概述

據(jù)Forrester統(tǒng)計(jì)，2013年有超過(guò)半數(shù)的企業(yè)的Web應(yīng)用被泄露，其中不少因此遭到嚴(yán)重的財(cái)務(wù)損失。近年來(lái)，企業(yè)安全事件屢見(jiàn)報(bào)端：2011年，多家公司和政府網(wǎng)站被黑客攻擊;2012年的DDoS攻擊令眾多美國(guó)銀行網(wǎng)站癱瘓;更不用提那些造成數(shù)百萬(wàn)用戶信用卡信息泄露的網(wǎng)絡(luò)安全事故了。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系已無(wú)法招架如今的黑客們了。

今天，網(wǎng)絡(luò)罪犯已不僅僅把目光鎖定在知名大公司上，每一個(gè)存在漏洞的網(wǎng)站都可能成為被攻擊的目標(biāo)。黑客們的攻擊方式一般可以分為以下三種：技術(shù)性Web攻擊、業(yè)務(wù)邏輯處理攻擊、以及網(wǎng)絡(luò)欺詐。

技術(shù)性Web攻擊

技術(shù)性Web攻擊恐怕是黑客們最熱衷的攻擊方式了。SQL注入以及跨站點(diǎn)腳本攻擊絕對(duì)是網(wǎng)絡(luò)罪犯的最愛(ài)， 在黑客論壇里，有關(guān)SQL注入的討論占據(jù)了全部話題的五分之一。相關(guān)安全研究也表明，全球超過(guò)97%的數(shù)據(jù)泄露與SQL注入有關(guān)。

業(yè)務(wù)邏輯處理攻擊

黑客們不會(huì)局限于傳統(tǒng)的Web攻擊方式，近年來(lái)，他們開(kāi)始利用企業(yè)的業(yè)務(wù)邏輯漏洞發(fā)起攻擊，例如在論壇中張貼垃圾評(píng)論廣告，破壞網(wǎng)站以竊取其中的高價(jià)值知識(shí)產(chǎn)權(quán)內(nèi)容，執(zhí)行重復(fù)的暴力破解攻擊，或是在搜索中運(yùn)用通配符令應(yīng)用程序中斷。這類攻擊往往令公司束手無(wú)策，因?yàn)閼?yīng)用程序掃描通常無(wú)法檢測(cè)到業(yè)務(wù)邏輯漏洞，而在安全開(kāi)發(fā)中也難以規(guī)避此類問(wèn)題。

網(wǎng)絡(luò)欺詐

黑客還會(huì)把目標(biāo)轉(zhuǎn)向沒(méi)有防備的網(wǎng)站訪客，用欺詐軟件如Zeus和SpyEye潛入上百萬(wàn)臺(tái)電腦。這些欺詐軟件會(huì)盜取用戶的信任憑證、通過(guò)追蹤鍵擊和操縱網(wǎng)絡(luò)內(nèi)容進(jìn)行劫持會(huì)話。盡管欺詐軟件針對(duì)的是最終用戶，但受害者實(shí)際是網(wǎng)站的擁有者，如銀行和電商網(wǎng)站，因?yàn)樾枰Ц陡甙旱馁r償和修復(fù)費(fèi)用。

網(wǎng)絡(luò)安全防護(hù)為何失效？

當(dāng)上個(gè)世紀(jì)90年代企業(yè)開(kāi)始業(yè)務(wù)聯(lián)網(wǎng)時(shí)，他們遇到的是現(xiàn)代黑客的先行者—通過(guò)開(kāi)放端口和平臺(tái)的漏洞進(jìn)行惡意攻擊的入侵者。針對(duì)此類攻擊，企業(yè)開(kāi)始部署防火墻和IPSs。然而，當(dāng)這些企業(yè)開(kāi)始部署web應(yīng)用時(shí)，黑客很快就學(xué)會(huì)規(guī)避這些防火墻，而通過(guò)編碼和惡意評(píng)論等繞過(guò)技術(shù)規(guī)避IPS特征檢測(cè)。

