Web防火墙如何对网站进行防护

李汇

Web应用程序防火墙（WAF）可以通过监视和过滤Internet与网站之间的HTTP通信来保护网站。

WAF可以防止網站受跨站请求伪造的攻击，包括SQL注入和跨站点脚本（XSS）等，70 % ～ 80 %的应用程序中有可被利用的严重漏洞，消除这些漏洞至关重要。

企业必须使用一系列专门针对OSI每个级别的工具（主要是第3层网络级别的过滤和第7层应用程序级别的过滤），来针对多种不同的攻击媒介提供整体防御。

应用程序和密码设置永远不会完美，因此确保数据免受分布式拒绝服务（DDoS）攻击、不良僵尸程序和垃圾邮件的侵害很重要，最重要的是在应用程序中建立针对业务逻辑漏洞的防御机制。

Web应用防火墙位于客户机和他们想连接到互联网服务之间，由WAF检查这些连接。跨站点脚本是最常见的应用程序攻击媒介之一，攻击者向客户端的浏览器中注入恶意代码、修改用户设置、盗取或污染cookie、窃取机密数据甚至更改内容显示虚假信息。

Web应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备；从防火墙角度来看，WAF是一种防火墙的功能模块；还有人把WAF看作是深度检测防火墙的增强。

WAF可以防御的另一种威胁是服务器配置错误。来宾帐户和默认密码等不安全设置通常容易成为攻击者的目标，这是因为管理员没有遵循最佳安全性做法，导致出现这些漏洞。

输入验证效果不佳的网站可能容易受到代码注入漏洞的攻击，攻击者试图让SQL语句潜行以访问未经授权的数据库，WAF可以检测并阻止这些尝试。

过时的库和软件也是易受攻击的领域，Web应用程序防火墙可以用作临时解决方案，阻止这些漏洞，并对其进行修补。

监视和日志记录不足也可能导致恶意活动的早期迹象被忽略，但是WAF可以充当集中式日志记录点，并将任何正在进行的威胁通知管理员。

攻击者还可能试图通过扫描网站的结构，然后利用不安全的框架访问敏感信息。Web应用程序防火墙可以锁定网站的某些区域，以便只通过受信任的访问。

WAF还会通过单一入口点实施地理、IP和基于身份的验证政策。增强输入验证，可有效防止网页篡改、信息泄露和木马植入等恶意行为，从而减小Web服务器被攻击的可能性。

现实情况是，每一天都有黑客对网站进行攻击，一项研究表明，网站遭受攻击的平均频率是每39 s一次。当然，攻击不一定每次都会成功，Web应用程序防火墙的工作就是确保攻击不会成功。

最常见的应用程序攻击类型包括SQL注入、DDoS、污损、恶意软件和帐户劫持，其中SQ注入占所有Web攻击的2/3。

Web应用的CC攻击，是网络安全领域的难题之一，如何做到智能高效地防护CC，是行业内重点关注的话题。