Web应用防火墙的国内现状与发展建议

网一　域　前　沿。　王峰张骁许源张宝峰　根据中国国家信息安全　的解析和过滤，如协议不同版本的识别和解析、协议参数长度限制等　漏洞库ＣＮＮＶ１）统计，对　有网络攻击的７ｆ　以上　、　据被窃取，甚至服务器被完　２．Ｗｅｂ传统攻击防护，如ＸＳＳ攻击、ＳｏＬ注入、ＣＳＲＦ攻击、Ｃｏｏｋｉｃ攻击、　ｗｃｈ网站的黑客攻击约占所　ＸＰａｔｈ注入、ＬＤＡＰ注．２ｖ、ＸＭＬ注入、代码执行、文件包含等　３．Ｗｅｂ应用漏洞防护，如心脏滴血（ＣＮＮＶＩ）－２０１　）４一（）　）、Ｓｔｏａｔｓ２漏　Ｗｅｂ攻击可造成用户重要数　洞（ＣＮＮＶＩ）－　）１　Ｂ－１９１、ＣＮＮＶＩ）－２（１１　Ｂ－２３４、ＣＮＮＶＩ）　）１　）４－５８５）等　４．其他防护功能，如防扫描、防爬虫、防盗链、Ｗｅｂｓｈｅｌｌ检测等．　全控制等后果，给用户带来　巨大损失、Ｗｅｂ应用防火墙　５．其他过滤功能，如黑白名单、内容过滤、文件上传限制等　６．应用层ＤＤｏＳ攻击防护功能，如ｃｃ攻击、ＨＴＴＩ　协议慢速攻击等　（以下简称ＷＡＦ）作为专业　的网站防护产品可以为用户　７．其他管理与审计功能，如安全配置、攻击日志、报表与统计等　综上所述，ＷＡＦ产品最显著的特点在、ｘ／ｅｈ协议的解析和过滤、Ｗｅｂ攻　提供重要保障　有关市场调　击防护以及ｗ小应用漏洞防护等方面　与其他类型的网络安全产品相比有着　查也显示，ｗＡＦ在不断成长，　明显的不同，ＷＡＦ产品更应专注针对Ｗｅｂ应用层面攻击的细粒度检测和阻　但ＷＡＦ的安全性也需要同　断　、比如ｗｃｈ服务器系统漏洞和非ｗｅｔ）应用漏洞应该通过ＩＰＳ产品来防护，　网络层或大规模１）Ｉ）（　ｓ攻击还是交给专业的４，ｔ　ＤＤＯＳ产品来防护比较合理　步提高，　ＷＡＦ通过定制的安全　策略来检测、过滤或阻断　关键技术与现状　Ｈ１　Ｐ／ＨＴＴＰｓ流量，　能够　硬件ＷＡＦ在部署方式、协议支持、攻击检测技术和产品性能指标等方　１．部署方式　防止诸如ＳＱＬ注入、ＸＳＳ攻　面的现状描述与评价如下：　击、代码执行、文件包含等　传统的Ｗｅｂ攻击，也能够检　通常情况下，ｗＡＦ产品主要负责保护ｗ小服务器，因此，ＷＡＦ产品一　测针对心脏出血、Ｊａｖａ反序　般放在对外提供Ｗｅｂ服务的服务器区前端一根据ＷＡＦ的工作方式及工作原　列化、Ｓｍｕｔｓ２系列漏洞的攻　理不同，当前常见的ＷＡＦ部署方式有四种：透明模式、路由代理模式、反　击　ＷＡＦ的产品形态包括硬　向代理模式和旁路模式。对比国内的ＷＡＦ产品，基本都支持其中的三到四种　４＃－ＷＡＦ、软４＃－ＷＡＦ以及云　四种部署模式在实际使用中体现了各自的优缺点，具体分析如表１所示　（见下页）、　ｗＡＦ等，本文讨论的主要是　硬件ＷＡＦ　２．