1 WEB应用安全形势
　　1.1 黑客攻击由网络层转向应用层
　　随着互联网技术的迅猛发展，许多用户的关键业务越来越多地基于WEB应用，在通过浏览器方式实现展现与交互的同时，用户的业务系统所受到的威胁也随之而来，并且随着业务系统的复杂化及互联网环境的变化，所受威胁也在飞速增长。主要表现在如下几个层面：
　　一、随着Web应用系统不断地建设及陆续投入运行，这些Web应用程序所带来的安全漏洞越来越多;
　　二、针对使用者安全意识的培养跟不上WEB应用的普及速度，加上WEB应用本身的粗放式特点，使攻击成为了简单的事情;
　　三、目前基于WEB的各种应用直接承载有各类虚拟资产，而这类虚拟资产可以方便的转换为现实经济价值。很显然，此类应用系统将会成为以经济利益为驱动的攻击首选;
　　四、随着技术的不断提高，攻击工具日益专业化、易用化、攻击方法也越来越复杂、隐蔽，防护难度较大、导致各类黑客活动越来越猖獗;
　　然而与之形成鲜明对比的却是：原有安全解决方案无一例外的把重点放在网络层，致使当应用层攻击(如：SQL注入攻击、跨站脚本攻击、恶意代码等等)发生时，传统的网络层安全设备，如防火墙、IDS/IPS等形同虚设，根本无能为力为此作一些措施。在如此众多因素的综合影响下，使得Web应用潜在的隐患轻而易举地暴露在互联网之下,WEB应用系统遭受着较大的威胁。
　　据国家计算机网络应急技术处理协调中心的统计数据显示，2008年中国的互联网安全状况仍不容乐观，各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。中心通过技术平台共捕获约90 万个恶意代码，比去年同期增长62.5%;网页篡改事件和网络仿冒事件同比增长分别是23.7%和38%;木马控制端IP地址总数为280068个，被控制端IP地总数1485868个。
　　攻击者的目标明确、趋利化特点明显，针对不同网站所采用的攻击手段不同，对于政府类或证券类、银行类相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏单位形象，严重的导致网站被迫停止服务。对于个人用户，攻击者更多的是通过用户身份窃取(如：利用间谍软件和木马程序等)手段，偷取用户游戏账号、银行账号、证券交易账号、密码等，窃取用户的私有财产。
　　1.2 WEB应用攻击分析
　　安全威胁的技术根源在于安全漏洞的存在。安全漏洞可能是TCP/IP协议设计之初未考虑安全因素、系统自身存在的bug、Web应用漏洞，也可能是各类配置错误导致。这些安全漏洞为攻击者所利用，用以对应用系统实施各类攻击和破坏。
　　常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历等攻击;二是利用WEB页面自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击(XSS)等。根据OWASP(开放式WEB应用安全组织)2007年上半年发布的10大WEB应用脆弱性排名显示，“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响WEB应用安全的首要问题。
　　常见的针对Web应用的攻击有：
　 跨站脚本(XSS)攻击——插入恶意脚本，用户浏览时会遭受挂马、帐号盗取、强行下载等攻击
　 SQL注入——构造SQL代码让服务器执行，获取敏感数据、篡改数据、破坏数据
　 缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
　 Cookie假冒——精心修改cookie数据进行用户假冒
 认证逃避——攻击者利用不安全的证书和身份管理，绕过认证n　　
　 表单绕过-----攻击者利用后台校验不严格，直接绕过认证进入后台
　 非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据
 强制访问——访问未授权的网页n　　
　 隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序
　 拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问
　　跨站脚本(XSS)：
　　XSS这类漏洞是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”)，然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交代码会被受害用户的浏览器解释执行。攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。
　　XSS漏洞的特点在于对存在漏洞的网站本身并不构成威胁，但会使网站成为攻击者攻击第三方的媒介。
　　后果：
窃取系统敏感数据
 窃取各类应用系统帐号
 篡改后台数据
 删除后台数据
轻松挂马等等
　　SQL注入：
　　SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤，用户提交的数据可能会被用来构造访问后台数据库的SQL指令。如果这些数据过滤不严格就有可能被插入恶意的SQL代码，从而非授权操作后台的数据库，导致敏感信息泄露、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马。
　　几乎所有SQL数据库都是潜在易受攻击的，但需要注意的是，并不是数据库本身存在漏洞，而是互联网网站开发人员在开发页面时，没有遵循安全代码开发的要求所引起的。
　　后果：
 银行等帐号盗取，实现钓鱼攻击
 相关系统帐号盗取　　
 快速传播木马等等
　　1.3 传统安全设备应对应用安全的不足
　　传统的防火墙或IDS产品存在以下不足：
　　 防火墙：
　　不管是硬件防火墙还是软件防火墙主要发挥的是访问控制功能，工作在OSI模型三、四层，基于IP报文进行检测，通过分析，判断相关报文是否为正常的访问请求数据，具体可以实现诸如端口、应用协议等控制，从而实现网络边界的基本隔离和保护。我们往往把它比喻成保安门卫，用于控制什么样的人可以进来，什么样的人可以出去，那扇门是允许进出的等工作。
　　在实际应用过程中，为了确保WEB应用的正常服务能力，防火墙必须对外开启80或443等应用系统相关的网络端口，同时我们会把对外服务的应用系统部署在防火墙的DMZ区，用于与内网的隔离。
　　所以防火墙本身的功能定位，其在实际工作过程中根本不需要理解Web应用程序语言如HTML及ASP等，也无需理解HTTP/HTTPS会话，凡是通过80或443端口进出的数据一律畅通无阻。但是，恰恰相反，目前日趋严重的WEB应用攻击都是被封装在正常的HTTP或者HTTPS流量中，所以传统防火墙根本不可能检测到攻击的发生，更谈不上采取措施实行防御了。
　 IDS类系统
　　最早的IDS，到后来的IPS，到现在的IDP，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量进行实时阻断,系统能够识别和阻断类似蠕虫攻击、端口扫描等攻击行为，其对攻击的识别完全依靠自身的特征库数据。入侵检测类系统可以部署在网络边界处，也往往部署在内网节点。我们往往把它比喻成录像机，用于查看来来往往、形形色色的人所做的事情和动作，如果发生触犯事先规定的事情和动作，将会把他被开除。
　　而对于WEB应用攻击，相对其他层面的攻击其种类和对应变形非常多(比如：SQL注入、跨站脚本(XSS)、表单绕过、COOK注入、恶意文件执行等等)，针对WEB应用攻击如此的复杂化、多样化，入侵检测防御系统能够发挥的作用很小很小。

