全面解析Web應(yīng)用防火墻

1、全面解析Web應(yīng)用防火墻有趣的是，還沒(méi)有人能真正知道 web應(yīng)用防火墻究竟是什么，或者確切的 說(shuō)，還沒(méi)有一個(gè)大家認(rèn)可的精確定義。從廣義上來(lái)說(shuō)，We眩用防火墻就是一些增強(qiáng)Wetg用安全性的工具。然而，如果我們要深究它精確的定義，就可能 會(huì)得到更多的疑問(wèn)。因?yàn)橐恍?Web應(yīng)用防火墻是硬件設(shè)備，一些則是應(yīng)用軟件； 一些是基于網(wǎng)絡(luò)的，另一些則是嵌入 WEEK務(wù)器的。國(guó)外市場(chǎng)上具有WE而用防火墻功能的產(chǎn)品名稱(chēng)就有不同的幾十種，更不 用說(shuō)是產(chǎn)品的形式和描述了。它難以界定的原因是這個(gè)名稱(chēng)包含的東西太多了。 較低的網(wǎng)絡(luò)層（Web應(yīng)用防火墻被安置在第七層）被許多設(shè)備所覆蓋，每一種設(shè) 備都有它們獨(dú)特的功能，比如路

2、由器，交換機(jī)，防火墻，入侵檢測(cè)系統(tǒng)，入侵 防御系統(tǒng)等等。然而，在 HTTP的世界里，所有這些功能都被融入在一個(gè)設(shè)備里： Web應(yīng)用防火墻?？傮w來(lái)說(shuō)，WetS用防火墻的具有以下四個(gè)方面的功能：.審計(jì)設(shè)備：用來(lái)截獲所有HTTPgC據(jù)或者僅僅滿(mǎn)足某些規(guī)則的會(huì)話(huà).訪(fǎng)問(wèn)控制設(shè)備：用來(lái)控制對(duì) Web應(yīng)用的訪(fǎng)問(wèn)，既包括主動(dòng)安全模式也包 括被動(dòng)安全模式.架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具：當(dāng)運(yùn)行在反向代理模式，他們被用來(lái)分配職能，集 中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。.WEB應(yīng)用加固工具：這些功能增強(qiáng)被保護(hù) WebS用的安全性，它不僅能 夠屏蔽WEEK用固有弱點(diǎn)，而且能夠保護(hù) WE而用編程錯(cuò)誤導(dǎo)致的安全隱患。但是，需要指出的是，并非每

3、種被稱(chēng)為 Web應(yīng)用防火墻的設(shè)備都同時(shí)具有 以上四種功能。由于WE時(shí)用防火墻的多面性，擁有不同知識(shí)背景的人往往會(huì)關(guān)注它不同 方面的特點(diǎn)。比如具有網(wǎng)絡(luò)入侵檢測(cè)背景的人更傾向于把它看作是運(yùn)行在HTTP層上的IDS設(shè)備；具有防火墻自身背景的人更趨向與把它看作一種防火墻的功能模塊。還有一種理解來(lái)自于深度檢測(cè)防火墻”這個(gè)術(shù)語(yǔ)。他們認(rèn)為深度檢測(cè) 防火墻是一種和 Wete用防火墻功能相當(dāng)?shù)脑O(shè)備。然而，盡管兩種設(shè)備有些相 似之處，但是差異還是很大的。深度檢測(cè)防火墻通常工作在的網(wǎng)絡(luò)的第三層以 及更高的層次，而 Wets用防火墻則在第七層處理 HTTP服務(wù)并且很好地支持它。直接更改WEB弋碼解決安全問(wèn)題是否更好？

4、這是毋庸置疑的，但也沒(méi)那么容 易（實(shí)現(xiàn)）。因?yàn)?，通過(guò)更改 WEES用代碼是否一定就能增強(qiáng)系統(tǒng)安全性能，這本身就 存在爭(zhēng)論。而且現(xiàn)實(shí)也更加復(fù)雜：不可能確保100%勺安全。人的能力有限，會(huì)不可避免地犯錯(cuò)誤。絕大多數(shù) 情況下，很少有人力求100%勺安全。如今的現(xiàn)實(shí)生活中那些引領(lǐng)應(yīng)用發(fā)展的人 更多注重功能而不是安全。這種觀(guān)念正在改變，只是有點(diǎn)緩慢。一個(gè)復(fù)雜的系 統(tǒng)通常包含第三方產(chǎn)品（組件，函數(shù)庫(kù)），它們的安全性能是不為人知的。如果 這個(gè)產(chǎn)品的源代碼是保密的，那么你必須依賴(lài)商品的廠(chǎng)商提供補(bǔ)丁。即使有些 情況下源代碼是公開(kāi)的，你也不可能有精力去修正它們。我們不得不使用存在 安全隱患的業(yè)務(wù)系統(tǒng)，盡管這些舊系

