欢迎来到天天文库
浏览记录
ID:30808921
大小:48.55 KB
页数:6页
时间:2019-01-03
《安全认知:由浅入深讲述web应用防火墙》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、安全认知:由浅入深讲述Web应用防火墙有趣的是,还没有人能真正知道web应用防火墙究竟是什么,或者确切的说,还没有一个大家认可的精确定义。从广义上來说,Web应用防火墙就是一些增强Web应用安全性的工具。然而,如果我们要深究它精确的定义,就可能会得到更多的疑问。因为一些Web应用防火墙是硬件设备,一些则是应用软件;-•些是基于网络的,另一些则是嵌入WEB服务器的。国外市场上具有WEB应用防火墙功能的产品名称就有不同的几十种,更不用说是产品的形式和描述了。它难以界定的原因是这个名称包含的东西太多了。较低的网络层(Web应用防火墙被安
2、置在笫七层)被许多设备所覆盖,每-•种设备都有它们独特的功能,比如路由器,交换机,防火墙,入侵检测系统,入侵防御系统等等。然而,在HTTP的世界里,所冇这些功能都被融入在一个设备里:Web应用防火墙。总体来说,Web应用防火墙的具冇以下四个方Ifli的功能:1.审计设备:用來截获所有HTTP数据或者仅仅满足某些规则的会话。2.访问控制设备:用来控制对WebhV用的访问,既包括主动安全模式也包括被动安全模式。3.架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。4.WEB应用加
3、舌
4、工具:这些功
5、能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。但是,需要指出的是,并非每种被称为Web应川防火墙的设备都同时具冇以上四种功能。由于WEB应用防火墙的多面性,拥有不同知识背景的人往往会关注它不同方而的特点。比如具冇网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的IDS设备;具冇防火墙口身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来口于“深度检测防火墙”这个术语。他们认为深度检测防火墙是-•种和Web应用防火墙功能相当的设备。然而,尽管两种设备
6、有些相似之处,但是差异还是很大的。深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且很好地支持它。直接更改WEB代码解决安全问题是否更好?这是毋庸置疑的,但也没那么容易(实现)。因为,通过更改WEB应用代码是否一定就能增强系统安全性能,这木身就存在争论。而且现实也更加复朵:*不可能确保100%的安全。人的能力有限,会不可避免地犯错误。*绝大多数情况下,很少冇人力求100%的安全。如今的现实生活中那些引领应用发展的人更多注重功能而不是安全。这种观念正在改变,只是冇点缓慢。*一个复杂
7、的系统通常包含第三方产品(组件,函数库),它们的安全性能是不为人知的。如果这个产品的源代码是保密的,那么你必须依赖商品的厂商提供补丁。即使有些情况下源代码是公开的,你也不可能有精力去修正它们。*我们不得不使用存在安全隐患的业务系统,尽管这些旧系统根本无法改进。因此,为了获得最好的效果,我们需要双管齐下:一方而,必须提高管理者和开发者的安全意识;另一方面,尽可能提高应用系统的安全性。Web应用防火墙的特点Web应用防火墙的一些常见特点如下。异常检测协议如果阅读过各种RFC,就会发现一个被反复强调的主题。人多数RFC建议应川自己使川协
8、议时要保导,而对于接受其他发送者的协议时可以自由些。Web服务器就是这样做的,但这样的行为也给所冇的攻击者打开了大门。儿乎所冇的WAF对HTTP的请求执行某种异常检测,拒绝不符合Http标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些WAF还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。增强的输入验证就频繁发牛•的Web安全问题而言,有些是源于对Web设计模型的误解,有些则來自于程序师认为浏览器是可信的。很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览
9、器只是一个用户控制的简单工具,因此攻击者可以非常容易地绕过输入验证,宜接将恶意代码输入到WEB应用服务器。有一个解决上述问题的正确方法,就是在服务端进行输入验证。如果这个方法不能实现,还可以通过在客户和应川服务器之间增加代理,让代理去执行Web页面上嵌入的JavaScript,实现输入验证。消极的安全模型VS积极的安全模型曾经设置过防火墙规则的人,可能会碰到这样的建议:允许己知安全的流量,拒绝具他一切访问。这就是一种很好的积极安全模型。恰恰相反,消极安全模型则是默认允许一切访问,只拒绝一些已知危险的流量模式。每种安全模型方式都存在
10、各自的问题:消极安全模型:什么是危险的?积极安全模型:什么是安全的?消极安全模式通常使用的更多。识别岀一种危险的模式并且配置H己的系统禁止它。这个操作简单而有趣,却不十分安全。它依赖于人们对于危险的认识,如果问题存在,却没有被意识到(这种情况很常见
此文档下载收益归作者所有