安全分析：拿什么拯救Web时代的安全危机

随着基于Web环境下的应用越来越普遍，企业在信息化进程中将多种应用架设在Web平台上。这些应用的功能和性能都不断完善和提高，然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，接踵而至的却是Web安全威胁的凸显。根据 Gartner 的调查显示，目前成功的攻击案例中有75%发生在应用层而非网络层面上。同时，数据也显示，三分之二的Web站点缺乏有效的应用防护。

此时就出现了应用防火墙。它位于Web客户端和Web服务器之间，这些防火墙会在Web服务器前的应用层对HTTP流量进行检查。这些设备可以检测一个链接，分析用户对应用程序发出的命令。然后就可以分析出哪些是已知攻击，哪些是标准应用的演变。

用户对Web应用安全关注升温

梭子鱼中国区总经理何平在接受ZDNet采访时表示，目前用户对Web应用安全的关注度逐渐升温主要源于面临的三个问题。

第一种，拒绝服务攻击。比如某公司说DNS域名被篡改了，就意味着应用方面做得再安全也没用，这个网站已经被转接到另外一个服务器去了。

第二种，针对企业的Web网站后台数据库的更改，泄密和破坏。主要的攻击手段是SQL代码的植入，导致企业内部的数据损失或者是被更改。

第三种，网站挂马或者叫做跨站脚本攻击，套取访问用户的用户名、密码等。

Web应用面临的主要攻击和威胁，后两种居多。因为DNS被篡改这种方式有难度且偏少，后两者难度小一点但是很频繁。

谁更适合防护Web安全应用?

Web应用防火墙(Web Application Firewall，WAF)与IPS、防火墙、UTM等安全设备最大的不同在哪里?何平认为，从技术层面讲，IPS是深度的包检测的产品，属于高级的网络防火墙。IPS所保护的不仅仅是Web应用，IPS的检测是非常严格和标准化的，就导致一个问题，它对整个单纯的Web应用，包括SQL 注入的检查不是很专业，所以Web应用防火墙和IPS相比，它是更专业的基于Web防护的系统。

UTM是在网络防火墙基础上加上了部分的应用过滤功能，它可以阻挡一些非法网站的访问。但是UTM、传统防火墙或IPS，它们大部分功能还是在网络层，具有部分的应用层功能。而且，它们并不是针对Web应用，比如IPS，对后台很多种应用都可以进行防护，但是这个防护为粗略检查，比如说2个数据包先后被通过访问。这两个数据包利用时间差的关系，结合到一起能产生破坏力，这是IPS无法解决的问题。

何平强调，“Web应用防火墙可以检查代码合成的用意，从而阻断非法的数据包访问。所以Web应用防火墙，IPS和防火墙、UTM的差别，一个是在防护层面，另外是IPS是和Web应用防火墙部署的点是一致的，基本是企业的数据中心前端。防火墙和UTM更多强调内网安全，它防护的企业对内部网络，防止内部用户访问非法网站，也防止整个公司内部的信息外泄。但是Web应用防火墙，IPS保护的是Web服务器防止被攻击。”

认识Web应用防火墙

—功能

Web应用防火墙从功能角度来说有三个部分。

1，网站隐身。从攻击者角度来看后台是隐蔽的。很多攻击者的手段很简单，第一先搞清楚Web服务器版本和应用服务器的版本是什么，第二去找这个版本有哪些漏洞，第三去找利用这些漏洞，网上有哪些现成的工具，这是很常规的黑客攻击手法。

2，安全检查。简单说就是避免非法用户访问，避免用户采用非法命令访问。

3，应用加速。Web应用防火墙本身是功能和性能的统一化的产品，功能很强意味着安全检查做得很好。安全性很高会带来一些代价，就是时间延迟的代价，Web应用防火墙通过这种应用加速把这种延迟的代价进行回补，弥补，再进行加速。

也就是说Web应用防火墙在整个用户眼里是透明的，但是它做了两个工作，又检查又加速。

—价值

Web应用防火墙最大的价值不单纯在于它的安全防护，它的价值是一种应用交互的平台。打个比方，企业要上一套ERP系统，基于Web平台的，BS架构的。本来是希望找一个软件供应商三个月做完，需要具备所有功能。开发商所考虑的问题是功能性需求，如果开发商把安全性因素都考虑进来，开发周期至少会延长50%，甚至100%，所以对整个软件交付的周期和成本会非常高。但是有了Web应用防火墙不一样，开发商只要把功能做好就行了，因为前端的阻断功能Web应用防火墙可以帮助企业完成，就是安全性的工作，这样交付周期会提高很快。

第二，系统上线以后可能存在一些功能需求变更，增加新功能要打补丁，就会有新的漏洞出现，意味着要面临新的安全威胁。这个时候Web应用防火墙功能又体现出来，也就是说Web应用防火墙最核心的价值有两块，第一是缩短用户的应用交付时间，二是为用户的应用运维提供一个最低成本的方案。

