WEB应用防火墙的应用及安全性分析
- 格式:doc
- 大小:115.00 KB
- 文档页数:4
WEB应用防火墙的应用及安全性分析
作者:陈九忠王皓
来源:《电子技术与软件工程》2013年第20期
摘要在介绍Web应用防火墙的基础上,提出了具体的设计方案。
随后分析了Web应用防火墙的安全性并对其进行了测试。
最后通过与其他防护系统的对比,论述了Web应用防火墙在Web应用防护方面的技术优势。
【关键词】Web服务器安全防火墙
1 引言
随着Internet的不断发展,如何加强Web服务器的稳定性,增强对黑客入侵的抵抗能力越来越重要。
当然,Web服务器安全是个很大的范畴,文章仅仅讨论构建Web防火墙。
2 WEB应用防火墙的具体结构设计
2.1 WEB应用防火墙的部署方式
本文所用的Web服务器防火墙是网神SecWAF 3600 WEB应用防火墙。
本系统有两台独立运行的Web服务器,根据实际情况采用透明代理模式。
结构如图1:
2.2 网络配置
网络配置主要描述本设备的网络工作模式以及网络方面的配置方法。
VLAN可以绑定端口和以太网通道,VLAN内部进行二层交换,VLAN之间进行三层路由。
在VLAN之上可以配置IP业务,比如ARP,IP地址,路由等。
3 WEB应用防火墙的安全性防护方案
WEB应用防火墙的安全性防护方案主要分为事前评估、事中防护、事后弥补。
3.1 事前评估
在每次“攻击事件”发生前期,网站会被扫描软件进行扫描,当扫描软件扫描出网站漏洞后,黑客会使用网站漏洞对网站发起攻击。
Web应用防火墙就是根据这类事件现象,对网站代码漏洞进行扫描,在“攻击事件”来临前对网站进行评估,提醒用户提高安全意识。
3.2 事中防护
Web应用防火墙针对SQL注入、信息泄露、扫描器、网络爬虫等做出了Web应用防火墙的Web防护特征库。
Web应用防火墙深入理解HTTP和HTTPS协议,提高网站的兼容性。
对于黑客使用“洪水攻击”,Web应用防火墙开发了DDoS防护模块,针对流量峰值和平均值进行限制,防止黑客使用“洪水攻击”攻击网站服务器,避免网站服务器出现高负荷宕机现象。
3.3 事后弥补
Web应用防火墙针对网页防篡改提出一套自主开发防护措施,根据等级保护、分级保护的要求,Web应用防火墙推出了内核控制、本地备份、异地备份多种安全组合模式。
4 系统测试
4.1 测试环境
如图3所示为SecWAF网络测试拓扑图。
WAF串联在Web应用服务器之前,交换机之后。
管理口连接交换机。
4.2 网页防篡改测试
4.3 DDos测试(cc攻击)
相关测试还有很多,本文只列举了几个较为典型的测试加以论述。
5 与传统防火墙和入侵保护系统的对比
5.1 传统防火墙的局限
传统防火墙的不足主要体现在:
首先,传统的防火墙主要工作在OSI模型三、四层,基于IP报文进行检测。
它就无需理解Web应用程序语言如HTML、XML,也无需理解HTTP会话。
这样,恶意的攻击流量就可将封装为HTTP请求从80或443端口顺利通过防火墙检测。
其次,有一些提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但只能提供非常有限的Web应用防护,如SQL注入、跨站脚本。
对网页篡改、网页挂马也无能为力。
5.2 入侵保护系统的不足
入侵检测系统IPS可以对应用层的威胁可以进行实时阻断。
它弥补了传统防火墙的某些缺陷,但随着网络技术和Web应用的发展复杂化,IPS在WEB专用防护领域也开始力不从心。
具体体现为:
首先,传统IPS设备更多从防护着手,不具备事前预防的能力。
其次,针对国内比较泛滥的DDoS攻击,传统IPS设备仅具备基本防护功能,很难满足应用层细粒度防护的需求。
最后,如果已经被实施攻击、引发安全事件发生时,传统IPS设备不能提供补偿措施从而为客户降低安全风险。
6 小结
随着网络的普及使Web攻击更加疯狂,重要部门的数据资产亟需保护这些都迫使我们加
强对Web应用的防护意识和意愿。
我们应该合理根据不同的安全需求进行科学的选择产品,
只有这样才能真正的让其起到应有的网站防护作用。
参考文献
[1]陈欣豪.多设备防火墙安全策略冲突分析[J].计算机光盘软件应用,2012(02).
[2]马志强,门健,蔡勇.防火墙的安全分析及构筑建议[D].空军工程大学学报,2001(06).
作者简介
陈九忠,男,硕士,主要研究领域为信息管理和气象学。
作者单位
淮河流域气象中心安徽省蚌埠市 233000。