應用防火牆

總體來説，Web應用防火牆的具有以下四大個方面的功能(參考WAF入門，對內容做了一些刪減及改編)：

(1)審計設備：用來截獲所有HTTP數據或者僅僅滿足某些規則的會話。

(2)訪問控制設備：用來控制對Web應用的訪問，既包括主動安全模式也包括被動安全模式。

(3)架構/網絡設計工具：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎結構等。

(4)WEB應用加固工具：這些功能增強被保護Web應用的安全性，它不僅能夠屏蔽WEB應用固有弱點，而且能夠保護WEB應用編程錯誤導致的安全隱患。

需要指出的是，並非每種被稱為Web應用防火牆的設備都同時具有以上四種功能。

同時WEB應用防火牆還具有多面性的特點。比如從網絡入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火牆角度來看，WAF是一種防火牆的功能模塊;還有人把WAF看作“深度檢測防火牆”的增強。(深度檢測防火牆通常工作在的網絡的第三層以及更高的層次，而Web應用防火牆則在第七層處理HTTP服務並且更好地支持它。)

Web應用防火牆的一些常見特點如下。

1、異常檢測協議

Web應用防火牆會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。並且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響範圍。甚至，一些Web應用防火牆還可以嚴格限定HTTP協議中那些過於鬆散或未被完全制定的選項。

2、增強的輸入驗證

增強輸入驗證，可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為。從而減小Web服務器被攻擊的可能性。

3、及時補丁

修補Web安全漏洞，是Web應用開發者最頭痛的問題，沒人會知道下一秒有什麼樣的漏洞出現，會為Web應用帶來什麼樣的危害。WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，並且沒有安裝對應的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

(附註：及時補丁的原理可以更好的適用於基於XML的應用中，因為這些應用的通信協議都具規範性。)

4、基於規則的保護和基於異常的保護

基於規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個規則庫，並時時為其更新。用户可以按照這些規則對應用進行全方面檢測。還有的產品可以基於合法應用數據建立模型，並以此為依據判斷應用數據的異常。但這需要對用户企業的應用具有十分透徹的瞭解才可能做到，可現實中這是十分困難的一件事情。

5、狀態管理

WAF能夠判斷用户是否是第一次訪問並且將請求重定向到默認登錄頁面並且記錄事件。通過檢測用户的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件(比如登陸失敗)，並且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。

6、其他防護技術

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如：隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。

從Web應用防火牆功能對比表格中，我們可以看出，Web應用防火牆的功能性還不統一，幾個廠商Web應用防火牆的主要功能項還有較大出入。另外，功能描述也不相同，有些同種的功能各個廠商廠商的描述各不相同。為了對廠商真實體現廠商產品功能，這一部分資料按各廠商介紹在表格中予以重現。還有一些廠商存在明顯的技術資料發佈不全現象，這方面以思傑(Citrix)最具代表性。如果不是其網站產品介紹中存在“利用集成式應用防火牆增強了安全性”這一句話，和其英文網站上的相關介紹，我們幾乎認定其Citrix NetScaler產品僅是一款Web應用加速產品!所幸的是，在本次活動截止前一天，思傑市場人員將Citrix NetScaler中文資料發給了我們，才使得思傑Citrix NetScaler產品功能對比的項目不至於留白!

但是在產品功能項目差異大，內容不統一的情況下，用户應該如何對產品進行選擇呢?下面我們就綜合分析一下，在選擇Web應用防火牆產品時，哪幾方面的信息是用户最需要了解的。

1、產品宣傳

通過廠商的產品宣傳，可以瞭解廠商產品的市場定位，以及廠商對用户應用需求的瞭解情況。從中可以初步分析廠商產品是否可以滿足用户的實際應用需求。

2、產品功能介紹

在產品功能介紹中，可以粗略瞭解產品的各項功能，在經過對比後可以瞭解廠商產品的功能是否齊備，可否滿足用户應用的需求。

3、產品評測報告

這是用户容易忽略，某些廠商刻意忽略的重要信息。對於網絡產品來講，市場定位容易描述，產品功能也可以相互借鑑，但具體的功能測試是很難仿造的。評測報告中的每個指標、每個數據都是廠商研發技術實力的最直觀體現，只有對產品技術具備最深入理解的廠商才可以在用户面前交出一份令用户滿意的評測報告!

