Web應用防火牆技術一瞥

從2008年開始，大量企業、政府的網站遭遇Web***，甚至有***通過***企業網站勒索錢財。衆多的事例使企業逐漸認識到，由於很多***已經轉向應用層，傳統的防火牆、IPS、網頁防篡改設備都無法徹底阻止此類***，必須要安裝Web應用防火牆（以下簡稱WAF）來保護Web應用。

　　保護應用的“牆”

　　只要有網絡的地方就會有防火牆，但傳統的防火牆只是針對一些底層（網絡層、傳輸層）的信息進行阻斷，而WAF則深入到應用層，對所有應用信息進行過濾，這是二者的本質區別。

　　WAF的運行基礎是應用層訪問控制列表。整個應用層的訪問控制列表所面對的對象是網站的地址、網站的參數、在整個網站互動過程中所提交的一些內容，包括HTTP協議報文內容，由於WAF對HTTP協議完全認知，通過內容分析就可知道報文是惡意***還是非惡意***。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。

　　梭子魚中國區技術總監谷新說：“區別於IDS/IPS，WAF的技術特點在於，能夠完全代理服務器的應用層協議（HTTP/HTTPS），包括對應用層請求的審查，以及對請求響應的代理，既能提供被動安全模式，也能提供主動安全模式進行防禦。”

　　綠盟科技產品市場經理趙旭向記者介紹，WAF定位爲網站安全防護設備，全面防範網站面臨的具有較高風險的安全問題。從降低網站安全風險角度來看，WAF產品應以一個可閉環又可循環的方式去影響導致網站安全問題的各種因素（包括***者因素、漏洞因素、技術影響性因素），從而降低潛在的風險。

　　從***發生的時間軸來看，WAF應具備事前預防、事中防護及事後補償的綜合能力。對最爲核心的事中防護能力而言，WAF作爲一種專業的Web安全防護工具，基於對HTTP/HTTPS流量的雙向解碼和分析，可應對HTTP/HTTPS應用中的各類安全威脅，如SQL注入、XSS、跨站請求僞造***（CSRF）、Cookie篡改以及應用層DDoS等，能有效解決網頁篡改、網頁掛馬、敏感信息泄露等安全問題，充分保障Web應用的高可用性和可靠性。

　　對於事中疏漏的***，可用事前的預發現和事後的彌補，形成環環相扣的動態安全防護。事前是用掃描方式主動檢查網站，而事後的防篡改可以保證即使出現疏漏也讓***的步伐止於此，不能進一步修改和損壞網站文件，對於要求高信譽和完整性的用戶來說，這是尤爲重要的環節。

　　WAF的核心技術在於對HTTP本質的理解以及Web***防護的能力。前者要求WAF能完整地解析HTTP，包括報文頭部、參數及載荷；支持各種HTTP 編碼（如chunked encoding）；提供嚴格的HTTP協議驗證；提供HTML限制；支持各類字符集編碼；具備HTTP Response過濾能力。從降低安全風險的角度而言，後者要求WAF能有效影響***者因素中的機會、羣體因子以及漏洞因素中的發現難易度、利用難易度、***檢測與覺察度因子。

　　下面我們來看看WAF是如何防禦Web***的。CSRF是一類被廣泛利用的Web應用安全漏洞，該***通過僞造來自受信任用戶的服務請求，誘使用戶按照***者的意圖訪問網站信息，或者執行一些惡意的操作，比如登出網站，購買物品，改變賬戶信息，獲取賬號，或其他任何網站授權給該用戶的操作等。

　　谷新表示，WAF利用數字加密、簽名，或時間戳Cookie，來保護信息不被篡改，同時將會話Cookie與源客戶端請求進行綁定，來阻止他人利用受信用戶進行CSRF***。

　　趙旭介紹說，相對於使用特徵集的靜態防護，WAF所採用的動態防護機制更具智能性和靈活性。基本思路是通過WAF隨機產生的隱含表單來打斷一個不變的會話，也就是說即使***者獲取到了用戶身份，但是隨機變化的驗證碼讓***者無法構造一個不變的報文。

　　除了上述用戶輸入類型的***，還有一類影響Web應用可用性的***也比較典型，即應用層DDoS***，在國內更習慣稱爲CC***。不同於網絡層帶寬耗盡型的DDoS***，此類***構思更爲精巧，意在以相對較小的代價耗盡Web服務器側的系統資源，如磁盤存儲、數據庫連接、線程等。2009年6月18日，國際安全組織SANS報導了一種新型Apache HTTP DoS工具。運用此工具，一個帶寬很小的用戶都可能對一臺高速服務器發起***。該工具對Apache 1.x和 Apache 2.x 版本以及Squid都有效。***原理爲：如果向服務器發送不完整的HTTP請求報文，會讓HTTP連接一直處於開放狀態。工具可在Web服務器超時時間內頻繁發起這樣的連接，導致連接耗盡。其構思精巧之處還在於，GET請求是不帶數據的，而***者惡意構造了Content-Length字段、表示後續有數據，哄騙Web服務器持續等待後續數據的到達，從而佔用連接。

　　基於規則的DoS防護或者調整Apache配置（如增加MaxClients值，只是增加***的難度）均很難應對這種***工具。而應用了多種防護技術（重定向、HTTP頭部解析會話超時機制以及請求方法識別等）的WAF產品，可天然應對基於這類工具的***。

