Web應用防火墻的設計與實現(xiàn).pdf

1、Web2.0時代的到來，人們在享受Web應用帶來便利的同時，安全問題卻顯得日益突出。大部分Web應用都存在安全漏洞從而為攻擊者提供了新的攻擊層面，敞開了一扇方便攻擊的大門。傳統(tǒng)安全設備如網(wǎng)絡防火墻、入侵檢測系統(tǒng)只能保護開放系統(tǒng)互連（OSI）參考模型的較低層，并不能有效防御應用層的攻擊。
　　Web應用的核心安全問題是用戶可提交任意輸入，而大部分Web應用開發(fā)者對應用安全并不了解，對用戶輸入的數(shù)據(jù)沒有做有效過濾，從而攻擊者可以繞過傳

2、統(tǒng)的安全防御措施，直接將惡意代碼注入到Web應用中，通過Web應用執(zhí)行這些惡意代碼實現(xiàn)操控數(shù)據(jù)庫、更改文件系統(tǒng)、執(zhí)行系統(tǒng)命令，最終甚至可以控制整個應用系統(tǒng)。Web應用防火墻通過在應用層設置安全規(guī)則來彌補傳統(tǒng)安全設備的缺陷，是解決當前日益嚴峻的Web安全的最有效方法。
　　本文首先深入分析了主流的Web攻擊技術及相應的防御策略，總結了常見Web應用的編碼方式并提出了一些繞過現(xiàn)有防御措施的變種攻擊技術。在此基礎上提出了一個Web應用防

3、火墻的整個系統(tǒng)架構和具體實現(xiàn)方式。Web應用防火墻主要由核心引擎、管理模塊和數(shù)據(jù)庫三部分組成。其關鍵部分是核心引擎，由預處理模塊、檢測模塊、輸出過濾編碼模塊和日志審計模塊組成。通過預處理模塊實現(xiàn)SSL解碼和輸入編碼及字符集的歸一化，達到解密HTTPS流量與阻止各種變種攻擊的目的。檢測模塊通過使用新型過濾規(guī)則來防止各種惡意輸入如SQL注入等，使用URL規(guī)則實現(xiàn)細粒度的訪問控制和增加會話管理模塊來修復Web應用系統(tǒng)中可能出現(xiàn)的會話管理漏洞與