下一代防火墻(NGFW)在幾年后進(jìn)入視野，提供鑒別應(yīng)用流量(如HTTP或即時(shí)通信)等新功能。然而，這類功能并不能阻止網(wǎng)絡(luò)攻擊。NGFW不能攔截針對(duì)定制的web應(yīng)用漏洞的攻擊，也無(wú)法偵查針對(duì)cookie，會(huì)話、參數(shù)值篡改的攻擊。NGFW同樣不能阻攔被欺詐軟件入侵的終端設(shè)備，或者業(yè)務(wù)邏輯攻擊。僅僅依賴這類網(wǎng)絡(luò)安全解決方案的企業(yè)，實(shí)際無(wú)法保護(hù)網(wǎng)絡(luò)應(yīng)用安全。

Web應(yīng)用安全是企業(yè)業(yè)務(wù)安全的核心

WAF已成為企業(yè)為應(yīng)用提供安全防護(hù)的的核心平臺(tái)，能夠全面抵御包括技術(shù)性Web攻擊、業(yè)務(wù)邏輯攻擊以及網(wǎng)絡(luò)欺詐在內(nèi)的網(wǎng)絡(luò)威脅。WAF通過(guò)對(duì)Web應(yīng)用的深入理解和輸入驗(yàn)證， 能有效阻攔SQL注入、跨站點(diǎn)攻擊和目錄遍歷攻擊，阻止惡意掃描并修補(bǔ)漏洞。WAF還能夠自動(dòng)進(jìn)行更新，預(yù)防新的攻擊對(duì)企業(yè)核心應(yīng)用造成的安全威脅。

作為企業(yè)戰(zhàn)略層面的防護(hù)，企業(yè)在選擇WAF產(chǎn)品時(shí)必須對(duì)其安全性能、管理方式以及調(diào)度方式進(jìn)行全面仔細(xì)的評(píng)估。下文中列舉的內(nèi)容即WAF應(yīng)當(dāng)具備的十大特性：

WAF應(yīng)當(dāng)具備的十大特性：

1：充分了解Web應(yīng)用

挑戰(zhàn)：

當(dāng)今企業(yè)面臨的是日益先進(jìn)且多樣的Web攻擊。豐富的Java腳本和SQL給了黑客們無(wú)數(shù)可乘之機(jī)。特定代碼可以幫助檢測(cè)Web攻擊，但它要么由于檢測(cè)的范圍過(guò)于寬泛而導(dǎo)致誤報(bào)威脅，要么由于對(duì)句法限定過(guò)于精確而造成威脅漏報(bào)。黑客們完全可以通過(guò)一些逃避手段或創(chuàng)新方法繞過(guò)傳統(tǒng)的安全防護(hù)，威脅Web應(yīng)用的安全。

對(duì)WAF的要求：

為了對(duì)Web應(yīng)用進(jìn)行精確的防護(hù)，WAF必須對(duì)受保護(hù)的應(yīng)用進(jìn)行充分了解，包括URLs，各項(xiàng)參數(shù)以及Cookies。了解受保護(hù)的應(yīng)用和輸入驗(yàn)證可以有效防止SQL注入、參數(shù)篡改以及Cookie中毒。為實(shí)現(xiàn)輸入驗(yàn)證，WAF需要檢查特定字符的參數(shù)值，如省略號(hào)、括號(hào)等，預(yù)測(cè)其是否具有攻擊意圖。由于企業(yè)更新應(yīng)用愈發(fā)頻繁，WAF必須能夠自動(dòng)地捕捉到應(yīng)用的更新，從而在保證WAF最高防護(hù)水平的情況下，實(shí)現(xiàn)對(duì)WAF的有效管理。

