都有明顯增加。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式，以達到泄憤和炫耀的 目的，也不排除放置惡意代碼的可能，導致政府類網站存在安全隱患。對中小企業，尤其 是以網絡為核心業務的企業，采用注入攻擊、跨站攻擊以及應用層拒絕服務攻擊(Denial OfService)等，影響業務的正常開展

2、。2007年到2009年上半年，中國大陸被篡改網站的數量相比往年處于明顯上升趨勢。1.1常見攻擊手法目前已知的應用層和網絡層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見的攻擊技術，其中最后一列描述了安恒WAF如何對該攻擊進行防護。表1.1:對不同攻擊的防御方法攻擊方式描述安恒WAF的防護方法跨站腳本攻擊跨站腳本攻擊利用網站漏洞攻擊那些訪 問該站點的用戶，常見目的是竊取該站點 訪問者相關的用戶登陸或認證信息。通過檢查應用流量，阻止各種惡意的腳本插入到URL,header 及 form 中。SQL注入攻擊者通過輸入一段數據庫查詢代碼竊 取或修改數據庫中的數據。通過檢查應用流量，偵測是否

3、有危險的數據庫命令或查詢語句被插入到 URL, header及 form 中。命令注入攻擊者利用網頁漏洞將含有操作系統或 軟件平臺命令注入到網頁訪問語句中以 盜取數據或后端服務器的控制權。通過檢查應用流量，檢測并阻 止危險的系統或軟件平臺命 令被插入到URL, header及form 中。cookie/seesion 劫持Cookie/seesion通常用于用戶身份認證，并且可能攜帶用戶敏感的登陸信息。攻擊者可能被修改 Cookie/seesion提高訪問權限，或偽裝成他人的身份登陸。通過檢查應用流量，拒絕偽造 身份登錄的會話訪問。參數（或表單）篡改通過修改對 URL、header和form

4、中對用戶輸入數據的安全性判斷，并且提交到服 務器。利用參數配置文檔檢測應用中的參數,僅允許合法的參數通過，防止參數篡改發生。緩沖溢出攻擊由于缺乏數據輸入的邊界條件限制，攻擊 者通過向程序緩沖區寫入超出其長度的 內容，造成緩沖區的溢出，從而破壞程序 的堆棧，使程序轉而執行其它指令。如獲 取系統管理員的權限。用戶可以根據應用需求設定和限制數據邊界條件，確保不危及脆弱的服務器。日志篡改黑客篡改刪除日志以掩蓋其攻擊痕跡或 改變web處理日志。.通過檢查應用流量，防止帶有 日志篡改的應用訪問。應用平臺漏洞攻擊黑客通過獲悉應用平臺后，可以利用該平 臺的已知漏洞進行攻擊。當應用平臺出現 漏洞，且沒有官方補丁

5、時，同樣面臨被攻 擊的風險。安恒WAF將阻止已知的攻擊，并提供安全策略規則升級服務，用戶可以按計劃進行安全應用策略升級。同時，對于局級用戶，安恒 WAF提供自定 義規則庫的添加，可以針對某 些關鍵字，特殊應用做特殊安全處理。DOS攻擊通過DOS攻擊請求，以達到消耗應用平臺 資源異常消耗的一種攻擊，最終造成應用 平臺拒絕服務。可以防護所有的網絡層的DoS。包括防止 SYN cookie , 應用層DOS攻擊和對客戶端 連接速率進行限制。HTTP找攻擊一些狡猾的黑客通過 HTTP仙行HTTPS 的攻擊，由于SSL加密數據包無法進行有 效的檢測，導致通用的網絡防火墻和普通 WEB應用防火墻無能為力。

6、支持用戶上傳HIIPS證書，在WAF進行第一輪認證，并對應 用流量進行解密和偵測，對HTTPS類的所有攻擊進行有 效的攔截和防御。2.現有的防御技術目前，很多企業采用網絡安全防御技術對Web應用進行防護，如綜合采用網絡防火墻、IDS、補丁安全管理、升級軟件等措施，然而這些方法難以有效的阻止Web攻擊，且對于HTTPS類的攻擊手段，更是顯得束手無策。2.1.傳統網絡防火墻第一代網絡防火墻可以控制對網絡的訪問，管理員可以創建網絡訪問控制列表(ACLs)允許或阻止來自某個源地址或發往某個目的地址及相關端口的訪問流量。傳統的防火墻無法阻止Web攻擊，不論這些攻擊來自防火墻內部的還是外部，因為它們無法檢

7、測、阻斷、修 訂、刪除或重寫HTTP應用的請求或應答內容。為了保障對web應用的訪問，防火墻會開放Web應用的80端口，這意味著Internet上的任意IP都能直接訪問 Web應用，因此 web及 其應用服務器事實上是無安全檢測和防范的。狀態檢測防火墻是防火墻技術的重大進步，這種防火墻在網絡層的 ACLs基礎上增加了狀態檢測方式，它監視每一個連接狀態， 并且將當前數據包和狀態信息與前一時刻的數據包 和狀態信息進行比較， 從而得到該數據包的控制信息， 來達到保護網絡安全的目的。 它能根 據TCP會話異常及攻擊特征阻止網絡層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數據包中。 然而，狀

