Web应用程序防火墙如何为客户提供保护
什么是Web应用程序防火墙
Web应用程序防火墙是为了保护基于Web的应用程序而设计的。它不象传统的防火墙,它基于Internet地址和端口号监视和阻塞数据包。标准端口号对应于一种网络应用程序。例如,telnet接收发送到端口23的数据包,而邮件服务器接收发送到端口25的数据包。
传统的防火墙允许将数据发送到邮件服务器的相应Internet地址,允许数据包通过25端口发送到目的地。将数据包发送到因特网地址和25端口(不是邮件服务器系统)是攻击。防火墙将阻止这些数据包。
Web服务器应该在端口80上发送数据包,因此必须发送到Web服务器系统的80端口的所有数据包通过防火墙。传统的防火墙无法确定地址是否指向正确的包,包括是否包含威胁。然而,Web应用程序防火墙可以仔细检查数据包的内容,以检测和防止威胁。
Web应用程序如何受到攻击
黑客一直在开发访问未经授权的Web应用程序的新方法,但也有一些常见的技术。
SQL注入:一些应用程序通过复制Web客户端输入创建数据库查询。黑客通过构建未被仔细检查和拒绝的字符串来获得机密数据。
跨站脚本:黑客将脚本代码(如Javascript或ActiveX)插入到输入字符串中,导致Web服务器泄露用户名和密码等信息。
操作系统命令注入:一些应用程序从Web输入,以创建操作系统命令,例如访问文件和显示文件的内容。如果输入字符串没有仔细检查机制,黑客可以创建输入来显示未经授权的数据、修改文件或系统参数。
会话劫持:黑客通过猜测基于令牌的令牌的内容获取登录会话的权利。这允许黑客接管会话并获取原始用户帐户信息。
篡改参数或URL应用程序通常在返回的网页中嵌入参数和URL,或者用授权参数更新缓存。黑客可以修改这些参数、URL或缓存,从而使Web服务器返回不应泄露的信息。
缓冲区溢出:应用程序代码应该检查输入数据的长度,以确保输入数据不会超过剩余的缓冲区并修改相邻的存储。黑客很快就会发现应用程序没有检查溢出并创建输入以导致溢出。
Web应用防火墙检查每一个传入的数据包的内容来检测上述类型的攻击。例如,Web应用防火墙扫描SQL查询字符串,检测和删除的数据冗余的应用程序,在return.value-added供应商结果应仔细监测新开发的攻击类型和跟进最新的产品要求的字符串。
Web应用防火墙不仅能检测已知类型的攻击,但也监测异常的使用模式来检测未知的攻击方法。例如,Web应用程序和客户之间的信息交流的数量是有限的。如果Web应用防火墙检测到Web服务器返回的是一个更大的数据量超过预期,这将切断传播途径以防止数据泄漏。
目前有基于软件和应用程序的web应用防火墙,基于软件的产品部署在Web服务器上,基于应用程序的产品被放置在Web服务器和Internet接口之间,两种类型的防火墙在数据传入Web服务器之前和传递之前将检查数据。
一般来说,基于软件的产品成本低于基于应用的产品成本。基于软件的产品供应商声称这种防火墙具有更低的延迟和更高的吞吐量,但是在Web服务器上安装额外的软件势必会增加系统上的额外处理负载和软件的复杂性。
基于应用程序的防火墙制造商声称这种防火墙易于安装和使用,因为Web服务器系统上没有安装额外的软件,Web服务器的防火墙处理不受Web应用程序防火墙处理的影响。
除了商业产品,有很多开源的Web应用防火墙提供。这些产品的成本低于商业产品(开源工具,它们都是免费的,或减少基于开放源代码的商业产品的成本很有可能)。在过去,开放源代码的焦点是,黑客会检查代码并试图逃跑的保护。它不是采用开放源代码的软件,如Linux的丰富经验问题。
所有产品,无论是购买或开放源代码,无论是基础或应用基础软件,应该支持。商业产品已经支持的供应商。开放源代码提供了一个机会,整合增值供应商和系统集成商提供的安全知识,对Web应用防火墙的不断支持,确保合作伙伴与客户保持密切的关系,并为供应商在未来为客户提供更多的产品和服务的机会。
因为每个客户的环境和应用程序设置不同,增值分销商和系统集成商必须评估每个客户的独特需求来确定哪种类型的Web应用防火墙将是最合适的。但是,毫无疑问的是,所有客户的Web应用程序应该由Web应用防火墙保护。如果用户不了解这要求或不同意的做法,有必要向他们介绍各种不同的方法,Web应用程序攻击的可能。
仔细检查应用程序代码是一种替代Web应用程序防火墙的方法。在编译错误或缺少内部数据检查的地方,攻击是成功的。从理论上讲,通过代码检查器逐行检查错误的Web应用程序可以替代Web应用程序防火墙。
在实践中,虽然软件工程师通常不相信自己的代码是有缺陷的,但应用程序的更新使得详细的代码检查几乎是不可能的,更不用说代码检查器容易忽略不安全代码,特别是那些没有安全检查人员的背景。
此外,黑客技术发展迅速,网络防火墙厂商一直关注新的攻击类型的新闻,及时更新自己的产品。有些客户可能会觉得通过代码审查程序,使他们能够避免Web应用防火墙的实施带来的成本和工作量,但解决方案提供商应该帮助客户识别安全代码审查只会导致虚假的安全和综合安全保护意识,其实防火墙不能取代提供Web应用。
