目錄TOC\o"1-3"\h\u1.概述 11.1Web應(yīng)用的重要性 11.2什么是WAF 21.3WAF與傳統(tǒng)安全技術(shù)區(qū)別 32.亞信安全WAF的功能和特點 52.1Web應(yīng)用防火墻功能 52.2Web應(yīng)用層面的Ddos防護 52.3應(yīng)用防護中心（ADC） 62.4動態(tài)建模和自動策略 62.5多層次的防護及關(guān)聯(lián) 72.6功能強大的安全策略設(shè)置 82.7靈活的告警分析 92.8可集成知名的Web漏洞掃描工具 102.9靈活方便的部署方式 112.10卓越的處理性能 112.11高可用性 113.技術(shù)實現(xiàn)和原理 123.1集中管理架構(gòu) 123.2亞信安全WAF工作層次圖 133.3安全引擎工作原理 133.4透明檢測原理 143.5多層安全檢查機制 153.6動態(tài)建模 164.部署方案 174.1常規(guī)部署方案 184.1.1橋接部署方案 184.1.2嗅探部署方案 184.1.3反向代理部署模式 194.1.4部署方案的選擇 195.為什么選擇亞信 201.概述1.1Web應(yīng)用的重要性在因特網(wǎng)發(fā)展的早期階段，萬維網(wǎng)（WorldWideWeb）僅由Web站點構(gòu)成，這些站點基本上是包含靜態(tài)文檔的信息庫。隨后人們發(fā)明了Web瀏覽器，通過它來檢索和顯示一些文檔。這種相關(guān)信息流僅由服務(wù)器向瀏覽器單向傳送。多數(shù)站點并不驗證用戶的合法性，因為根本沒有必要這樣做；所有用戶同等對待，提供同樣的信息。創(chuàng)建一個Web站點所帶來的安全威脅主要與Web服務(wù)器軟件的諸多漏洞有關(guān)。攻擊者入侵Web站點并不能獲取任何敏感信息，因為服務(wù)器上保存的信息可以公開查看。所以攻擊者往往會修改服務(wù)器上的文件，以歪曲Web站點的內(nèi)容，或者利用服務(wù)器的存儲容量和帶寬傳播“非法軟件”。如今的萬維網(wǎng)與早期的萬維網(wǎng)已經(jīng)完全不同，Web上的大多數(shù)站點實際上是應(yīng)用程序。它們功能強大，在服務(wù)器和瀏覽器之間進行雙向信息傳送。它們支持注冊與登錄、金融交易、搜索以及用戶創(chuàng)作的內(nèi)容。用戶獲取的內(nèi)容以動態(tài)形式生成，并且往往能夠滿足每個用戶的特殊需求。它們處理的許多信息屬于私密和高度敏感的信息。因此，安全問題至關(guān)重要：如果人們認為Web應(yīng)用程序會將他們的信息泄露給未授權(quán)的訪問者，他們就會拒絕使用這個Web應(yīng)用程序。Web應(yīng)用程序帶來了新的重大安全威脅。應(yīng)用程序各不相同，所包含的漏洞也各不相同。許多應(yīng)用程序是由開發(fā)人員獨立開發(fā)的，還有許多應(yīng)用程序的開發(fā)人員對他們所編寫的代碼可能引起的安全問題只是略知一二。為了實現(xiàn)核心功能，Web應(yīng)用程序通常需要與內(nèi)部計算機系統(tǒng)建立連接。這些系統(tǒng)中保存著高度敏感的數(shù)據(jù)，并能夠執(zhí)行強大的業(yè)務(wù)功能。過去，如果需要轉(zhuǎn)賬必須去銀行，讓銀行職員幫助你完成交易。而今天，你可以訪問銀行的Web應(yīng)用程序，自己完成轉(zhuǎn)賬交易。進入Web應(yīng)用程序的攻擊者能夠竊取個人信息，進行金融欺詐或執(zhí)行針對其他用戶的惡意行為。