Web安全防护系统的实现与分析

.【下载本文档，可以自由复制内容或自由编辑修改内容，更多精彩文章，期待你的好评和关注，我将一如既往为您服务】Web安全防护系统的实现与分析程立雪中国工程物理研究院计算机应用研究所摘要:Web安全防护系统（WAF，Web Application Firewall）通过建立网络应用层的安全规则、识别用户的行为特征，进行流量的监测与过滤，能够有效防止针对网站的主要攻击，保护Web服务的安全。本文介绍了Web安全问题的产生及类型，说明了WAF原理、作用及特性，提出了开发WAF软件系统的总体架构、功能模块、工作流程等，制定了WAF的网络部署方案，最后验证了WAF的实际应用效果，分析了WAF产生的日志信息，这对于改进应用系统的安全具有重要价值。关键词：WAF，Web安全，网络攻击The Implementation and Application of Web Application FirewallWeb应用以其灵活便捷逐渐取代传统的开发模式，在“大数据时代”呈现爆发式增长，但是一方面更多的Web程序构建于数据库平台之上，承载了大量的IT业务数据的运转，这使得组织对Web安全的重视持续提升；另外一方面Web安全的脆弱性日益凸显，漏洞缺陷不断暴露，攻击手段不断发展，使得Web成为主要的网络攻击的途径，而对Web实施防护则十分复杂而困难。一、 Web应用的安全威胁Web应用是由客户端(浏览器)通过发送HTTP/HTTPS请求,例如POST、GET消息等与Web服务器端进行交互。Web服务器首先对客户端的请求进行身份验证,然后对于合法的用户请求进行处理,并与数据库进行连接,进而获取或保存数据,再将从数据库获得的数据以Web页面的形式返回到客户端浏览器。Web应用程序的核心安全问题是用户可以任意输入信息,因此应用程序必须采取措施防止攻击者使用设计的输入来干扰应用程序的结构,或者非法获得系统的数据。与此同时,由于许多Web程序员的安全意识不足,在应用程序的设计和开发过程中,会产生很多安全漏洞。网络管理员的疏忽和不合理的服务器配置,也会导致很多安全问题。根据Web应用系统的构成，其面临的安全威胁主要包括三个方面：a.针对Web传输协议的攻击，通过异常的协议结构导致协议解析的混乱。如HTTP请求夹带、HTTP回复拆分、HTTP协议违反、HTTP协议异常等b.针对Web应用程序的攻击，非法用户或恶意数据利用安全验证机制的漏洞进入了系统，出现了危害性的操作或结果。如跨站脚本攻击、失效的认证及会话管理、远程文件包含攻击等。c.针对后台数据的攻击，如SQL注入攻击等，攻击者构造特殊的数据库查询或操作语句，利用意外的返回结果窃取敏感数据，甚至深入破解了数据的结构，控制了数据库平台。二、 Web安全防护系统WAF（Web Application Firewall，Web安全防护系统）对网络流量能够实现应用层的分析与识别，基于用户的行为特征来评估Web数据的安全性，对危险内容进行过滤或屏蔽，保护Web服务器以避免遭受利用协议漏洞、程序缺陷、数据失控等进行的攻击。相较于传统网络安全设备如防火墙、入侵检测系统（IDS）等主要作用于IP网络层及TCP/UDP传输层，处理通用性的网络攻击，WAF则主要从HTTP应用层并专门针对Web攻击发挥功能，两者互相补充，从而共同对整个网络通信构成完整保障体系。针对Web应用安全，理想情况下应该在软件开发生命周期遵循安全编码原则，并在各阶段采取相应的安全措施。然而大量早期开发的Web应用由于历史原因，都存在不同程度的安全问题，且其定制化特点导致没有通用补丁可用，而整改代码因代价过大变得较难实行或者需要较长的整改周期，此时Web安全防护系统的引入成为了迫切的需要。针对需求，WAF主要具备了以下特性：a.