5、統(tǒng)根本無(wú)法改進(jìn)。因此，為了獲得最好的 效果，我們需要雙管齊下：一方面，必須提高管理者和開(kāi)發(fā)者的安全意識(shí)；另 一方面，盡可能提高應(yīng)用系統(tǒng)的安全性。We眩用防火墻的特點(diǎn)異常檢測(cè)協(xié)議如果閱讀過(guò)各種RFC就會(huì)發(fā)現(xiàn)一個(gè)被反復(fù)弓S調(diào)的主題。大多數(shù) RFCS議 應(yīng)用自己使用協(xié)議時(shí)要保守，而對(duì)于接受其他發(fā)送者的協(xié)議時(shí)可以自由些。Web服務(wù)器就是這樣做的，但這樣的行為也給所有的攻擊者打開(kāi)了大門(mén)。幾乎所有 的WAF寸HTTP的請(qǐng)求執(zhí)行某種異常檢測(cè)，拒絕不符合 Http標(biāo)準(zhǔn)的請(qǐng)求。并且， 它也可以只允許HTTPB議的部分選項(xiàng)通過(guò)，從而減少攻擊的影響范圍。甚至， 一些WAF8可以嚴(yán)格限定HTTFW議中那些過(guò)于松散或未

6、被完全制定的選項(xiàng)。增強(qiáng)的輸入驗(yàn)證就頻繁發(fā)生的Wet&全問(wèn)題而言，有些是源于對(duì) We畋計(jì)模型的誤解，有 些則來(lái)自于程序師認(rèn)為瀏覽器是可信的。很多 WEES序員用JavaScript在瀏覽 器上實(shí)現(xiàn)輸入驗(yàn)證。而瀏覽器只是一個(gè)用戶(hù)控制的簡(jiǎn)單工具，因此攻擊者可以 非常容易地繞過(guò)輸入驗(yàn)證，直接將惡意代碼輸入到WE而用服務(wù)器。有一個(gè)解決上述問(wèn)題的正確方法，就是在服務(wù)端進(jìn)行輸入驗(yàn)證。如果這個(gè) 方法不能實(shí)現(xiàn)，還可以通過(guò)在客戶(hù)和應(yīng)用服務(wù)器之間增加代理，讓代理去執(zhí)行 Web頁(yè)面上嵌入的JavaScript ,實(shí)現(xiàn)輸入驗(yàn)證。消極的安全模型vs.積極的安全模型曾經(jīng)設(shè)置過(guò)防火墻規(guī)則的人，可能會(huì)碰到這樣的建議：允許已知安

7、全的流 量，拒絕其他一切訪(fǎng)問(wèn)。這就是一種很好的積極安全模型。恰恰相反，消極安 全模型則是默認(rèn)允許一切訪(fǎng)問(wèn)，只拒絕一些已知危險(xiǎn)的流量模式。每種安全模型方式都存在各自的問(wèn)題：消極安全模型：什么是危險(xiǎn)的？積極安全模型：什么是安全的？消極安全模式通常使用的更多。識(shí)別出一種危險(xiǎn)的模式并且配置自己的系 統(tǒng)禁止它。這個(gè)操作簡(jiǎn)單而有趣，卻不十分安全。它依賴(lài)于人們對(duì)于危險(xiǎn)的認(rèn) 識(shí)，如果問(wèn)題存在，卻沒(méi)有被意識(shí)到（這種情況很常見(jiàn)），就會(huì)為攻擊者留下可 趁之機(jī)。積極安全模式（又稱(chēng)為白名單模式）看上去是一種制定策略的更好方式，非常 適于配置防火墻策略。在Webg用安全領(lǐng)域中，積極安全模式通常被概括成對(duì) 應(yīng)用中的每一個(gè)腳

