第1章 概述 随着互联网技术的发展,Web 应用日益增多,同时也面临着Web 滥用、病毒泛滥和黑客攻击等安全问题,导致 Web 应用被篡改、数据被窃取或丢失。根据 Gartner 的统计当前网络上 75%的攻击是针对 Web 应用的。攻击者通过应用层协议进入组织内部,如 Web、Web邮件、聊天工具和 P2P 等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换 w eb 网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。常见的威胁如下: 威胁名称 威胁描述 非授权访问 非授权用户可能试图访问和使用非授权端口、应用类型以及资源 Web 应用攻击 恶意用户可能通过构造特 殊 的HTTP/HTTPS 请 求 ,对产品保 护 的web 应用实 施 SQL 注 入、XSS 等 web 攻击 暴 力 认 证 恶意用户可能通过反 复 猜 测 鉴 别数据的方 法 ,从 而获 取管理员权限 漏 洞 攻击 恶意用户可能利用产品 本 身 或其 所 保 护 资产所 存 在 的脆弱 性 ,而对其 发起 远 程攻击 敏 感 信 息 泄 漏 用户的敏 感 信 息 ( 如银 行 卡 账 号 ,身 份 证 号 ,手 机 号 码等)或者服 务 器 关 键 文 件( 如数据库 信 息 文 件,服 务 器 配 置 文件等) 遭 到 有意或者无 意的泄 漏 信 息 篡改 恶意用户篡改服 务 器 文 件,使得 服 务 器 信 息 以非正常方 式呈 现 1.1 为 什么需要 W EB 应用防 火 墙 1.1.1 传 统防 火 墙 能否 抵 御 W EB 攻击? 防 火 墙 作 为 一 款 历 史 悠 久 的经 典 产品 ,在IP/端口的网络时代 ,发挥 了 巨 大 的作 用:合理的分 隔 了 安全域 ,有效 的阻 止 了 外 部的网络攻击。防 火 墙 在 设 计时的针对性 ,在 当时显 然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 传统防火墙基于 IP/端口,无法对 WEB 应用层进行识别与控制,无法确定哪些 WEB 应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对 WEB 应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马...
