當前位置:首頁 > 通信技術(shù) > 通信技術(shù)
[導讀]近幾年,Web應用日益普及,有關(guān)Web方面的安全問題也在與日俱增。伴隨基于Web應用和數(shù)據(jù)庫架構(gòu)的應用系統(tǒng)逐漸成為主流,廣泛應用在企業(yè)內(nèi)部和外部的業(yè)務系統(tǒng)中,企業(yè)借助Web應用使得業(yè)務快速發(fā)展,與此同時黑客也在關(guān)

近幾年,Web應用日益普及,有關(guān)Web方面的安全問題也在與日俱增。伴隨基于Web應用和數(shù)據(jù)庫架構(gòu)的應用系統(tǒng)逐漸成為主流,廣泛應用在企業(yè)內(nèi)部和外部的業(yè)務系統(tǒng)中,企業(yè)借助Web應用使得業(yè)務快速發(fā)展,與此同時黑客也在關(guān)注Web應用所帶來的財富,目前常見的網(wǎng)絡攻擊大多數(shù)都是針對應用自身的弱點,其中最常用的攻擊技術(shù)就是針對Web應用的SQL注入和跨站攻擊。而且黑客通過相應的攻擊工具可以輕松實現(xiàn)入侵,并可直接實現(xiàn)篡改頁面內(nèi)容,甚至進入數(shù)據(jù)庫修改內(nèi)容等等。隨著Web應用的攻擊增多同時大范圍刺激了Web應用防火墻市場的增長。

Web應用防火墻根源追溯

國外市場上具有Web應用防火墻功能的產(chǎn)品名稱就有不同的幾十種,更不用說是產(chǎn)品的形式和描述了。它難以界定的原因是這個名稱包含的東西太多了。較低的網(wǎng)絡層(Web應用防火墻被安置在第七層)被許多設(shè)備所覆蓋,每一種設(shè)備都有它們獨特的功能,比如路由器,交換機,防火墻,入侵檢測系統(tǒng),入侵防御系統(tǒng)等等。然而,在HTTP的世界里,所有這些功能都被融入在一個設(shè)備里:Web應用防火墻。

Web應用防火墻位于Web客戶端和Web服務器之間,分析應用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預先定義好的安全策略的行為。安恒信息Web應用安全綜合解決方案就是基于Web應用防火墻的基礎(chǔ)上,從而實現(xiàn)事前預防監(jiān)測、事中防護及事后追溯的完整防御方案。Web應用防火墻作為一種專業(yè)的Web安全防護工具,基于對HTTP/HTTPS流量的雙向解碼和分析,可應對HTTP/HTTPS應用中的各類安全威脅,如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站腳本攻擊等,能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題,充分保障Web應用的高可用性和可靠性。

Web應用防火墻的價值

Web價值重點體現(xiàn)在Web 2.0的時代時,我們所面臨的安全威脅主要源自網(wǎng)站被黑或者網(wǎng)站被篡改,因此網(wǎng)頁防篡改技術(shù)得到成長并大量使用。應用推運系統(tǒng)架構(gòu)革新,而系統(tǒng)架構(gòu)的和革新推動安全技術(shù)的發(fā)展。Web應用防火墻也不例外,也是在現(xiàn)有Web防護技術(shù)力日益無法滿足業(yè)務的新需求時誕生的。

安恒信息產(chǎn)品經(jīng)理楊勃表示,如果說防篡改軟件是一種基于文件管理的被動辦法,那么Web應用防火墻則是從安全的本質(zhì)出發(fā),對威脅進行主動防御,并對Web應用進行性能優(yōu)化的最佳方案。簡單將防篡改軟件理解為是文件恢復管理,而Web應用防火墻則是分析處理不安全的訪問行為,這些不安全的行為包括網(wǎng)頁篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國Web應用環(huán)境下的Web應用防火墻通常也會具有網(wǎng)頁防篡改的客戶端,功能和市面的網(wǎng)頁防篡改軟件幾乎相同。

Web應用防火墻以獨立的硬件網(wǎng)關(guān)存在,其部署和使用過程中不需要對原有的Web服務器作任何的調(diào)整,并且Web應用防火墻本身支持多種部署方式,例如透明網(wǎng)橋模式的部署不需對網(wǎng)絡進行任何調(diào)整。

Web應用防火墻與傳統(tǒng)防火墻及IPS的區(qū)別

傳統(tǒng)的網(wǎng)絡防火墻作為訪問控制設(shè)備,工作在OSI1-4層,基于IP報文進行狀態(tài)檢測、地址轉(zhuǎn)換、網(wǎng)絡層訪問控制等,對報文中的具體內(nèi)容不具備檢測能力。因此,對Web應用而言,傳統(tǒng)的網(wǎng)絡防火墻僅提供IP及端口防護,對各類WEB應用攻擊及變形缺乏深度防御能力。Web應用防火墻主要致力于提供應用層保護,通過對HTTP/HTTPS及應用層數(shù)據(jù)的深度檢測分析,識別及阻斷各類傳統(tǒng)防火墻無法識別的Web應用攻擊。