8、本的枚舉。對(duì)枚舉的每一個(gè)腳本，需要建立一個(gè)相應(yīng)列表， 表中內(nèi)容如下所示：允許的請(qǐng)求方式（比如，GET/POS或者只POST允許的Content-Type允許 的Content-Length允許的參數(shù)指定參數(shù)和可選參數(shù)參數(shù)類(lèi)型（比如，文本或整 數(shù)）附加參數(shù)限制上述列表僅僅是個(gè)例子，實(shí)際的積極安全模式通常包括更多的 要素。它試圖從外部完成程序員本應(yīng)從內(nèi)部完成的工作：為提交到Webfi用的 信息驗(yàn)證每一個(gè)比特。如果肯花時(shí)間的話(huà)，使用積極安全模式就是一個(gè)比較好 選選擇。這個(gè)模式的難點(diǎn)之一，在于應(yīng)用模式會(huì)隨著應(yīng)用的發(fā)展而改變。每當(dāng) 應(yīng)用中添加新腳本或更改舊腳本，就需要更新模式。但是，它適用于保護(hù)那些 穩(wěn)

9、定的、無(wú)人維護(hù)的舊應(yīng)用。自動(dòng)開(kāi)發(fā)策略可以解決以上問(wèn)題：一些WAF夠監(jiān)視流量，并根據(jù)這些流量數(shù)據(jù)自動(dòng)配置策略，有些產(chǎn)品可 以實(shí)時(shí)進(jìn)行這樣的工作。通過(guò)白名單，可以標(biāo)識(shí)特定的IP地址是可信的，然后,依據(jù)觀(guān)察的流量，配置 WAF更新安全策略。如果通過(guò)一個(gè)全面的衰減測(cè)試， （仿真正確的行為）來(lái)創(chuàng)建一個(gè)應(yīng)用，并且在 WA處于監(jiān)控狀態(tài)時(shí)執(zhí)行測(cè)試，那 么WA皿以自動(dòng)生成策略?？梢?jiàn)，沒(méi)有哪個(gè)模式是完全令人滿(mǎn)意的。消極安全 模式適用于處理已知問(wèn)題，而積極安全模式則適用于穩(wěn)定的Wetfi用。理想的做法是，在現(xiàn)實(shí)生活中，將二者結(jié)合使用，取長(zhǎng)補(bǔ)短。及時(shí)補(bǔ)丁積極安全模式理論上更好一些因?yàn)闉g覽器和 WE時(shí)用程序之間的通信協(xié)

10、議 通過(guò)HTM網(wǎng)范進(jìn)行了很好的定義?，F(xiàn)在的 WeF發(fā)語(yǔ)言都可以處理帶有多個(gè)參 數(shù)的HTTP青求。因?yàn)檫@些參數(shù)在 Wetg用防火墻中都是可見(jiàn)的，因此 WE的用 防火墻可以分析這些參數(shù)判斷是否存在允許該請(qǐng)求。，當(dāng)一個(gè)應(yīng)用中的漏洞被發(fā)現(xiàn)時(shí)大多數(shù)情況下我們會(huì)盡可能在代碼中修補(bǔ)它。 受諸多因素的影響（如應(yīng)用的規(guī)模，是否有開(kāi)發(fā)人員，法律問(wèn)題等等 ），開(kāi)發(fā)補(bǔ) 丁的過(guò)程可能需要幾分鐘，或者一直到無(wú)限長(zhǎng)的是時(shí)間。這些時(shí)間正是攻擊者 發(fā)起攻擊的好機(jī)會(huì)。如果開(kāi)發(fā)人員能夠在非常短的時(shí)間內(nèi)在代碼中修補(bǔ)好漏洞，那你就不用擔(dān) 心了。但如果修補(bǔ)這個(gè)漏洞需要花費(fèi)幾天，甚至幾周來(lái)修復(fù)呢 ？We眩用防火墻 就是處理這個(gè)問(wèn)題的理想工

