Web安全---Web防火墻與掛馬檢查 Jack zhai ? 1、 Web防火墻產(chǎn)品：<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

防止網(wǎng)頁(yè)被篡改與審計(jì)恢復(fù)都是被動(dòng)的，能阻斷***行為才是主動(dòng)型的，前邊提到的IPS/UTM等產(chǎn)品是安全通用的網(wǎng)關(guān)，也有專門(mén)針對(duì)Web的硬件安全網(wǎng)關(guān)，國(guó)內(nèi)的如：綠盟的Web防火墻，啟明的WIPS(web IPS)，國(guó)外的有imperva的WAF(Web Application Firewall)等。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> Web防火墻，主要是對(duì)Web特有***方式的加強(qiáng)防護(hù)，如DDOS防護(hù)、SQL注入、XML注入、XSS等。由于是應(yīng)用層而非網(wǎng)絡(luò)層的***，從技術(shù)角度都應(yīng)該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因?yàn)榇蠹冶容^好理解，業(yè)界流行的稱呼而已。由于重點(diǎn)是防SQL注入，也有人稱為SQL防火墻。 Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，所以HA功能、Bypass功能都是必須的，而且還要與負(fù)載均衡、Web Cache等Web服務(wù)器前的常見(jiàn)的產(chǎn)品協(xié)調(diào)部署。 Web防火墻的主要技術(shù)的對(duì)***的檢測(cè)能力，尤其是對(duì)Web服務(wù)***的檢測(cè)，不同的廠家技術(shù)差別很大，不能以廠家特征庫(kù)大小來(lái)衡量，主要的還是看測(cè)試效果，從廠家技術(shù)特點(diǎn)來(lái)說(shuō)，有下面幾種方式： ?? 代理服務(wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會(huì)話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式防止了***者的直接進(jìn)入，對(duì)DDOS***可以抑制，對(duì)非預(yù)料的“特別”行為也有所抑制。Netcontinuum(梭子魚(yú))公司的WAF就是這種技術(shù)的代表。 ?? 特征識(shí)別：識(shí)別出***者是防護(hù)他的前提。特征就是***者的“指紋”，如緩沖區(qū)溢出時(shí)的Shellcode，SQL注入中常見(jiàn)的“真表達(dá)(1=1)”…應(yīng)用信息沒(méi)有“標(biāo)準(zhǔn)”，但每個(gè)軟件、行為都有自己的特有屬性，病毒與蠕蟲(chóng)的識(shí)別就采用此方式，麻煩的就是每種***都自己的特征，數(shù)量比較龐大，多了也容易相象，誤報(bào)的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長(zhǎng)，安全界聲言要淘汰此項(xiàng)技術(shù)，但目前應(yīng)用層的識(shí)別還沒(méi)有特別好的方式。 ?? 算法識(shí)別：特征識(shí)別有缺點(diǎn)，人們?cè)趯で笮碌姆绞健?duì)***類型進(jìn)行歸類，相同類的特征進(jìn)行模式化，不再是單個(gè)特征的比較，算法識(shí)別有些類似模式識(shí)別，但對(duì)***方式依賴性很強(qiáng)，如SQL注入、DDOS、XSS等都開(kāi)發(fā)了相應(yīng)的識(shí)別算法。算法識(shí)別是進(jìn)行語(yǔ)義理解，而不是靠“長(zhǎng)相”識(shí)別。 ?? 模式匹配：是IDS中“古老”的技術(shù)，把***行為歸納成一定模式，匹配后能確定是***行為，當(dāng)然模式的定義有很深的學(xué)問(wèn)，各廠家都隱秘為“專利”。協(xié)議模式是其中簡(jiǎn)單的，是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來(lái)定義模式；行為模式就復(fù)雜一些， Web防火墻最大的挑戰(zhàn)是識(shí)別率，這并不是一個(gè)容易測(cè)量的指標(biāo)，因?yàn)槁┚W(wǎng)進(jìn)去的***者，并非都大肆張揚(yáng)，比如給網(wǎng)頁(yè)掛馬，你很難察覺(jué)進(jìn)來(lái)的是那一個(gè)，不知道當(dāng)然也無(wú)法統(tǒng)計(jì)。對(duì)于已知的***方式，可以談識(shí)別率；對(duì)未知的***方式，你也只好等他自己“跳”出來(lái)才知道。 “自學(xué)習(xí)”功能的發(fā)展： Imperva公司的WAF產(chǎn)品在提供***防護(hù)的同時(shí)，還提供了另外一個(gè)安全防護(hù)技術(shù)，就是對(duì)Web應(yīng)用網(wǎng)頁(yè)的自動(dòng)學(xué)習(xí)功能，由于不同的網(wǎng)站不可能一樣，所以網(wǎng)站自身頁(yè)面的特性沒(méi)有辦法提前定義，所以imperva采用設(shè)備自動(dòng)預(yù)學(xué)習(xí)方式，從而總結(jié)出本網(wǎng)站的頁(yè)面的特點(diǎn)。具體的做法是這樣的： 通過(guò)一段時(shí)間的用戶訪問(wèn)，WAF記錄了常用網(wǎng)頁(yè)的訪問(wèn)模式，如一個(gè)網(wǎng)頁(yè)中有幾個(gè)輸入點(diǎn)，輸入的是什么類型的內(nèi)容，通常情況的長(zhǎng)度是多少…學(xué)習(xí)完畢后，定義出一個(gè)網(wǎng)頁(yè)的正常使用模式，當(dāng)今后有用戶突破了這個(gè)模式，如一般的帳號(hào)輸入不應(yīng)該有特殊字符，而XML注入時(shí)需要有“<”之類的語(yǔ)言標(biāo)記，WAF就會(huì)根據(jù)你預(yù)先定義的方式預(yù)警或阻斷；再如密碼長(zhǎng)度一般不超過(guò)20位，在SQL注入時(shí)加入代碼會(huì)很長(zhǎng)，同樣突破了網(wǎng)頁(yè)訪問(wèn)的模式。 網(wǎng)頁(yè)自學(xué)習(xí)技術(shù)，從Web服務(wù)自身的業(yè)務(wù)特定角度入手，不符合我的常規(guī)就是異常的，也是***檢測(cè)技術(shù)的一種，比起單純的Web防火墻來(lái)，不僅給***者下“通緝令”，而且建立進(jìn)入自家的內(nèi)部“規(guī)矩”，這種雙方向的控制，顯然比單向的要好。 Citrix公司收購(gòu)了Teros后，推出的應(yīng)用防火墻通過(guò)分析雙向流量來(lái)學(xué)習(xí)Web服務(wù)的用戶行為模式，建立了若干用戶行為模型，一但匹配上你是某個(gè)行為，就按該模式行為去衡量你的行為做法，有“越軌”企圖立即給予阻斷。這個(gè)自適應(yīng)學(xué)習(xí)引擎與Imperva公司的網(wǎng)頁(yè)自學(xué)習(xí)有些類似，不過(guò)一個(gè)重點(diǎn)是學(xué)習(xí)網(wǎng)頁(yè)特點(diǎn)，一個(gè)是學(xué)習(xí)用戶訪問(wèn)的規(guī)律。 從安全角度來(lái)說(shuō)，網(wǎng)頁(yè)自學(xué)習(xí)技術(shù)與***防護(hù)結(jié)合使用，是理想的選擇。 “黑白名單”功能的使用： “黑名單”是明確需要阻斷的訪問(wèn)者，一般來(lái)說(shuō)是有過(guò)不良記錄的外部訪問(wèn)者，或者名聲狼籍的人；“白名單”是需要無(wú)條件信任的訪問(wèn)者。該技術(shù)在互聯(lián)網(wǎng)審計(jì)產(chǎn)品中常用。后來(lái)，由于***者可以采用代理服務(wù)器，IP地址不斷變化；僵尸網(wǎng)絡(luò)的“肉雞”也可能是實(shí)際用戶，采用封鎖IP的方式也越來(lái)越不是辦法。但是內(nèi)網(wǎng)的Web服務(wù)就不同了，由于的內(nèi)部業(yè)務(wù)的用戶是 “可預(yù)知”的，辦公室電腦的IP也是可以固定的，所以白名單技術(shù)在WEB防護(hù)上開(kāi)始大量使用，若與身份認(rèn)證系統(tǒng)連起來(lái)，還可以對(duì)用戶網(wǎng)卡的MAC地址一起綁定，抗欺騙、冒充的能力更為強(qiáng)一些。 很多Web防火墻包含了黑白名單的功能，該功能的使用效果依賴于用戶維護(hù)安全策略的動(dòng)態(tài)更新，需要運(yùn)維人員“比較勤快”，尤其是黑名單的維護(hù)需要?jiǎng)討B(tài)跟蹤網(wǎng)絡(luò)訪問(wèn)者的情況，所以真正能用好該方法的不是很多。 Web防火墻的未來(lái)出路：