协议支持　中国１＇－８息安全钡ｑ评中心　－在进行ＷＡＦ攻击检测之前，需要对ＨＴＴｐ、ＨＴＴｌ　协议的数据报文进　ＷＡＦ应考虑到以下协议　根据自身的测评经验和实践，　行解析，其解析能力将直接影响到后续的检测效果通过分析国内外ＷＡＦ产品　解析能力：　的现状，总结认为ＷＡＦ产　品应具备如下基本功能：　●协议类型：ＨＴＴＰ（）．９、ＨＴＴＰ１．（）、ＨＴＴＰ１．１、ＨＴＴｐ２．（１、ＨＴＴＰｓ等；　一请求类型：ＧＥＴ、ＰＯＳＴ、ＰＬ厂ｒ、ＨＥＡＤ、ＤＥＬＥＴＥ、ＴＲＡＣＥ、Ｃ）ＩｒＦＩ（）ＮＳ、　１．ＨＴＴＰ、Ｈ７ＴＰＳ－Ｄ－议　ＣＯＮＮＥＣＴ、ＣＯＰＹ、ＭＯＶＥ、ＬＯＣＫ、ＵＮＬＯＣＫ等；　表１　ＷＡＦ部署模式比较　ＷＡＦ的核心功能就是针对ｗ　相关攻击的检测，　…Ｉ’＿＿＿＿＿一　＿＿＿＿＿＿。一一＿＿＿＿＿＿一　●ＢＹＰａｓｓ　针对近几年影响面较广、威胁较大的各类攻击，国内　工作模式为透明　●配置简单　功能启动后　桥模式。检测、　●不改变原有　ＷＡＦ自身功　ｗＡＦ当前的防护类型主要包括注入类等九种，如表　２所示。　表２　ＷＡＦ攻击防护类型　透明模式　过滤或转发两者　网络环境　能失效　之间的会话。客　●通过硬件　●网络所有　户端直接访问　Ｗｅｂ服务器。感　Ｂｙｐａｓｓ功能不　流量都经过　知不到ＷＡＦ存　影响网络原有　ＷＡＦ。对设　在业务通讯　备硬件性能要　。　求高　工作模＝－－ｔ为路由　转发模式，需要　●配置相对简　●存在单点故　ＳＱＬ注入防护　ＬＤＡＰ注入防护　ＸＰａｔｈ注入防护　注入类　命令行注入防护　远程文件包含防护　路由代理模式　配置ＷＡＦ的转　堕　障问题　发接口ＩＰ地址以　●不改变原有　●负责转发所　及路由。其它和　网络环境　有流量　透明模式一样。　工作原理是将　Ｗｅｂ服务器的　地址映射到反向　缓冲区溢出防护　非法输入限制　跨站类　存储型跨站防护　反射型跨站防护　目录遍历防护　非法文件上传限制　路径穿越防护　不安全的直接对象引用防护　参数篡改防护　会话劫持防护　防资源盗链　异常ＨＴＴＰ协议防护　Ｗｅｂ服务器软件漏洞防护　Ｗｅｂ插件漏洞防护　爬虫检测　内容过滤　敏感信息泄露防护　ＤＤｏＳ攻击防护　暴力破解攻击防护　●酉醒　复劳　反向代理模代理服务器上。　●能够支持负　－ｔ　＝客户端实际访问　载均衡　●需要改变原　的是ＷＡＦ有网络环境　，访问控制类　由　ＷＡＦ来转发请求　篡改仿造类　协议异常类　Ｗｅｂ漏洞类　旁路模式　和响应。　工作模式为旁　听模式。将交　●不改变原有　●只进行监控　换机端口上的　网络环境　和报警，不进　ＨＴＴＰ流量镜像　●对原有网络　行阻断，达不　至Ｕ　ＷＡＦ。ＷＡＦ　不会有影响　到Ｗｅｂ防护　对Ｈ１＿ｒＰ流量进　功能　行监控和报警。　