Web應用防火墻測試技術的研究

樂幫

摘要：隨著Web的不斷普及，對Web的攻擊也在一定程度上爆發了，所以對Web服務進行保護，不讓其受到攻擊就成了網絡安全領域研究的一個重點。網絡安全的傳統設備一般就是基于數據包進行檢測，在OSI模型的傳輸層以及網絡層進行工作，在應用層上，對Web不能進行有效的保護。本文針對目前的Web應用的安全問題，以及目前的一些網絡安全的產品進行了一定的分析，提出Web應用防火墻技術，它對于Web應用程序的保護，可以起到一定的作用，同時，也簡單介紹了Web應用防火墻的工作原理，對它的組成模塊還有檢測技術也進行了一定的描述。

關鍵詞：Web應用;防火墻技術;檢測技術

引言：隨著科學技術的不斷發展，Web應用也在不斷普及和發展，同時，Web安全的問題也更加凸顯，由于各種針對Web應用的攻擊所造成的危害越來越嚴重，所以必須要加強Web應用對惡意攻擊的抵御能力，Web應用防火墻就由此誕生[1]。跟傳統的防火墻以及入侵的防御系統相比，Web應用防火墻不再是在傳輸層和網絡層進行工作，它是直接在應用層上進行工作，一般情況下是部署在Web服務器的前端，然后專門針對HTTP/HTTPS執行相應的安全策略，從而達到維護Web應用安全的目的。

一、Web應用防火墻的概念

從廣義上講，Web應用防火墻是一種入侵防御系統，主要面向Web應用，同時它也集成了硬件架構以及虛擬化軟件，對各種進行攻擊行為進行深層的探測，然后阻止這類攻擊Web應用的行為。從狹義上來說，Web應用防火墻它是屬于一種軟硬件設備，是針對Web應用的安全進行防護的設備，主要是對XML攻擊還有SQL注入，以及XSS攻擊這幾類行為進行防護。

二、Web攻擊和Web應用防火墻技術

和傳統的攻擊一樣，Web攻擊也可以分為信息竊取、惡意掃描以及會話劫持等。但是與傳統的攻擊不同的是，Web攻擊的攻擊對象不再是像操作系統還有一些比較底層的組件，它是直接對Web應用程序的應用層進行攻擊，攻擊方式一般有SQL注入、惡意上傳以及信息泄露等。

Web應用防火墻，它是對Web服務器應用層的入侵進行防御，對入侵防御系統以及防火墻這些安全設備的缺陷進行了彌補。Web應用防火墻在Web服務器還沒有獲取網絡數據包的時候，就深入檢查數據包，然后對訪問進行辨認，分辨出究竟是惡意的攻擊還是正常的訪問，對于惡意的攻擊，就會將其剔除，從而達到保護Web服務器的目的。Web應用防火墻通常有三個模塊：規則策略模塊、入侵檢測模塊，以及防護模塊。

（一）規則策略模塊

規則策略模塊是Web應用防火墻檢測和過濾惡意流量的依據，這個模塊就相當于傳統防火墻中的規則表。規則策略對有害的行為和惡意的代碼進行識別，通常是利用邏輯去描述以及判斷是否描述合法的行為以及代碼，然后就形成了黑名單還有白名單，Web應用防火墻的規則集就是黑白名單。黑名單，就是把有害的惡意流量列出來，然后Web應用防火墻將這些惡意流量列進黑名單就可以進行正常的訪問，不過，對于那些未知的威脅，黑名單也是束手無策[2]。白名單和黑名單相反，它是認為除了合法的行為之外，其他的行為都是非法的，將合法的行為也列個表，在表里面的才能進行訪問，不在表里的就不能進行訪問，這種方式對Web服務器的確起到了一定的保護作用，但是也會有一些合法的用戶的訪問被拒絕。

（二）防護模塊

Web應用防火墻在檢測到那些入侵的行為之后，做出的有效防御行為就是防護模塊。Web應用防火墻在遭到惡意的攻擊過后，就可以進行斷開鏈接或者是進行重置鏈接，對惡意的用戶進行封鎖等，對Web服務器的安全，切實起到保護的作用。

（三）入侵檢測模塊

Web應用防火墻的入侵檢測模塊對輸入以及輸出的信息流進行處理，對于那些發到Web應用的數據，入侵檢測模塊都會進行分析以及檢測。Web應用防火墻的入侵檢測方法，它和IPS是比較相似的，不過在處理的協議方面有一定的區別，Web應用防火墻只要對HTTP以及HTTPS這兩個協議進行處理，而IPS則需要對很多的協議進行處理。