有一種說(shuō)法：因?yàn)?/span>Web服務(wù)器前的負(fù)載均衡設(shè)備、Web 加速設(shè)備是不可缺少的，又是Web服務(wù)器群的出口必經(jīng)之路，所以Web防火墻的功能有可能與這些設(shè)備合并。這種發(fā)展趨勢(shì)有些象網(wǎng)關(guān)UTM與單獨(dú)的FW、IPS、AV、***等設(shè)備進(jìn)化發(fā)展一樣，UTM就是這些網(wǎng)關(guān)的集成產(chǎn)品。 但我有一個(gè)不同的看法：UTM部署于網(wǎng)絡(luò)的外連接出口，一般是互聯(lián)網(wǎng)出口，其網(wǎng)絡(luò)安全隔離作用，這里的帶寬價(jià)格昂貴，所以擁有大帶寬的用戶很有限，而Web服務(wù)器群是與網(wǎng)絡(luò)主交換機(jī)連接的，提供的是應(yīng)用處理能力，要求的參數(shù)常是并發(fā)用戶的數(shù)量與在線用戶的數(shù)量，服務(wù)器一般都是千兆接口，目前的交換機(jī)就可達(dá)到幾十個(gè)TB的交換能力，在大流量鏈路上做多功能集成的安全產(chǎn)品，又是應(yīng)用層的檢測(cè)，對(duì)產(chǎn)品的硬件壓力是巨大的，能達(dá)到“線速”流量的產(chǎn)品一定價(jià)格昂貴，因此Web防火墻的這種合并思路是有待商榷的。

