目前的一些主流攻擊方式有注入式攻擊、跨站腳本攻擊、CSRF攻擊以及ddos攻擊,這幾類攻擊都已經形成了比較成熟的防禦措施。
注入漏洞涉及的內容非常廣泛,涵蓋了各種語言環境和衆多不同的攻擊類型,在實際防護中一般通過驗證方式的改良和修復得以實現。跨站攻擊的方式是以服務器端應用爲主要目標,目前最常見的解決方法還是通過js函數過濾進行防護。應用層ddos攻擊是國內非常常見也是最難以防範的攻擊手段,其根本原理是通過大批量的發送請求來非法佔用服務資源,目前只能通過跨代理查詢屏蔽ip的方式進行阻止。
web應用防火牆構架建議
由於web應用的特殊性,針對web應用的攻擊變形技術很多,單純的基於特徵簽名的防禦措施很容易被突破。這也是現有的安全措施並不能保護好web應用的主要原因。通過固定應對措施或單獨使用編碼技術進行防護的措施都具有一定的限制性,而防火牆能夠同時兼顧兩個方面的需求,在涉及中通過預處理模塊與檢測模塊的互爲合作可以同時實現上述兩個方面的需求。
web應用防火牆防護功能的實現方案
1、預處理模塊,該模塊的主要功能在於編碼解碼標準的實現和融入,基於SSL協議層實現。SSL協議是安全套階層協議,其主要功能爲認證、加密、完整性驗證三個方面。在編碼標準化方面,由於web應用的特殊性,支持各種編碼,攻擊者可以通過各種編碼和變換字符集來突破現有的防禦措施。
2、檢測功能實現,檢測模塊在web應用防火牆中承擔了安全功能需求導向部分的實現,功能涵蓋了過濾器和權限控制兩個方面:首先是過濾器,過濾器注重解決的就是web應用中最爲嚴重的用戶輸入惡意信息的問題,其次是訪問控制,web應用站點正常會包含一些不在正常網站數據目錄樹內的URL鏈接。WAF可以通過訪問控制策略提供細粒度的訪問控制列表,阻止這些諒解的非授權訪問。