8、態防火墻無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數據包中，它仍然能通過防火墻到達應用服務器；同樣，如果某個攻擊進行了加密或編碼該防火墻也不能檢測。2.2. 入侵檢測系統（IDS）入侵檢測系統使用特征識別技術記錄并報警潛在的安全威脅。其工作模式是被動的， 它不能阻止攻擊，也不能對未知的攻擊進行報警。目前大多數攻擊特征數據庫都是網絡層的攻擊，此外，可以通過加密， TCP碎片攻擊以及其他方式繞過入侵檢測系統的防御。3. Web安全需求企業對Web應用的安全防護主要包括如下需求：部署簡便，管理集中，操作簡潔，性 能影響甚微。包括：對現有網絡拓撲結構盡量無影響 ；方便管理，無需進行復雜的配置

9、；對現有 WEB服務器的訪問速率不能造成太大的影響 ；-對正常業務訪問不能進行錯誤的攔截阻斷。3.1. Web應用防火墻Web應用防火墻的兩個關鍵功能是，深入理解HTTP/HTTPS&議，可監測往返流量，能對web流量進行安全控制。 Web數據中心是經常變化的，包括新的應用程序、新的軟件模塊，不斷更新的軟件補丁等。專業的安全工具和方法應能適應這種動態環境，應用配置的升級更新和對監測數據的分析使得應用防火墻總能適應新的安全需求4.安恒WAF的特點安恒WAF提供高效的 Web應用安全邊界檢查功能。安恒 WAF整合了所有的 Web安全防御功能，能全方位的保護用戶的Web數據中心。安恒 WAF

10、對所有 Web流量（包括客戶端請求流量和服務器返回的數據流量）進行深度檢測，在網絡層和應用層兩方面提供了廣泛的入侵防護功能。安恒WAF提供多種部署模式，典型的部署模式有：透明直連模式和單臂鏡像監控模式。透明直連模式提供完全透明的部署方式，即對原有網絡拓撲結構不造成任何影響，安恒WAF自身也不占用IP地址，從而不僅保護了 Web服務器，也提高了自身的安全等級（針對 安恒WAF的攻擊將顯得無能為力）。安恒 WAF的透明直連部署如下圖所示：安恒3廁曲隨方期上圖為透明直連部署方式，在該部署模式下，安恒WAF提供直連檢測防御和旁路檢測兩種模式。直連檢測防御模式：對Web流量進行安全檢測，并且可以采取防御

11、阻斷措施，防止非法入侵訪問和 Web服務器敏感信息等流量通過；旁路檢測模式：對Web流量進行鏡像檢測，并不采取阻斷，從而既實現了監控又達到了對網路性能零損耗的目的。我們推薦在部署初期采用旁路檢測模式，對既有網絡環境和Web服務不會產生任何負面影響，并可及時針對相關告警信息以及客戶實際業務需求，做適量調整后切換到直連檢測防御模式，達到 既安全又保險的目的。Web另外我們還提供單臂鏡像的監控模式：即通過網絡交換機鏡像口，將保護對象（ 服務器）相關的流量鏡像到安恒 WAF設備，實現鏡像的監控模式。安恒WAF具備獨立的安全策略規則庫，可以對應用層數據流量進行雙向檢測，并對非 法訪問記錄相關日志，用戶可

12、以實時查看WEB服務器的當前安全狀況。安恒WAF提供多個保護站點的功能，WAF設備面板具備多個IN和OUT 口，IN 口為訪問數據流入口， OUT為WAF與WEB服務器的接口。多個 IN和OUT 口支持對多臺主機的保 護，用戶同時也可以在 OUT 口接一臺交換機，后端保護多臺 WEB服務器。安恒 WAF提供 一個管理口，用戶可以通過管理口對WAF進行相關的配置和當前狀況的查看。安恒WAF提供對HTTPS的完全防護，訪問數據在WAF進行第一輪認證，并對后續訪問 流量進行安全檢查，充分防止 HTTPS類型的各種攻擊方式。5.安恒WAF的功能安恒WAF提供下列功能：-深度防護-Web站點隱藏-策略設

13、置向導-安全策略檢測和阻斷模式-硬件旁路模式-HTTPS/SSL勺完全支持-網頁防篡改日志和報表-高可操作性5.1.web防火墻安恒WAF通過對 Web流量進行深度檢測對 Web應用進行深度防護，提供了全面的入 侵防御能力。安恒WAF能在攻擊到達Web服務器之前進行阻斷，防止惡意的請求或內置非法程序的 請求訪問目標應用。安恒 WAF能解碼所有進入的請求，檢查這些請求是否合法或合乎規定；僅允許正確的格式或 RFC遵從的請求通過。已知的惡意請求將被阻斷，非法植入到Header、 Form和URL中的腳本將被阻止。 Web應用防火墻還能進行 Web地址翻譯、請求限制、 URL 格式定義及Cookie