Web服務(wù)被普遍認為是新一代應(yīng)用程序集成以及通向新的商業(yè)模式的大門，是企業(yè)對外發(fā)布數(shù)據(jù)和與其他企業(yè)相互聯(lián)系的重要途徑，這種情況下，如何保證Web應(yīng)用的安全問題就變成信息安全的頭等大事，同時Web應(yīng)用的安全也是非常復(fù)雜的，因為HTTP協(xié)議的靈活性，這就導(dǎo)致在HTTP之上的各種應(yīng)用都有自己獨特的特點，同時由于用戶訪問應(yīng)用的方式千差萬別，這就導(dǎo)致了Web應(yīng)用的安全是一個需要很高的技術(shù)含量、可以適應(yīng)用戶不同應(yīng)用的專業(yè)安全設(shè)備。所以如果想全面的實現(xiàn)Web應(yīng)用的安全，唯一的方法就是部署專業(yè)的Web應(yīng)用防火墻（WAF）產(chǎn)品。由此可見，Web系統(tǒng)安全實際上是信息安全的核心，在這種情況下，有必要采用專業(yè)的特定的Web應(yīng)用安全安全產(chǎn)品，專門對Web應(yīng)用基于應(yīng)用級別的保護。1.2什么是WAFWeb應(yīng)用程序防火墻(WAF)是一種特殊類型的應(yīng)用程序防火墻，專門用于Web應(yīng)用程序，可在數(shù)據(jù)包進出網(wǎng)站或Web應(yīng)用程序時對其進行監(jiān)控、過濾和阻止。WAF可以是基于網(wǎng)絡(luò)、基于主機或基于云的，并且通常通過反向代理部署并放置在一個或多個網(wǎng)站或應(yīng)用程序的前面。作為網(wǎng)絡(luò)設(shè)備、服務(wù)器插件或云服務(wù)運行，WAF檢查每個數(shù)據(jù)包并使用規(guī)則庫來分析第7層Web應(yīng)用程序邏輯并過濾掉可能促進Web漏洞利用的潛在有害流量。Web應(yīng)用程序防火墻是企業(yè)用來保護Web系統(tǒng)免受零日攻擊、惡意軟件感染、冒充以及其他已知和未知威脅和漏洞的常見安全控制。通過自定義檢查，WAF能夠檢測并立即防止業(yè)務(wù)邏輯型漏洞攻擊，而傳統(tǒng)網(wǎng)絡(luò)防火墻和其他入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)無法做到這一點。WAF對于通過Internet提供產(chǎn)品或服務(wù)的公司特別有用，例如電子商務(wù)購物、網(wǎng)上銀行以及客戶或業(yè)務(wù)合作伙伴之間的其他交互。不同于傳統(tǒng)的網(wǎng)絡(luò)防火墻產(chǎn)品，WAF是專門針對Web服務(wù)器及Web應(yīng)用防御黑客入侵而特別設(shè)計的應(yīng)用層安全網(wǎng)關(guān)，具有獨特的網(wǎng)絡(luò)訪問行為分析建模，白名單技術(shù)，針對Web的攻擊簽名，Web服務(wù)器與數(shù)據(jù)庫前后臺關(guān)聯(lián)分析等技術(shù)組合而成。眾多的驅(qū)動因素讓越來越多的企業(yè)把WAF作為他們的安全基礎(chǔ)架構(gòu)：（1）2005年以來，黑客攻擊行為從破壞網(wǎng)站轉(zhuǎn)移到信息竊取。黑客不再求名而轉(zhuǎn)向獲取利益。（2）黑客的攻擊行為越來越隱蔽，傳統(tǒng)的IPS,FW不能解決和探查到。