乐帮

摘要：随着Web的不断普及，对Web的攻击也在一定程度上爆发了，所以对Web服务进行保护，不让其受到攻击就成了网络安全领域研究的一个重点。网络安全的传统设备一般就是基于数据包进行检测，在OSI模型的传输层以及网络层进行工作，在应用层上，对Web不能进行有效的保护。本文针对目前的Web应用的安全问题，以及目前的一些网络安全的产品进行了一定的分析，提出Web应用防火墙技术，它对于Web应用程序的保护，可以起到一定的作用，同时，也简单介绍了Web应用防火墙的工作原理，对它的组成模块还有检测技术也进行了一定的描述。

关键词：Web应用;防火墙技术;检测技术

引言：随着科学技术的不断发展，Web应用也在不斷普及和发展，同时，Web安全的问题也更加凸显，由于各种针对Web应用的攻击所造成的危害越来越严重，所以必须要加强Web应用对恶意攻击的抵御能力，Web应用防火墙就由此诞生[1]。跟传统的防火墙以及入侵的防御系统相比，Web应用防火墙不再是在传输层和网络层进行工作，它是直接在应用层上进行工作，一般情况下是部署在Web服务器的前端，然后专门针对HTTP/HTTPS执行相应的安全策略，从而达到维护Web应用安全的目的。

一、Web应用防火墙的概念

从广义上讲，Web应用防火墙是一种入侵防御系统，主要面向Web应用，同时它也集成了硬件架构以及虚拟化软件，对各种进行攻击行为进行深层的探测，然后阻止这类攻击Web应用的行为。从狭义上来说，Web应用防火墙它是属于一种软硬件设备，是针对Web应用的安全进行防护的设备，主要是对XML攻击还有SQL注入，以及XSS攻击这几类行为进行防护。

二、Web攻击和Web应用防火墙技术

和传统的攻击一样，Web攻击也可以分为信息窃取、恶意扫描以及会话劫持等。但是与传统的攻击不同的是，Web攻击的攻击对象不再是像操作系统还有一些比较底层的组件，它是直接对Web应用程序的应用层进行攻击，攻击方式一般有SQL注入、恶意上传以及信息泄露等。

Web应用防火墙，它是对Web服务器应用层的入侵进行防御，对入侵防御系统以及防火墙这些安全设备的缺陷进行了弥补。Web应用防火墙在Web服务器还没有获取网络数据包的时候，就深入检查数据包，然后对访问进行辨认，分辨出究竟是恶意的攻击还是正常的访问，对于恶意的攻击，就会将其剔除，从而达到保护Web服务器的目的。Web应用防火墙通常有三个模块：规则策略模块、入侵检测模块，以及防护模块。

（一）规则策略模块

规则策略模块是Web应用防火墙检测和过滤恶意流量的依据，这个模块就相当于传统防火墙中的规则表。规则策略对有害的行为和恶意的代码进行识别，通常是利用逻辑去描述以及判断是否描述合法的行为以及代码，然后就形成了黑名单还有白名单，Web应用防火墙的规则集就是黑白名单。黑名单，就是把有害的恶意流量列出来，然后Web应用防火墙将这些恶意流量列进黑名单就可以进行正常的访问，不过，对于那些未知的威胁，黑名单也是束手无策[2]。白名单和黑名单相反，它是认为除了合法的行为之外，其他的行为都是非法的，将合法的行为也列个表，在表里面的才能进行访问，不在表里的就不能进行访问，这种方式对Web服务器的确起到了一定的保护作用，但是也会有一些合法的用户的访问被拒绝。

（二）防护模块

Web应用防火墙在检测到那些入侵的行为之后，做出的有效防御行为就是防护模块。Web应用防火墙在遭到恶意的攻击过后，就可以进行断开链接或者是进行重置链接，对恶意的用户进行封锁等，对Web服务器的安全，切实起到保护的作用。

（三）入侵检测模块

Web应用防火墙的入侵检测模块对输入以及输出的信息流进行处理，对于那些发到Web应用的数据，入侵检测模块都会进行分析以及检测。Web应用防火墙的入侵检测方法，它和IPS是比较相似的，不过在处理的协议方面有一定的区别，Web应用防火墙只要对HTTP以及HTTPS这两个协议进行处理，而IPS则需要对很多的协议进行处理。

