Web應(yīng)用防火墻的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、Web2.0時(shí)代的到來(lái)，人們?cè)谙硎躓eb應(yīng)用帶來(lái)便利的同時(shí)，安全問(wèn)題卻顯得日益突出。大部分Web應(yīng)用都存在安全漏洞從而為攻擊者提供了新的攻擊層面，敞開(kāi)了一扇方便攻擊的大門(mén)。傳統(tǒng)安全設(shè)備如網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)只能保護(hù)開(kāi)放系統(tǒng)互連（OSI）參考模型的較低層，并不能有效防御應(yīng)用層的攻擊。
　　Web應(yīng)用的核心安全問(wèn)題是用戶可提交任意輸入，而大部分Web應(yīng)用開(kāi)發(fā)者對(duì)應(yīng)用安全并不了解，對(duì)用戶輸入的數(shù)據(jù)沒(méi)有做有效過(guò)濾，從而攻擊者可以繞過(guò)傳

2、統(tǒng)的安全防御措施，直接將惡意代碼注入到Web應(yīng)用中，通過(guò)Web應(yīng)用執(zhí)行這些惡意代碼實(shí)現(xiàn)操控?cái)?shù)據(jù)庫(kù)、更改文件系統(tǒng)、執(zhí)行系統(tǒng)命令，最終甚至可以控制整個(gè)應(yīng)用系統(tǒng)。Web應(yīng)用防火墻通過(guò)在應(yīng)用層設(shè)置安全規(guī)則來(lái)彌補(bǔ)傳統(tǒng)安全設(shè)備的缺陷，是解決當(dāng)前日益嚴(yán)峻的Web安全的最有效方法。
　　本文首先深入分析了主流的Web攻擊技術(shù)及相應(yīng)的防御策略，總結(jié)了常見(jiàn)Web應(yīng)用的編碼方式并提出了一些繞過(guò)現(xiàn)有防御措施的變種攻擊技術(shù)。在此基礎(chǔ)上提出了一個(gè)Web應(yīng)用防

3、火墻的整個(gè)系統(tǒng)架構(gòu)和具體實(shí)現(xiàn)方式。Web應(yīng)用防火墻主要由核心引擎、管理模塊和數(shù)據(jù)庫(kù)三部分組成。其關(guān)鍵部分是核心引擎，由預(yù)處理模塊、檢測(cè)模塊、輸出過(guò)濾編碼模塊和日志審計(jì)模塊組成。通過(guò)預(yù)處理模塊實(shí)現(xiàn)SSL解碼和輸入編碼及字符集的歸一化，達(dá)到解密HTTPS流量與阻止各種變種攻擊的目的。檢測(cè)模塊通過(guò)使用新型過(guò)濾規(guī)則來(lái)防止各種惡意輸入如SQL注入等，使用URL規(guī)則實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制和增加會(huì)話管理模塊來(lái)修復(fù)Web應(yīng)用系統(tǒng)中可能出現(xiàn)的會(huì)話管理漏洞與