（3）而大部分的企業(yè)的Web服務(wù)器都與核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫通過某種方式聯(lián)系在一起，許多案例說明黑客采用Web滲透到了數(shù)據(jù)庫從而竊取核心信息資產(chǎn)。（4）越來越多的應(yīng)用向Web移植，包括Web2.0不斷廣泛應(yīng)用使Web網(wǎng)站以及服務(wù)都比以往更加普遍，相應(yīng)Web也面臨更多的攻擊，企業(yè)數(shù)據(jù)日益遭受侵害。（SQL注入、參數(shù)修改、緩沖溢出、跨站點腳本等等）（5）應(yīng)用開發(fā)人員關(guān)注的是應(yīng)用程序的業(yè)務(wù)邏輯性以及訪問連通性，但很多開發(fā)人員并沒有按照安全規(guī)范進行代碼撰寫，造成web程序有很多安全漏洞以及隱患。（這一點可以讓用戶心動）（6）大多數(shù)企業(yè)部署了防火墻、IDS、IPS，但運維部門和安全部門并不了解應(yīng)用程序的代碼，所以無法更好的進行安全防范。（7）這些攻擊行為給企業(yè)造成巨大的危害，而傳統(tǒng)的信息安全工具和技術(shù)產(chǎn)品卻對此無能為力，因此采用WAF解決這些挑戰(zhàn)已經(jīng)迫在眉睫了。1.3WAF與傳統(tǒng)安全技術(shù)區(qū)別目前，網(wǎng)站的保護除了加強操作系統(tǒng)、服務(wù)器軟件的補丁管理，以及在加強代碼安全性，主要的安全手段有，防火墻、入侵檢測、路由器上的訪問控制列表以及某些主機上的防護－典型的如防網(wǎng)頁篡改軟件。下面對這些手段的特點做簡要分析。訪問控制列表訪問控制列表限制了訪問的服務(wù)端口和IP地址，可以限制攻擊的來源，和對關(guān)鍵服務(wù)的保障，如：Telnet等。這是網(wǎng)站保護必備的基本手段，但也只是基本手段。防火墻防火墻除了提供訪問控制列表的基本功能外，還提供了網(wǎng)絡(luò)層的豐富保護手段：地址翻譯，可以隱藏服務(wù)器的真實地址；狀態(tài)檢測，可以防止TCP協(xié)議的盜用和諸如TCPSyncFlood這樣的攻擊；部分對高層協(xié)議的擴展可以對常用協(xié)議的有效性進行檢查。這些防護手段只能針對常見的基本的攻擊手段。入侵檢測或網(wǎng)絡(luò)層DDos入侵防護系統(tǒng)比較高級的攻擊常常是專門針對網(wǎng)絡(luò)、操作系統(tǒng)、常用應(yīng)用軟件的漏洞的。它們通常具有特定的“特征”，如反復(fù)重復(fù)的訪問行為、訪問包含某個特定的字符串等。這些特征可能出現(xiàn)在網(wǎng)絡(luò)層、傳輸層、表示層等。但是對于網(wǎng)站的防護，有幾個極大的缺陷：（1）入侵檢測的特征庫是針對各種網(wǎng)絡(luò)攻擊的，其中專用于網(wǎng)站W(wǎng)EB/HTTP防護的只有極少的一部分。這對于層出不窮的攻擊手段是遠遠不夠的；（2）入侵檢測都只對已知的、人所共知的攻擊手段有效。而對于還未被發(fā)現(xiàn)的（或又攻擊者先發(fā)現(xiàn)的）攻擊是無能為力的（3）入侵檢測技術(shù)只能看到很少的HTTP內(nèi)容，而高級的攻擊行為正是通過網(wǎng)頁內(nèi)部的某些缺陷進行攻擊的。這些攻擊行為對于入侵檢測設(shè)備幾乎是不可見的。（4）在防止Ddos攻擊方面，IPS系統(tǒng)防止的只是基于網(wǎng)絡(luò)層面的Ddos攻擊，例如從某個IP來的TCP連接數(shù)不能超過多少個，但是由于它看不到TCP里面的HTTP詳細內(nèi)容，所以無法做到HTTP應(yīng)用層面的Ddos防護。