　　2 安全需求分析

　　2.1 WEB系统本身的重要性

　　当今互联网时代的到来，促使WEB应用系统成为了非常普遍及依赖性逐步增强的基础应用。WEB应用系统的重要性在快速提升，然而随着国内网络安全形势的不断变化，WEB应用系统所受的相关安全问题也越来越严重。

　　根据CNCERT/CC(国家互联网应急中心)最新发布的2008年网络安全工作报告显示，我国网络安全问题依然严峻。网络攻击的频次、种类和复杂性均比往年大幅增加，遭入侵和受控计算机数量巨大，潜在威胁和攻击力继续增长，信息数据安全问题日益突出。与此同时，大量WEB应用系统被黑客入侵和篡改，甚至被植入木马攻击程序，成为黑客的得力工具。利用WEB应用系统操作系统的漏洞和WEB服务程序的跨站漏洞(XSS)、SQL注入漏洞等，黑客能够得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码(俗称“网页挂马”)，使得更多WEB应用系统访问者受到侵害。网页挂马是黑客最喜欢的木马散播方式。

　　WEB应用系统已经成为综合性的服务平台，一则本身WEB应用系统的稳定运行是基础，需要防范由于遭受攻击导致系统无法运行、无法提供基本服务的情况。二是防止黑客通过挂马、跨站攻击(XSS)等方式实现对访问WEB应用系统的投资者实行攻击。

