|
WEB攻擊的數(shù)量逐年上升���,占了大部分攻擊事件比例���。WEB安全已經(jīng)推到了前沿浪尖���,無(wú)論是政府還是企業(yè)都迫切解決這個(gè)棘手的問題,Gartner統(tǒng)計(jì):目前75%攻擊轉(zhuǎn)移到應(yīng)用層���。原有的傳統(tǒng)防御設(shè)備已經(jīng)不能滿足企業(yè)對(duì)網(wǎng)絡(luò)攻擊的防御���。WEB應(yīng)用技術(shù)在積極發(fā)展的同時(shí)需要強(qiáng)有力的安全保障,所以WAF是應(yīng)形勢(shì)需求誕生的產(chǎn)品���,它走上應(yīng)用安全的舞臺(tái)���,是一個(gè)必然的趨勢(shì)。
Web漏洞歸類
眾所周知����,WEB服務(wù)系統(tǒng)實(shí)際不是一個(gè)單一的軟件,它由OS+Database+WEB服務(wù)軟件(比如:IIS���、Apache)+腳本程序(比如:Jscript�、PHP代碼文件)構(gòu)成����,所以要考慮它最基本的依賴�����,那就是OS和Database�����、WEB服務(wù)軟件自身的安全��,這個(gè)可以通過安全加固服務(wù)來(lái)實(shí)現(xiàn)�,而最核心的應(yīng)用程序代碼是不能用同樣的手段來(lái)解決�����,這也是WEB安全問題的主要來(lái)源�。
WEB 應(yīng)用安全漏洞與操作系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的漏洞是不同的����,這是因?yàn)榫帉懘a者是不同的,產(chǎn)生的代碼也是不同的��,所以國(guó)外有成立正門的WEB安全組織來(lái)歸類一些漏洞�,讓開發(fā)人員����、安全廠家�����、第三方專家等能用一種一致的語(yǔ)言來(lái)討論WEB安全問題����。比較有名的是OWASP的TOP10漏洞,還有Web Application Security Consortium (WASC)歸類的Thread Classification��,如下表:
從安全角度看����,WEB從設(shè)計(jì)到開發(fā)必須遵循:
1.安全設(shè)計(jì)
2.安全編碼
3.安全測(cè)試(代碼審計(jì)和掃描、滲透)
4.安全運(yùn)維
其中最根本的在于安全設(shè)計(jì)和安全編碼����,也就是上線前必須保證WEB產(chǎn)品的自身強(qiáng)壯性。目前大部分的WEB應(yīng)用程序是用戶自己或請(qǐng)人編寫���,其他的或網(wǎng)站里部分組件�,比如論壇、郵件系統(tǒng)���、留言板等會(huì)用到商業(yè)版����,代碼是不相同的���,而且程序員的水平參差不齊����,更重要的是他們都遵循了軟件的安全開發(fā)標(biāo)準(zhǔn)嗎��?
記住�����,這是我們?yōu)槭裁葱枰猈AF的第一個(gè)理由���!
攻擊從未停止
讓我們先看下圖,是攻擊網(wǎng)站的基本步驟和方法�。
如上所示,互聯(lián)網(wǎng)每天都充斥著數(shù)千萬(wàn)的攻擊流量�,而WAF可以自動(dòng)識(shí)別和屏蔽大部分主流的攻擊工具特征,使得它們?cè)诠舻那白嗑褪�����,綠盟科技WAF采用的是透明代理模式,使得客戶端和服務(wù)器的雙向流量都必須經(jīng)過WAF清洗����,而又無(wú)需另外配置,保持原有的網(wǎng)絡(luò)結(jié)構(gòu)�,每個(gè)報(bào)文需要接受WAF對(duì)其的“搜身檢查”,合格之后再進(jìn)行轉(zhuǎn)發(fā)���。
可能有人會(huì)說Firewall和IPS不是這樣的設(shè)備嗎����?它們?yōu)槭裁床荒芊烙��?詳?xì)的對(duì)比參數(shù)我就不列舉了�����,大家知道OSI 7層模型�,防火墻通常工作在OSI的第三層,也就是針對(duì)網(wǎng)絡(luò)層�,包括包過濾型和狀態(tài)包檢測(cè)型防火墻,即使是應(yīng)用層防火墻也無(wú)法阻擋大多數(shù)WEB攻擊行為,這是它自身技術(shù)定位決定的局限性���。攻擊者只需在瀏覽器上操縱URL就可攻擊目標(biāo)網(wǎng)站��。當(dāng)然���,作為互補(bǔ)型的IDS(入侵檢測(cè)系統(tǒng))、IPS(入侵防護(hù)系統(tǒng))產(chǎn)品是能防護(hù)應(yīng)用層的攻擊行為�����,但是市面上絕大多數(shù)的產(chǎn)品都只能防護(hù)一部分WEB攻擊����,甚至有些產(chǎn)品也是直接在IDS類產(chǎn)品上做修改而形成的WAF,基本只依靠規(guī)則來(lái)實(shí)現(xiàn)�����,嚴(yán)重滯后于繁雜多樣的WEB攻擊手段��。當(dāng)然�,我在這里要重申一下,WAF可以和傳統(tǒng)的FS+IPS作為一個(gè)有益的補(bǔ)充��,但絕不是去代替他們��。
所以��,WAF的自身代理架構(gòu)使得分析和阻擋攻擊具有天然的優(yōu)勢(shì)����,這是我們?yōu)槭裁葱枰猈AF的第二個(gè)理由!
WAF的防護(hù)原理
好�����,我們?cè)倩氐椒雷o(hù)盲點(diǎn)的產(chǎn)生這個(gè)焦點(diǎn)話題��,那就是無(wú)論如何安全設(shè)計(jì)和編碼�,或者經(jīng)過最嚴(yán)謹(jǐn)代碼審計(jì)、滲透測(cè)試之后都難免會(huì)有漏洞�����,因?yàn)槔碚撋?000行代碼就有1個(gè)Bug��,檢查只能讓這些減少而已�,無(wú)法真正做到?jīng)]有安全漏洞的產(chǎn)品,這也就是為什么軟件廠商會(huì)不斷地推出一個(gè)個(gè)補(bǔ)丁來(lái)彌補(bǔ)�����,而這些Bug只要能被攻擊者發(fā)現(xiàn)和利用那么就會(huì)帶來(lái)威脅。
也就是說代碼缺陷是先天存在的���,即使后來(lái)修復(fù)也會(huì)具有一定的滯后性�����,而且不能保證100%地發(fā)現(xiàn)所有存在的漏洞那個(gè)缺陷���。為了給大家更好地理解WAF防護(hù)的天然優(yōu)勢(shì)我們從兩個(gè)例子來(lái)進(jìn)行分析,從技術(shù)實(shí)現(xiàn)角度看WAF����,SQL注入采用了規(guī)則集靜態(tài)防護(hù),CSRF采用了算法的動(dòng)態(tài)防護(hù)�����。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