11、具：只要給一個(gè)安全專(zhuān)家不錯(cuò)的WAFK足夠的漏洞信息，他就能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏 洞的方式不是非常完美的，并且沒(méi)有安裝對(duì)應(yīng)的補(bǔ)丁就是一種安全威脅，但我 們?cè)跊](méi)有選擇的情況下，任何保護(hù)措施都比沒(méi)有保護(hù)措施更好。及時(shí)補(bǔ)丁的原理可以更好的適用于基于 XMU 勺應(yīng)用中，因?yàn)檫@些應(yīng)用的通 信協(xié)議都具規(guī)范性?；谝?guī)則的保護(hù)和基于異常的保護(hù)現(xiàn)在市場(chǎng)上大多數(shù)的產(chǎn)品是基于規(guī)則的 WA F其原理是每一個(gè)會(huì)話(huà)都要經(jīng) 過(guò)一系列的測(cè)試，每一項(xiàng)測(cè)試都由一個(gè)過(guò)多個(gè)檢測(cè)規(guī)則組成，如果測(cè)試沒(méi)通過(guò)， 請(qǐng)求就會(huì)被認(rèn)為非法并拒絕?；谝?guī)則的WAFW艮容易構(gòu)建并且能有效的防范已知安全問(wèn)題。當(dāng)我們要制

12、定自定義防御策略時(shí)使用它會(huì)更加便捷。但是因?yàn)樗鼈儽仨氁紫却_認(rèn)每一個(gè) 威脅的特點(diǎn)，所以要由一個(gè)強(qiáng)大的規(guī)則數(shù)據(jù)庫(kù)支持。WA葉產(chǎn)商維護(hù)這個(gè)數(shù)據(jù)庫(kù)，并且他們要提供自動(dòng)更新的工具。這個(gè)方法不能有效保護(hù)自己開(kāi)發(fā)的 WE時(shí)用或者零日漏洞（攻擊者使用的沒(méi) 有公開(kāi)的漏洞）,這些威脅使用基于異常的 WAFg加有效。異常保護(hù)的基本觀(guān)念是建立一個(gè)保護(hù)層，這個(gè)保護(hù)層能夠根據(jù)檢測(cè)合法應(yīng) 用數(shù)據(jù)建立統(tǒng)計(jì)模型，以此模型為依據(jù)判別實(shí)際通信數(shù)據(jù)是否是攻擊。理論上， 一但構(gòu)建成功，這個(gè)基于異常的系統(tǒng)應(yīng)該能夠探測(cè)出任何的異常情況。擁有了 它，我們不再需要規(guī)則數(shù)據(jù)庫(kù)而且零日攻擊也不再成問(wèn)題了。但基于異常保護(hù) 很系統(tǒng)很難構(gòu)建，所以并不

13、常見(jiàn)。因?yàn)橛脩?hù)不了解它的工作原理也不相信它， 所以它也就不如基于規(guī)則的WA而用廣范。狀態(tài)管理HTTP勺無(wú)狀態(tài)性對(duì)WetS用安全有很多負(fù)面影響。會(huì)話(huà)只能夠在應(yīng)用層上 實(shí)現(xiàn)，但對(duì)許多應(yīng)用來(lái)說(shuō)這個(gè)附加的功能只能滿(mǎn)足業(yè)務(wù)的需要而考慮不到安全 因素了。We眩用防火墻則將重點(diǎn)放在會(huì)話(huà)保護(hù)上，它的特征包括：強(qiáng)制登錄頁(yè)面。在大多數(shù)站點(diǎn)，你可以從任何你所知道的URL上訪(fǎng)問(wèn)站點(diǎn),這通常方便了攻擊者而名&防御增加了困難。WAF夠判斷用戶(hù)是否是第一次訪(fǎng) 問(wèn)并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件分別檢測(cè)每一個(gè)用戶(hù)會(huì)話(huà)。如果能夠區(qū)分不同的會(huì)話(huà)，這就帶來(lái)了無(wú)限的 可能。比如，我們能夠監(jiān)視登陸請(qǐng)求的發(fā)送頻率和用戶(hù)的頁(yè)面跳

14、轉(zhuǎn)。通過(guò)檢測(cè) 用戶(hù)的整個(gè)操作行為我們可以更容易識(shí)別攻擊。對(duì)暴力攻擊的識(shí)別和響應(yīng)。通常的 Wete用網(wǎng)絡(luò)是沒(méi)有檢測(cè)暴力攻擊的。 有了狀態(tài)管理模式，WA琥檢測(cè)出異常事件（比如登陸失?。?，并且在達(dá)到極限 值時(shí)進(jìn)行處理。此時(shí)它可以增加更多的身份認(rèn)證請(qǐng)求的時(shí)間，這個(gè)輕微的變化 用戶(hù)感覺(jué)不到，但對(duì)于足以對(duì)付自動(dòng)攻擊腳本了。如果一個(gè)認(rèn)證腳本需要50毫秒完成，那它可以發(fā)出大約每秒 20次的請(qǐng)求。如果你增加一點(diǎn)延時(shí)，比如說(shuō)， 一秒種的延遲，那會(huì)將請(qǐng)求降低至每秒不足一次。與此同時(shí)，發(fā)出進(jìn)一步檢測(cè) 的警告，這將構(gòu)成一個(gè)相當(dāng)好的防御。實(shí)現(xiàn)會(huì)話(huà)超時(shí)。超出默認(rèn)時(shí)間會(huì)話(huà)將失效，并且用戶(hù)將被要求重新認(rèn)證。 用戶(hù)在長(zhǎng)時(shí)間沒(méi)有請(qǐng)