（5）對于每一個Web應(yīng)用，其中會有大量的動態(tài)頁面，而每個頁面的URL參數(shù)、Cookie、表單的輸入、存取方式都是不同的。在這種情況下動態(tài)頁面本身就是沒有固定模式的，所以很多針對它的攻擊也是沒有固定特征的，因此很難用IPS防住這些攻擊。（6）IPS也不保持會話信息，很多與會話有關(guān)的攻擊，比如Cookie篡改、會話劫持，IPS都無能為力區(qū)別匯總：亞信安全WAF訪問列表防火墻IPS網(wǎng)頁防篡改對網(wǎng)絡(luò)層的防護YYesYesYNA對應(yīng)用層的防護YN部分部分NA對內(nèi)容層的防護YNNNNA對未知攻擊的防護YNNNNA對蠕蟲擴散的防護YNNNNA對暴力破解的防護YNNNNA誤報率低－多層次關(guān)聯(lián)NANA高NA對后臺數(shù)據(jù)庫的防護YNNNN對動態(tài)頁面的保護YNNNN表格1亞信安全WAF與傳統(tǒng)安全技術(shù)區(qū)別2.亞信安全WAF的功能和特點2.1Web應(yīng)用防火墻功能亞信安全WAF提供了針對最新應(yīng)用程序攻擊的自動化防護，例如SQL注入、XSS、CSRF、路徑遍歷以及更多攻擊（詳見下面的列表）。亞信安全WAF融合了自動化的應(yīng)用程序?qū)W習(xí)和來自應(yīng)用程序防護中心的最新保護策略與特征碼，能夠準確地識別出攻擊并加以阻止。加上高粒度的關(guān)聯(lián)規(guī)則、基于聲譽的安全以及強大的報告框架，為您提供了一套優(yōu)秀的多級別保護。亞信安全WAF具有能夠處理多GB數(shù)據(jù)的串接與非串接配置選擇，可以提供透明的部署以及超高的性能，能滿足最為嚴格的數(shù)據(jù)中心要求。Web、HTTP和XML應(yīng)用攻擊SQL注入劫持會話跨站腳本（XSS）篡改表格字段已知BUG“零日”漏洞利用緩沖器溢出Cookie中毒拒絕服務(wù)惡意機器人參數(shù)篡改強制登陸文件包含攻擊業(yè)務(wù)邏輯漏洞利用惡意編碼目錄遍歷跨站請求偽造外部實體注入攻擊（XXE）掃描攻擊命令注入非法編碼非法竊取數(shù)據(jù)盜竊敏感或重要數(shù)據(jù)泄漏公司間諜網(wǎng)絡(luò)釣魚數(shù)據(jù)破壞惡意文件上傳2.2Web應(yīng)用層面的Ddos防護亞信安全WAF是專門的Web應(yīng)用層面安全產(chǎn)品，因此它可以完全而徹底地防止Web應(yīng)用層面的DdoS攻擊行為。WAF網(wǎng)關(guān)可以精確的分析HTTP服務(wù)端口里面的詳細的HTTP的內(nèi)容，比如從哪個IP，哪個Session過來的HTTP的請求，詳細的是訪問哪個URL，包括這個HTTP請求的回應(yīng)是什么樣的（回應(yīng)代碼是多少），從而WAF網(wǎng)關(guān)可以精確地保護HTTP應(yīng)用層面的拒絕服務(wù)攻擊，比如限制某個IP，某個session訪問某個url的頻率不能超過多少次，Web服務(wù)方如果回應(yīng)的信息太頻繁，就控制進入Web服務(wù)器的HTTP請求的數(shù)量，從而從根本上防止Web應(yīng)用層面的DdoS攻擊。2.3應(yīng)用防護中心（ADC）亞信安全的應(yīng)用防護中心（ADC）的安全和合規(guī)性專家可確保能夠始終針對新威脅提供最新的防護以及符合最新的法案合規(guī)性要求。安全專家每日掃描全球安全威脅，研究各種特征代碼，保證能夠?qū)崟r抵御新出現(xiàn)的攻擊方式和行為。