—行业属性

Web应用防火墙行业属性非常明显，更适合大型企业，或者是政府机构。针对的客户群有两种，第一是针对经济效益，还有机密数据的要求比较高，比如说移动，电信等用户。另外是针对政府和军队，如果说网站被攻击了，可能带来的不是经济上的，是政治上的影响。

何平告诉我们，目前在中国市场上，对Web应用防火墙需求比较明确的客户，包含政府，军队，上市公司，以及银行和电信。另外，高校应用也比较多，教育系统都含有比较敏感的信息，所以教育行业Web应用防火墙部署也很普遍。

拯救你的Web应用

企业选择Web应用防火墙应关注Web应用防火墙本身的功能，及它的可配置性。选择一款功能强大的Web应用安全产品，又可以根据需求开启企业所需的功能是比较适合的。因为企业的应用是变化的，今天的应用仅仅是上一个ERP系统，明天上SCM，后天上CRM，而且可能这三个产品是不同供应商提供的，它的安全级别也不一样。所以Web应用防火墙产品只有功能很强大可配置才能适应企业不同的需求变更。

软件WAF VS 硬件WAF—Web应用防火墙的技术有两种，在产品的表现形式，第一种是纯软件的Web应用防火墙，装到服务器上，放在网关起到过滤作用。但是何平建议，“用户最好选择硬件的系统，硬件是一种专用的网关设备，服务器毕竟是计算平台，不是网络平台。”

有些用户可以选择纯软件的产品，比如企业已经部署好虚拟化平台的，企业的 OA系统、ERP系统，已经完全基于虚拟化平台部署的，这时候选择Web应用防火墙可以考虑买一个虚拟化版本的平台。这样相当于开一个虚拟化机器一样，计算平台和网络平台可以充分利用，只是应用它的功能而已。

Web应用安全策略—对于企业系统应用的用户访问量不是很大，比如系统大概一千多个用户，但是应用很关键，都涉及到企业机密的这些东西，这时候部署Web应用防火墙肯定足够了，因为这种访问量的带宽要求并不高，因为用户数量有限。

但是对用户可能同时在线有几十万，上百万，比如零售、银行这样的网站，这种情况下单纯部署Web应用防火墙的话，相当于用牛刀杀鸡。这种安全性威胁并不大，但是量非常大，最好是在前端部署IPS，后端再加Web应用防火墙。

方案配置—一个产品的方案配置通常是通过三个阶段来完成。第一个阶段，上了Web应用防火墙之后，首先针对后台应用进行扫描，以确定应用存在哪些漏洞。然后生成第一个版本的配置数据，比如如果发现用户校验有问题，那就加强这一块的防护级别，这是第一阶段。第二阶段，听取用户的需求，因为不同的行业，黑客所感兴趣的东西不一样，采用的手段也不一样。把受攻击手段最多的那一块进行优化加强。第三，Web应用防火墙本身是一个技术平台，它是一个基于Web的技术解决方案，针对不同行业防护策略也有差别。防护策略的差别是通过原来最早的自动扫描，加上用户需求，加上Web攻击的属性三个来决定的。

Web应用安全产品走向哪里?

随着对Web应用安全的更加细分，何平认为未来会出现比Web应用防火墙现有的功能需要更细分的一个产品，所以Web应用防火墙可能会演化为两种。第一种是被替代，Web威胁可能越来越细分了，一细分就需要单独的系统去管理。

还有一种，功能会越来越强大，这种功能强大不是单纯本身功能，而是说从一个产品变成一个平台，它会结合很多第三方的资源和专利技术，为用户提供更有针对性的，可定制化的安全解决方案。

梭子鱼的Web应用安全产品已经从原来单纯对整个Web隐身、检查和加速的基础上，增加了一些和第三方的接口，目前大概支持至少十几个不同厂商的更细分的Web安全解决方案。比如和IBM的网站漏洞扫描系统的接口，和RSA的令牌接口等，也就意味着Web防火墙从一个单纯性产品变成一个安全平台了，这种演化的目的是应对更加细致的安全需求。

另外，也有一些共性的趋势。比如是虚拟化，因为大型企业虚拟化的平台部署越来越多，整个Web应用防火墙的解决方案，虚拟化部署的比例会提高。

第三，与云安全技术的结合，以前的Web应用防火墙更多是本地计算，比如说零日攻击，解决问题的同时把这个信息上传到全球的云系统里面去。当另外一台设备发现同样的性能代码的时候，它能扫描以前的阻断方式是什么。Web应用防火墙归纳起来有三个趋势，一个是功能平台化，第二是部署的虚拟化，第三是防护的云化。

记者手记

从中国目前现状来看，Web应用防火墙的市场成长非常快，何平告诉记者，“Web应用防火墙每年平均市场增长率在200%以上。”虽然成长很快，但潜力还有待于进一步挖掘，它的价值还没有充分意识到，尤其是很多企业部署WAF的时候，更多的是简单理解为防护网站，其实WAF最核心的功能是提升用户的应用交付周期，降低成本。

未经允许不得转载：DOIT » 安全分析：拿什么拯救Web时代的安全危机