2：領(lǐng)先黑客一步

挑戰(zhàn)：

黑客總是在創(chuàng)新。無(wú)論是發(fā)明新的攻擊工具，通過(guò)更隱秘的方式擴(kuò)大黑客組織，還是不斷優(yōu)化現(xiàn)有攻擊技術(shù)，總之，應(yīng)用威脅在不斷升級(jí)。在黑客們的秘密論壇中，不斷有新的攻擊向量和漏洞被曝光。騙子們也不閑著，欺詐軟件開(kāi)發(fā)者開(kāi)發(fā)出可以自我突變的文件來(lái)逃避病毒特征代碼的檢測(cè)。如今的網(wǎng)絡(luò)罪犯可以規(guī)避物理認(rèn)證、智能卡和外帶認(rèn)證來(lái)進(jìn)行欺詐。目前應(yīng)用安全解決方案面臨的最大障礙恐怕就是如何跟上這些層出不窮、花樣百出的威脅的腳步。

對(duì)WAF的要求：

WAF必須具備最新的防護(hù)以應(yīng)對(duì)層出不窮的網(wǎng)絡(luò)威脅，充分利用來(lái)自全世界的活躍攻擊信息和欺詐數(shù)據(jù)來(lái)識(shí)別攻擊和攻擊者。WAF應(yīng)能夠?qū)Π踩a、政策、信譽(yù)數(shù)據(jù)和欺詐情報(bào)自動(dòng)進(jìn)行更新。除此之外，關(guān)注其安全調(diào)研部門的報(bào)告也是非常重要的。此安全調(diào)研是否關(guān)注Web應(yīng)用安全？是否具備抵御最新應(yīng)用攻擊的能力？如果答案是否定的，則應(yīng)該研究替代方案。

3：逃逸攔截技術(shù) Thwart Evasion Techniques

挑戰(zhàn)：

企業(yè)需要在不阻礙合法流量的前提下抵御Web攻擊。這個(gè)要求聽(tīng)起來(lái)相當(dāng)合理，但對(duì)于多數(shù)安全解決方案來(lái)說(shuō)卻并非如此。如前所述，WAF需要輸入驗(yàn)證，但它不應(yīng)該阻止無(wú)意的錯(cuò)誤輸入。如果黑客于在線表格郵編一欄內(nèi)輸入常見(jiàn)的Web攻擊字符，如方括號(hào)或省略號(hào)，那么WAF應(yīng)該檢測(cè)到這一反常行為。但如果這個(gè)行為是發(fā)生在合法用戶的無(wú)意輸入時(shí)呢？如何區(qū)分這是網(wǎng)絡(luò)罪犯在發(fā)起攻擊還是普通網(wǎng)絡(luò)用戶正在填表？又如何創(chuàng)建攻擊代碼對(duì)SQL關(guān)鍵詞進(jìn)行監(jiān)測(cè)，并確保在合法請(qǐng)求中不出現(xiàn)這些關(guān)鍵詞？答案是：通過(guò)先進(jìn)的分析方法和智能關(guān)聯(lián)。

對(duì)WAF的要求：

WAF必須擁有一個(gè)分析引擎，對(duì)多樣的攻擊行為進(jìn)行檢測(cè)，以避免漏報(bào)。這個(gè)分析引擎不僅要能識(shí)別攻擊字符串，同時(shí)要能夠?qū)絷P(guān)鍵詞、特定字符、違反協(xié)議等因素進(jìn)行評(píng)估分析。它不僅要能識(shí)別違規(guī)行為，還應(yīng)運(yùn)用風(fēng)險(xiǎn)評(píng)分和正規(guī)表達(dá)式對(duì)惡意請(qǐng)求和非常規(guī)但無(wú)害的流量進(jìn)行區(qū)分。WAF還要能夠關(guān)聯(lián)超時(shí)請(qǐng)求，以檢測(cè)重復(fù)的攻擊行為，例如暴力登錄和DDoS攻擊。只有具備了靈活而智能的關(guān)聯(lián)引擎的WAF才能抵御那些老練的黑客攻擊，同時(shí)不阻礙合法用戶的正常使用。

4：防止自動(dòng)攻擊和僵尸網(wǎng)絡(luò)