实效性：WAF采用成熟高效的基于规则的检测技术，能够根据实际需求动态调整，支持复杂的运算逻辑来定义应用层的规则，从而精确归纳行为模式，捕捉行为特征，判断行为意图。b.适应性：WAF提供了三种安全模式来防范已知或未知的Web安全威胁：1)主动防御：建立正面规则集描述合法的行为及访问，只允许符合规则的正常数据通过；2)被动防御：通过丰富的语言逻辑来定义异常特征库，用于匹配复杂的攻击模式，符合特征的流量将予以拦截处理；3)修补模式：根据已发布的漏洞信息，进行缺陷的屏蔽或修复，阻止利用漏洞的行为，使开发者专注于业务功能。c.全面协议检测WAF会对所有HTTP的请求进行异常检测，能够完整的解析HTTP协议,包括报文头部、参数及载荷；支持各种HTTP编码集；提供了严格的HTTP协议验证，拒绝不符合标准的请求，并且可以只允许HTTP协议的部分必要选项通过，从而减少攻击的影响范围，限定HTTP协议中那些过于松散或未被完全指定的选项。d.提供会话保护机制HTTP协议本身缺乏可靠的会话管理机制，因此WAF对此进行了有效补充, 可以建立一个可靠的会话管理机制，防范基于会话的攻击类型,如cookie篡改以及会话劫持攻击等。e.Web访问审计WAF对于Web流量提供细粒度的日志纪录，为安全审计提供了基础。通过分析WAF日志，不但能够对攻击行为追踪取证，作为改进应用安全的具体依据；还能够了解用户的关注点，为提升系统性能及业务价值提供指引。f.可扩展性WAF还具备负载均衡及反向代理、缓存加速的功能，能够对网络进行优化，同时防护数量众多的Web服务器群。三、 WAF的设计及实现通过对相关开源软件进行深入分析，结合组织的实际需求，项目组完成了进一步的设计与开发，实现了完整可用的WAF系统。软件的架构与流程如图1所示：图1 WAF系统的总体架构a.捕获网络数据，提取Web请求；b.进行HTTP协议的预处理，规范请求的数据结构与格式，防止绕过WAF的检测机制，并进行语义的解析；c.检测过滤是WAF系统的核心模块，它的准确性及性能决定了WAF的效果。该模块主要由三个部分组成：l 提取Web请求的各方面属性，包括GET、POST、Cookie、Session、Script、File、URL等；l 对Web请求的属性值进行特征的模式匹配：一般采用复杂、灵活的正则运算提取相应特征值。据此判断请求的性质：是否属于攻击以及攻击的类别；l 根据匹配的结果对Web请求进行相应的处理，包括阻止、允许、重构、传递、执行等动作；d.经过检测过滤后，只有安全的Web请求能够提交给Web应用，再产生相应的Web回复；e.Web回复同样由WAF进行检查，防止在输出的信息中泄露敏感的内容，再经过编码后，安全的Web回复得以呈现给用户；f.根据用户的要求，需要对Web数据的全生命周期进行细粒度的日志记录，为审计分析提供依据。四、 WAF的部署与验证如图2所示，WAF系统需要以串联方式接入Web客户端和Web服务器之间，访问Web服务器的往返流量都要经过WAF的监测与控制。它在防火墙、IDS之后对Web服务器提供了更为深入的保护，经过WAF的检测和处理，确保了Web交互数据的安全性及合法性，防止异常或恶意的内容对Web系统造成损害。鉴于生产网络的严格限制，以下对WAF系统的验证与分析主要立足于对测试环境中Web服务的安全保护。图2 WAF的网络部署拓扑在部署WAF之前，通过运行Web安全性测试工具进行扫描与模拟攻击，发现的网站漏洞如图3左侧所示，存在4个主要的安全问题，包括SQL注入、邮件地址模式、应用程序错误等漏洞，这样的网站面临着较高的安全风险；部署WAF系统之后，对Web站点的扫描结果如图3右侧所示，包括SQL注入、应用程序错误等主要的安全漏洞得到了屏蔽，Web服务的安全得到了有效的强化与加固。