Web应用防火墙及其检测技术

◆尹淑玲 胡 岚 温 静

（武昌理工学院 湖北 430223）

Web应用防火墙及其检测技术

◆尹淑玲 胡 岚 温 静

（武昌理工学院 湖北 430223）

Web的普及，也带来了针对Web攻击的爆发，如何保护Web服务不受攻击成为安全领域研究的热点。传统的网络安全设备主要是基于数据包检测的方式，工作于OSI模型的网络层和传输层，并不能在应用层上对Web进行有效防护。本文结合目前日益严重的Web应用安全问题和现有的网络安全产品，提出了Web 应用防火墙技术可以保护Web应用程序免受普通攻击，并对Web 应用防火墙的基本工作原理、组成模块和检测技术进行了描述。

Web攻击；Web应用防火墙；检测技术

0 引言

近年来，随着 Web 应用的快速发展与普及，Web 安全问题日益凸显，针对 Web 攻击所能造成的危害日益严重。为了抵御针对Web应用系统的各种恶意攻击，用于防护Web应用系统的Web应用防火墙（Web Application Firewall，WAF）应运而生。不同于传统的防火墙、入侵防御系统，Web应用防火墙工作在应用层，通常被部署在Web服务器的前端，通过执行专门针对HTTP/HTTPS的安全策略来维护Web应用系统的安全。

从广义上讲，Web应用防火墙是面向Web应用的入侵防御系统，也是应用级的网站安全综合解决方案，集成了虚拟化软件和硬件架构的智能网络平台，可对各种流量实施深层探测并阻止各类Web攻击。从狭义的角度而言，WAF是对Web服务的安全进行防护的一种软硬件设备，主要防护的攻击行为有XML攻击、XSS攻击、SQL注入等。

1 Web攻击和WAF技术

Web攻击与传统的攻击一样，同样可以分为恶意扫描、溢出攻击、拒绝服务、会话劫持、信息窃取等等。与传统攻击的区别在于，Web攻击的是针对Web应用程序的应用层攻击，攻击的对象不再是操作系统、TCP/IP协议栈等底层的组件。根据Web应用的特点，Web的攻击方式习惯上被分为SQL注入、XSS跨站攻击、溢出攻击、文件包含、信息泄露、拒绝服务、恶意上传等等。

图1 WAF的基本工作原理

WAF是针对网站Web服务器的应用级入侵的防御，它弥补了防火墙、入侵防御系统这类安全设备对Web应用攻击防护能力不足的缺陷。WAF原理是在WEB服务器获取网络数据包前，对数据包进行深度检查，精确辨别正常用户访问与恶意攻击，对恶意攻击的数据包进行过滤，达到保护WEB服务器的目的。WAF一般至少有三个核心模块，分别为入侵检测模块、规则策略模块和防护模块，如图1所示。WAF还有其他的一些必需模块来实现如管理、授权认证等功能，有些厂商产品为了增加WAF的附加特性还会增加数据加密、负载均衡等额外的模块。

1.1 入侵检测模块

WAF的入侵检测模块是用来处理所有输入输出的信息流，所有发往WEB应用的数据都会被截取并做有效的分析与检测。WAF的入侵检测方法和技术路线与IPS基本相似，只是在处理协议栈上稍有不同，IPS需要处理各种各样的协议，而WAF只需高效处理HTTP和HTTPS两种协议即可。

1.2 规则策略模块

WAF规则策略模块是用作为WAF检测和过滤恶意流量的依据，类似于传统防火墙的规则表。WAF的规则策略一般要求可以自定义，并用逻辑对有害的行为和恶意的代码进行描述和判断，或者是用逻辑对合法的行为和代码进行描述和判断，以此分别形成黑名单和白名单，黑白名单即为WAF的规则集。黑名单是尽可能地列出有害的恶意流量，这个工作基于人们对恶意流量的认知程度，对于传统的、已知的威胁，WAF把它列入黑名单即可访问，但是对于未知的威胁，或者已经挖掘出的但未公开的漏洞等，黑名单是无能为力的。白名单却正好相反，其核心思想是，除了合法的其他都是非法的，也就是说其建立一个合法的白名单，在名单内部的客户端可以访问，不在名单内的则拒绝访问，这种方式确实有效地保护了Web服务器的安全，但是却拒绝了或者牺牲了部分合法的用户访问，同时如何建立白名单、以及白名单退出机制也是比较棘手的问题。

1.3 防护模块

防护模块是WAF在检测到入侵行为后，做出相应的有效防御行为。WAF在受到恶意的攻击后可以进行断开链接、重置链接、丢弃数据包、封锁恶意用户等，实施地保护WEB服务器的安全。

2 WAF中的安全检测技术

安全检测是对企图入侵、正在入侵或已经发生的入侵进行识别并报警的技术。它可以检测对信息系统的非授权访问；可以检测信息系统的运行状态，并发现各种攻击威胁、攻击行为和攻击结果；可以有效识别信息系统的非法攻击。目前国内外的WAF产品，其安全检测手段各有特色，主要有双向检测、基于自学习模型的检测和基于算法的检测技术。

