Web 安全防护系统的实现与分析程立雪中国工程物理讨论院计算机应用讨论所摘要:Web 安全防护系统(WAF,Web Application Firewall)通过建立网络应用层的安全规则、识别用户的行为特征,进行流量的监测与过滤,能够有效防止针对网站的主要攻击,保护Web 服务的安全。本文介绍了 Web 安全问题的产生及类型,说明了 WAF 原理、作用及特性,提出了开发 WAF 软件系统的总体架构、功能模块、工作流程等,制定了 WAF 的网络部署方案,最后验证了 WAF 的实际应用效果,分析了 WAF 产生的日志信息,这对于改进应用系统的安全具有重要价值.关键词:WAF,Web 安全,网络攻击The Implementation and Application of Web Application FirewallWeb 应用以其灵活便捷逐渐取代传统的开发模式,在“大数据时代”呈现爆发式增长 ,但是一方面更多的 Web 程序构建于数据库平台之上,承载了大量的 IT 业务数据的运转,这使得组织对 Web 安全的重视持续提升;另外一方面 Web 安全的脆弱性日益凸显,漏洞缺陷不断暴露,攻击手段不断进展,使得 Web 成为主要的网络攻击的途径,而对 Web 实施防护则十分复杂而困难。一、Web 应用的安全威胁Web 应用是由客户端(浏览器)通过发送 HTTP/HTTPS 请求,例如 POST、GET 消息等与Web 服务器端进行交互。Web 服务器首先对客户端的请求进行身份验证,然后对于合法的用户请求进行处理,并与数据库进行连接,进而猎取或保存数据,再将从数据库获得的数据以Web 页面的形式返回到客户端浏览器。Web 应用程序的核心安全问题是用户可以任意输入信息,因此应用程序必须实行措施防止攻击者使用设计的输入来干扰应用程序的结构,或者非法获得系统的数据。与此同时,由于许多 Web 程序员的安全意识不足,在应用程序的设计和开发过程中,会产生很多安全漏洞。网络管理员的疏忽和不合理的服务器配置,也会导致很多安全问题。根据 Web 应用系统的构成,其面临的安全威胁主要包括三个方面:a.针对 Web 传输协议的攻击,通过异常的协议结构导致协议解析的混乱.如 HTTP 请求夹带、HTTP 回复拆分、HTTP 协议违反、HTTP 协议异常等b。 针对 Web 应用程序的攻击,非法用户或恶意数据利用安全验证机制的漏洞进入了系统,出现了危害性的操作或结果。如跨站脚本攻击、失效的认证及会话管理、远程文件包含攻击等.c.针对后台数据的攻击,如 SQL 注入攻击等,攻击者构造特别的数据库查询或操作语句,...
