萬兆帶寬給網(wǎng)絡(luò)傳輸效率帶來的跳躍式前進(jìn)，以及大數(shù)據(jù)、移動互聯(lián)網(wǎng)及網(wǎng)絡(luò)視頻等熱門技術(shù)的快速發(fā)展，使得網(wǎng)絡(luò)安全設(shè)備需要對流量進(jìn)行更加深入與全面的分析，解決帶寬增加所帶來的新的安全挑戰(zhàn)，網(wǎng)絡(luò)安全也真正邁入萬兆時代。

萬兆網(wǎng)絡(luò)環(huán)境下的Web安全威脅與防御

萬兆網(wǎng)絡(luò)時代的安全面臨著性能的極大挑戰(zhàn)，從低端防護(hù)到高端核心防護(hù)，從接入到匯聚，從數(shù)據(jù)中心到城域網(wǎng)等都需要高性能的設(shè)備來保障網(wǎng)絡(luò)安全。

目前，主要的Web安全威脅有：SQL注入、XSS攻擊、惡意掃描、CRSF跨站請求偽造、DoS攻擊、網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚、后門、蠕蟲攻擊、Cookie篡改、網(wǎng)站盜鏈等。

其中，SQL注入與XSS攻擊是目前存在的較為普遍、利用最為廣泛、造成危害也最為嚴(yán)重的兩類Web安全威脅。

另外，CRSF跨站請求偽造、惡意掃描、網(wǎng)站釣魚等Web攻擊與防護(hù)也越來越引起業(yè)界重視。

面對如此之多的Web安全威脅，我們需要采取哪些防護(hù)手段？傳統(tǒng)的防護(hù)手段還可行嗎？

防火墻、防病毒、IDS/IPS等都是已被廣泛利用的傳統(tǒng)的Web安全防護(hù)措施，尤其是防火墻的部署，阻擋了大部分來自網(wǎng)絡(luò)層的攻擊，但是面對目前日趨復(fù)雜的Web安全威脅，特別是萬兆網(wǎng)絡(luò)環(huán)境下Web安全問題，似乎顯得有點(diǎn)心有余而力不足，無法識別與阻止正在流行的Web應(yīng)用層攻擊。

部署在網(wǎng)關(guān)處/Web服務(wù)器上的防病毒系統(tǒng)可以有效的進(jìn)行病毒檢測與防護(hù)，但是無法識別Web網(wǎng)站網(wǎng)頁中存在的惡意代碼，即網(wǎng)頁掛馬。因網(wǎng)頁掛馬通常表現(xiàn)為網(wǎng)頁程序中的一段正常的腳本，只在執(zhí)行的時候才可能下載有害程序或盜取受害者的隱私。同理，對于應(yīng)用程序中的漏洞，防病毒系統(tǒng)更難以識別。

IDS/IPS作為防火墻的有利補(bǔ)充，加強(qiáng)了Web的安全防御能力。但是，IDS/IPS需要預(yù)先構(gòu)造攻擊特征庫來匹配網(wǎng)絡(luò)數(shù)據(jù)，技術(shù)本身存在一定的局限性。

與傳統(tǒng)的防火墻及IDS/IPS不同，WAF（Web Application Firewall，Web應(yīng)用防火墻）工作在應(yīng)用層，對Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢。#p#

萬兆網(wǎng)絡(luò)安全產(chǎn)品市場需求

萬兆網(wǎng)絡(luò)環(huán)境下，用戶對網(wǎng)絡(luò)安全提出了新的需求，要求在保證網(wǎng)絡(luò)安全性的同時保證網(wǎng)絡(luò)的穩(wěn)定性，能夠有效的防御針對萬兆的應(yīng)用層攻擊。目前，運(yùn)營商、教育行業(yè)、互聯(lián)網(wǎng)企業(yè)及政府的用戶需求最為突出。

因應(yīng)用層防火墻出現(xiàn)的時間較短，國內(nèi)用戶一度對其產(chǎn)生懷疑，而WAF產(chǎn)品對于網(wǎng)上支付等關(guān)鍵業(yè)務(wù)系統(tǒng)的防護(hù)效果也難以預(yù)估。于是用戶心生困惑，不知是否有必要部署這類產(chǎn)品，如需要又該如何選購？