4、售後服務

把售後服務放到產品銷售前面，就在於它的重要性。一般的網絡產品往往會使用户忽略售後服務的重要，質量過硬的網絡產品有可能插電一次性設置後幾年都不需要變動。但是Web應用防火牆這類網絡安全產品就全然不同了，層出不窮的網絡威脅會時刻對其發出挑戰。沒有完善研發售後服務能力的廠商將無力面對這些威脅，這樣用户的網絡安全也就失去了相應的保障。

5、產品銷售

產品的銷售廠商在哪裏，從那裏可以得到什麼樣的服務，技術支持能力如何……這些同樣也需要用户在選擇產品時事先進行了解。

·深信服（深信服科技股份有限公司）NGAF下一代防火牆

NGAF是面向應用層設計，能夠精確識別用户、應用和內容，具備完整安全防護能力，能夠全面替代傳統防火牆，並具有強勁應用層處理能力的全新網絡安全設備。NGAF解決了傳統安全設備在應用管控、應用可視化、應用內容防護等方面的巨大不足，同時開啓所有功能後性能不會大幅下降。

NGAF 不但可以提供基礎網絡安全功能，如狀態檢測、VPN、抗DDoS、NAT等；還實現了統一的應用安全防護，可以針對一個入侵行為中的各種技術手段進行統一的檢測和防護，如應用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規模的行業用户的數據中心、廣域網邊界、互聯網邊界等場景提供更加精細、更加全面、更高性能的應用內容防護方案。

當前網絡環境中，應用已成為網絡的主要載體，而網絡安全的威脅更多的來源於應用層，這也使得用户對於網絡訪問控制提出更高的要求。如何精確的識別出用户和應用、阻斷有安全隱患的應用、保證合法應用正常使用、防止端口盜用等問題，已成為現階段用户對網絡安全關注的焦點。但IP不等於用户、端口不等於應用，傳統防火牆基於IP/端口的五元組訪問控制策略已不能有效的應對現階段網絡環境的巨大變化。

NGAF採用獨創的應用可視化技術，可以根據應用的行為和特徵實現對應用的識別和控制，而不僅僅依賴於端口或協議，擺脱了傳統設備只能通過IP地址來控制的尷尬，即使加密過的數據流也能應付自如。

NGAF可以識別700多種應用及其1000多種應用動作，還可以與多種認證系統（AD、LDAP、Radius等）、應用系統（POP3、SMTP等）無縫對接，自動識別出網絡當中IP地址對應的用户信息，並建立組織的用户分組結構；既滿足了普通互聯網邊界行為管控的要求，同時滿足了在內網數據中心和廣域網邊界的部署要求，可以識別和控制豐富的內網應用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等，針對用户應用系統更新服務的訴求，NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環境下，系統軟件更新服務暢通無阻。

因此，通過應用可視化技術制定的L3-L7一體化應用訪問控制策略，可以為用户提供更加精細和直觀化控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。

網絡安全與黑客技術的發展使得用户面臨的威脅不再單單是一個病毒一個木馬、一次DOS攻擊這樣的簡單攻擊。黑客可採用豐富的工具，利用眾多的漏洞，結合多種攻擊手段進行混合型的破壞性攻擊，具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的應用訪問中，這種混合型安全威脅的出現也給網絡安全建設提出新的要求：需要採用更全面的防護手段，防止安全短板被利用；需要深入到應用內容的安全防護，以識別和預防潛在威脅。