挑戰(zhàn)：

當(dāng)今的網(wǎng)絡(luò)犯罪已經(jīng)產(chǎn)業(yè)化，黑客們利用自動(dòng)化操作發(fā)起更具效率和規(guī)模的攻擊，并將之轉(zhuǎn)化為價(jià)值數(shù)萬(wàn)億美元的生意。通過(guò)網(wǎng)絡(luò)漏洞掃描和僵尸網(wǎng)絡(luò)，網(wǎng)絡(luò)罪犯?jìng)兛梢园l(fā)現(xiàn)易受攻擊的網(wǎng)站，再利用諸如Havij這樣的SQL自動(dòng)注入工具，便可獲取到敏感數(shù)據(jù)資源。除了這類由職業(yè)黑客發(fā)起的攻擊以外，企業(yè)還被另一類自動(dòng)攻擊所威脅，比如競(jìng)爭(zhēng)對(duì)手自動(dòng)抓取網(wǎng)頁(yè)內(nèi)容，以及網(wǎng)站垃圾評(píng)論注入。

對(duì)WAF的要求：

WAF必須有能力阻攔自動(dòng)攻擊行為，包括網(wǎng)站抓取、垃圾評(píng)論、DDoS和漏洞掃描等。鑒于如今自動(dòng)攻擊頻發(fā)，攔截惡意用戶與攔截惡意請(qǐng)求同樣重要。正確地識(shí)別惡意用戶需要多重防御。第一，WAF要能夠識(shí)別僵尸網(wǎng)絡(luò)，它們是絕大多數(shù)自動(dòng)攻擊的元兇。可以通過(guò)測(cè)試網(wǎng)絡(luò)用戶的瀏覽器來(lái)確定它們是否正常，還是已經(jīng)成為僵尸網(wǎng)絡(luò)或是被腳本注入。第二，WAF要能夠檢測(cè)用戶在短時(shí)間內(nèi)出現(xiàn)大量的頁(yè)面請(qǐng)求，這是僵尸網(wǎng)絡(luò)的一個(gè)重要信號(hào)。其它信號(hào)還包括重復(fù)下載大容量文件，或者要求長(zhǎng)時(shí)間的響應(yīng)。通過(guò)僵尸檢測(cè)，WAF可以廣泛而有效地?cái)r截自動(dòng)攻擊行為，保護(hù)網(wǎng)站不受到惡意破壞。

5：攻擊者的來(lái)源

挑戰(zhàn)：

惡意的網(wǎng)頁(yè)訪問(wèn)者會(huì)千方百計(jì)地尋找漏洞、竊取數(shù)據(jù)、實(shí)施欺詐，甚至攻陷網(wǎng)站，但他們可不全是人類，很多時(shí)候是僵尸機(jī)器人在自動(dòng)地對(duì)一個(gè)接一個(gè)的網(wǎng)站發(fā)起持續(xù)攻擊;人類黑客就聰明和復(fù)雜得多了，他們會(huì)用匿名Proxy或木馬掩藏身份;而網(wǎng)絡(luò)欺詐者有著獨(dú)特的攻擊方式，比如說(shuō)通過(guò)釣魚(yú)盜取用戶數(shù)字證書(shū)。

對(duì)于當(dāng)今的企業(yè)，最大的問(wèn)題是只有攻擊造成一定范圍的影響之后，才能判斷是否是惡意用戶或非法網(wǎng)站。

對(duì)WAF的要求：

為了保護(hù)web應(yīng)用，WAF必須能夠識(shí)別已知的惡意攻擊來(lái)源和網(wǎng)站。WAF需要鑒別出那些對(duì)其他網(wǎng)站已有攻擊歷史的惡意來(lái)源，在損害造成之前攔截;而由于黑客通常匿名，WAF需能識(shí)別來(lái)自Proxy和木馬的訪問(wèn);針對(duì)釣魚(yú)行為，則需識(shí)別來(lái)自于釣魚(yú)網(wǎng)站的用戶;而地理位置也很重要，WAF需能限制來(lái)自特定地區(qū)的訪問(wèn)，以減少不需要的流量及攔截來(lái)自某個(gè)高攻擊率地區(qū)的DDoS攻擊。另外，由于WAF是防護(hù)網(wǎng)絡(luò)攻擊的最有效的解決方案，也理應(yīng)能夠收集和分享關(guān)于攻擊行為和來(lái)源的信息。基于云的社區(qū)防護(hù)產(chǎn)品則應(yīng)能發(fā)布精準(zhǔn)、實(shí)時(shí)的攻擊數(shù)據(jù)。這才是未來(lái)的應(yīng)用安全。

