WAF解决Web安全问题的探讨与研究

蔡泽利

琼台师范高等专科学校信息技术系，海南海口 571100

0 引言

目前Web 已成为一种普适平台，很多政府部门、高校、企业都将大量应用架设在 Web 平台上，如电子政务，电子商务、教学管理系统、网上银行等。Web 业务的迅速发展引起了黑客的关注，从而将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。WAF的出现，能很好的解决Web应用的安全问题。

1 入侵防御系统（IPS）防护原理

IPS根据报头和流信息，对每个数据包进行分类，然后利用相关的过滤器检查数据包的流状态信息，如果符合事先设定好的安全策略，该数据包将会被标为命中并丢弃。

IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出已知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IPS不能有效的防护。

2 Web应用防火墙简介

Web应用防火墙（Web Application Firewall，简称：WAF），有硬件Web应用防火墙和软件Web应用防火墙之分，一些是基于网络的，另一些则是嵌入Web服务器中的。用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，Web应用防火墙工作在应用层（传统防火墙工作在网络层)(如图2），通过对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断。

对于网络攻击事件，我们可以分为三个时间段：事前、事中、事后。传统的IPS通常只能对事中进行有效的检查和防护，WAF不仅能对事中进行防护，还能对事前进行预防和事后防篡改、数据恢复。（如图1）

图1

WAF在事前通过主动扫描检测Web服务器来发现漏洞并修复漏洞或在防护设备上添加防护规则等预防事件的发生。事后通过网页防篡改功能，保护网站数据的完整性。

WAF在事中对Web应用流量进行全部层面的监管，针对IPS存在无法对报文编码做多重转换的问题，WAF能对不同的编码方式做强制多重转换还原成攻击明文，把变形后的字符组合后再分析。所以WAF在实时防护方面，相对IPS而言更有针对性。

3 WAF在解决Web安全问题中的典型应用

3.1 防止跨站脚本攻击

跨站脚本攻击（也称为XSS）是指攻击者利用网站漏洞在链接中插入JavaScript、VBScript、 ActiveX或Flash等恶意代码，然后将该链接进行编码欺骗用户，当用户在网站中点击该链接时，通过发送一个包含恶意代码的页面给用户，盗取用户信息。跨站脚本攻击主要针对动态站点，不影响静态站点。针对XSS攻击恶意代码大量出现，WAF通过验证所有输入数据的长度、类型、语法以及业务规则，阻止各种恶意的脚本插入,防范XSS攻击。

3.2 防护SQL注入

SQL注入是指通过把恶意的SQL命令插入到Web表单递交或页面请求的查询字符串中，欺骗服务器执行，从而窃取或修改数据库中的数据。

WAF通过检查应用流量，侦测HTTP请求中是否混杂着有危险的数据库命令或查询语句被插入到URL, header及form中，并过滤恶意SQL命令，如果发现对网页进行任何形式的非法操作，如添加、修改、删除等。则立即进行保护和恢复数据，并形成详细的日志信息，然后对管理员进行短信告警，并且对外仍显示篡改前的正常页面，用户可正常访问网站。由于程序员在编写代码时，没有对用户输入的合法性进行判断，所以用户可以通过提交一段数据库查询的代码，然后根据程序返回的结果，获得一些敏感的信息，WAF通过中止所有的会话，让用户无法直接连接到web服务器上，无法直接访问服务器和操作系统。针对应用的异常信息WAF可以使用自定义的错误信息对原始错误信息进行包装，阻止后端服务器的出错信息直接返回给用户，避免攻击者从返回的错误信息中获得敏感信息。

3.3 防止缓冲溢出攻击

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。缓冲区溢出攻击就是利用缓冲区溢出漏洞所进行的攻击。缓冲区溢出中，最为危险的是堆栈溢出，攻击者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转并且执行一段恶意代码，甚至可以取得系统特权，进行各种非法操作。WAF可以根据用户应用需求设定和限制数据边界条件，确保WEB服务器安全。

3.4 防止日志篡改

攻击者在完成攻击后，都会通过删除日志以掩盖其攻击痕迹或改变Web处理日志。WAF可以通过检查应用流量，防止带有日志篡改的应用访问。

3.5 防止HTTPS类攻击

由于现在大多数主流电子邮件服务和网上银行程序都是依靠HTTPS来确保用户浏览器和服务器之间的安全通信。攻击者可以通过对SSL连接进行劫持，实施中间人攻击。WAF通过支持用户上传HTTPS证书，在WAF进行第一轮认证，并对应用流量进行解密和侦测，对HTTPS类的所有攻击进行有效的拦截和防御。

4 结论

Web应用层威胁正在日益加剧，WAF在具体防护方面的优势十分明显，各企业为Web服务器部署Web应用防火墙也越来越多，但是只有根据自身的Web应用定制符合自己的网络安全防护策略，并且定期检查更新策略，才能确保Web应用得到最完善的保护。

[1]Web应用防火墙(WAF)的安全原理与技术分析[EB/OL].http://netsecurity.51cto.com/.

[2]秦波.WAF vs IPS 谁更适合防护Web应用[EB/OL].http://netsecurity.51cto.com/.