WAF 防护核心WEB应用的解析

WEB应用的重要性

随着互联网技术的发展，WEB应用越来越受到业务系统的重视，WEB应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。

web本意是蜘蛛网和网的意思。现广泛译作网络、互联网等技术领域。表现为三种形式，即超文本（hypertext）、超媒体（hypermedia）、超文本传输协议（HTTP）等。

超文本（hypertext）

一种全局性的信息结构，它将文档中的不同部分通过关键字建立链接，使信息得以用交互方式搜索。它是超级文本的简称。

超媒体（hypermedia）

超媒体是超文本（hypertext）和多媒体在信息浏览环境下的结合。它是超级媒体的简称。用户不仅能从一个文本跳到另一个文本，而且可以激活一段声音，显示一个图形，甚至可以播放一段动画。

Internet采用超文本和超媒体的信息组织方式，将信息的链接扩展到整个Internet上。Web就是一种超文本信息系统，Web的一个主要的概念就是超文本连接，它使得文本不再象一本书一样是固定的线性的。而是可以从一个位置跳到另外的位置。可以从中获取更多的信息。可以转到别的主题上。想要了解某一个主题的内容只要在这个主题上点一下，就可以跳转到包含这一主题的文档上。正是这种多连接性把它称为Web。

超文本传输协议（HTTP）Hypertext Transfer Protocol超文本在互联网上的传输协议。

WAF的价值

Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WEB价值重点体现在门户网站的时代时，我们所面临的安全威胁主要源自网站被黑或者网站被篡改，因此网页防篡改技术得到成长并大量使用。应用推运系统架构革新，而系统架构的和革新推动安全技术的发展。WEB应用防火墙也不例外，也是在现有WEB防护技术力日益无法满足业务的新需求时诞生的。

如果说防篡改软件是一种基于文件管理的被动办法，那么WAF则是从安全的本质出发，对威胁进行主动防御，并对WEB应用进行性能优化的最佳方案。简单将防篡改软件理解为是文件恢复管理，而WAF则是分析处理不安全的访问行为，这些不安全的行为包括网页篡改事件、信息泄漏事件、信息窃取事件、信息失效事件等。在中国WEB应用环境下的WAF通常也会具有网页防篡改的客户端，功能和市面的网页防篡改软件几乎相同。

WAF以独立的硬件网关存在，其部署和使用过程中不需要对原有的WEB服务器作任何的调整，并且WAF本身支持多种部署方式，例如透明网桥模式的部署不需对网络进行任何调整。

与IPS相比WEB应用防火墙可谓是专注于WEB应用的IPS，与传统的IPS不同，WEB应用防火墙在特征匹配方面的粒度更细，至少可以精确到如下几个节点：

对协议的全面理解以及协议规范性检查

请求头关键字段的识别和特征匹配，从而降低误判

响应头敏感信息的处理防止服务器指纹泄露

响应体特征匹配，屏蔽敏感信息泄露

针对单个请求，基于单个URL的匹配最大程度确认业务系统的可用性

WAF的优越性

WEB应用防火墙技术架构上最佳方案是采用代理技术实现，然而标准的代理技术应用到WEB应用防火墙时却存在一个先天的不足。代理技术会中断业务请求，因此部署WEB应用防火墙需要调整现有业务架构或网络数据走向。另一方面代理技术存在性能瓶颈，难在胜任大型的业务系统。

安恒信息采用内核级代理技术解决了部署全透明和性能两个技术瓶颈，是国内首创的全透明WEB应用防火墙，并成功应用于诸多网上银行、运营商BOSS系统、电子政务等核心业务系统。

WEB应用防火墙采用基于特征库的防御技术进行防护，而特征库技术只能解决通用的，已知的攻击行为。而WEB应用系统千差万别，仅采用通用特征库不仅防护效果不佳，而且可能会因为代码的原因导致误判，从而影响业务系统的可用性。因此安恒WEB应用防火墙中加入了异常检测引擎用于提高防护能力，降低误判率。异常检测技术可以用一个下面这个例子进行说明：

安全检测好比闭路电视监控系统，基于特征的检测技术即通过行人的身高、体重、外貌进行检测，然后通过X光机检测身上是否带了已知的不安全装备。而异常检测则是通过对人的行为特征进行分析，例如一个人进门时身带了一个手拧包，而走到大厅后将手拧包放下，人离开。针对这种特为将为触发报警动作。

异常检测到WEB安全检测中主要用于补偿特征库的短板，可以有效的防御未知攻击、盗链行为、应用DDOS攻击等。