6：虛擬補(bǔ)丁漏洞

挑戰(zhàn)：

目前的現(xiàn)實(shí)情況是，大部分的Web應(yīng)用都有漏洞。而修復(fù)一個(gè)被發(fā)現(xiàn)的漏洞平均需要至少38天，意味著這是些應(yīng)用會(huì)長(zhǎng)時(shí)間曝光在攻擊之下。除了修復(fù)漏洞所需的時(shí)間和花費(fèi)，企業(yè)還需考慮那些多年閑置的遺留應(yīng)用以及應(yīng)用包里的漏洞帶來(lái)的麻煩。

對(duì)WAF的要求：

WAF必須能夠預(yù)防那些利用漏洞乘虛而入的行為，諸如輸入校驗(yàn)(Input Validation)、HTTP協(xié)議校驗(yàn)、攻擊特征這樣的防護(hù)功能必須能夠阻攔大部分漏洞攻擊。除此之外，企業(yè)還需實(shí)施精細(xì)管控，以確保對(duì)已知Web應(yīng)用漏洞的嚴(yán)格識(shí)別。企業(yè)可通過(guò)整合WAF和應(yīng)用掃描，配合自定義的安全策略，對(duì)掃描到的漏洞進(jìn)行補(bǔ)丁。

7：阻止惡意軟件

挑戰(zhàn)：

欺詐軟件是金融機(jī)構(gòu)的頭號(hào)敵人。網(wǎng)絡(luò)罪犯開(kāi)始把他們?cè)诰W(wǎng)上銀行的成功攻擊經(jīng)驗(yàn)復(fù)制到電商和網(wǎng)絡(luò)支付上：他們先通過(guò)Zeus病毒，或者SpyEye木馬入侵終端，然后當(dāng)被感染的用戶登陸目標(biāo)Web應(yīng)用比如說(shuō)網(wǎng)上銀行時(shí)，這些惡意軟件就會(huì)進(jìn)行未授權(quán)交易，或者竊取個(gè)人登陸信息。一旦欺詐軟件入侵個(gè)人用戶，由于涉及龐大的修復(fù)和賠償費(fèi)用，最大的受害者實(shí)際是銀行和電商本身。

對(duì)WAF的要求：

WAF必須能緩解欺詐軟件的持續(xù)攻擊。置于網(wǎng)絡(luò)用戶和應(yīng)用之間，WAF能夠清晰看到應(yīng)用層的交易，并分析終端用戶的行為特點(diǎn)、網(wǎng)絡(luò)流量的模式，以及時(shí)發(fā)現(xiàn)及攔截被感染的終端。其他功能還需包括：在特定時(shí)間段監(jiān)測(cè)用戶，發(fā)出警報(bào)，聯(lián)合欺詐管理解決方案進(jìn)行偵查等，同時(shí)無(wú)需修改應(yīng)用。

8：減少支付和賬戶欺詐

挑戰(zhàn)：

近期全球發(fā)生多個(gè)電商巨頭的網(wǎng)絡(luò)攻擊事件，損失巨大。如何防護(hù)Web應(yīng)用被惡意欺詐，如何在昂貴而漫長(zhǎng)的應(yīng)用開(kāi)發(fā)和更新完成之前，盡快實(shí)施抵御措施？

對(duì)WAF的要求：

WAF 需要聯(lián)合基于云的防欺詐解決方案，辨識(shí)并分析可疑現(xiàn)象：瀏覽器不規(guī)則使用(browser irregularities)，被入侵的設(shè)備、可疑的支付信息等。WAF需能在不改動(dòng)web應(yīng)用的情況下，把歷史欺詐數(shù)據(jù)和網(wǎng)絡(luò)攻擊、用戶行為關(guān)聯(lián)起來(lái)，識(shí)別并阻止入侵。

