網站防篡改迫在眉急　WEB應用防火牆防範

【賽迪網-IT技術報道】目前，利用網上隨處可見的攻擊軟體，攻擊者不需要對網絡協議的深厚理解基礎，即可完成諸如更換Web網站主頁，盜取管理員密碼，資料庫注入和破壞整個網站資料等等攻擊。而這些攻擊過程中產生的網絡層資料，和正常資料沒有什麼區別。

以下是國家計算機網絡應急技術處理協調中心（CNCERT/CC）統計的2008年上半年我國國內網站被黑被篡改的統計圖，在1月－7月內僅發現的被篡改的網站就多達41,000多個，平均每天就有近200個網站被篡改，這真是一個驚人的數字。

下圖是CNCERT/CC從2003－2007的被篡改網站的歷史統計圖

從上圖的對比中我們看出，網站被篡改的數目以每年2-3倍的遞增速度還在不斷的上升趨勢當中。在WEB應用如此普及，如此至關重要的今天，可以說，網站的防黑防篡改解決方案，已經是每一個企業或事業單位網絡運維部門的迫在眉急的重大任務。

很多用戶認為，在網絡中部署多層的防火牆，入侵檢測系統（IDS），入侵防禦系統（IPS）等設備，就可以保障網絡的安全性，就能全面立體的防護WEB應用了，但是為何基於WEB應用的攻擊事件仍然不斷發生？其根本的原因在於傳統的網絡安全設備對於應用層的攻擊防範，作用十分有限。目前的大多防火牆都是工作在網絡層，通過對網絡層的資料過濾（基於TCP/IP報文頭部的ACL）實現訪問控制的功能；通過狀態防火牆保證內部網絡不會被外部網絡非法接入。所有的處理都是在網絡層，而應用層攻擊的特徵在網絡層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術檢查網絡資料中的應用層流量，和攻擊特徵庫進行匹配，從而識別出以知的網絡攻擊，達到對應用層攻擊的防護。但是對於未知攻擊，和將來才會出現的攻擊，以及通過靈活編碼和報文分割來實現的應用層攻擊，IDS和IPS同樣不能有效的防護。

WEB應用防火牆的出現解決了這方面的難題，應用防火牆通過執行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火牆可以阻止將應用行為用於惡意目的的瀏覽器和HTTP攻擊，一些強大的應用防火牆甚至能夠模擬代理成為網站伺服器接受應用交付，形象的來說相當於給原網站加上了一個安全的絕緣外殼。

下面我們就用一款現在業內比較普遍的Barracuda-NC應用防火牆來舉例，來看看應用防火牆是如何保護網站防止被惡意注入和篡改的了。

網絡架構和部署：雙臂代理模式

雙臂代理模式是Web應用防火牆部署種的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。

在此模式中，所有的資料端口都將被開啟；端口eth1是對外的，直接面向因特網的端口；端口eth2將會和內部的設備（交換機等）進行連接，是面向內部的。管理端口可以被分配到另一個網段，我們推薦將管理資料和實際的流量分離，避免因為實際流量和管理資料的衝突。

以下為示例拓撲圖：

網絡實現：

1．前端端口和後端端口位於不同的網段，所有外部客戶將會和應用虛擬IP地址進行連接，此虛擬ip將會和前端端口（eth1）進行綁定

2．客戶的連接將會在設備上終止，進行安全檢查和過濾

3．合法的流量將會由後端端口（eth2）建立新的連接到負載均衡設備

4．負載均衡進行流量的負載

5．雙臂代理模式可以開啟所有的安全功能

工作特點：基於應用層的檢測，同時又擁有基於狀態的網絡防火牆的優勢

‧ 對應用資料錄入完整檢查、HTTP包頭重寫、強制HTTP協議合規化，杜絕各種利用協議漏洞的攻擊和權限提升

‧ 預期資料的完整知識(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

‧ 實時策略生成及執行，根據您的應用程序定義相應的保護策略，而不是千篇一律的廠家預定義防攻擊策略，無縫的砌合您的應用程序，不會造成任何應用失真。

網站全面隱身：黑客再神奇也無法攻擊看不見的東西

Barracuda-NC應用防火牆對外部訪問網站進行隱身，可以隱藏真實的Web伺服器類型、應用伺服器類型、操作系統、版本號、版本更新程度、已知安全漏洞、真實IP地址、內部工作站信息，讓黑客看不見，摸不著，探測不到，自然也無從猜測分析和攻擊。以下便是一款常用掃瞄工具掃瞄經過Barracuda-NC應用防火牆隱藏的網站的結果。

同時，它還能識別各種爬行探測程序，只允許正常的搜索引擎爬蟲進入，抵禦黑客爬行程序於門外，讓想通過探測確定攻擊目標的黑客徹底無門。

除此之外，做為一款強大的應用防火牆，Barracuda-NC應用防火牆還有許多應用交付功能：應用資料緩存，資料壓縮，TCP連接池，SSL Offloading，7層內容交換負載均衡等等，完全可以替代其他應用層交換設備，做為應用層交換的中流砥柱。

(