信息收集与泄漏类　资源耗尽类　暴力破解类　■协议限制：最大请求头长度、请求行最大长度、　请求Ｈｅａｄｅｒ头最大个数、请求Ｈｅａｄｅｒ头最大长度、　Ｂ０ｄＶ最大长度等；　■参数限制：参数名称的最大长度、参数值的最　不同厂商的ｗＡＦ采取了各自的检测和防护技术，　请求Ｈｅａｄｅｒ行最大长度、Ｃｏｎｔｅｎｔ－Ｌｅｎｇｔｈ头最大长度、　这些检测技术的主要特点如下：　基于规则的检测技术　基于规则的Ｗｅｂ检测技术是ｗＡＦ识别和阻止已　知攻击的基础检测方法，可以抵御大多数Ｗｅｂ攻击　大长度、参数的最大个数、参数的最大总长度等；　■编码方式：ａｐｐｌｉｃａｄｏｎ／ｘ－ｗｗｗ－ｆｏｍｌ－ｕｒｌｅｎｃｏｄｅｄ　编码、ｍｔｌｆｄｐａｒｔ／ｆｏｍｌ－ｄａｔａ编码、Ｕｎｉｃｏｄｅ编码、　每家安全厂商都有各自的规则库及策略模板，对于常　见且特征明显的Ｗｅｂ攻击来说，基于规则的检测技　Ｂａｓｅ６４编码等　术在识别上较为准确。　但是，随着安全威胁数量的显　目前，大多数ＷＡＦ都支持这些卜　Ｔ１）协议和参数　著增加，当前攻击特征的变化种类繁多，在应对攻击　的解析，但有些ｗＡＦ对不常见的ＨＴＴ￣）．９协议以及部　变形的情况时，漏报率也会随之增加。同时，特征库　分参数不支持，则会导致检测不到特定的攻击行为。　的维护难度会越来越高，特征数量会越来越庞大，对　３．攻击检测技术　于性能也有一定影响。　Ｉ．　煎　基于算法的检测技术　发现的攻击行为，大多数ＷＡＦ产品一般会采取阻断Ｈ　盯Ｐ请求、阻断Ｔ｛２１｝　由于基于单个特征匹配　连接、锁定ＩＰ地址、阻断应用层会话、阻断应用层用户、执行访问控制机制、　技术存在的不足，大多数　推送错误页、丢弃、重定向等多种响应动作　．针对敏感信息泄露，有些ＷＡＦ　ＷＡＦ厂商为了应对千变万化　厂商还会采取对敏感字段进行隐藏或替换等操作　的攻击形势，通过结合自身　ＷＡＦ的特点，对所有攻击进　４．产品性能　由于ＷＡＦ需要对所有访问Ｗｅｂ服务器的ＨＴＴＩ　数据报文进行深度解　行研究归类．对相同类的攻　析和内容识别，因此，ｗＡＦ的性能面临着很大的压力　、为了更加全面真实　击特征进行模式化，不再是　的反映ＷＡＦ的性能情况，测试Ｈ下ｒＰ传输速率、ＨＴＴＰ新建连接速率以及　单个特征的比较，从而各自　ＨＴｒＰ并发连接擞的统计分析如下：　开发出了应对Ｗｅｈ攻击的独　就千兆ｗＡＦ而言，ＨｒｒｒＰ传输速率基本都在｛｝｛｝ＯＭｂｐｓ以上，最高接近线　速１Ｇｂｐ￣而ＨＴＴＰ新建连接速率和ＨＴ丁ｌ　并发连接数各厂商存在较大的差异，　特算法、　类似于模式匹配，　务类攻击等都有相应的识别　针对像注入类攻击、拒绝服　两个指标的最低值和最高值相差分别达到了８（　和９（　对于万兆ＷＡＦ来说，ＨｒｒｒＩｊ传输速率普遍不是很高，大部分都在５Ｇｂｐｓ　算法，其算法模型是基于对　以下；Ｈ１ＴｒＰ新建连接速率和Ｈｒ兀　并发连接数各厂商也存在较大的差异，　语义的理解，实时解析流经　两个指标的最低值和最高值相差分别达到了７（　，和９（　ＷＡＦ的ＨＴＴＰ流量．