技廣場207應(yīng)用防火墻應(yīng)用與研究Application and Research of Application Firewall周安娜Zhou Anna(南昌市經(jīng)濟(jì)信息中心,江西南昌330038)(Nanchang Economic Information Center, Jiangxi Nanchang 330038)摘要:本文介紹了應(yīng)用防火墻對web應(yīng)用保護(hù)的實現(xiàn)方法,它成功地提高了整個網(wǎng)站運(yùn)行的穩(wěn)定性和安全性,保證了用戶的安全可靠訪間,避免了黑客繞過網(wǎng)絡(luò)防火墻攻擊b應(yīng)用的可能。在網(wǎng)站信息化建設(shè)中,應(yīng)用防火墻將會發(fā)揮更大的安全穩(wěn)定的作用。關(guān)鍵詞:應(yīng)用防火墻;‰b應(yīng)用中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1671-4792-(2009)7-010602Abstract: The thesis introduces how to implement the protection of the web application by applicationfirewalls. It has increased the website's stability and security, and ensure users' safe access successful-y. It can also prevent hackers from attacking sites by detouring the firewall. The application firewallwill be more safe and stable in website information constructionKeywords: Application Firewall; Web Application0引宮網(wǎng)站。在實際情形中,不可能讓所有程序員在編寫所有Web現(xiàn)代的信息系統(tǒng),無論是建立對外的信息發(fā)布和數(shù)據(jù)交應(yīng)用程序時都注意防范這些漏洞況且部分漏洞是應(yīng)用程序換平臺還是建立內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)都離不開Web應(yīng)用。無法防范的,所以在大量而廣泛的Web網(wǎng)站和Web應(yīng)用中,Web應(yīng)用不僅給用戶提供一個方便和易用的交互手段,也給需要采用專門的應(yīng)用防火墻來保護(hù)Web應(yīng)用層面的安全信息和服務(wù)提供者構(gòu)建一個標(biāo)準(zhǔn)技術(shù)開發(fā)和應(yīng)用平臺可以1系統(tǒng)概述預(yù)計在相當(dāng)長的一段時間內(nèi),Web應(yīng)用仍將是網(wǎng)絡(luò)應(yīng)用的最應(yīng)用防火墻可以實現(xiàn)對Web站點特別是Web應(yīng)用的保主要方式之護(hù)。它內(nèi)置于Web服務(wù)器軟件中,通過分析應(yīng)用層的用戶請網(wǎng)絡(luò)的發(fā)展歷史可以說是攻擊與防護(hù)不斷交織發(fā)展的求數(shù)據(jù)(如URL、參數(shù)、鏈接 Cookie等),區(qū)分正常用戶訪間過程。目前,全球網(wǎng)絡(luò)用戶已近20億,用戶利用互聯(lián)網(wǎng)進(jìn)行Web和攻擊者的惡意行為,對攻擊行為進(jìn)行實時阻斷和報購物銀行轉(zhuǎn)賬支付和各種軟件下載企業(yè)用戶更是依賴于警。這些攻擊包括利用特殊字符修改數(shù)據(jù)的數(shù)據(jù)攻擊設(shè)法網(wǎng)絡(luò)構(gòu)建他們的核心業(yè)務(wù),對此,Web安全性已經(jīng)提高到一執(zhí)行程序或腳本的命令攻擊等黑客通過這些攻擊手段可以個空前的高度。