图3 WAF部署前后的安全漏洞扫描五、 WAF的数据分析WAF部署后产生了大量的日志记录，通过进一步提炼统计后，获取了大量切实有效的Web应用系统的运行数据，这些数据揭示了Web安全的深层规律及特性，为管理部门了解应用现状、制定改进计划提供了基础，对构建长效的Web安全体系具有指导意义。WAF系统的日志具体包含了完整详细的信息，如：生成时间、匹配规则、采取措施、重要级别、源地址和端口、服务器名称和网页路径、协议版本和状态、访问方式、告警消息等等，甚至记录了原始的数据包字节数据。通过对WAF日志的进一步汇总与分析，能够满足审查、取证等各方面的需求，获取各种有价值的结论。a. WAF日志为判断安全设施的有效性提供依据通过对网络流量的侦听、捕获以及WAF日志的统计结果，表明 WAF系统的应用使Web攻击得到了明显的遏制，数量大幅度下降了约90%，如图4所示；图4 WAF部署前后的的攻击数量b. WAF日志为了解安全系统的能力提供量化参考在对Web服务进行大量模拟攻击后，WAF日志显示它对于主要Web攻击类型的防范效果良好，如XSS脚本攻击、SQL注入攻击等，90%以上的攻击能够及时发现并得到进一步的处理以消除其危害；表1WAF处理的Web攻击攻击类别攻击数处理数1XSS脚本攻击20202SQL注入攻击30303HTTP协议攻击20164一般攻击3026c. WAF日志为网络执法提供线索 WAF日志能够明确显示攻击源的具体IP地址，以此为线索能够迅速跟踪、锁定责任人员，从源头切断攻击的产生，有力震慑恶意的企图。如图5所示，这指出了对Web服务的攻击行为主要来自于172.20.*.*网段，由5等主机发起；图5 WAF发现的攻击源地址d. WAF日志为开发安全可靠的网站提供支持SQL注入攻击是当前针对Web应用的攻击中危害最大、数量最多而防范最难的。它的产生通常是由于程序开发人员不了解注入攻击的手段、对用户数据的验证和过滤不严格或者服务器安全策略的配置不完善等原因导致的。WAF不但能够拦截SQL注入攻击，还能够在日志中记录攻击的具体类别及途径，如通过附加注释符或者编造查询语句、输入特殊参数、持续探测页面参数的变化等方式以欺骗系统施行危害。这些信息可以用于指导编程人员有针对性地完善程序，消除缺陷，提高代码质量与规范性，从根本上降低系统脆弱性，保障Web服务的安全。表2是在模拟运行SQL注入攻击后，根据WAF日志对攻击成因的排列报告。程序员因此能够了解到攻击的原理及过程，从而采取措施杜绝漏洞，如：提取用户的输入，对其中的特殊字符自动转义；限制输入的范围与类型；对用户权限进行隔离限制；对数据内容进行加密；简化服务器返回的错误信息；管理会话的请求内容与数量等。表2SQL注入攻击方式的分类排名排名规则ID攻击方式攻击数量1981315注释符攻击142981231查询语句异常103981317SQL关键词攻击44981172超出范围的特殊字符15950007SQL盲注1WAF系统投入使用以来，在Web安全方面发挥了确实有效的作用，它能够从更加深入细致的层面监控Web流量，以灵活快捷的方式有力保障了Web服务的稳定可靠。Web应用安全是领域研究的重点与难点，不断出现新的特性与技术，一方面要求持续改进Web系统本身的设计、开发及测试的规范性，另一方面WAF系统将引入人工智能的技术，形成自动学习完善的能力。参考文献 1侯燕 王海滨，基于WAF的Web安全信息系统构建J，计算机工程，2001.082邓静 龚剑，基于高校私有云的WAF研究J，宿州学院学报，2014.013宋歌笙，Web应用防火墙在图书馆的应用J，图书馆工作与研究，2010.094叶坚，Web应用防火墙在网上银行的应用J，中国金融电脑，2010.095 OWASP. Open Web Application Security ProjectEB