Web安全防护系统的实现与分析 程立雪 中国工程物理研究院计算机应用研究所 摘要:Web安全防护系统(WAF,WebApplicationFirewall）通过建立网络应用层的安全规则、识别用户的行为特征，进行流量的监测与过滤，能够有效防止针对网站的主要攻击，保护Web服务的安全。本文介绍了Web安全问题的产生及类型，说明了WAF原理、作用及特性，提出了开发WAF软件系统的总体架构、功能模块、工作流程等，制定了WAF的网络部署方案，最后验证了WAF的实际应用效果，分析了WAF产生的日志信息，这对于改进应用系统的安全具有重要价值. 关键词：WAF，Web安全，网络攻击 TheImplementationandApplicationofWebApplicationFirewall Web应用以其灵活便捷逐渐取代传统的开发模式，在“大数据时代”呈现爆发式增长，但是一方面更多的Web程序构建于数据库平台之上,承载了大量的IT业务数据的运转，这使得组织对Web安全的重视持续提升；另外一方面Web安全的脆弱性日益凸显，漏洞缺陷不断暴露，攻击手段不断发展，使得Web成为主要的网络攻击的途径，而对Web实施防护则十分复杂而困难。 Web应用的安全威胁 Web应用是由客户端（浏览器)通过发送HTTP/HTTPS请求,例如POST、GET消息等与Web服务器端进行交互。Web服务器首先对客户端的请求进行身份验证，然后对于合法的用户请求进行处理，并与数据库进行连接,进而获取或保存数据，再将从数据库获得的数据以Web页面的形式返回到客户端浏览器。 Web应用程序的核心安全问题是用户可以任意输入信息,因此应用程序必须采取措施防止攻击者使用设计的输入来干扰应用程序的结构,或者非法获得系统的数据。与此同时，由于许多Web程序员的安全意识不足,在应用程序的设计和开发过程中，会产生很多安全漏洞。网络管理员的疏忽和不合理的服务器配置,也会导致很多安全问题。 根据Web应用系统的构成，其面临的安全威胁主要包括三个方面： a. 针对Web传输协议的攻击，通过异常的协议结构导致协议解析的混乱.如HTTP请求夹带、HTTP回复拆分、HTTP协议违反、HTTP协议异常等 b。 针对Web应用程序的攻击，非法用户或恶意数据利用安全验证机制的漏洞进入了系统，出现了危害性的操作或结果。如跨站脚本攻击、失效的认证及会话管理、远程文件包含攻击等. c.针对后台数据的攻击，如SQL注入攻击等，攻击者构造特殊的数据库查询或操作语句，利用意外的返回结果窃取敏感数据，甚至深入破解了数据的结构，控制了数据库平台。 Web安全防护系统 WAF（WebApplicationFirewall,Web安全防护系统)对网络流量能够实现应用层的分析与识别，基于用户的行为特征来评估Web数据的安全性，对危险内容进行过滤或屏蔽，保护Web服务器以避免遭受利用协议漏洞、程序缺陷、数据失控等进行的攻击。 相较于传统网络安全设备如防火墙、入侵检测系统（IDS）等主要作用于IP网络层及TCP/UDP传输层,处理通用性的网络攻击，WAF则主要从HTTP应用层并专门针对Web攻击发挥功能，两者互相补充，从而共同对整个网络通信构成完整保障体系. 针对Web应用安全，理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施.然而大量早期开发的Web应用由于历史原因,都存在不同程度的安全问题，且其定制化特点导致没有通用补丁可用，而整改代码因代价过大变得较难实行或者需要较长的整改周期，此时Web安全防护系统的引入成为了迫切的需要.针对需求,WAF主要具备了以下特性： a. 实效性：WAF采用成熟高效的基于规则的检测技术,能够根据实际需求动态调整,支持复杂的运算逻辑来定义应用层的规则,从而精确归纳行为模式，捕捉行为特征，判断行为意图. b. 适应性：WAF提供了三种安全模式来防范已知或未知的Web安全威胁： 1) 主动防御：建立正面规则集描述合法的行为及访问，只允许符合规则的正常数据通过； 2) 被动防御：通过丰富的语言逻辑来定义异常特征库,用于匹配复杂的攻击模式，符合特征的流量将予以拦截处理； 3） 修补模式：根据已发布的漏洞信息，进行缺陷的屏蔽或修复,阻止利用漏洞的行为，使开发者专注于业务功能. c. 全面协议检测 WAF会对所有HTTP的请求进行异常检测，能够完整的解析HTTP协议,包括报文头部、参数及载荷；支持各种HTTP编码集;提供了严格的HTTP协议验证,拒绝不符合标准的请求，并且可以只允许HTTP协议的部分必要选项通过，从而减少攻击的影响范围，限定HTTP协议中那些过于松散或未被完全指定的选项。 d。 提供会话保护机制 HTTP协议本身缺乏可靠的会话管理机制，因此WAF对此进行了有效补充,可