安全防御更新支持在線和離線平滑更新，過程無需重啟服務(wù)。ADC的研究基于多個數(shù)據(jù)源，并著重于以下問題：分析應(yīng)用程序行為，不論是SAP或Oracle電子商務(wù)套件之類的打包應(yīng)用程序，還是PHP或AJAX之類的自定義應(yīng)用程序。數(shù)據(jù)庫實現(xiàn)的內(nèi)部研究，用于發(fā)現(xiàn)安全漏洞（例如，已確認發(fā)現(xiàn)的多個漏洞并為其制作了補?。?。收集有關(guān)業(yè)界已查明的安全漏洞的信息，以及廠商發(fā)布的補丁。為數(shù)據(jù)庫開發(fā)最佳安全實踐，包括咨詢業(yè)界標準主體。為提供最新的保護，包括特征碼更新、告警行為模型、審計特征以及報告。特征碼用于識別已知的攻擊。維護了數(shù)千特征碼的字典，其中有一些最初由提供，而其它則是由自己開發(fā)的。2.4動態(tài)建模和自動策略亞信安全WAF防護的另一個創(chuàng)新是基于應(yīng)用層交互內(nèi)容的安全檢測。在這個層次建立了非常深入復(fù)雜的策略。即對訪問的URL、動態(tài)頁面?zhèn)鬟f參數(shù)、Cookie傳遞的參數(shù)等進行監(jiān)測，對比正常的訪問行為基線；如明顯偏離正常行為模式則可產(chǎn)生告警和即時阻斷。策略的產(chǎn)生主要由設(shè)備的自學(xué)習(xí)功能完成，無需人工干預(yù)，而且還可以根據(jù)Web應(yīng)用的變化進行自適應(yīng)調(diào)整。同時，管理人員還可以進行微調(diào)，以得到最優(yōu)的“充分必要”的策略。圖1系統(tǒng)自動的學(xué)習(xí)網(wǎng)頁應(yīng)用的正常業(yè)務(wù)習(xí)慣圖2可對超出預(yù)期的行為進行告警或者阻斷理解應(yīng)用和使用情況適應(yīng)持續(xù)不斷的應(yīng)用變更表格2模型的學(xué)習(xí)和更新自動完成2.5多層次的防護及關(guān)聯(lián)亞信安全WAF不僅提供了創(chuàng)新的安全技術(shù)手段，如動態(tài)建模，防蠕蟲擴散、HTTP協(xié)議校驗；同時也整合了各種成熟的技術(shù)，如：網(wǎng)絡(luò)防火墻、入侵檢測和防護。特別需要指出的是亞信安全WAF的入侵檢測技術(shù)是專門針對Web服務(wù)的，除了基本的Snort特征庫，還提供豐富的Web應(yīng)用和數(shù)據(jù)庫應(yīng)用的攻擊特征庫。亞信安全WAF整合多種安全手段的目的不僅提供了多層次的安全防護，而且通過各個防護層次間內(nèi)在的關(guān)聯(lián)，可以極大的提高攻擊識別的準確性，降低誤報率。這對于時時處于廣泛攻擊環(huán)境下的WEB服務(wù)系統(tǒng)是至關(guān)重要的。圖3多層次的防護及關(guān)聯(lián)2.6功能強大的安全策略設(shè)置亞信安全WAF除了提供開箱即用的專業(yè)防護策略之外，還允許安全管理員根據(jù)企業(yè)安全策略考量和網(wǎng)絡(luò)流量的具體特征定義規(guī)則。定制的規(guī)則可以手工配置針對HTTP的請求，可以設(shè)定關(guān)鍵字過濾策略，過濾的關(guān)鍵字的規(guī)則數(shù)量至少是10000個。提供超過40個HTTP相關(guān)的策略條件，用戶可以任意的組合自己需要的自定義安全規(guī)則。