Web应用防火墙测试技术的研究

2020-11-09 07:28乐帮
科学与财富 2020年25期
关键词:防火墙技术检测技术

乐帮

摘要:随着Web的不断普及,对Web的攻击也在一定程度上爆发了,所以对Web服务进行保护,不让其受到攻击就成了网络安全领域研究的一个重点。网络安全的传统设备一般就是基于数据包进行检测,在OSI模型的传输层以及网络层进行工作,在应用层上,对Web不能进行有效的保护。本文针对目前的Web应用的安全问题,以及目前的一些网络安全的产品进行了一定的分析,提出Web应用防火墙技术,它对于Web应用程序的保护,可以起到一定的作用,同时,也简单介绍了Web应用防火墙的工作原理,对它的组成模块还有检测技术也进行了一定的描述。

关键词:Web应用;防火墙技术;检测技术

引言:随着科学技术的不断发展,Web应用也在不斷普及和发展,同时,Web安全的问题也更加凸显,由于各种针对Web应用的攻击所造成的危害越来越严重,所以必须要加强Web应用对恶意攻击的抵御能力,Web应用防火墙就由此诞生[1]。跟传统的防火墙以及入侵的防御系统相比,Web应用防火墙不再是在传输层和网络层进行工作,它是直接在应用层上进行工作,一般情况下是部署在Web服务器的前端,然后专门针对HTTP/HTTPS执行相应的安全策略,从而达到维护Web应用安全的目的。

一、Web应用防火墙的概念

从广义上讲,Web应用防火墙是一种入侵防御系统,主要面向Web应用,同时它也集成了硬件架构以及虚拟化软件,对各种进行攻击行为进行深层的探测,然后阻止这类攻击Web应用的行为。从狭义上来说,Web应用防火墙它是属于一种软硬件设备,是针对Web应用的安全进行防护的设备,主要是对XML攻击还有SQL注入,以及XSS攻击这几类行为进行防护。

二、Web攻击和Web应用防火墙技术

和传统的攻击一样,Web攻击也可以分为信息窃取、恶意扫描以及会话劫持等。但是与传统的攻击不同的是,Web攻击的攻击对象不再是像操作系统还有一些比较底层的组件,它是直接对Web应用程序的应用层进行攻击,攻击方式一般有SQL注入、恶意上传以及信息泄露等。

Web应用防火墙,它是对Web服务器应用层的入侵进行防御,对入侵防御系统以及防火墙这些安全设备的缺陷进行了弥补。Web应用防火墙在Web服务器还没有获取网络数据包的时候,就深入检查数据包,然后对访问进行辨认,分辨出究竟是恶意的攻击还是正常的访问,对于恶意的攻击,就会将其剔除,从而达到保护Web服务器的目的。Web应用防火墙通常有三个模块:规则策略模块、入侵检测模块,以及防护模块。

(一)规则策略模块

规则策略模块是Web应用防火墙检测和过滤恶意流量的依据,这个模块就相当于传统防火墙中的规则表。规则策略对有害的行为和恶意的代码进行识别,通常是利用逻辑去描述以及判断是否描述合法的行为以及代码,然后就形成了黑名单还有白名单,Web应用防火墙的规则集就是黑白名单。黑名单,就是把有害的恶意流量列出来,然后Web应用防火墙将这些恶意流量列进黑名单就可以进行正常的访问,不过,对于那些未知的威胁,黑名单也是束手无策[2]。白名单和黑名单相反,它是认为除了合法的行为之外,其他的行为都是非法的,将合法的行为也列个表,在表里面的才能进行访问,不在表里的就不能进行访问,这种方式对Web服务器的确起到了一定的保护作用,但是也会有一些合法的用户的访问被拒绝。

(二)防护模块

Web应用防火墙在检测到那些入侵的行为之后,做出的有效防御行为就是防护模块。Web应用防火墙在遭到恶意的攻击过后,就可以进行断开链接或者是进行重置链接,对恶意的用户进行封锁等,对Web服务器的安全,切实起到保护的作用。

(三)入侵检测模块

Web应用防火墙的入侵检测模块对输入以及输出的信息流进行处理,对于那些发到Web应用的数据,入侵检测模块都会进行分析以及检测。Web应用防火墙的入侵检测方法,它和IPS是比较相似的,不过在处理的协议方面有一定的区别,Web应用防火墙只要对HTTP以及HTTPS这两个协议进行处理,而IPS则需要对很多的协议进行处理。