與IPS相比Web應用防火墻可謂是專注于Web應用的IPS,與傳統(tǒng)的IPS不同,Web應用防火墻在特征匹配方面的粒度更細,至少可以精確到如下幾個節(jié)點:

·對協(xié)議的全面理解以及協(xié)議規(guī)范性檢查

·請求頭關(guān)鍵字段的識別和特征匹配,從而降低誤判

·響應頭敏感信息的處理防止服務器指紋泄露

·響應體特征匹配,屏蔽敏感信息泄露

·針對單個請求,基于單個URL的匹配最大程度確認業(yè)務系統(tǒng)的可用性

標準的Web應用防火墻應該具備哪些功能

楊勃介紹到,一個標準的Web應用防火墻應該具備以下四個方面的功能:

深度安全防護——對Web應用實施全面、深度防御,能夠有效識別、阻止日益盛行的Web應用黑客攻擊,還要對數(shù)據(jù)泄密具備監(jiān)管能力,可以進行IP審計。

協(xié)議規(guī)范性檢查——通過HTTP協(xié)議規(guī)范性檢查可以實現(xiàn)Web主動防御功能,如請求頭長度限制、請求編碼類型限制等從而障蔽了大部分非法的未知攻擊行為。

WEB應用加速——對防護的網(wǎng)站進行加速,通過對靜態(tài)文件的緩存技術(shù),動態(tài)請求的TCP連接復用技術(shù)實現(xiàn)了網(wǎng)站訪問速度的提升。

站點訪問審計——對網(wǎng)站的訪問情況進行統(tǒng)計分析呈現(xiàn)即時訪問量趨勢圖、用戶最關(guān)注的網(wǎng)頁、訪問者最集中的地市區(qū)域等信息,便于分析網(wǎng)站的業(yè)務模塊的訪問情況,并為業(yè)務功能的價值提供評價參考。

安恒信息Web應用防火墻發(fā)展歷程

Web應用防火墻技術(shù)架構(gòu)上最佳方案是采用代理技術(shù)實現(xiàn),然而標準的代理技術(shù)應用到Web應用防火墻時卻存在一個先天的不足。代理技術(shù)會中斷業(yè)務請求,因此部署Web應用防火墻需要調(diào)整現(xiàn)有業(yè)務架構(gòu)或網(wǎng)絡數(shù)據(jù)走向。另一方面代理技術(shù)存在性能瓶頸,難在勝任大型的業(yè)務系統(tǒng)。

安恒信息采用內(nèi)核級代理技術(shù)解決了部署全透明和性能兩個技術(shù)瓶頸,是國內(nèi)首創(chuàng)的全透明Web應用防火墻,并成功應用于諸多網(wǎng)上銀行、運營商BOSS系統(tǒng)、電子政務等核心業(yè)務系統(tǒng)。

Web應用防火墻采用基于特征庫的防御技術(shù)進行防護,而特征庫技術(shù)只能解決通用的,已知的攻擊行為。而Web應用系統(tǒng)千差萬別,僅采用通用特征庫不僅防護效果不佳,而且可能會因為代碼的原因?qū)е抡`判,從而影響業(yè)務系統(tǒng)的可用性。因此安恒信息Web應用防火墻中加入了異常檢測引擎用于提高防護能力,降低誤判率。異常檢測技術(shù)可以用一個下面這個例子進行說明:

安全檢測好比閉路電視監(jiān)控系統(tǒng),基于特征的檢測技術(shù)即通過行人的身高、體重、外貌進行檢測,然后通過X光機檢測身上是否帶了已知的不安全裝備。而異常檢測則是通過對人的行為特征進行分析,例如一個人進門時身帶了一個手擰包,而走到大廳后將手擰包放下,人離開。針對這種特為將為觸發(fā)報警動作。

異常檢測到Web安全檢測中主要用于補償特征庫的短板,可以有效的防御未知攻擊、盜鏈行為、應用DDOS攻擊等。

安恒信息明御Web應用防火墻發(fā)展歷程:

2007年發(fā)布國內(nèi)首款透明代理Web應用防火墻引領(lǐng)Web應用防火墻行業(yè)的發(fā)展 2008年明御Web應用防火墻廣泛應用于政府、企事業(yè)單位的門戶網(wǎng)站防護 2008年明御Web應用防火墻以國內(nèi)首款應用于金融行業(yè)核心交易系統(tǒng) 2009年發(fā)布多核高性能Web應用防火墻成為國內(nèi)首款并發(fā)超過10萬的Web應用防火墻 2009年明御Web應用防火墻成功應用于國內(nèi)流量最大的移動網(wǎng)上營業(yè)廳 2010年明御Web應用防火墻成功入圍中央政府采購協(xié)議供貨商 2010年受公安部三所委托起草《公安部信息安全檢測中心Web應用防火墻檢測標準》 2010年明御Web應用防火墻被國際權(quán)威咨詢機構(gòu)Frost & Sullivan評選為亞太區(qū)Web應用防火墻市場占有率前三強 2011年受國際OWASP組織委托起草《OWASP Web應用防火墻檢測基準》 2011年受中國信息安全認證中心委托起草《中國信息安全認證中心Web應用防火墻檢測標準》

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