　　學習讓WAF進步

　　面對日趨精細化和複雜化的Web***手法，廠商對Web***的持續研究實力將充分體現在WAF的防護能力上，同時對WAF提出了需要與業務結合更爲緊密的要求。WAF需要了解數據流向、應用的業務邏輯、用戶訪問習慣等，在此基礎上進行安全建模，採用一種白名單的方式，即只有符合此安全建模的輸入，WAF才予以放行。另一方面，WAF與其他安全產品的有效結合也是一種很好的思路，如WAF與Web掃描工具結合，Web掃描工具的掃描結果可以形成WAF的防護規則；WAF與蜜罐結合，由蜜罐捕獲到的新型惡意行爲特徵，同樣可以轉化爲WAF的防護規則，從而在這類***廣爲流行之前，WAF能預先提供有效的應對措施。

　　雲安全是現有安全架構的自然發展和有利補充。作爲可能的發展方向，將WAF集成於雲安全體系中，會讓WAF提前對Web安全威脅進行響應，同時，開放和實時的雲安全服務也將顯着改善最終用戶體驗。

　　應對Web安全威脅與滿足合規要求（如PCI DSS合規要求）是目前客戶採購WAF的主要驅動力。與前幾年相比，2009年WAF技術有兩方面的變化。一方面，核心技術的加強、功能的橫向擴展以及產品性能的提升，如正向安全模型（白名單）及反向安全模型（黑名單）相結合、雙向內容檢測、集成Web掃描功能、單一平臺整合Web應用安全與交付功能，採用具備應用層高吞吐能力的平臺。另一方面體現爲降低管理開銷，提供集中管理、面向特定應用的策略模板、自學習模型、簡單易用且功能強大的報表系統（體現網站合規狀態及安全狀態）等。

　　WAF在保護雲計算的安全方面也可盡一份力。趙旭認爲，雲計算服務架構自上而下包括SaaS（軟件作爲服務）、PaaS（平臺作爲服務）及IaaS（基礎設施作爲服務）。WAF可以應用於解決雲計算服務架構的自身安全問題，如在SaaS層面提供應用及數據安全，保護數據中心，確保雲計算服務的質量。另一方面，WAF本身也可以融於雲安全平臺，以靈活的產品形態（不拘泥於現今市場比較主流的硬件盒子）提供Web應用安全服務。

　　“爲了給雲計算提供安全保護，必須將WAF對應用服務器的防護擴展到雲系統中的大型數據中心，允許在託管的應用間靈活地分配資源（包括網絡帶寬、服務請求等），並且能夠根據每個託管應用程序提供完整的虛擬化服務（包括安全、日誌、審計、應用交付等）。”谷新說。

　　Internet計算環境出現了這樣的矛盾：業務資源集中化，資源端計算能力強；在網絡邊界訪問業務資源的客戶端通常帶寬、計算能力都較弱，同時客戶端也經常成爲安全威脅的宿主。這種矛盾導致了客戶端的體驗差，業務資源無法充分發揮效能。未來，Web安全和Web應用交付融合的趨勢日趨明顯，對於機構的IT決策者來說，面臨的最大挑戰在於如何緩解針對Web業務的各類安全威脅，高效保障Web應用的可用性和可靠性、優化業務資源和提高應用系統敏捷性。

　　從技術發展來說，WAF需要確保Web業務在安全和性能兩方面的收益最大化。一方面，WAF需提供增強的安全功能，應對日趨複雜且針對性強的高風險Web***，另一方面，WAF還需要確保Web應用的可用性、可伸縮性、高性能，降低服務響應時間、顯着改善終端用戶體驗，優化業務資源和提高應用系統敏捷性，提高數據中心的效率和服務器的投資回報率。

　　此外，從產品向服務的演變也是一種趨勢。下一步，WAF廠商可與MSSP（託管安全服務提供商）合作，面向用戶按需提供基於網絡的WAF服務或者虛擬化的WAF服務。

　　編看編想

　　WAF不能Plug and Play

　　由於WAF和應用的結合很緊密，因此WAF的安裝並不是插上網線，接上電源這麼簡單。用戶購買WAF後，除了上線之前要做一些簡單的配置之外，還要進行更復雜的設置，例如配置與應用密切相關的高級屬性策略（內容安全、CSRF防護、網頁盜鏈等）。管理員還要根據實際應用靈活地調整具體特徵規則，以實現模型或基於協議的規則不能或不方便實現的安全策略。

　　架設WAF可能會對網站訪問產生意外的影響，應用某個不當的規則也可能影響當前應用的正常訪問，因此不少管理員都在猶豫要不要使用最高安全等級的過濾策略。

　　WAF的審計模式可以幫助用戶解決這個擔憂。用戶在購買WAF後，首先選擇採用審計模式進行部署。在審計模式下，用戶可以對網站的訪問流量進行觀測，WAF會將所有偵測到的異常和***、***等行爲記錄到日誌中，但對這些流量本身不作任何限制和阻斷，所有的業務流量將透明通過WAF。通過審計模式，用戶可以充分了解網站的狀態和行爲，對針對該網站的異常行爲進行分析，然後對WAF的防護策略進行合理配置。最後再將WAF中配置的服務逐一激活。

　　在激活模式下，WAF將根據防護策略對業務流量進行分析，對於違背策略的異常行爲（***、***等）進行阻斷。阻斷的同時會產生日誌，用戶可以根據對日誌的分析不斷調整和完善防護策略，以減少WAF的誤判、漏判或其他副作用。