NGAF融合了漏洞防護、web安全防護、病毒防護等多種安全技術，具備2000+條漏洞特徵庫、數十萬條病毒、木馬等惡意內容特徵庫、1000+Web應用威脅特徵庫，可以全面識別各種應用層和內容級別的各種安全威脅。通過灰度威脅關聯分析技術將數據包還原的內容進行全面的威脅檢測，並可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發生。灰度威脅識別技術改變了傳統IPS等設備防禦威脅種類單一，威脅檢測經常出現漏報、誤報的問題，可以幫助用户最大程度減少風險短板的出現，保證業務系統穩定運行。

此外，深信服憑藉在應用層領域6年以上的技術積累，組建了專業的安全攻防團隊，可以為用户定期提供最新的威脅特徵庫更新，以確保防禦的及時性。

性能和安全往往是傳統安全設備是無法權衡的問題。尤其在應用層安全防護功能開啓時，該問題尤為明顯。在帶寬不斷提升、威脅不斷增多的網絡環境下，用户不得不在兩者做出艱難的選擇。

為了實現強勁的應用層處理能力，NGAF拋棄了傳統防火牆NP、ASIC等適合執行網絡層重複計算工作的硬件設計，採用了更加適合應用層靈活計算能力的多核並行處理技術；在系統架構上，NGAF也放棄了UTM多引擎，多次解析的架構，而採用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配，從而提升了工作效率，實現了萬兆級的應用安全防護能力。

只提供基於應用層安全防護功能的方案，並不是一個完整的安全方案。對於用户來説，還需要採購基礎網絡層的安全設備（FW、VPN），既增加了成本，也增加了組網複雜度、提升了運維難度。從技術角度來説，一個黑客完整的攻擊入侵過程包括了網絡層和應用層、內容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設備之間缺乏智能的聯動，很容易出現“三不管”的灰色地帶，出現防護真空。

NGAF涵蓋傳統防火牆、IPS的主要功能，內部能夠實現內核級聯動，是一個“L2-L7完整的安全防護產品”。這也是Gartner定義的“額外的防火牆智能”實現的前提，做到真正的內核級聯動，才能為用户的業務系統提供一個安全防護的“銅牆鐵壁”。

^[1] 

· 梭子魚WEB應用防火牆

梭子魚WEB應用防火牆，即WAF通過執行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火牆可以阻止將應用行為用於惡意目的的瀏覽器和HTTP攻擊，強大的應用防火牆甚至能夠模擬代理成為網站服務器接受應用交付，形象的來説相當於給原網站加上了一個安全的絕緣外殼。

2．應用層防火牆與傳統的入侵檢測設備之間具有本質上的區別

在TCP/IP模型中網絡流量從物理層到應用層是逐層遞交，入侵檢測設備（IPS）主要定位在分析傳輸層和網絡層的數據，而再往上則是複雜的各種應用層協議報文，而應用層防火牆（WAF）則僅提供對Web應用流量全部層面的監管。IPS需要處理網絡中所有的流量，而WAF僅處理與Web應用相關的協議，其他的則給予轉發。

3．梭子魚WEB應用防火牆可以防禦的攻擊類型：

（1）SQL注入：一些應用程序通過複製Web客户端輸入來創建數據庫查詢。黑客通過構造一些應用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數據。

（2）跨站點腳本：黑客插入腳本代碼（如JavaScript或ActiveX）到一個輸入字符串，導致Web服務器泄漏用户名和密碼等信息。

（3）操作系統命令注入：一些應用程序從web輸入來創建操作系統命令，就像訪問一個文件和顯示文件內容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創建輸入來顯示未經授權的數據、修改文件或系統參數。

（4）會話劫持：黑客通過猜測基於令牌格式知識的會話令牌的內容來獲得登錄會話的權利。這使得黑客能接管會話並可以得到原來的用户帳户信息。

（5）篡改參數或URL：web應用程序通常在返回的的web頁面中嵌入參數和URL，或者用授權的參數更新緩存。黑客可以修改這些參數、URL或緩存，使Web服務器返回不應泄漏的信息。

（6）緩衝區溢出：應用程序代碼應該檢查輸入數據的長度，以確保輸入數據不會超出剩餘的緩衝區和修改相鄰的存儲。黑客很快就會發現應用程序不檢查溢出，並創建輸入來導致溢出。