Web安全在企業(yè)網(wǎng)絡(luò)安全里的位置已經(jīng)越來越重要，許多基于Web的攻擊如果不加以預(yù)防后果是十分嚴(yán)重的。那么配置Web防火墻就是企業(yè)當(dāng)務(wù)之急。所謂Web防火墻如DDOS防護、SQL注入、XML注入、XSS等。由于是應(yīng)用層而非網(wǎng)絡(luò)層的入侵，從技術(shù)角度都應(yīng)該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業(yè)界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。

Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，所以HA功能、Bypass功能都是必須的，而且還要與負(fù)載均衡、Web Cache等Web服務(wù)器前的常見的產(chǎn)品協(xié)調(diào)部署。

Web防火墻的主要技術(shù)的對入侵的檢測能力，尤其是對Web服務(wù)入侵的檢測，不同的廠家技術(shù)差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術(shù)特點來說，有下面幾種方式：

代理服務(wù)：

代理方式本身就是一種安全網(wǎng)關(guān)，基于會話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式防止了入侵者的直接進入，對DDOS攻擊可以抑制，對非預(yù)料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術(shù)的代表。

特征識別：

識別出入侵者是防護他的前提。特征就是攻擊者的“指紋”，如緩沖區(qū)溢出時的Shellcode，SQL注入中常見的“真表達(1=1)”…應(yīng)用信息沒有“標(biāo)準(zhǔn)”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數(shù)量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長，安全界聲言要淘汰此項技術(shù)，但目前應(yīng)用層的識別還沒有特別好的方式。

算法識別：

特征識別有缺點，人們在尋求新的方式。對攻擊類型進行歸類，相同類的特征進行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對攻擊方式依賴性很強，如SQL注入、DDOS、XSS等都開發(fā)了相應(yīng)的識別算法。算法識別是進行語義理解，而不是靠“長相”識別。

模式匹配：

是IDS中“古老”的技術(shù)，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當(dāng)然模式的定義有很深的學(xué)問，各廠家都隱秘為“專利”。協(xié)議模式是其中簡單的，是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來定義模式;行為模式就復(fù)雜一些，

Web防火墻最大的挑戰(zhàn)是識別率，這并不是一個容易測量的指標(biāo)，因為漏網(wǎng)進去的入侵者，并非都大肆張揚，比如給網(wǎng)頁掛馬，你很難察覺進來的是那一個，不知道當(dāng)然也無法統(tǒng)計。對于已知的攻擊方式，可以談識別率;對未知的攻擊方式，你也只好等他自己“跳”出來才知道。

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應(yīng)用安全漏洞做起
3. 社交網(wǎng)絡(luò)時代下的企業(yè)Web安全
4. 概述網(wǎng)頁掛馬原理與危害
5. 網(wǎng)頁掛馬之我的前生今世