WEB應用的重要性

隨著互聯網技術的發展，WEB應用越來越受到業務系統的重視，WEB應用已經與我們的核心業務系統密不可分。如今的電子政務、電子商務、網上銀業、網上營業廳等均以WEB為載體。WEB也由原來的網站瀏覽的代名詞轉變為諸如網上報名、網上交易、網上報稅等多種業務應用系統。

web本意是蜘蛛網和網的意思。現廣泛譯作網絡、互聯網等技術領域。表現為三種形式，即超文本（hypertext）、超媒體（hypermedia）、超文本傳輸協議（HTTP）等。

超文本（hypertext）

一種全局性的信息結構，它將文檔中的不同部分通過關鍵字建立鏈接，使信息得以用交互方式搜索。它是超級文本的簡稱。

超媒體（hypermedia）

超媒體是超文本（hypertext）和多媒體在信息瀏覽環境下的結合。它是超級媒體的簡稱。用戶不僅能從一個文本跳到另一個文本，而且可以激活一段聲音，顯示一個圖形，甚至可以播放一段動畫。

Internet采用超文本和超媒體的信息組織方式，將信息的鏈接擴展到整個Internet上。Web就是一種超文本信息系統，Web的一個主要的概念就是超文本連接，它使得文本不再象一本書一樣是固定的線性的。而是可以從一個位置跳到另外的位置。可以從中獲取更多的信息。可以轉到別的主題上。想要了解某一個主題的內容只要在這個主題上點一下，就可以跳轉到包含這一主題的文檔上。正是這種多連接性把它稱為Web。

超文本傳輸協議（HTTP）Hypertext Transfer Protocol超文本在互聯網上的傳輸協議。

WAF的價值

Web應用防護系統（也稱：網站應用級入侵防御系統。英文：Web Application Firewall，簡稱： WAF）。利用國際上公認的一種說法：Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

WEB價值重點體現在門戶網站的時代時，我們所面臨的安全威脅主要源自網站被黑或者網站被篡改，因此網頁防篡改技術得到成長并大量使用。應用推運系統架構革新，而系統架構的和革新推動安全技術的發展。WEB應用防火墻也不例外，也是在現有WEB防護技術力日益無法滿足業務的新需求時誕生的。

如果說防篡改軟件是一種基于文件管理的被動辦法，那么WAF則是從安全的本質出發，對威脅進行主動防御，并對WEB應用進行性能優化的最佳方案。簡單將防篡改軟件理解為是文件恢復管理，而WAF則是分析處理不安全的訪問行為，這些不安全的行為包括網頁篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國WEB應用環境下的WAF通常也會具有網頁防篡改的客戶端，功能和市面的網頁防篡改軟件幾乎相同。

WAF以獨立的硬件網關存在，其部署和使用過程中不需要對原有的WEB服務器作任何的調整，并且WAF本身支持多種部署方式，例如透明網橋模式的部署不需對網絡進行任何調整。

與IPS相比WEB應用防火墻可謂是專注于WEB應用的IPS，與傳統的IPS不同，WEB應用防火墻在特征匹配方面的粒度更細，至少可以精確到如下幾個節點：

對協議的全面理解以及協議規范性檢查

請求頭關鍵字段的識別和特征匹配，從而降低誤判

響應頭敏感信息的處理防止服務器指紋泄露

響應體特征匹配，屏蔽敏感信息泄露

針對單個請求，基于單個URL的匹配最大程度確認業務系統的可用性

WAF的優越性

WEB應用防火墻技術架構上最佳方案是采用代理技術實現，然而標準的代理技術應用到WEB應用防火墻時卻存在一個先天的不足。代理技術會中斷業務請求，因此部署WEB應用防火墻需要調整現有業務架構或網絡數據走向。另一方面代理技術存在性能瓶頸，難在勝任大型的業務系統。

安恒信息采用內核級代理技術解決了部署全透明和性能兩個技術瓶頸，是國內首創的全透明WEB應用防火墻，并成功應用于諸多網上銀行、運營商BOSS系統、電子政務等核心業務系統。

WEB應用防火墻采用基于特征庫的防御技術進行防護，而特征庫技術只能解決通用的，已知的攻擊行為。而WEB應用系統千差萬別，僅采用通用特征庫不僅防護效果不佳，而且可能會因為代碼的原因導致誤判，從而影響業務系統的可用性。因此安恒WEB應用防火墻中加入了異常檢測引擎用于提高防護能力，降低誤判率。異常檢測技術可以用一個下面這個例子進行說明：

安全檢測好比閉路電視監控系統，基于特征的檢測技術即通過行人的身高、體重、外貌進行檢測，然后通過X光機檢測身上是否帶了已知的不安全裝備。而異常檢測則是通過對人的行為特征進行分析，例如一個人進門時身帶了一個手擰包，而走到大廳后將手擰包放下，人離開。針對這種特為將為觸發報警動作。

異常檢測到WEB安全檢測中主要用于補償特征庫的短板，可以有效的防御未知攻擊、盜鏈行為、應用DDOS攻擊等。