圖4自定義暴力登錄阻止規(guī)則2.7靈活的告警分析具有靈活展現(xiàn)和方便查找的告警分析功能。在告警的功能中，要可以詳細顯示和還原用戶的HTTP的請求，可以通過策略的設(shè)定，靈活的顯示在違反某種策略的情況下，系統(tǒng)可以顯示并分析Server返回的頁面，從而確定是否有數(shù)據(jù)泄露的情況產(chǎn)生以及泄露的數(shù)據(jù)有多少。自動匯聚相關(guān)攻擊事件，方便用戶分析攻擊發(fā)展趨勢。圖5告警匯聚對每一種攻擊提供詳細的攻擊說明和特征代碼信息查看功能。圖6特征碼查看自動標亮違規(guī)策略的部分，方便用戶分析規(guī)則違反的原因。圖7自動違規(guī)高亮可自動對敏感的參數(shù)內(nèi)容、URL、響應(yīng)內(nèi)容進行掩碼處理，避免敏感信息泄漏。圖8敏感參數(shù)掩碼2.8可集成知名的Web漏洞掃描工具可以和世界知名的Web漏洞掃描工具（比如IBM,HP,Acunetix）進行集成。亞信WAF可以導(dǎo)入這些廠家的掃描到的用戶Web系統(tǒng)的漏洞結(jié)果文件，根據(jù)這個漏洞結(jié)果，直接動態(tài)生產(chǎn)安全策略，可以方便快捷的修補這種漏洞。圖9集成知名的Web漏洞掃描工具2.9靈活方便的部署方式亞信安全WAF可作為物理設(shè)備、虛擬設(shè)備，部署于IDC、私有云、公有云或以混合形式部署。亞信安全WAF支持透明橋、反向代理、嗅探模式多種部署方式，當(dāng)以透明橋部署時，利用透明檢測技術(shù)實現(xiàn)真正意義的純透明，不修改數(shù)據(jù)包任何內(nèi)容，可以提供多GB級別的數(shù)據(jù)處理性能、低于一毫秒的延時以及高可性選擇，能夠滿足最為嚴格的應(yīng)用程序環(huán)境下的要求。通過透明橋部署，用戶只需要數(shù)分鐘的時間就能完成WAF部署，并且不會改變Web服務(wù)器或基礎(chǔ)架構(gòu)中的任何其他方面。2.10卓越的處理性能亞信安全WAF提供萬兆級的吞吐量，同時保持不到百萬分之一秒的包延遲，此高性能令競爭對手望塵莫及。對很多用戶而言，一個單獨的亞信安全WAF網(wǎng)關(guān)就可以滿足大型企業(yè)的需求，也可以擴展出多個統(tǒng)一管理平臺下的網(wǎng)關(guān)集群。應(yīng)用了亞信安全WAF，安全問題不再會影響企業(yè)數(shù)據(jù)中心服務(wù)質(zhì)量（SLA）。2.11高可用性亞信安全WAF具有靈活的冗余方式以確保了最長的穩(wěn)定運行時間和應(yīng)用的可用性。部署在橋接模式下的2個或者多個WAF網(wǎng)關(guān)使用亞信安全高可用性協(xié)議可以提供毫秒級別的恢復(fù)。冗余網(wǎng)關(guān)可以部署在具有冗余系統(tǒng)框架的環(huán)境里。當(dāng)使用外部HA機制時，WAF的透明部署模式支持主-備和主-主的冗余配置形式。在線故障短接（bypass）網(wǎng)絡(luò)接口確保了軟件、硬件或者電源在出現(xiàn)故障時的可用性。3.技術(shù)實現(xiàn)和原理3.1集中管理架構(gòu)亞信安全WAF提供了靈活的三層管理架構(gòu)，方便用戶可以同時管理多個WAF網(wǎng)關(guān)，并可以集中策略管理和日志查詢。圖10集中管理架構(gòu)說明：第一層：網(wǎng)頁管理界面，提供https加密管理界面。第二層：亞信安全WAF管理服務(wù)器，對所有的網(wǎng)關(guān)設(shè)備提供集中管理，以及日志匯聚。