标签： WAF

　　电子政务门户网站信息安全形势严峻

　　门户网站作为电子政务的重要组成部分，是政府部门对外的窗口和实施电子政务的重要平台，其地位非常重要，但其安全形势却不容乐观。据CNCERT最新统计显示，2009年我国大陆地区政府网页遭篡改事件呈大幅增长趋势， 2010年上半年我国大陆地区被篡改的政府网站的数量就达到7189个。电子政务门户网站基于WEB应用服务方式，给用户提供了方便，然而针对WEB业务

　　几个月以前我决定去探查一下Web应用层防火墙(WAF)是否真正有用，或者它仅仅是一个花费巨大的披着华丽外衣的废物，只是使得审计人员用来逃脱职责。

　　当然，WAF的卖家总是一成不变的告诉我们他们的产品是如何如何的好，有多少多少的客户在使用他们的产品，但是，这不是最好的方式来了解真实的情况。我也在与一些最终用户的谈论中获知了一些真实的情况，甚至这种方式也不是一个发现安全工具价值的最好方式。并不是所有的使用者有很好的观察法和内部控制方式去测试这些工具的效用，而且由于一些政治和技术方面的原因，很多人并不能够以最优的方式去部署这些工具。
...

　　WEB应用的重要性

　　随着互联网技术的发展，WEB应用越来越受到业务系统的重视，WEB应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。

　　WAF的价值

　　WEB价值重点体现在门户网站的时代时，我们所面临的安全威胁主要源自网站被黑或者网站被篡改，因此网页防篡改技术得到成长并大量使用。应用推运系统架构革新，而系统架构的和革新推动安全技术的发展。WEB应用防火墙也不例外，也是在现有WEB防护技术力日益无法满足业务的新需求时诞生的。
...

　　Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的，所以不管在国内还是国外，WEB应用防火墙（WAF）必定会成为主流的Web应用安全解决方案。

　　不过，有些用户一度认为另外一个产品就是WEB应用防火墙，它就是网页防篡改系统。网页篡改始终是令国内网站头疼的Web安全问题。而且，此类攻击的数量还在呈现上升的趋势。政府门户网站、高校、企业、运营商的网站都出现过严重的网页篡改事件。因此，网页防篡改系统迅速流行起来。

　　网页防篡改系统是一种软件解决方案，它的防护效果直接，但是它的部署位置和基本原理决定了，它只能保护静态页面，而无法保护动态页面。梭子鱼公司中国总经理何平表示，为了解决这个问题，有些网页防篡改系统供应商提出在Web服务器上再安装诸如“SQL注入防护模块”的方案，但这会影响Web服务器性能，而且对动态页面的篡改方法远远不只是“SQL注入”，这种打补丁的方案从长远来看是不行的。
...

　　1操作系统安全加固

　　在操作系统底层利用信任链机制，对系统中所有装载的可执行文件代码（例如，EXE、DLL、SYS、COM等）进行严格的控制，所有可执行文件代码在加载运行之前都需要先经过检验，只有通过验证的代码才可以加载，这种方式可以有效阻止恶意代码的运行，从而有效保障操作系统自身的完整性和可用性不被破坏。

　　验证方法为：首先为系统制定可信白名单，即允许执行代码的hash，在进程装载二进制代码之前首先计算其hash值，并与可信白名单进行比较，不在白名单中的一概不允许执行，这样既可以防止恶意代码运行，又可以防止恶意代码依附其他系统或应用程序运行，确保执行代码的真实性和完整性，同时效率上不会有明显影响。
...

　　日前有媒体报道，截至今年5月份，我国大陆地区被篡改网站的数量为2748个，其中代号为“Fatal”、“HEXB00T3R”和“aGReSiF”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改的网站数量为30个，较4月份增长了9个;我国台湾被篡改的网站数量为44个，较4月份增长了35个……

　　相信面对如此近乎疯狂的网络攻击行为，各网站也都采取了必要的安全防护措施，但为何采取防护措施的

　　2010年6月11日，业界领先的Web安全网关厂商Anchiva宣布，发布最新Web攻击防御产品线——Anchiva S系列Web应用安全网关（简称WAF）。Anchiva WAF通过对进出Web服务器的HTTP/HTTPS流量内容进行实时分析、检测与过滤，可精确判定并阻止各种Web应用入侵行为，阻断对Web服务器的恶意访问与非法操作。

　　近年来，Web攻击事件频频爆出，根据最近的CNCERT报告显示，仅5月10日至5月16日一周内，中国境内就有81个政府网站被篡改；截止5月24日，包括我国的2所一流大学与10多所重点大学在内的众多高校网站被挂马。企业传统的安全手段已经很难应对各种新型的Web攻击，而最新Anchiva WAF系列产品能够保护网页内容不被篡改，阻挡网站被挂马和植入病毒、后门、间谍软件等，同时还能保护Web数据库信息不被泄露，以及防护SQL注入、XSS攻击、命令行注入等威胁。
...

