WEB应用防护

1. WEB应用防护(WAF)工作原理

现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立内部的业务应用系统，都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台。然而，随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，他们针对Web网站和应用的攻击愈演愈烈，频频得手。根据 Gartner的最新调查，信息安全攻击有75%都是发生在Web应用层面上。

即便很多客户在WEB服务器前端部署了防火墙和IDS/IPS产品，但仍然不得不允许一部分的通讯经过防火墙，毕竟 Web 应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是Web应用必须的80和443端口，是一定要开放的。端口可以顺利通过的这部分通讯，这些数据通讯可能是善意的，也可能是恶意的，很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏 Web 应用中的重要信息。

Web应用系统有着其固有的开发特点：经常更改、设计和代码编写不彻底、没有经过严格的测试等，这些特点导致Web应用出现了很多的漏洞。另外，管理员对Web服务器的配置不当也会造成很多漏洞。

目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种，常见的攻击手段包括：注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括：非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。

如上图所示:WAF主要提供对WEB应用层数据的解析，对不同的编码方式做强制的多重转换还原成攻击明文，把变形后的字符组合后再进行分析，成而达到较好地抵御来自WEB层的组合攻击。其主要的算法为基于上下文的语义分析。

通过WAF的部署可以从事前、事中、事后三个方面实现对WEB系统的全方位保护。

（1）事前

WAF提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。

（2）事中

WAF能对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。

（3）事后

针对当前的安全热点问题如:网页篡改及网页挂马等级攻击，WAF能提供诊断功能，降低安全风险，维护网站的公信度。

2. WAF策略规划

* 网页篡改在线防护

按照网页篡改事件发生的时序， WAF提供事中防护以及事后补偿的在线防护解决方案。事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS等）。事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行短信告警，对外仍显示篡改前的正常页面，用户可正常访问网站。

* 网页挂马在线防护