第三層：亞信安全WAF網(wǎng)關(guān)，執(zhí)行各種安全防護和策略執(zhí)行。3.2亞信安全WAF工作層次圖亞信安全WAF的保護分布在近似OSI7層模型的多個層面上。防火墻對應(yīng)OSI的第2到第4層，協(xié)議驗證和應(yīng)用程序?qū)犹卣鞔a類似于OSI第7層，如下圖所示。但是，多個高級保護進程（例如：模型評估、關(guān)聯(lián)攻擊檢測）面向應(yīng)用程序的行為，相當(dāng)于第8層，該層未在OSI模型中定義。圖11亞信安全WAF工作層次圖3.3安全引擎工作原理亞信安全WAF網(wǎng)關(guān)可為Web通信流提供適當(dāng)?shù)谋Ｗo，如下圖所示。在各個級別上，安全引擎都可以立即阻止通信（在線部署下）或連續(xù)監(jiān)測特定IP、應(yīng)用程序用戶和會話，以供將來阻止（如果證實需要的話）。安全引擎包含多個安全層，大致與OSI模型對應(yīng)，從較低級別的網(wǎng)絡(luò)安全層（防范基于網(wǎng)絡(luò)的攻擊）開始，通過協(xié)議和基本應(yīng)用功能（例如：HTTP協(xié)議合規(guī)性和應(yīng)用程序攻擊特征碼）一直到高級別的保護（例如：應(yīng)用程序特征和關(guān)聯(lián)攻擊驗證）。圖12安全引擎工作原理3.4透明檢測原理要防護應(yīng)用程序級攻擊，應(yīng)用程序?qū)臃阑饓Ρ仨毞治鐾暾腡CP流。TCP流是來自各個IP分組的數(shù)據(jù)的組合，使TCP/IP成為連續(xù)有序的應(yīng)用數(shù)據(jù)流。一旦流被重構(gòu)，WAF可以查看和檢測完整的應(yīng)用程序請求并應(yīng)用適當(dāng)?shù)陌踩呗浴喰虐踩玏AF會維持一個“影子”TCP/IP堆棧以重構(gòu)TCP流。在將完整的請求發(fā)送至Web服務(wù)器之前，該影子TCP/IP堆棧會以正確的TCP序列處理數(shù)據(jù)，并會分析各個HTTP請求。如果檢測到攻擊，違規(guī)分組將會被丟棄，整個連接將會被阻止。因為WAF網(wǎng)關(guān)會在完成連接之前分析TCP流，所以WAF網(wǎng)關(guān)始終先于應(yīng)用程序服務(wù)器一步，能夠在完整的請求到達應(yīng)用程序服務(wù)器之前，防范任何攻擊和應(yīng)用阻止策略。分組-基本單元作為基于網(wǎng)絡(luò)的設(shè)備，亞信安全WAF系統(tǒng)的基本操作單元為分組（或幀）。WAF網(wǎng)關(guān)存儲分組，直到擁有在盡可能最低的層次中處理它們的足夠信息。這可能意味著需要累積可以組成單個消息的分組，或者有時需要存儲特定會話的所有分組（時間較長的任務(wù)）。下圖演示了該處理過程：消息1的所有分組到達WAF安全引擎。這些分組將會被檢查、存儲，直到收到完整的消息。因為適當(dāng)保護層的檢查，消息1觸發(fā)一條安全規(guī)則，一個TCP重置將會被發(fā)送。幾個已經(jīng)到達受保護服務(wù)器的分組在其被組合成消息之前將會被丟棄，會話（基于該消息）也將會被中斷。注意：在“反向代理”配置中，這些分組甚至無法到達受保護的服務(wù)器。如果分組與較低的安全層違反（在此階段可應(yīng)用的層，例如：防火墻、網(wǎng)絡(luò)特征碼），策略中指定的操作將會被應(yīng)用?；蛘撸绻纸M與相關(guān)層的安全策略不違反，則分組將會被傳遞至受保護的服務(wù)器。如果被檢查的分組是包含請求的多個分組之一，則該分組將會保存在內(nèi)存中以供更高級別的檢查使用。