對此，啟明星辰產(chǎn)品經(jīng)理張元立表示從Web安全事件分析報告角度來看，部署WAF產(chǎn)品是非常必要的。另外，國外PCIDSS標(biāo)準(zhǔn)明確要求需部署WAF。

針對如何選購WAF產(chǎn)品，張元立給出了以下幾點(diǎn)選購建議：1、安全廠商的選擇。主要從產(chǎn)品是否能夠有持續(xù)的維護(hù)，在WAF市場的排名，本地化及服務(wù)能力這幾個方面來分析選擇。2、Web的攻擊防護(hù)能力。最好有專門的針對Web攻擊防護(hù)的團(tuán)隊，3、設(shè)備的性能。有萬兆的接口，及10G以上的性能。4、萬兆的穩(wěn)定性。不能影響到用戶的業(yè)務(wù)，要保證網(wǎng)絡(luò)的穩(wěn)定。5、WAF安全服務(wù)團(tuán)隊的選擇。在為用戶部署WAF產(chǎn)品前，服務(wù)團(tuán)隊會對用戶網(wǎng)站進(jìn)行漏洞掃描測試，然后進(jìn)行有針對性的部署。后期維護(hù)時，如果有專門的WAF服務(wù)團(tuán)隊，可以為用戶進(jìn)行產(chǎn)品的調(diào)優(yōu)。

那么部署了新設(shè)備，老舊設(shè)備該如何處理呢？張元立表示IT產(chǎn)品使用通用準(zhǔn)則為5年，老舊設(shè)備達(dá)到生命周期了就要進(jìn)行更換，如未達(dá)到生命周期，可通過網(wǎng)絡(luò)設(shè)備調(diào)整來節(jié)省開支，將新設(shè)備放置在核心位置，老舊設(shè)備放在綜合業(yè)務(wù)環(huán)境使用。#p#

萬兆WAF捍衛(wèi)Web網(wǎng)站安全

啟明星辰天清萬兆WAF順應(yīng)客戶需求，為客戶提供在萬兆環(huán)境下的WAF產(chǎn)品，捍衛(wèi)Web網(wǎng)站安全。這類針對網(wǎng)站W(wǎng)eb服務(wù)器的應(yīng)用級入侵的防御系統(tǒng)，彌補(bǔ)了防火墻、IPS這類安全設(shè)備對Web應(yīng)用攻擊的防護(hù)能力不足的問題，提高了Web業(yè)務(wù)系統(tǒng)的安全性。

天清萬兆WAF由啟明星辰自主研發(fā)、采用VXID專利算法技術(shù)的新一代Web安全防護(hù)與應(yīng)用交付類應(yīng)用安全產(chǎn)品，它具有五大關(guān)鍵功能：

萬兆WAF功能一：Web攻擊防護(hù)

如圖所示， Web攻擊防護(hù)主要包括：SQL注入攻擊防護(hù)、XSS攻擊防護(hù)、Web惡意掃描防護(hù)、應(yīng)用層DoS（HTTP FLOOD）防護(hù)。

Web攻擊防護(hù)功能圖

◆關(guān)于天清萬兆WAF是如何防御SQL注入攻擊、XSS攻擊以及惡意掃描的，詳見：《天清萬兆WAF防御SQL注入技術(shù)》《天清萬兆WAF防御XSS攻擊技術(shù)》《天清萬兆WAF防御惡意掃描》。

◆應(yīng)用層DoS（HTTP FLOOD）防護(hù)，天清萬兆WAF能夠有效識別出攻擊行為和正常請求，在Web服務(wù)器受到 HTTP Flood 攻擊時，過濾攻擊行為，抑制異常用戶對 Web 服務(wù)器的資源消耗，同時響應(yīng)正常請求，確保Web業(yè)務(wù)的可用性及連續(xù)性。

同時，天清 WAG還能夠針對 HTTP 請求中的 XML數(shù)據(jù)流進(jìn)行合規(guī)檢查，防止非法用戶通過構(gòu)造異常的XML文檔對Web服務(wù)器進(jìn)行DoS攻擊。

萬兆WAF功能二：Web非授權(quán)訪問防護(hù)

◆CRSF攻擊防御：通過為一個被保護(hù)的URL設(shè)定一個或者多個來源URL來實(shí)現(xiàn)防護(hù)。欲了解更多，詳見：《天清萬兆WAF防御跨站請求偽造(CSRF) 》。