然而隨著黑客們將注意力從以往對網(wǎng)絡(luò)服達(dá)到算改數(shù)據(jù)庫和網(wǎng)頁繞過身份認(rèn)證和假冒用戶、竊取用務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上,他們針對戶和系統(tǒng)信息等嚴(yán)重危害網(wǎng)站內(nèi)容安全的目的Web網(wǎng)站和應(yīng)用的攻擊愈演愈烈頻頻得手,根據(jù) Gartner應(yīng)用防火墻對常見的注入式攻擊跨站攻擊、上傳假冒的最新調(diào)查信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非文件不安全本地存儲非法執(zhí)行腳本、非法執(zhí)行系統(tǒng)命令、網(wǎng)絡(luò)層面上同時,數(shù)據(jù)也顯示三分之二的Web站點都相當(dāng)資源盜鏈、源代碼泄漏URL訪問限制失效等攻擊手段都有脆弱易受攻擊。目前,利用網(wǎng)上隨處可見的攻擊軟件,攻擊有效的防護(hù)效果者不需要對網(wǎng)絡(luò)協(xié)議的深厚理解,即可完成諸如更換Web網(wǎng)應(yīng)用防火墻為軟件實現(xiàn)適用于所有的操作系統(tǒng)和Web站主頁盜取管理員密碼破壞整個網(wǎng)站數(shù)據(jù)等等攻擊而這服務(wù)器軟件,并且完全對Web應(yīng)用系統(tǒng)透明。些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù),和正常數(shù)據(jù)沒有什么區(qū)2系統(tǒng)結(jié)構(gòu)設(shè)計方案應(yīng)用防火使用eb服條黑核心內(nèi)嵌技術(shù)來對所有用現(xiàn)階段很多傳統(tǒng)的安全設(shè)備僅僅工作在網(wǎng)絡(luò)層上并不戶請習(xí)中國煤化工被Web服務(wù)器軟件處能精確理解應(yīng)用層數(shù)據(jù),更無法結(jié)合Web系統(tǒng)對請求進(jìn)行深理之育人分析針對應(yīng)用層面的攻擊可以輕松地突破防火墻保護(hù)的攻擊CNMHG進(jìn)行檢查確保所有…眾力心內(nèi)嵌技術(shù)(以下簡稱106核心內(nèi)嵌技術(shù))是指將安全模塊內(nèi)嵌在Web服務(wù)器軟件(I-括注入式攻擊和代碼攻擊);IS/ Apache/ Weblogic/ Websphere/…)中,這個模塊針對不同③請求數(shù)據(jù)過濾對PsT方法提交的數(shù)據(jù)進(jìn)行檢查(包的web服務(wù)器軟件使用相應(yīng)的核心內(nèi)嵌技術(shù)實現(xiàn),例如:IS-括注入式攻擊和代碼攻擊)API、 Apache-todule、 NSAPI、 JAVA-filter等。安全模塊內(nèi)嵌④ Cookie過濾:對 Cookie內(nèi)容進(jìn)行檢查;于聊eb服務(wù)器軟件即與Web系統(tǒng)完全整合,其優(yōu)點在于:①④盜鏈檢查:對指定的文件類型進(jìn)行參考域的檢查;不存在獨(dú)立的安全模塊運(yùn)行進(jìn)程,人侵者無法找到和中止模應(yīng)用防火墻應(yīng)④跨站腳本攻擊檢查對指定的文件類型進(jìn)行參考開始墻塊運(yùn)行;②精準(zhǔn)理解和分析Web服務(wù)請求數(shù)據(jù),進(jìn)行充分可路徑的檢查靠的安全檢查;完全與Web服務(wù)的運(yùn)行進(jìn)程融合,穩(wěn)定性這些規(guī)則可以根據(jù)Web系統(tǒng)的實際情況進(jìn)行配置和分和兼容性強(qiáng);④二進(jìn)制代碼,處理效率高,與應(yīng)用系統(tǒng)使用的站點應(yīng)用。