一旦整個請求到達網(wǎng)關(guān)，則更高級別的檢查將會被應(yīng)用至整個請求（例如：特征、關(guān)聯(lián)），以采取進一步措施。圖13安全引擎如何處理分組、消息、會話3.5多層安全檢查機制亞信安全WAF產(chǎn)品充分考慮到目前的復(fù)雜安全環(huán)境，需要在多個層次對各種安全威脅檢查才可以對數(shù)據(jù)庫提供足夠的安全保障。亞信安全WAF的安全模型中提供了包括防火墻、簽名、協(xié)議檢查、特征模型、攻擊關(guān)聯(lián)等多種檢查機制來綜合驗證可疑的訪問行為。圖14多層安全檢查機制3.6動態(tài)建模傳統(tǒng)的WAF產(chǎn)品，在發(fā)揮重要作用的同時，基本上是通過特征代碼匹配的方式進行工作，這更多的是防止已知的攻擊的黑名單的方式，但缺乏準確認識并解析客戶的具體Web應(yīng)用程序的能力，而亞信通過動態(tài)構(gòu)建客戶的Web應(yīng)用的合法訪問特征，從而構(gòu)建出一個用戶Web應(yīng)用的正向校驗?zāi)Ｐ?，由此可以通過白名單方式防止大量的未知的攻擊，從而對Web服務(wù)提供更加嚴格的保護。在WAF系統(tǒng)安全性保護的核心功能是動態(tài)模型的構(gòu)建。動態(tài)模型自動監(jiān)測當(dāng)前流量行為，創(chuàng)建完整的應(yīng)用結(jié)構(gòu)和動態(tài)的模型。合法的系統(tǒng)應(yīng)用變化自動被識別，并增加到模型中。WAF系統(tǒng)應(yīng)該采用動態(tài)建模技術(shù)創(chuàng)建合法用戶對Web和Web服務(wù)應(yīng)用的行為的安全模型。通過安全模型和實際網(wǎng)絡(luò)應(yīng)用行的比較，WAF系統(tǒng)可以監(jiān)測到所有的惡意的行為企圖。動態(tài)建模技術(shù)克服了其它應(yīng)用防火墻解決方案最大的不足——所有規(guī)則的手工創(chuàng)建與維護。同可以將靜態(tài)規(guī)則限制到的幾十條的網(wǎng)絡(luò)防火墻解決方案不同，Web應(yīng)用級防火墻需要幾百甚至幾千條規(guī)則，管理成千的常變變量，包括URL、參數(shù)、Cookie、XML元素和狀態(tài)域。動態(tài)建模技術(shù)提供了完整的自動化的安全保護機制，無需手工配置或者調(diào)整。同時，如需要的話，管理員也可以手工修改安全模型，以體現(xiàn)實際使用行為和企業(yè)安全規(guī)則的差異。圖15Web特征模型結(jié)構(gòu)WAF的訪問模型生產(chǎn)的功能主要針對HTTP、XML、SOAP等應(yīng)用進行保護。WAF系統(tǒng)的動態(tài)建模技術(shù)的目的是建立合法應(yīng)用行為的安全模型，包括XMLURL、SOAP行為、XML元素和XML屬性。所有篡改Web服務(wù)應(yīng)用模式或者變量的企圖都會被識別出來，并加以阻止和防范。4.部署方案4.1常規(guī)部署方案4.1.1橋接部署方案如果要為數(shù)據(jù)中心提供最高級別的安全性保護，則可以將WAF網(wǎng)關(guān)部署為橋接模式。在此部署方案中，網(wǎng)關(guān)充當(dāng)外部網(wǎng)絡(luò)與受保護的網(wǎng)段之間的連接設(shè)備。網(wǎng)關(guān)將阻止在線（即：丟棄包）惡意通信。圖16橋接部署4.1.2嗅探部署