进而　分析攻击的行为和特征，而　当前、／＼，ＡＦ产品存在的问题　不是简单的特征匹配．．因此，　率有一定提高　、　通过分析国内主流ＷＡＦ产品的测试结果发现，当前我国ＷＡＦ产品存在　　在攻击变形的识别上，准确　以下一些不足之处、１．攻击规避检测能力不足　ｗＡＦ产品大部分都是基于规则库的攻击检测，对Ｐａｙｌｏａｄ规避变形后的　基于自学习的检测技术　国内部分ＷＡＦ产品开　攻击识别率较低，包括如大小写混合、插入无效字符、替换关键字、分段拼接、　始支持自学习模式，可以根　使用编码、使用注释、等价函数与命令、使用特殊符号、参数污染、多重组　据用户环境的真实流量、提　合绕过等多种规避攻击检测的方法，大多数ＷＡＦ还是存在或多或少的缺陷　供的Ｗｅｂ服务和应用进行识　另外，部分ＷＡＦ对数据包的分片重组能力不够，不能抵御分片攻击　别和学习。可以对业务相关　２．应用防护更新不及时　新的Ｗｅｂ应用及技术不断出现，用户的业务需求也在不断改变．．相比传　的ＵＲＬ、业务访问特征、参　数类型等进行动态统计学习，　统的关系型数据库来说，非关系型数据库（ＮｏＳＱＬ）近年来增长飞速，已在　一￣１）Ｂ注入等）　旦出现不符合正常业务的　数据库市场占有率排到了前几位。针对ＮｏＳＱＬ的注入攻击（Ｍｏｎｇ但是，由于ＮｏＳＱＬ注入的攻击语句与传统的ＳＱＬ注入不同，因此，　异常参数或行为，将被视为　则越来越多　、潜在攻击，主动发现并进行　现有的ｓＱＬ注入检测规则并不适用　测评数据显示，部分ＷＡＦ厂商不能紧　防护　．这类检测技术对Ｗｅｂ　跟市场变化来及时调整自身产品，对ＮｏＳＱＬ注入攻击的防护力度不够　业务应用识别能力较强，但　３。未重视产品自身安全性　在学习阶段需要长期大量的　ＷＡＦ本身也是一款集成各种系统管理功能的产品，有ｗ小、ＳＳＨ、　ｎｅｔ、Ｃｏｒｔ￣ｏｌｅ等多种管理方式　．部分ＷＡＦ厂商只关注产品的业务功能，忽　经验积累，否则学习准确度　Ｔｅｌ不高　视产品自身的安全性　国测信息安全实验室的深度安全检测结果显示，部分　针对以上三种检测技术　ＷＡＦ产品在实际使用中开放了多余的服务端口，以及在Ｗｅｂ和ｓｓＨ管理方　ｒ网域前沿１　Ｉｎｆｏｓｅｃ　Ｓｐｏｔｌｉｇｈｔｓ●　式上存在多个严重安全漏洞，可导致设备自身遭受攻击　４．产品性能仍有提高空间　况下也可以使用虚拟补丁作　为一种快速的解决方案。如　ＷＡＦ一般都直接部署到ｗｅｈ服务器前端，同时作为串联在网络中的设备，　果一个Ｗｅｂ应用的早期版　其性能的高低至关重要　从之前的性能测试数据不难看出，目前ｗＡＦ，特别　本已不再获得支持，那么虚　是万兆产品的性能亟待提高。硬件架构中ＣＰＵ和内存的配置，软件算法中　拟补丁也是一个很好的解决　ｔ－　、　Ｗｅｂ攻击防护和应用过滤的优化，都是影响产品性能的关键因素　相对于开　办－启一些基本安全策略，ｗＡＦ在开启全部安全策略条件下，性能会出现不同程　度的下降，个别产品的ＨｒｒＰ传输速率降幅甚至接近５（　，安全厂商对ＷＡＦ　６．