?

2、 Web***檢查工具：

Web安全不僅是維護(hù)網(wǎng)站自己安全，通過(guò)網(wǎng)站***用戶電腦的危害也十分棘手。網(wǎng)頁(yè)容易被掛上***，或被XSS***利用，是否有工具可以對(duì)所有的網(wǎng)頁(yè)進(jìn)行安全檢查呢？這里用到了“爬蟲(chóng)”技術(shù)。 “爬蟲(chóng)”技術(shù)最早是搜索引擎“發(fā)明”的，搜索網(wǎng)站放出N個(gè)小“爬蟲(chóng)”，在世界各地的網(wǎng)站上循環(huán)掃描，收集網(wǎng)站上的新信息，建立供世界人民查找的數(shù)據(jù)庫(kù)，這樣大家就可以從Google、百度等搜索門(mén)戶上搜到你想要的任何東東。由于“爬蟲(chóng)”來(lái)自網(wǎng)站外部，可以模擬用戶打開(kāi)網(wǎng)站的實(shí)際效果，所以“爬蟲(chóng)”很快被網(wǎng)站用來(lái)測(cè)試自身性能的“用戶體驗(yàn)”工具，比如網(wǎng)頁(yè)打開(kāi)的速度，用戶互動(dòng)的等待時(shí)間等。作為用戶體驗(yàn)工具，“爬蟲(chóng)”很快也在企業(yè)內(nèi)部網(wǎng)絡(luò)上開(kāi)始流行，關(guān)注用戶感受，是08年開(kāi)始IT領(lǐng)域內(nèi)最流行的開(kāi)發(fā)理念。 所謂“爬蟲(chóng)”就是這樣一些進(jìn)程，按照一定的規(guī)則(橫向優(yōu)先搜索、縱向優(yōu)先搜索)，將網(wǎng)站上所有的頁(yè)面掃描一遍，(你知道很多網(wǎng)站的點(diǎn)擊率飛漲的原因了吧，是有無(wú)數(shù)的小爬蟲(chóng)在工作…)，在對(duì)網(wǎng)頁(yè)上關(guān)心的事情進(jìn)行檢查。由于是以用戶的身份“瀏覽”網(wǎng)頁(yè)，所以沒(méi)有靜態(tài)與動(dòng)態(tài)頁(yè)面的差別。Web***檢查工具就是基于這個(gè)原理開(kāi)發(fā)的，不同于搜索爬蟲(chóng)的是，在網(wǎng)頁(yè)檢查時(shí)，重點(diǎn)查看網(wǎng)頁(yè)是否被掛***，或被XSS利用。因?yàn)榫W(wǎng)站內(nèi)的URL鏈接去向應(yīng)該可追溯的，所以對(duì)XSS的檢查是很有效的。(“爬蟲(chóng)”有些象網(wǎng)頁(yè)防篡改的文件檢查進(jìn)程是吧，不過(guò)一個(gè)是在Web服務(wù)器的內(nèi)部，另一個(gè)是在web服務(wù)器的外部) Web***檢查工具一般作為安全服務(wù)檢查使用，也可以單獨(dú)部署一臺(tái)服務(wù)器，定期對(duì)網(wǎng)站檢查，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)警。該工具目前市場(chǎng)上產(chǎn)品化的還很少，一般是非銷售的，也有些免費(fèi)的類似軟件可以試用，隨著Web服務(wù)在企業(yè)內(nèi)的應(yīng)用增多，該工具可能會(huì)象防病毒檢查工具一樣流行。

總結(jié)

以上是生活随笔為你收集整理的Web安全(下)---主动类安全产品技术分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。