腳本語言無關(guān);的與操作系統(tǒng)及硬件無關(guān),全面控制Web系3.3指定站點規(guī)則統(tǒng)軟件和服務(wù)應(yīng)用防火墻為一臺服務(wù)器上不同的站點制定不同的規(guī)應(yīng)用防護(hù)模塊即可采用上述的Web系統(tǒng)核心內(nèi)嵌模塊則站點區(qū)分的方法包括:不同的端口、不同的IP地址及不技術(shù),對來自于客戶的Web訪問請求進(jìn)行分析,檢查其是否同的主機(jī)頭名(即域名)。構(gòu)成攻擊企圖或為網(wǎng)站管理員所禁止。檢查點為:用戶提交34可防范的攻擊的HTP請求( request)到達(dá)Wb服務(wù)器,尚未進(jìn)行其他處理應(yīng)用防火墻可以組合以上限制特性針對以下應(yīng)用攻擊時。檢查對象為:原始請求數(shù)據(jù)(GE/PQsr等各種方法及其進(jìn)行有效防御:SQL數(shù)據(jù)庫注入式攻擊腳本源代碼泄露、非數(shù)據(jù))。法執(zhí)行系統(tǒng)命令、非法執(zhí)行腳本、上傳假冒文件跨站腳本漏3系統(tǒng)實現(xiàn)功能概述洞、不安全的本地存儲、網(wǎng)站資源盜鏈應(yīng)用層拒絕服務(wù)攻3.1請求特性限制應(yīng)用防火墻可以對HTTP請求的特性進(jìn)行以下過濾和限35攻擊日志應(yīng)用防火墻對于所有攻擊都有詳細(xì)日志,包括:攻擊時①請求頭檢查:對田P報文中請求頭的名字和長度進(jìn)間攻擊者IP地址、主機(jī)名、RL攻擊部位攻擊內(nèi)容觸發(fā)行檢查規(guī)則②請求方法過濾限制對指定ⅢP請求方法的訪問;這些日志獨(dú)立于Web服務(wù)器系統(tǒng)的日志③請求地址過濾:限制對指定HP請求地址的訪問36攻擊特征庫④請求開始路徑過濾:限制HTP請求中的對指定開始應(yīng)用防火墻的攻擊特征庫包括:危險的頭、危險的文件路徑地址的訪問名;危險的文件類型、危險的開始路徑、危險的方法、危險的⑥請求文件過濾:限制HTTP請求中的對指定文件的訪提交及危險的帳號。問;應(yīng)用防火墻可以對攻擊特征庫持續(xù)升級,以對未來出現(xiàn)⑥請求文件類型過濾:限制TP請求中的對指定文件的攻擊模式或新的操作系統(tǒng)/web服務(wù)器系統(tǒng)進(jìn)行防范類型的訪問鑒于Web服務(wù)器的特殊安全性,特征庫不采用自動在線⑦請求版本過濾:限制對指定TP版本的訪問及完整升級方式性檢查4結(jié)束語③請求客戶端過濾:限制對指定TP客戶端的訪問及傳統(tǒng)安全設(shè)備僅僅工作在網(wǎng)絡(luò)層上,并不能精確理解應(yīng)完整性檢查;用層數(shù)據(jù),更無法結(jié)合Web系統(tǒng)對請求進(jìn)行深入分析,針對請求鏈接過濾限制鏈接字段中含有的字符及完整性應(yīng)用層面的攻擊可以輕松突破防火墻保護(hù)的網(wǎng)站在大量而檢查廣泛的Web網(wǎng)站和Web應(yīng)用中,需要采用專門的Web安全防鑒別類型過濾限制對指定HTP鑒別類型的訪問護(hù)系統(tǒng)來保護(hù)Web應(yīng)用層面的安全。因此,應(yīng)用防火墻會得au鑒別帳號過濾:限制對指定HTTP鑒別帳號的訪間到更加廣泛的應(yīng)用。2內(nèi)容長度過濾:限制對指定HTTP請求內(nèi)容長度的訪參考文獻(xiàn)03內(nèi)容類型過濾:限制對指定HTP請求內(nèi)容類型的訪[1]黎連業(yè),張維,向東明防火墻及其應(yīng)用技術(shù)風(fēng)].北京:清華大學(xué)出版社,2004,7這些規(guī)則可以根據(jù)Web系統(tǒng)的實際情況進(jìn)行配置和分[2]劉宗田wB站點安全與防火墻技術(shù)[M.北京:機(jī)械站點應(yīng)用工業(yè)出版社,2007,1232請求內(nèi)容限制應(yīng)用防火墻可以對TP請求的內(nèi)容進(jìn)行以下過濾和限作者簡介周安娜(1982-),女,南昌市經(jīng)濟(jì)信息中心,助理工程①URL過濾對提交的URL請求中的字符進(jìn)行限制②請求參數(shù)過濾:對GET方法提交的參數(shù)進(jìn)行檢查(包中國煤化工CNMHG