9：支持本地和云端部署

挑戰(zhàn)：

應(yīng)用的基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)攻擊一樣，呈多樣化和快速進(jìn)化態(tài)勢(shì)，這導(dǎo)致安全需求和配置也日趨多樣化：有的企業(yè)在本地部署應(yīng)用，有的在云端;有的需要透明的安全解決方案，對(duì)web應(yīng)用零影響，有的則需重寫URLs和編碼，從而改變web應(yīng)用內(nèi)容;有的企業(yè)需要高性能的硬件部署，有的只需靈活的虛擬部署;大企業(yè)要求全套部署，則需多樣化的部署選擇，以支持不同部門、不同地理位置托管的遠(yuǎn)程應(yīng)用。

對(duì)WAF的要求：

WAF需要提供靈活的配置選擇，以滿足不同企業(yè)的不同需求。在許多企業(yè)逐漸向云遷移的過(guò)程中，WAF需能支持針對(duì)私有云的虛擬配置方案，提供基于云的安全服務(wù)，保護(hù)被托管的web應(yīng)用。

在本地部署應(yīng)用的企業(yè)需求也很復(fù)雜：有的需要高性能、不改變現(xiàn)有web應(yīng)用或網(wǎng)絡(luò)設(shè)備的解決方案;有的需要WAF能修改內(nèi)容、標(biāo)記cookies、重寫HTML;有的需要非聯(lián)機(jī)的部署。企業(yè)在選擇WAF時(shí)應(yīng)考慮一個(gè)既滿足現(xiàn)有、又能滿足未來(lái)需求的解決方案。

10：自動(dòng)化和規(guī)模化運(yùn)營(yíng)

挑戰(zhàn)：

WAF可以很復(fù)雜，但阻止入侵不能復(fù)雜。安全管理員應(yīng)無(wú)需學(xué)習(xí)腳本語(yǔ)言就能創(chuàng)建定制化的安全政策;另一挑戰(zhàn)來(lái)自于企業(yè)往往運(yùn)行上十?dāng)?shù)百個(gè)位于不同數(shù)據(jù)中心，甚至不同國(guó)家的網(wǎng)絡(luò)服務(wù)器，這意味著企業(yè)需能實(shí)施集中化應(yīng)用安全策略管理，并監(jiān)測(cè)全球范圍的事件;最后，企業(yè)需能細(xì)致地偵查安全事故，這有賴于WAF提供細(xì)致的安全報(bào)警和定制化的監(jiān)測(cè)和鑒別。

對(duì)WAF的要求：

WAF需簡(jiǎn)單易用，同時(shí)提供靈活的政策配置，不單是初始配置，還能讓安全管理員方便地審核其他同事創(chuàng)建的安全政策;除了定制化政策之外，WAF需能支持集中化管理，使企業(yè)能在全球不同數(shù)據(jù)中心的不同WAF間實(shí)現(xiàn)政策和應(yīng)用管理的同步;最后，WAF需能提供細(xì)致、響應(yīng)迅速的安全事件信息。詳盡的監(jiān)測(cè)和報(bào)告、集中化管理、靈活的政策配置，使得企業(yè)能管理、監(jiān)測(cè)和保護(hù)web應(yīng)用。

結(jié)論

今天，web應(yīng)用已成為驅(qū)動(dòng)業(yè)務(wù)的核心力量。企業(yè)要保障業(yè)務(wù)安全，則要保護(hù)應(yīng)用和數(shù)據(jù)安全，而一般的防火墻和IPS并不是為此而設(shè)，只有Web應(yīng)用防火墻，才能真正做到這一點(diǎn)。以上列舉的十點(diǎn)應(yīng)是每一個(gè)WAF都具備的基本特性，企業(yè)可據(jù)此標(biāo)準(zhǔn)來(lái)判斷WAF的部署。