　　2.2 监管要求

　　国家、各省、各地市针对WEB应用系统内容的监管保障都提出了明确的要求，都拟定了针对互联网不良信息的处理意见。公安、信息化管理部门等开展有不定期的不良信息检查工作，一旦发现存在不良信息，监管部门依据相关条例进行处置，轻则责令整改，重则要求强行关闭。所以，作为对外服务的WEB系统，一定要防止WEB应用系统上出现违规信息，重点防范黑客通过攻击实现网页篡改，从而发布藏毒、法论功、色情等不良信息。如此，WEB应用系统信息内容除了正确性、严肃性要求之外，同时也要符合国家相关条例要求，不能够因为内容不合规给单位带来巨大的风险。


　　3 具体解决方案

　　网站系统基本的组成为网站代码和后台数据，在系统结构方面由WEB服务器和数据库服务器构成，所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。

　　从整体的应用安全防护角度出发，通过网站的整体安全检测、主动防御、监控审计三部分的全面部署，是网站系统的应用安全配置达到比较高的水平，促使网站系统运行在比较安全的应用环境。

　　所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成，从各个层面和各个角度为网站系统建立立体防御体系。

　　网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描，快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点，根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统，快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患，通过有效应对，尽可能防范通过各种途径对后台数据的入侵。

　　主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求，识别各类恶意访问和攻击，实行阻断且快速报警，并形成日志。通过防篡改子系统的防护，可以保护网站相关页面不被篡改，杜绝非法内容的外流，防止由于网页篡改给单位带来的形象上及经济上的损失。

　　监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据，实现对网站访问进行7x24小时实时监控，通过系统可以一目了了的了解网站被访问的情况，一旦检测到异常访问和攻击行为，系统会及时报警，并且以各种方式通知网站维护员，从而可以在第一时间采取相关安全应急措施。系统的日志功能，为安全审计提供了基础，日志信息包括详细的访问信息及访问内容，为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问，除了日常的SQL，还包括通过FTP、TELNET等其他的访问方式，可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

　　
　　4 新型WEB安全利器-WEB应用防火墙介绍

　　让人们逐步把视角转向WAF的主要有两个因素，一个是WEB应用攻击带来的破坏性，二是目前WEB应用系统的重要性。

　　互联网信息技术的发展引发了全世界的变革，同样也变革了中国社会，其快速改变了中国人的生活方式和工作方式。网银系统、电信类网上营业厅、电子商务交易平台等等已经成为了人们生活不可缺少的组成部分，而与此同时，随着应用系统承载的无形虚拟资产的快速增长，不管现在还是将来，根本无法用数字来统计和分析最终在WEB应用系统中存放的资产价值。

　　所以，WEB应用系统的重要地位及保护WEB应用系统的意义可想而知。

　　目前类似支付卡行业数据安全标准(PCI DSS)，明确要求需要通过部署WEB应用防火墙来实现对网银系统的保护，从而保护相关的支付卡数据。随着安全技术的发展及各个层面对安全的要求(等级保护)，类似证券行业、电子商务行业、期货行业等都将会把对WEB交易系统的安全保障工作作为整个信息安全非常重要的一部分来开展。

　　从WEB应用系统的本身技术环境及安全要求出发，我们认为WEB应用防火墙具有一下特性：

　　(1).深入理解HTTP/HTTPS。WAF必须全面深入分析和解析HTTP协议，这个是基础。

　　(2).非常强的保护技术。除了能够抵御各类日常的WEB应用攻击(SQL注入、跨站、隐藏字段攻击等等)，同时还要提供暴利破解攻击防御、限制会话攻击防御、COOK保护等功能，从各个细节负面保障HTTP/HTTPS通讯过程是安全的。

　　(3).策略管理。WAF系统应该提供强大策略管理功能，可以方便的弃用某些自动生成的策略，可以方便的修正误判，可以为不同的应用定制不同的策略，可以定制攻击的特征及其响应事件，可以将探测和阻断结合起来等等。目的是能够灵活地使用好WAF系统，满足多种多样的用户环境。

　　(4).多重检查技术：诸如提供主动安全模式和被动安全模式等多重检查技术。

　　(5).性能要求：由于系统承担着HTTP/HTTPS的解包分析工作，所以系统必须具有强大的性能支撑，不能够出现因为分析不过来造成分析错误或者影响应用。