关于天融信


“互联网安全+”企业如何选择WEB应用防火墙

时间:2015-05-08 作者: 来源:

随着互联网及相关服务逐渐向Web应用平台高度集中发展,基于Web应用平台的各类互联网业务也广泛被用于电子政务、电子商务、运营商的增值业务等。Web应用技术的快速发展和广泛应用也引起了攻击者的重视:根据国家互联网应急中心的统计,针对Web业务的攻击近年来开始大幅增加,攻击者们可以取得相关Web应用管理权限,进而窃取商业数据、篡改网页内容。更有甚者,在网页中植入木马,注入恶意脚本,发起跨站脚本或伪造请求等攻击。对于Web应用系统中存在的未知漏洞,Web应用防火墙就显得十分必要了,专业的Web安全防护产品已经成为企业的一种必然选择。

针对上述现状,对于企业来说虽然在互联网时代,传统的安全工具(如防火墙、IDS、IPS)成为整体安全解决方案中不可缺少的重要组成部分,但现在毕竟已经是Web应用时代,传统的安全工具局限于本身的产品定位和防护深度,不能有效的提供针对Web平台攻击的抵御能力。目前,利用网上到处可见的黑客软件,攻击者不需要对网络协议深入理解,即可实现诸如篡改Web网站主页,窃取管理员密码,毁坏整个网站重要数据等攻击。而这些攻击实施过程中发送的网络层数据,和合法数据没有什么差别。

而基于应用层的Web应用防火墙,可以更精确的对Web攻击行为进行深度检测,检测报文里的入侵流量和攻击行为,保障网络的正常运行。同时,基于应用层的入侵检测技术是实现细粒度防御的基础,不但能降低系统的误报率,而且检测准确率也大幅跃升。基于应用层的Web系统提供深度检测模块用于对客户端的请求报文进行规则匹配检测,以阻止类似SQL注入、XSS等攻击方法,并隐藏企业内部Web资源,使黑客和蠕虫程序无法扫描站点中的漏洞,从而减少Web网站成为入侵目标的可能性。

因此,在应用层部署基于HTTP/HTTPS协议的Web深度检测系统,是有效保护政府、企业Web网站和应用安全必然选择和手段,对于保障互联网安全、塑造安全的网络环境具有积极的、深远的意义。

既然Web应用防火墙如此重要,那么用户该如何选择才能找出适合自己的产品呢?有哪些指标应该注重呢?首先,从性能上,Web应用防火墙要有足够的应用层吞吐性能 ,保证不成为Web服务器对外服务的带宽瓶颈,每秒最大HTTP事件处理数,即TPS,该指标主要反映了设备对HTTP事件处理能力;其次,是功能上,Web应用防火墙要求是双向数据检测机制,对进出Web服务器的HTTP/HTTPS相关内容进行深度分析。对于进站流量,可以提供对HTTP请求中URL、表单参数、报头及Cookie等内容的安全检查,过滤其中已被插入数据库命令、查询语句或各种恶意脚本的请求,防止SQL注入、XSS(跨站脚本)等攻击行为。而对于出站流量,需要能通过对HTTP响应报头、HTML内容进行过滤, 实现对服务器返回错误码、银行卡信息等的监控与保护,确保敏感信息不被泄露;最后,就是要有专业的攻击防护库,能够有效的对应对各种恶意扫描、Web系统漏洞。有些厂商具备自主知识产权的攻击检测规则库,对于Web应用防火墙也是十分重要的。比如,天融信的TopWEB产品就采用了天融信安全攻防实验室(TopLabs)自主的规则库,这个规则库通过不断跟踪、研究、分析来发现最新的Web安全漏洞,这样就确保了TopWEB产品拥有准确的检测能力。

未来,“Web应用防火墙”还需要更加智能的判断HTTP/HTTPS协议中数据的指向和关联,能将无序的数据和动作在一个归一化引擎中快速的进行甄别,发现潜在的或者潜伏的攻击威胁行为;另外一方面,需要在“云化”的环境中,灵活的对不同用户的Web安全需求,提供独立的逻辑资源池,来满足日益增长的云端安全需求;最后,就是能使Web安全更加自动化,把事前发现、事中处理和事后防护形成整体的安全闭环,使得智能自学习主动的适应用户的应用环境。