WEB應(yīng)用防火墻防網(wǎng)站篡改解決方案

目前，利用網(wǎng)上隨處可見(jiàn)的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁(yè)，盜取管理員密碼，數(shù)據(jù)庫(kù)注入和破壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過(guò)程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒(méi)有什么區(qū)別。
    以下是國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)統(tǒng)計(jì)的2008年上半年我國(guó)國(guó)內(nèi)網(wǎng)站被黑被篡改的統(tǒng)計(jì)圖，在1月-7月內(nèi)僅發(fā)現(xiàn)的被篡改的網(wǎng)站就多達(dá)41,000多個(gè)，平均每天就有近200個(gè)網(wǎng)站被篡改，這真是一個(gè)驚人的數(shù)字。
    網(wǎng)站被篡改的數(shù)目以每年2-3倍的遞增速度還在不斷的上升趨勢(shì)當(dāng)中。在WEB應(yīng)用如此普及，如此至關(guān)重要的今天，可以說(shuō)，網(wǎng)站的防黑防篡改解決方案，已經(jīng)是每一個(gè)企業(yè)或事業(yè)單位網(wǎng)絡(luò)運(yùn)維部門(mén)的迫在眉急的重大任務(wù)。
    很多用戶認(rèn)為，在網(wǎng)絡(luò)中部署多層的防火墻，入侵檢測(cè)系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護(hù)WEB應(yīng)用了，但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過(guò)對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過(guò)濾(基于TCP/IP報(bào)文頭部的ACL)實(shí)現(xiàn)訪問(wèn)控制的功能;通過(guò)狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無(wú)法檢測(cè)出來(lái)的。IDS，IPS通過(guò)使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫(kù)進(jìn)行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來(lái)才會(huì)出現(xiàn)的攻擊，以及通過(guò)靈活編碼和報(bào)文分割來(lái)實(shí)現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護(hù)。
    WEB應(yīng)用防火墻的出現(xiàn)解決了這方面的難題，應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層，它專(zhuān)門(mén)保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來(lái)說(shuō)相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼。
    下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda-NC應(yīng)用防火墻來(lái)舉例，來(lái)看看應(yīng)用防火墻是如何保護(hù)網(wǎng)站防止被惡意注入和篡改的了。