三、Web应用防火墙中的安全检测技术

所谓安全检测技术,就是对那些入侵的行为进行识别并报警的技术,这个识别可以是在入侵后,也可以是在入侵前。安全检测技术可以检测出非授权的行为,同时还可以对信息系统的运行状态进行检测,对那些存在攻击威胁的行为都可以及时发现,并及时进行阻止。现在Web应用防火墙的产品种类有很多,这些产品的安全检测手段也是各不相同的,主要有基于自学模型的检测,基于算法模型的检测以及双向检测三大类。

(一)基于自学模型的检测技术

基于自学模型的检测技术,包括Web应用网页的学习、Web服务的学习以及真实流量的检测,把数据样本通过合法的方式形成规则集,从而对Web应用起到安全防护的作用。Web应用网页的自学技术,偏向于学习网页的特点,从Web服务来进行异常的检测,在学习过后,对这个网页的使用模式进行定义。如果出现了违反这个模式的用户,那么Web应用防火墙就会对该用户的行为及时进行阻断[3]。而Web服务的自学技术,它偏向于对用户访问的规律进行学习,针对Web应用服务,建立一定数量的用户行为的模型,然后再根据用户的具体行为,和这个用户行为的模型进行对比,假如有不正常的行为,就会立马进行处理。

(二)基于算法的检测技术

基于算法的检测技术,它在很大程度上可以对基于自学模型检测技术的缺陷进行弥补,比如在资源消耗上,基于算法的检测技术就比基于自学模型检测技术要节省很多。基于算法的检测技术可以对攻击手法进行分析,也可以对网络数据进行实时分析,然后在Web应用防火墙的设备内部,去构建出一个虚拟机,对攻击的行为进行模拟。所以,基于算法的检测技术,它对各种攻击Web应用的行为都能进行检测以及防御,能够有效地解决这些攻击行为带来的危害。通过这项技术,Web应用防火墙检测Web的攻击行为的效率大大提高,而且错误的概率也非常低,因此,消耗的系统资源就会很少。

(三)双向检测

双向检测技术,它是基于已知攻击方式,然后去建立黑名单规则库,再对访问的行为进行特征匹配,对攻击的行为可以做到地识别[4]。当前很多的Web应用防火墙采用的都是双向检测技术,双向检测技术是通过将Web应用防火墙产品作为一个中间环节(Web客户端还有服务器端的中间环节),在Web服务器的前端部署双向检测技术,通过一定的解析、判重,以及对HTTP的请求以及应答进行理解,对HTTP流量进行检测,再和内置的规则库匹配,不正规的就要进行阻断。这个检测技术的特点就在于建立了双向检测的模型,这个模型出现的方式是规则库,假如出现在规则库中匹配的攻击行为,那么它就能很快进行识别并且报警。目前很多的Web攻击,都是可以使用这种检测方式来进行检测以及防护。不过这种检测方式也存在一定的缺点,就是对那些攻击特征不是很明显的行为,不能做出及时有效地判断,所以就会导致漏报以及错报的情况出现。

四、结语:

Web应用防火墙技术的出现,是为了保护Web服务器,让其不再受到恶意的入侵还有攻击,在很大程度上,对传统的网络层安全设备的不足之处进行了弥补。随着科学技术的不断发展,Web应用的安全问题也日益突出。因此,我们要重视网络安全的防护工作,对保护系统进行不断地改进还有完善,推动网络安全进一步发展。

参考文献:

[1]   李雪,唐文.一种新的Web应用防火墙的自学习模型[J].小型微型计算机系统,2014.

[2]   姚琳琳,何倩.基于分布式对等架构的Web应用防火墙[J].计算机工程,2012.

[3]   王字,陆松年.Web应用防火墙的设计与实现[J].信息安全与通信保密,2011.

[4]   李莉,翟征德.一种基于Web应用防火墙的主动安全加固方案[J].计算机工程与应用,2011.

猜你喜欢
防火墙技术检测技术
基于微信平台的高职专业核心课程微平台设计
关于防火墙技术在网络安全中的应用
网络安全与防火墙技术
计算机安全与防火墙技术
食品安全检测技术研究现状
公路工程试验检测存在的问题及措施
浅谈现代汽车检测技术与安全管理
防火墙技术在计算机网络安全中的应用
基于防火墙技术的网络安全机制
食品安全检测技术存在的主要问题及对策探究