14、安全。安恒 WAF能阻止一系列的攻擊，無論是已知的或未知的。能夠阻止那些最常見的攻擊 如跨站點腳本攻擊、緩沖區溢出攻擊、惡意瀏覽、SQL注入等。5.2. Web站點隱藏成功的Web攻擊往往由探測網絡漏洞開始，在網絡上很容易找到漏洞掃描工具對一個網站的應用程序、服務器、URL等進行掃描。安恒 WAF提供站點隱藏功能，黑客將無法查看web的源信息，安恒 WAF URL返回碼，HTTP頭信息以及終端服務器的 IP。安恒WAF能完全的中止所有的會話，因此用戶無法直接連接到Web服務器上，無法直接訪問服務器、操作系統或補丁程序。訪問出錯信息也將由安恒WAF提供，后端服務器的出錯信息不會直接返回給用戶。

15、這樣，避免了服務器敏感信息泄露， 也同時讓一些高明的黑 客就無法通過出錯信息發動攻擊。5.3. 安全策略安恒WAF提供默認的安全策略對 Web網站或應用進行嚴格的保護。除了默認的策略外， 用戶還可以創建客戶化的策略。每個策略下分為若干子策略：-HTTP協議合規性-SQL注入阻斷-跨站點腳本攻擊防護表單/cookie篡改防護-DoS攻擊防護請求包大小限制限制HTTP請求Head大小避免惡意代碼通過，超過規定大小的請求將被丟棄。正確配 置請求限制還能減輕 Dos攻擊、緩沖區攻擊。HTTP/HTTPS青求方法限制限制 HTTP/HTTPS各種方法的訪問，包括：GET, POST DELET巳 HEA

16、D, CONNECTTRACE PUT。HTTP/HTTPS青求方法限制支持黑白名單的配置，可以設定可信的訪問客戶端IP（白名單）而不受安全策略規則的檢測;設定非法的訪問客戶端（黑名單），直接禁止其任何對 WEB服務器的訪問。用戶自定義規則庫支持用戶自定義規則庫，用戶可以根據業務需求，針對某些關鍵字，數據段長度等相關 信息，自定義安全過濾規則。5.4.檢測和阻斷模式架設web應用防火墻可能意外的現象，應用某個不當的規則可能影響當前應用的正常使用，因此不少管理員都在猶豫要不要使用最高安全等級的過濾策略。保守監控功能可以幫助用戶解決這個擔憂，利用這個功能用戶可以在不影響使用的前提下進行策略配置。安

17、恒WAF支持檢測和阻斷模式功能，在檢測模式下，所有安全策略規則都只是對應用流量數據包進行檢測，并告警，而不做任何阻斷功能；在阻斷模式下，所有的安全策略規則同時可以提供用戶對單條規則的配置：阻斷 （默認）或者僅檢測。因此，管理員可以根據監控 情況，實時進行調整。5.6碩件旁路模式硬件旁路：當設備出現故障或者關機時，WAF設備可以切換到硬件旁路模式，對既有的網絡連接狀況不會造成中斷影響。HTTPS/SSL勺完全支持安全套接字層 （SSL能提供一個加密的（公鑰私鑰配對）可靠的連接。許多商業網站采用SSL傳輸以保障數據安全，不過SSL的加密通常費時費力。安恒WAF支持對HTTPS訪問的完全監控和阻斷能

18、力， 支持Openssl類加密的證書格式。支持用戶上傳WEB服務器的證書，在訪問WEB服務器之前進行第一輪認證，并對訪問應用 流量進行徹底檢查，防止各類攻擊訪問。5.7日志和報表安恒WAF記錄了重要事件的日志信息，日志信息非常全面涵蓋了一次訪問的主要信息 參數，支持多種搜索方式， 這些日志信息可以幫助用戶搜索并分析可以流量，進而優化安全策略。安恒WAF的報表功能十分強大，在日志的基礎上可以生成各種報表，還提供報表模板，大大方便了管理員的數據分析，增強了系統的易用性。5.8高可操作性安恒WAF采用圖形（GUI）管理和配置界面，直觀且支持多任務，跟用戶平時的使用習慣 一致，可用性高。5.9WEB加速功能安恒WAF為了提高被保護系統的訪問速度同時消除WAF過濾分析過程中帶來的延時，定制提供了應用加速功能，通過高速緩存和相關算法鏡像及管理相關的靜態內容，一旦有用戶訪問，客戶端直接通過 WAF緩存中獲取，避免了用戶重復通過 Web服務器并進行協議解 析等相關操作，從而加快了訪問速度，減輕了WEB服務器的負擔6.結論杭州安恒信息技術有限公司的核心團隊擁有多年互聯網應用安全防衛、網絡安全審計、 數據庫安全審計