应用防火墙应用与研究

技广场207应用防火墙应用与研究Application and Research of Application Firewall周安娜Zhou Anna(南昌市经济信息中心,江西南昌330038)(Nanchang Economic Information Center, Jiangxi Nanchang 330038)摘要:本文介绍了应用防火墙对web应用保护的实现方法,它成功地提高了整个网站运行的稳定性和安全性,保证了用户的安全可靠访间,避免了黑客绕过网络防火墙攻击b应用的可能。在网站信息化建设中,应用防火墙将会发挥更大的安全稳定的作用。关键词:应用防火墙;‰b应用中图分类号:TP393文献标识码:A文章编号:1671-4792-(2009)7-010602Abstract: The thesis introduces how to implement the protection of the web application by applicationfirewalls. It has increased the website's stability and security, and ensure users' safe access successful-y. It can also prevent hackers from attacking sites by detouring the firewall. The application firewallwill be more safe and stable in website information constructionKeywords: Application Firewall; Web Application0引宫网站。在实际情形中,不可能让所有程序员在编写所有Web现代的信息系统,无论是建立对外的信息发布和数据交应用程序时都注意防范这些漏洞况且部分漏洞是应用程序换平台还是建立内部的业务应用系统都离不开Web应用。无法防范的,所以在大量而广泛的Web网站和Web应用中,Web应用不仅给用户提供一个方便和易用的交互手段,也给需要采用专门的应用防火墙来保护Web应用层面的安全信息和服务提供者构建一个标准技术开发和应用平台可以1系统概述预计在相当长的一段时间内,Web应用仍将是网络应用的最应用防火墙可以实现对Web站点特别是Web应用的保主要方式之护。它内置于Web服务器软件中,通过分析应用层的用户请网络的发展历史可以说是攻击与防护不断交织发展的求数据(如URL、参数、链接 Cookie等),区分正常用户访间过程。目前,全球网络用户已近20亿,用户利用互联网进行Web和攻击者的恶意行为,对攻击行为进行实时阻断和报购物银行转账支付和各种软件下载企业用户更是依赖于警。这些攻击包括利用特殊字符修改数据的数据攻击设法网络构建他们的核心业务,对此,Web安全性已经提高到一执行程序或脚本的命令攻击等黑客通过这些攻击手段可以个空前的高度。然而随着黑客们将注意力从以往对网络服达到算改数据库和网页绕过身份认证和假冒用户、窃取用务器的攻击逐步转移到了对Web应用的攻击上,他们针对户和系统信息等严重危害网站内容安全的目的Web网站和应用的攻击愈演愈烈频频得手,根据 Gartner应用防火墙对常见的注入式攻击跨站攻击、上传假冒的最新调查信息安全攻击有75%都是发生在Web应用而非文件不安全本地存储非法执行脚本、非法执行系统命令、网络层面上同时,数据也显示三分之二的Web站点都相当资源盗链、源代码泄漏URL访问限制失效等攻击手段都有脆弱易受攻击。目前,利用网上随处可见的攻击软件,攻击有效的防护效果者不需要对网络协议的深厚理解,即可完成诸如更换Web网应用防火墙为软件实现适用于所有的操作系统和Web站主页盗取管理员密码破坏整个网站数据等等攻击而这服务器软件,并且完全对Web应用系统透明。