15、求時(shí)將會(huì)自動(dòng)退出登錄。會(huì)話(huà)劫持的檢測(cè)和防御。許多情況下，會(huì)話(huà)劫持會(huì)改變IP地址和一些請(qǐng)求數(shù)據(jù)（HTTP請(qǐng)求的報(bào)頭會(huì)不同）。狀態(tài)監(jiān)控工具能檢測(cè)出這些異常并防止非法應(yīng) 用的發(fā)生。在這種情況下應(yīng)該終止會(huì)話(huà)，要求用戶(hù)重新認(rèn)證，并且記錄一個(gè)警 告日志信息。只允許包含在前一請(qǐng)求應(yīng)答中的鏈接。一些 WAR艮嚴(yán)格，只允許用戶(hù)訪(fǎng)問(wèn) 前一次請(qǐng)求返回頁(yè)面中的鏈接。這看上去是一個(gè)有趣的特點(diǎn)但很難得到實(shí)施。一個(gè)問(wèn)題在于它不允許用戶(hù)使用多個(gè)瀏覽器窗口，另一個(gè)問(wèn)題是它令使用 JavaScript自動(dòng)建立連接的應(yīng)用失效。其他防護(hù)技術(shù)WAF勺另外一些安全增強(qiáng)的功能用來(lái)解決 WEB?序員過(guò)分信任輸入數(shù)據(jù)帶 來(lái)的問(wèn)題。比如：隱藏表

16、單域保護(hù)。有時(shí)，內(nèi)部應(yīng)用數(shù)據(jù)通過(guò)隱藏表單變量實(shí)現(xiàn)，而它們并 不是真的隱藏的。程序員通常用隱藏表單變量的方式來(lái)保存執(zhí)行狀態(tài)，給用戶(hù) 發(fā)送數(shù)據(jù)，以確保這些數(shù)據(jù)返回時(shí)未被修改。這是一個(gè)復(fù)雜繁瑣的過(guò)程，WAF經(jīng)常使用密碼簽名技術(shù)來(lái)處理。Cookies保護(hù)。和隱藏表單相似的是，cookies經(jīng)常用來(lái)傳遞用戶(hù)個(gè)人的應(yīng) 用數(shù)據(jù)，而不一樣的是，一些 cookies可能含有敏感數(shù)據(jù)。WAFSS常會(huì)將整個(gè) 內(nèi)容加密，或者是將整個(gè)cookies機(jī)制虛擬化。有了這種設(shè)置，終端用戶(hù)只能 夠看到cookies令牌（如同會(huì)話(huà)令牌），從而保證cookies在WA葉安全地存放抗入侵規(guī)避技術(shù)。基于網(wǎng)絡(luò)的IDS對(duì)付WEBt擊的問(wèn)題就是攻擊規(guī)避技術(shù)。 改寫(xiě)HTTP俞入請(qǐng)求數(shù)據(jù)（攻擊數(shù)據(jù)）的方式太多，并且各種改寫(xiě)的請(qǐng)求能夠逃避 IDS探測(cè)。在這個(gè)方面如果能完全理解 HTT磯是大幅度的改進(jìn)。比如，WAFF5 次可以看到整個(gè)HTTP青求，就可以避免所有類(lèi)型的 HTTP青求分片的攻擊。因 為很好的了解HTTPB議，因此能夠?qū)?dòng)態(tài)請(qǐng)求和靜態(tài)請(qǐng)求分別對(duì)待，就不用花 大量時(shí)間保護(hù)不會(huì)被攻擊的靜態(tài)數(shù)據(jù)。這樣 WA皿以有足夠的計(jì)算能力對(duì)付各