更紧密结合用户需求　很多购买ＷＡＦ的用户　各种安全策略的配置仍有改进的空间　．　是没有足够的技术人员来进　行日常维护和支持的　不少　企业只是简单把ｗＡＦ配置　成旁路模式（不阻断攻击），　甚至也不查看日志　ｗＡＦ厂　商应重视服务，结合用户具　发展方向与建议　综合现阶段我国网络安全发展及ｗＡＦ产品现状，我们提出以下建议：　１．增强检测攻击规避能力　在深入研究和分析国内外各种针对ＷＡＦ的规避和逃逸方法的基础上，　在更新规则库的同时，加强算法和自学习的功能，提高Ｗｅｂ攻击规避或变形　体业务，针对用户Ｗｅｂ应用　后的识别与检测　ｗＡＦ生产厂商也要提高对ｗｅｂ协议的解析能力和数据包　做ｗＡＦ安全防护策略或配　分片的重组能力，以及异常Ｈ　ｒ］ｒｐ／ＨＴＴＰｓ协议的处理能力　２　提高应用防护更新能力　置上的优化，以及给予技术　上的指导，使ＷＡＦ产品达　如何保证支持不同的编程语言、框架和平台开发出的各种Ｗｅｂ应用是　到更好的检测效果。另外，　ＷＡＦ厂商面临的一大难点　、因此，应该实时追踪ｗ小应用的变化形势，并　可以增加与用户自身的Ｗｅｂ　组织专门的研究部门跟踪新应用的攻击方法，针对新应用进行规则库或算法　漏洞扫描器、网络威胁态势　更新等防护措施　在实际部署时，分析用户环境中的ｗ小应用，提供有针对　感知系统等产品进行联动的　性的一整套解决方案。　功能，形成完整的安全闭环。　３．加强产品自身安全性　ｗＡＦ生产厂商应分析自身产品面临的威胁和攻击，排查已经存在的漏洞，　结束语　对产品进行更新升级，并在未来的设计、开发和测试阶段多重视产品自身的　安全性，通过安全开发生命周期（ＳＩ）Ｌ）来规范化产品开发过程　．　４．持续优化产品性能　ＷＡＦ的出现是互联网安　全和日益发展的网络技术共同　作用的结果，顺应了互联网高　速发展的同时对Ｗｅｂ安全的　由于实际的Ｗｅｂ服务器日常访问量巨大，而ＷＡＦ产品往往部署在ｗ　服务器前端、执行多种Ｗｅｂ安全防护策略，其性能问题不容忽视　、为了避免　需求　企业和政桐；门应加大　成为Ｗｅｂ正常访问的瓶颈，安全厂商应持续加强对ｗＡＦ硬件架构以及软件　对ＷＡＦ产品的重视程度与投　算法的优化，确保产品的性能满足实际环境日益增长的需求　、　入力度，更好地保障用户数据　安全　ＷＡＦ生产厂商也应加　５．关注虚拟补丁功能　有规则自动生成的一套新规则，应用于被保护网站　在打上虚拟补丁之后，　虚拟补丁是ｗＡＦ通过导入被保护网站的漏洞扫描报告，并根据自身已　强检测、防护技术的研究与创　新，指导用户正确使用。各方　之前被扫描出的Ｗｅｂ应用漏洞将无法重现。在面对突发事件和攻击的时候，　协调努力推动我国互联网健康　ｗｅｂ应用的更新补丁往往不能适应快速响应的需求，所以，ＷＡＦ在这种情　快速发展　、６