何小波

摘要：随着互联网应用的增多，网络安全问题也日益突出。“信息化程度越高，国家安全、社会安全面临的风险就越大。”在2008年3月5日召开的第十一届全国人民代表大会上，信息安全等级保护制度的落实和实施再次成为两会代表们建言的核心内容。那么如何来保护网站不会遭到攻击呢?随着攻击向应用层发展，网络中的WEB应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防护设备——WEB专用应用防御系统来解决。它需要通过执行应用会话内部的请求来处理应用层，专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。

关键词：防护；SQL注入；攻击；应用层；WEB专用应用防御系统

中图分类号：TP393.08文献标识码：A文章编号：1672-3198(2009)04-0271-01

随着互联网应用的增多，网络安全问题也日益突出。“信息化程度越高，国家安全、社会安全面临的风险就越大。”在3月5日召开的第十一届全国人民代表大会上，信息安全等级保护制度的落实和实施再次成为两会代表们建言的核心内容。

CNNIC统计显示的07年上半年TCP协议流量端口排名，HTTP80端口服务居第1位，占所有业务的23.97％，网页服务网站已成为网上交流的最重要的手段。网站安全问题已成为网络防护的主要问题。由于Web架构在成本与应用能力方面的优势，越来越多的企业和机构将应用迁移到基于Web的架构。Web应用已经从最初提供简单的静态内容演变到提供丰富的动态内容，还可以同数据库进行通信以生成对用户有用的内容，这些都为攻击提供了机会。

2007年上半年抽样监测发现我国大陆约有3百多万个IP地址的主机被植入僵尸程序。2007年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。CNCERT／CC监测到中国大陆被篡改网站总数达到28367个，比去年全年增加了近16％。CNCERT／CC在2007年上半年抽样监测。境内外控制者利用木马控制端对主机进行控制的事件中。木马控制端IP地址总数为209949个，被控制端IP地址总数为1863753个。

怎样来构建一个安全的Web应用平台呢?Web设计人员首先必须在Web应用的每个层面精心设计安全性。但是，许多企业在设计Web应用时，Web设计人员并未全面考虑安全性。从实际的案例中，我们发现。大部分被攻击的网站也都有防火墙防护。但由于黑客多采用SQL代码注入等协议层的攻击，以及采用大规模僵尸网络DDOS攻击，对于这类攻击，防火墙则显得无能为力。

其根本的原因是，传统的防火墙设备对于应用层的攻击防范，作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤(基于TCP／IP报文头部的ACL)实现访问控制的功能I通过状态包过滤防火墙可以保证内部网络不会被外部网络非法接入，而应用层攻击的特征在网络层次上是无法检测出来的。

目前常见的Web攻击主要分为三类；一是利用web服务器的漏洞进行攻击，如CGI缓冲区溢出、目录遍历漏洞等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入、跨站脚本攻击、Cookie假冒、认证逃避、非法输入、强制访问、隐藏变量篡改等；三是利用僵尸网络的分布式DOS攻击，造成网站拒绝服务。利用网上随处可见的攻击软件，攻击者甚至不需要对网络协议的深厚理解基础，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。

随着网络攻击向应用层发展，网络中的WEB应用部署面临的安全问题现在可以通过一种全新设计的高性能防护应用层攻击的安全防护设备——WEB专用应用防御系统来解决。它需要通过执行应用会话内部的请求来处理应用层，专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。Web应用层防御系统可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。

下面简单的介绍一下WEB专用应用防御系统的几个主要功能：

1恶意代码主动防御

利用信任链机制，对系统中所有装载的可执行文件代码(例如,EXE、DLL、COM等)进行控制，所有可执行文件代码在加载运行之间都需要先经过检验，只有通过验证的代码才可以加载，这种方式可以有效阻止恶意代码的运行。

2网页文件过滤驱动保护

利用操作系统漏洞，应用缓冲区溢出等方法可以获得管理员权限。从而可以任意修改网页文件。以达到攻击的目的。针对这种攻击方式，采用对象相关(Object-Specific)保护方式来保护静态网页不被篡改。即网站管理员可以自行选择需要保护的网页文件设定为受控对象，对于每一个受保护的对象，管理员为其设定一个对象相关授权码。对象相关保护方式是一种不基于系统用户身份的访问控制技术，对于所有受保护的对象，网站防护系统在操作系统内核对其加以保护，在不知道对象相关授权码的情况下，即使是系统管理员，系统也禁止其对于受保护对象(比如主页)的任何特定操作，比如修改内容、删除、重命名等。通过对象相关保护方式。即使攻击者拿到系统管理员的权限，由于不知道受控对象的授权码，因而也无法对其进行修改。从而可以有效阻止溢出类攻击对系统静态网页的篡改。

3防SQL注入功能

随着B／s模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入。网站防护系统可以通过高效的URL过滤技术，把sQL注入的关键字过滤掉。从而有效的避免网站服务器受到SQL注入攻击。

4双机热备功能

网站防护系统支持双机热备功能，从而提高系统的稳定性和可靠性。两台网站防护系统分为主机和从机，在主机工作的同时，从机处于实时监控主机的工作状态，这时所有对内部网络的保护工作由主机完成。

5抗网络攻击能力

作为一种网络安全防护设备，网站防护系统在网络中自然成为众多攻击者的首要目标，所以抗攻击能力也是网站防护系统的必备功能。该系统采取多种安全措施，可以防范Internet环境中的攻击，如：抗网络安全性分析DDOS攻击等。