三、Web应用防火墙中的安全检测技术

所谓安全检测技术，就是对那些入侵的行为进行识别并报警的技术，这个识别可以是在入侵后，也可以是在入侵前。安全检测技术可以检测出非授权的行为，同时还可以对信息系统的运行状态进行检测，对那些存在攻击威胁的行为都可以及时发现，并及时进行阻止。现在Web应用防火墙的产品种类有很多，这些产品的安全检测手段也是各不相同的，主要有基于自学模型的检测，基于算法模型的检测以及双向检测三大类。

（一）基于自学模型的检测技术

基于自学模型的检测技术，包括Web应用网页的学习、Web服务的学习以及真实流量的检测，把数据样本通过合法的方式形成规则集，从而对Web应用起到安全防护的作用。Web应用网页的自学技术，偏向于学习网页的特点，从Web服务来进行异常的检测，在学习过后，对这个网页的使用模式进行定义。如果出现了违反这个模式的用户，那么Web应用防火墙就会对该用户的行为及时进行阻断[3]。而Web服务的自学技术，它偏向于对用户访问的规律进行学习，针对Web应用服务，建立一定数量的用户行为的模型，然后再根据用户的具体行为，和这个用户行为的模型进行对比，假如有不正常的行为，就会立马进行处理。

（二）基于算法的检测技术

基于算法的检测技术，它在很大程度上可以对基于自学模型检测技术的缺陷进行弥补，比如在资源消耗上，基于算法的检测技术就比基于自学模型检测技术要节省很多。基于算法的检测技术可以对攻击手法进行分析，也可以对网络数据进行实时分析，然后在Web应用防火墙的设备内部，去构建出一个虚拟机，对攻击的行为进行模拟。所以，基于算法的检测技术，它对各种攻击Web应用的行为都能进行检测以及防御，能够有效地解决这些攻击行为带来的危害。通过这项技术，Web应用防火墙检测Web的攻击行为的效率大大提高，而且错误的概率也非常低，因此，消耗的系统资源就会很少。

（三）双向检测

双向检测技术，它是基于已知攻击方式，然后去建立黑名单规则库，再对访问的行为进行特征匹配，对攻击的行为可以做到地识别[4]。当前很多的Web应用防火墙采用的都是双向检测技术，双向检测技术是通过将Web应用防火墙产品作为一个中间环节（Web客户端还有服务器端的中间环节），在Web服务器的前端部署双向检测技术，通过一定的解析、判重，以及对HTTP的请求以及应答进行理解，对HTTP流量进行检测，再和内置的规则库匹配，不正规的就要进行阻断。这个检测技术的特点就在于建立了双向检测的模型，这个模型出现的方式是规则库，假如出现在规则库中匹配的攻击行为，那么它就能很快进行识别并且报警。目前很多的Web攻击，都是可以使用这种检测方式来进行检测以及防护。不过这种检测方式也存在一定的缺点，就是对那些攻击特征不是很明显的行为，不能做出及时有效地判断，所以就会导致漏报以及错报的情况出现。

四、结语：

Web应用防火墙技术的出现，是为了保护Web服务器，让其不再受到恶意的入侵还有攻击，在很大程度上，对传统的网络层安全设备的不足之处进行了弥补。随着科学技术的不断发展，Web应用的安全问题也日益突出。因此，我们要重视网络安全的防护工作，对保护系统进行不断地改进还有完善，推动网络安全进一步发展。

参考文献：

[1]   李雪，唐文.一种新的Web应用防火墙的自学习模型[J].小型微型计算机系统，2014.

[2]   姚琳琳，何倩.基于分布式对等架构的Web应用防火墙[J].计算机工程，2012.

[3]   王字，陆松年.Web应用防火墙的设计与实现[J].信息安全与通信保密，2011.

[4]   李莉，翟征德.一种基于Web应用防火墙的主动安全加固方案[J].计算机工程与应用，2011.