三、Web應用防火墻中的安全檢測技術

所謂安全檢測技術，就是對那些入侵的行為進行識別并報警的技術，這個識別可以是在入侵后，也可以是在入侵前。安全檢測技術可以檢測出非授權的行為，同時還可以對信息系統的運行狀態進行檢測，對那些存在攻擊威脅的行為都可以及時發現，并及時進行阻止。現在Web應用防火墻的產品種類有很多，這些產品的安全檢測手段也是各不相同的，主要有基于自學模型的檢測，基于算法模型的檢測以及雙向檢測三大類。

（一）基于自學模型的檢測技術

基于自學模型的檢測技術，包括Web應用網頁的學習、Web服務的學習以及真實流量的檢測，把數據樣本通過合法的方式形成規則集，從而對Web應用起到安全防護的作用。Web應用網頁的自學技術，偏向于學習網頁的特點，從Web服務來進行異常的檢測，在學習過后，對這個網頁的使用模式進行定義。如果出現了違反這個模式的用戶，那么Web應用防火墻就會對該用戶的行為及時進行阻斷[3]。而Web服務的自學技術，它偏向于對用戶訪問的規律進行學習，針對Web應用服務，建立一定數量的用戶行為的模型，然后再根據用戶的具體行為，和這個用戶行為的模型進行對比，假如有不正常的行為，就會立馬進行處理。

（二）基于算法的檢測技術

基于算法的檢測技術，它在很大程度上可以對基于自學模型檢測技術的缺陷進行彌補，比如在資源消耗上，基于算法的檢測技術就比基于自學模型檢測技術要節省很多。基于算法的檢測技術可以對攻擊手法進行分析，也可以對網絡數據進行實時分析，然后在Web應用防火墻的設備內部，去構建出一個虛擬機，對攻擊的行為進行模擬。所以，基于算法的檢測技術，它對各種攻擊Web應用的行為都能進行檢測以及防御，能夠有效地解決這些攻擊行為帶來的危害。通過這項技術，Web應用防火墻檢測Web的攻擊行為的效率大大提高，而且錯誤的概率也非常低，因此，消耗的系統資源就會很少。

（三）雙向檢測

雙向檢測技術，它是基于已知攻擊方式，然后去建立黑名單規則庫，再對訪問的行為進行特征匹配，對攻擊的行為可以做到地識別[4]。當前很多的Web應用防火墻采用的都是雙向檢測技術，雙向檢測技術是通過將Web應用防火墻產品作為一個中間環節（Web客戶端還有服務器端的中間環節），在Web服務器的前端部署雙向檢測技術，通過一定的解析、判重，以及對HTTP的請求以及應答進行理解，對HTTP流量進行檢測，再和內置的規則庫匹配，不正規的就要進行阻斷。這個檢測技術的特點就在于建立了雙向檢測的模型，這個模型出現的方式是規則庫，假如出現在規則庫中匹配的攻擊行為，那么它就能很快進行識別并且報警。目前很多的Web攻擊，都是可以使用這種檢測方式來進行檢測以及防護。不過這種檢測方式也存在一定的缺點，就是對那些攻擊特征不是很明顯的行為，不能做出及時有效地判斷，所以就會導致漏報以及錯報的情況出現。

四、結語：

Web應用防火墻技術的出現，是為了保護Web服務器，讓其不再受到惡意的入侵還有攻擊，在很大程度上，對傳統的網絡層安全設備的不足之處進行了彌補。隨著科學技術的不斷發展，Web應用的安全問題也日益突出。因此，我們要重視網絡安全的防護工作，對保護系統進行不斷地改進還有完善，推動網絡安全進一步發展。

參考文獻：

[1]?? 李雪，唐文.一種新的Web應用防火墻的自學習模型[J].小型微型計算機系統，2014.

[2]?? 姚琳琳，何倩.基于分布式對等架構的Web應用防火墻[J].計算機工程，2012.

[3]?? 王字，陸松年.Web應用防火墻的設計與實現[J].信息安全與通信保密，2011.

[4]?? 李莉，翟征德.一種基于Web應用防火墻的主動安全加固方案[J].計算機工程與應用，2011.