◆Cookie篡改防護(hù)：針對Cookie進(jìn)行簽名保護(hù)，避免Cookie在明傳輸過程中被篡改，并可為Cookie強(qiáng)制添加httpponly屬性及secure屬性，從而實(shí)現(xiàn)進(jìn)一步防護(hù)。

◆網(wǎng)站盜鏈防護(hù)：針對被保護(hù)網(wǎng)站的資源訪問請求進(jìn)行檢測，判斷請求是否包含在允許的訪問來源范圍內(nèi)，如果不屬于站內(nèi)提交或信任站點(diǎn)提交，則會被視作網(wǎng)站盜鏈行為。

萬兆WAF功能三：Web惡意代碼防護(hù)

◆網(wǎng)頁掛馬防護(hù)：鑒于網(wǎng)頁掛馬下載和執(zhí)行的多種復(fù)雜度，天清WAF主要針對網(wǎng)頁標(biāo)簽鏈接中嵌入的鏈接內(nèi)容進(jìn)行檢測，主要采用黑名單和異型檢測兩種技術(shù)。

◆WebShell防護(hù)：天清WAF針對惡意WebShell上傳內(nèi)置了主流WebShell庫進(jìn)行攔截。另外，基于Web文件上傳控制功能，用戶可定義禁止ASP或PHP頁面文件上傳，有效防護(hù)基于WebShell的惡意攻擊。

萬兆WAF功能四：Web應(yīng)用合規(guī)

◆基于URL的訪問控制：通過設(shè)定基于單一URL的源IP地址黑、白名單來控制用戶針對單一URL的訪問權(quán)限。

◆HTTP協(xié)議合規(guī)：對HTTP請求做合規(guī)性檢查，不合規(guī)定的請求丟棄，符合的進(jìn)行處理。

◆敏感信息泄露防護(hù)：靈活定義HTTP錯誤是返回的默認(rèn)頁面，避免因?yàn)槲⒉┓?wù)異常，而導(dǎo)致的信息泄露。

◆文件上傳下載控制：可指定文件類型、文件名、文件大小，從而有效保護(hù)Web服務(wù)器資源與文件訪問安全。

◆Web表單關(guān)鍵字過濾：針對Webmail、網(wǎng)站論壇、網(wǎng)頁Blog等上傳內(nèi)容的關(guān)鍵字過濾功能，進(jìn)行內(nèi)容清洗，從而保護(hù)Web服務(wù)器的內(nèi)容健康與合規(guī)性、安全性。

萬兆WAF功能五：Web應(yīng)用交付

◆網(wǎng)頁防篡改：按照網(wǎng)頁篡改事件發(fā)生的時序，天清WAF提供事中防護(hù)以及事后補(bǔ)償?shù)脑诰€防護(hù)解決方案。

◆基于URL的流量控制：根據(jù)Web服務(wù)器的處理性能對Web頁面訪問頻率進(jìn)行控制，確保一些性能消耗比較大的Web頁面能在Web服務(wù)器承受的性能范圍之內(nèi)被訪問。

◆Web應(yīng)用加速：其主要目標(biāo)是修改或優(yōu)化TCP或其它協(xié)議、應(yīng)用和數(shù)據(jù)流在網(wǎng)絡(luò)上的行為，以縮短 Web 服務(wù)的響應(yīng)時間。

◆多服務(wù)器負(fù)載均衡：支持多服務(wù)器負(fù)載均衡，在代理模式下，可以定義多個為同一個 IP 地址服務(wù)的內(nèi)部服務(wù)器之間的權(quán)重，以充分利用計算資源。

目前，國內(nèi)首款天清萬兆WAF已被推出近一年時間，越來越多的客戶開始部署Web網(wǎng)站安全防護(hù)產(chǎn)品。據(jù)全球知名咨詢機(jī)構(gòu)Frost & Sullivan發(fā)布的2012年度 WAF市場報告顯示，啟明星辰的天清WAF以25.2%的市場份額在中國市場名列前茅。

張元立表示，啟明星辰將向更加專業(yè)化的Web安全方面發(fā)展，針對新的安全威脅提供更好的解決方案。并將于今年Q3推出超萬兆WAF，解決超萬兆流量下的Web網(wǎng)站防護(hù)需求。