　　游侠朋友公司的WAF刚升级了，在面前显摆呢，嘿嘿。截几个图让大家看看。
　　下面是可以设置高速缓存，提高网站访问速度。设置一个值，这样客户端请求部分无需频繁更新的文件的时候就可以由WAF直接返回，增加了访问速度还减轻了WEB服务器的压力。

　　当然，数据压缩也是必须的，这样访问速度更快了。

　　长期以来，很多单位和部门的网站深受木马毒害，并时常遭到黑客的无情篡改，由于网站是对外传播的第一门面，因此，网站安全始终是悬在网络中心管理员头上的一把利剑!

　　难道网站安全真的就不能让人放心无忧吗?

　　当然可以!

　　日前，国内领先的网络设备及解决方案提供商锐捷网络推出了门户网站安全守护神——RG-WG系列锐捷webGuard应用保护系统，弥补了传统网站安全防护机制漏洞，把

　　随着互联网的发展演变，基于Web和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。但是，黑客也将攻击目标瞄准了Web应用，目前常见的网络攻击大多数都是针对应用自身的弱点，其中最常用的攻击技术就是针对Web应用的SQL注入和跨站攻击。

　　对Web应用的攻击增多刺激了Web应用防火墙（以下简称WAF）市场的增长。WAF是一种专门针对Web应用进行全面防护的设备，它可以识别黑客攻击，并且根据应用层的会话请求，处理应用层信息。也就是说，它专门保护Web应用通信流和所有相关的应用资源，避免遭受来自Web协议或应用程序漏洞方面的攻击。根据IDC的报告，未来几年全球关于Web应用防护的市场份额将达30亿美元。
...

　　中新社北京5月18日电 来自国家互联网应急中心18日的报告显示，5月10日至5月16日一周内，中国境内有81个政府网站被篡改，这一数据环比下降了35%。

　　根据监测，至5月17日12时，仍有29个被篡改的政府网站没有恢复，其中包括4个省部级网站，分别位于安徽、江苏、四川和西藏自治区，另外还有25个地市级政府网站。

　　这些数据显示，政府网站的安全意识和安全措施有待加强。不过，政府网站被篡改的数量呈降低趋势。5月2日至5月9日一周，中国124家政府网站被篡改。

　　根据监测，针对政府、企业以及互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。
...

　　从2008年开始，大量企业、政府的网站遭遇Web攻击，甚至有黑客通过攻击企业网站勒索钱财。众多的事例使企业逐渐认识到，由于很多攻击已经转向应用层，传统的防火墙、IPS、网页防篡改设备都无法彻底阻止此类攻击，必须要安装Web应用防火墙（以下简称WAF）来保护Web应用。

　　保护应用的“墙”

　　只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。

　　WAF的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。
...

　　该认清事实了！企业的信息安全十之八九做得一败涂地。

　　问问2008年8月因透过不安全的Wi-Fi入侵TJX等零售店而遭到起诉的11名黑客，便知─当时有4,000万笔信用卡与现金卡卡号被窃。问问EDS承包Medicaid理赔处理专员：今年2月她承认犯下盗卖客户社会安全号码与生日数据，以冒领退税金。问问犹他州大学医院聘雇来护送磁带到异地储存中心的快递人员。6月的某一天，他开了自己的车，而非公司的安保车来，结果这批包含2,200万名病患账单资料从前座被偷。

　　量化安全项目的报酬率并不容易，通常因为很难算出你从避免的危机中，可获得多少金钱报偿。今年低迷的经济，迫使决策者对任何预算提案都更加保守。即使如此，调查结果显示，企业还是继续购买、导入技术工具，包括入侵检测软件、加密和身份管理等。这倒是好消息。
...

　　针对目前大多数网站没有独立和专业的安全运维团队，难以发现网站的风险漏洞及安全隐患，无法第一时间知晓所遭受的安全威胁等现状，绿盟科技推出了一项专门针对网站安全的托管式服务——绿盟网站安全监测服务。该服务能通过远程方式对目标站点的可用性及安全性进行7×24实时监测。

　　对网站所有者来说，“绿盟网站安全监测服务”是一款第三方托管式服务，该服务由绿盟科技安全监测专家团队远程为客户提供。当监测到用户网站遇到风险状况后，绿盟科技安全专家会在第一时间确认并通知用户，同时提供专业的解决方案建议。绿盟科技安全监测团队会定期为客户出具周期性的网站安全监测报告，让用户掌握网站的风险状况及安全趋势。用户无需安装任何硬件或软件，无需改变目前的网络部署状况，就能将网站管理人员从繁重的日常安全维护工作中解放出来，降低投入和管理成本。
...

　　摘要：
　　
　　IPS（入侵防护系统）和WAF（Web应用防护系统）两款产品有不同的使用场景，随着Web应用发展带来的复杂度，对安全性要求也日趋增高，Waf的出现是顺应了市场和技术的需要，本文从对比角度来分析，是为了从差异中让读者更清晰的理解Web安全防护产品的技术特征。
　　
　　关键词：WAF IPS WEB应用防护 绿盟科技
　　
　　谁是最佳选择？
　　
　　Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。但对于重要的Web应用（比如运营商或金融），始终有受利益驱动的黑客进行持续的跟踪。
...