2.1 双向检测

目前多数WAF采用双向检测技术，即把WAF产品作为Web客户端和服务器端的中间人，透明地部署在Web服务器前，通过重组、解析、理解HTTP请求与应答，并根据内置的规则库进行匹配，对流经系统的HTTP流量进行检测和阻断。其主要特点是建立双向检测安全模型，这类模型会以规则库的方式出现，如果攻击在规则库中匹配上，识别和报警的准确率很高。当前主流的Web攻击均可使用这种方式进行检测和防护。

双向检测技术基于已知攻击方式的特征建立黑名单规则库进行特征匹配，实现快速的攻击识别。其存在的缺点是，无法应对某些缺乏明显的攻击特征的HTTP攻击形式，当出现变种攻击或位置攻击时，无法及时准确判断其是否为恶意攻击，易出现漏报的情况，且随着攻击方式的日益增多，规则库也势必越来越庞大，规则库维护的成本也相应提高。

2.2 基于自学习模型的检测

基于自学习模型的检测包括对真实流量的学习、Web应用的学习和Web服务的学习，通过合法通信的数据样本生成规则集，实现Web应用的深层安全防护。基于目前的研究成果，可以将自学习模型分为两种类型，一种是对Web应用网页的自学习技术，偏重于学习网页特点。这种方式是从Web服务自身的业务入手进行异常检测，即通过一段时间的用户访问，WAF记录一个网页的访问模式，如其中有多少个输入点、输入的数据类型、长度范围等，学习完毕后，定义出这个网页的正常使用模式。如果有用户违反了这个模式，则WAF就会根据预先定义的方式报警或阻断。另一种类型是对Web服务的用户行为模式的学习，偏重于学习用户访问规律。主要方法是先根据具体的Web应用服务，建立若干用户行为模型，然后将用户的行为与行为模型进行匹配，如果发现有不符合常规的行为，则立即进行处理。

这种基于自学习模型的检测技术对Web业务应用的识别能力较强，但由于学习初期需要大量的经验积累，如果经验缺乏会造成学习准确度不高，例如在对SQL注入攻击、XSS攻击的变种识别能力上。另外，对经验的置信区间和学习时间也有一定的要求，同时，学习经验过程中对系统的资源消耗较大，因此检测时延较长，降低了用户的Web体验。

2.3 基于算法的检测

随着技术的发展和创新，目前出现了一种基于算法的检测技术，很好地弥补了基于规则库的变种攻击检测准确率不高的问题，同时也弥补了基于自学习模型检测技术的资源耗用问题。这种基于算法的检测技术是根据攻击手法进行分析，能实时地分析网络数据，通过在WAF设备内部构建“轻型虚拟机”，模拟出攻击行为以观察其行为特征。因此，基于算法的检测技术可以准确而全面地检测和防御各类Web攻击行为，彻底解决攻击行为的变种问题。由这项技术做支撑，WAF对Web攻击的检测准确率显著提高。因为检测准确率高、误报率少，因此对系统资源的消耗明显减少。

3 结论

WAF工作于OSI模型中的应用层，它的出现是为了保护Web服务器不受入侵和攻击，弥补了传统的网络层安全设备的不足。随着信息科学的迅速发展，在云计算、大数据的潮流下，Web应用的安全问题变得越来越突出，也越来越来重要，我们要重视网络防护工作，积极改进原有不完善的保护系统，采用防御能力更强的WAF，并熟悉、掌握其特点，真正做到从根本上对网络安全进行保护，这对网络发展和效益有着重要的推动作用。

[1]李雪，唐文.一种新的Web应用防火墙的自学习模型[J].小型微型计算机系统，2014.

[2]姚琳琳，何倩.基于分布式对等架构的Web应用防火墙[J].计算机工程，2012.

[3]王宇，陆松年.Web 应用防火墙的设计与实现[J].信息安全与通信保密，2011.

[4]李莉，翟征德.一种基于Web 应用防火墙的主动安全加固方案[J].计算机工程与应用，2011.

[5]The Open Web Application Security Project.OWASP Top 10 for 2013[EB/OL].http：//www.owasp.org.cn/owasp-pr oject/download/mobile-top-10-2013-2

[6]绿盟科技.国内外 WAF 需求特点和技术发展分析[EB/ OL].http：//www.nsfocus.com/waf/qu-bie/qb_02.html，2012.

项目来源：国家自然科学基金（41101412）。

图3 防火墙和入侵检测联动系统功能结构图

4 结论

防火墙和IDS联动技术的相关探讨，防火墙和IDS的结合应用可发挥优势互补的效果，提高系统的安全防御能力。随着网络技术的不断发展，人们逐渐对网络安全问题引起关注。在网络的安全管理方面，没有绝对的安全技术，只有不断地提高安全防护意识，优化网络安全技术性能，从病毒防范、安全隔离、安全监控、修补漏洞、数据备份等等方面加强安全保护措施，以降低网络系统面临的安全风险，为网络提供一个安全的运行环境。

参考文献：

[1]彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术，2012.

[2]边春莹.高校校园网安全策略的研究与设计[D].哈尔滨理工大学，2013.

[3]王相林，江宜为.IDS与防火墙联动的网络安全模型设计[J].科技通报，2011.

[4]吴凯.探讨网络安全技术中防火墙和IDS联动的应用分析[J].网络安全技术与应用，2014.