Web应用防火墙技术要点分析

王微微

摘 要：做好网络防火墙工作，才能保证应用程序正常运作。结合目前日益严重的网络安全问题和现有的网络安全产品，说明了安装Web防火墙的重要性。发现防火墙技术仍不够成熟，提出了Web应用防火墙技术可以保护Web应用程序免受普通攻击，并对Web应用防火墙的主要技术进行了描述。

关键词：Web；防火墙；技术；WAF

中图分类号：TP311.563+.1 文献标识码：A 文章编号：2095-6835（2014）07-0144-02

随着信息化时代的来临，我国的信息化进程进一步加快，人们的工作和生活通过网络也得到了很好的改变。但是，随之而来的网络安全问题也日益严重，一些公司和机构由于网络安全保护工作落实不到位，遭受了巨大的经济损失。因此，如何解决此类问题值得我们去思考，本文就此进行讨论、分析。

1 Web安全背景

随着互联网的普及，网络世界变得丰富多彩，并越来越融入到我们的工作和生活中。政府部门为了提高办事效率，企业为了提高生产力、减少投资、增加收益，都纷纷将许多关键业务放到基于Web应用的平台上，例如电子政务、网上银行、网上报名、电子商务和企业ERP系统，等等。

1.1 安装Web防火墙的必要性

据美国高德纳公司统计显示，近些年所发生恶意网络行为（包括黑客攻击）的3/4以上是利用Web服务漏洞进行攻击，有2/3的网站相当脆弱，易受到攻击。但是，现有的诸多安全产品未能对恶意网络行为做出有效的防护。

Web业务的迅速发展也引起了黑客的关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。黑客利用网站操作系统漏洞和Web程序的SQL注入漏洞，得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据或在网页中植入恶意代码，使得网站访问者受到侵害。这些攻击导致网站遭受声誉损失、经济损失，有的甚至会造成恶劣的政治影响。

1.2 现有网络安全产品的局限性

1.2.1 防火墙的局限性

防火墙是网络安全保障体系的第一道防线，但由于它在网络层工作，无法提供对应用层的防护。

1.2.2 IDS/IPS的局限性

IDS（侵入检测系统）/IPS（入侵防御系统）工作定位在分析传输层和网络层的数据，对复杂的各种应用层协议报文，特别是对经过加密、编码和分片的数据包，其分析检测存在局限。其主要基于已发现的知名漏洞，通过被动添加方式来进行防护；而对于未知攻击和存在于用户私有Web应用程序代码内的漏洞隐患，则无能为力。

2 WAF的技术分析

2.1 常见的Web攻击手法

目前，已知的应用层和网络层攻击方法很多，这些攻击被分为若干类，表1中列出最常见的几种攻击手法。

2.2 WAF的工作原理

WAF（Web应用防护系统）旨在保护Web应用程序免受常见攻击的威胁，通过分析应用层的流量，发现任何违法安全策略的安全问题。

WAF在网络中一般位于Web应用服务器前，用于保护防火墙之后的应用服务器。它提供的功能可能包括服务器之间的流量负载均衡、压缩、加密、HTTP和HTTPS流量的反向代理、检查应用程序的一致性和汇聚TCP会话等。

2.2.1 代理模块

WAF的代理模块可以工作于三种模式，即透明代理模式、反向代理模式和路由代理模式。

透明代理模式的工作原理是：当Web客户端对服务器有链接请求时，TCP链接请求被WAF截取和监控。

反向代理模式是指将真实服务器的地址映射到反向代理服务器上，此时代理服务器对外表现为一个真实服务器，由于客户端访问的就是WAF，因此WAF无需像其他模式一样需要采用特殊处理去劫持客户端与服务器的会话，然后为其做透明代理。

路由代理模式与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其他工作原理都一样。由于工作在路由（网关）模式，因此需要为WAF的转发接口配置IP地址和路由。