些攻击过程中产生的网络层数据,和正常数据没有什么区2系统结构设计方案应用防火使用eb服条黑核心内嵌技术来对所有用现阶段很多传统的安全设备仅仅工作在网络层上并不户请习中国煤化工被Web服务器软件处能精确理解应用层数据,更无法结合Web系统对请求进行深理之育人分析针对应用层面的攻击可以轻松地突破防火墙保护的攻击CNMHG进行检查确保所有…眾力心内嵌技术(以下简称106核心内嵌技术)是指将安全模块内嵌在Web服务器软件(I-括注入式攻击和代码攻击);IS/ Apache/ Weblogic/ Websphere/…)中,这个模块针对不同③请求数据过滤对PsT方法提交的数据进行检查(包的web服务器软件使用相应的核心内嵌技术实现,例如:IS-括注入式攻击和代码攻击)API、 Apache-todule、 NSAPI、 JAVA-filter等。安全模块内嵌④ Cookie过滤:对 Cookie内容进行检查;于聊eb服务器软件即与Web系统完全整合,其优点在于:①④盗链检查:对指定的文件类型进行参考域的检查;不存在独立的安全模块运行进程,人侵者无法找到和中止模应用防火墙应④跨站脚本攻击检查对指定的文件类型进行参考开始墙块运行;②精准理解和分析Web服务请求数据,进行充分可路径的检查靠的安全检查;完全与Web服务的运行进程融合,稳定性这些规则可以根据Web系统的实际情况进行配置和分和兼容性强;④二进制代码,处理效率高,与应用系统使用的站点应用。脚本语言无关;的与操作系统及硬件无关,全面控制Web系3.3指定站点规则统软件和服务应用防火墙为一台服务器上不同的站点制定不同的规应用防护模块即可采用上述的Web系统核心内嵌模块则站点区分的方法包括:不同的端口、不同的IP地址及不技术,对来自于客户的Web访问请求进行分析,检查其是否同的主机头名(即域名)。构成攻击企图或为网站管理员所禁止。检查点为:用户提交34可防范的攻击的HTP请求( request)到达Wb服务器,尚未进行其他处理应用防火墙可以组合以上限制特性针对以下应用攻击时。检查对象为:原始请求数据(GE/PQsr等各种方法及其进行有效防御:SQL数据库注入式攻击脚本源代码泄露、非数据)。法执行系统命令、非法执行脚本、上传假冒文件跨站脚本漏3系统实现功能概述洞、不安全的本地存储、网站资源盗链应用层拒绝服务攻3.1请求特性限制应用防火墙可以对HTTP请求的特性进行以下过滤和限35攻击日志应用防火墙对于所有攻击都有详细日志,包括:攻击时①请求头检查:对田P报文中请求头的名字和长度进间攻击者IP地址、主机名、RL攻击部位攻击内容触发行检查规则②请求方法过滤限制对指定ⅢP请求方法的访问;这些日志独立于Web服务器系统的日志③请求地址过滤:限制对指定HP请求地址的访问36攻击特征库④请求开始路径过滤:限制HTP请求中的对指定开始应用防火墙的攻击特征库包括:危险的头、危险的文件路径地址的访问名;危险的文件类型、危险的开始路径、危险的方法、危险的⑥请求文件过滤:限制HTTP请求中的对指定文件的访提交及危险的帐号。问;应用防火墙可以对攻击特征库持续升级,以对未来出现⑥请求文件类型过滤:限制TP请求中的对指定文件的攻击模式或新的操作系统/web服务器系统进行防范类型的访问鉴于Web服务器的特殊安全性,特征库不采用自动在线⑦请求版本过滤:限制对指定TP版本的访问及完整升级方式性检查4结束语③请求客户端过滤:限制对指定TP客户端的访问及传统安全设备仅仅工作在网络层上,并不能精确理解应完整性检查;用层数据,更无法结合Web系统对请求进行深入分析,针对请求链接过滤限制链接字段中含有的字符及完整性应用层面的攻击可以轻松突破防火墙保护的网站在大量而检查广泛的Web网站和Web应用中,需要采用专门的Web安全防鉴别类型过滤限制对指定HTP鉴别类型的访问护系统来保护Web应用层面的安全。因此,应用防火墙会得au鉴别帐号过滤:限制对指定HTTP鉴别帐号的访间到更加广泛的应用。2内容长度过滤:限制对指定HTTP请求内容长度的访参考文献03内容类型过滤:限制对指定HTP请求内容类型的访[1]黎连业,张维,向东明防火墙及其应用技术风].北京:清华大学出版社,2004,7这些规则可以根据Web系统的实际情况进行配置和分[2]刘宗田wB站点安全与防火墙技术[M.北京:机械站点应用工业出版社,2007,1232请求内容限制应用防火墙可以对TP请求的内容进行以下过滤和限作者简介周安娜(1982-),女,南昌市经济信息中心,助理工程①URL过滤对提交的URL请求中的字符进行限制②请求参数过滤:对GET方法提交的参数进行检查(包中国煤化工CNMHG