2.2.2 Web安全防护引擎

Web安全防护引擎与传统防火墙或入侵防御系统相比，具有以下显著特点。

2.2.2.1 对HTTP有本质的理解

对HTTP有本质的理解主要体现在以下几点：①能完整地解析HTTP，包括报文头部和参数及载荷；②支持各种HTTP编码（比如压缩）；③提供严格的HTTP协议验证，提供HTML限制；④支持各类字符集编码；⑤具备Response过滤能力。

2.2.2.2 提供应用层规则

Web应用通常是定制化的，传统的针对已知漏洞的规则往往是无效的。WAF提供专用的应用层规则，且具备检测变形攻击的能力，例如检测SSL加密流量中混杂的攻击。

2.3 WAF的扩展功能

2.3.1 Web扫描

WAF上集成Web漏洞扫描工具，用于查找一些明显的Web安全漏洞，比如可以检测Web应用程序是否存在SQL注入、跨站脚本漏洞或网站挂马等常见网站漏洞。

2.3.2 Web防篡改

WAF中集成了防篡改系统，一般是在被监控的Web上安装监控代理，由WAF进行集中控制和监管，其工作原理与网页防篡改系统的工作原理一致。通过防篡改功能，可保证网页的真实性，杜绝篡改后的网页被访问，以维护网站的公信度。

2.3.3 WAF高可用性

高可用性对任何网络安全设备来说都相当重要，特别是对WAF这种防护关键业务的安全设备。通过相关技术降低因WAF故障导致出现Web业务中断的可能性，一般采用双机热备（多机集群）、软硬件BYPASS来提高可用性，有的还会采用双系统冗余技术来保证系统的可用性。

2.3.4 Web应用交付

由于Web应用交付设备已成为一些大型的、重要Web业务中不可缺少的组件，同时又部署在Web服务器之前，所以现有的WAF也多少集成了一些Web应用交付的功能，主要有负载均衡、Web加速和SSL卸载等。

2.3.4.1 负载均衡

负载均衡不仅能通过WAF实现服务器负载均衡器的功能，也能支持部署在已有负载均衡器的网络环境。

2.3.4.2 Web加速

目前，主要采用的是Web缓存和网页压缩的技术，来实现Web加速。Web缓存是指将经常被访问的网页内容保存在WAF本身，或是把一些不经常变动的文件、图片保存在客户端，减少重复下载，实现加速；网页压缩技术是指对压缩比例高的文件（例如TXT，HTML，HTM和ASP等）进行压缩后再传输，利用浏览器内置的解压机制解压，从而提高访问速度。

2.3.4.3 SSL卸载

使用SSL的网站服务器CPU需要承担SSL协议和加解密计算负荷，SSL卸载指由WAF来处理SSL协议内容，减轻服务器负担。

3 WAF的发展趋势

随着网络技术和Web技术的不断发展，Web应用防火墙技术也需要不断更新和突破。Web2.0迅猛发展，使网站的交互性越来越强，同时也带来了一些新的应用技术，比如XML，Ajar，

JSON，Flas和hWeb服务技术等。但是，这些新兴协议和现有媒体类型都会带来恶意软件或安全漏洞，并且Web攻击也会针对这些漏洞实施，所以，对Web2.0的有效防护将成为WAF今后一个重要的发展方向。

此外，随着云时代的到来，提供云服务的Web应用安全也是今后一段时期内WAF的发展方向，尤其是对于众多托管安全服务提供商（MSSP）来说，往往需要通过支持云安全的WAF部署，为终端客户提供应用层的安全增值服务。

4 结束语

总体来说，信息化的进程会越来越快，网络安全问题显得尤为重要，我们要重视网络防护工作，积极改进原有不完善的保护系统，采用防御能力更强的WAF，并熟悉、掌握其特点，真正做到从根本上对网络安全进行保护，这对网络发展和效益有着重要的推动作用。

参考文献

[1]陈小兵，范渊，孙立伟.Web渗透技术及实战案例解析[M].北京：电子工业出版社，2012.

[2]Michal Zalewski.Web之困：现代Web应用安全指南[M]朱筱丹，译.北京：机械工业出版社，2013.

〔编辑：李珏〕