1.概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的工作报告显示：目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类网站存在安全隐患。对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及应用层拒绝服务攻击（DenialOfService）等，影响业务的正常开展。2007年到2009年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。1.1常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列出了这些最常见的攻击技术，其中最后一列描述了安恒WAF如何对该攻击进行防护。表1.1:对不同攻击的防御方法攻击方式描述安恒WAF的防护方法跨站脚本攻击利用网站漏洞攻击通过检查应用流量，阻止各种恶那些访问该站点的用户，常见目跨站脚本攻击意的脚本插入到URL,header及的是窃取该站点访问者相关的用form中。户登陆或认证信息。通过检查应用流量，侦测是否有攻击者通过输入一段数据库查询危险的数据库命令或查询语句被SQL注入代码窃取或修改数据库中的数插入到URL,header及form据。中。攻击者利用网页漏洞将含有操作通过检查应用流量，检测并阻止系统或软件平台命令注入到网页命令注入危险的系统或软件平台命令被插访问语句中以盗取数据或后端服入到URL,header及form中。务器的控制权。Cookie/seesion通常用于用户身份认证，并且可能携带用户敏感cookie/seesion通过检查应用流量，拒绝伪造身的登陆信息。攻击者可能被修改劫持份登录的会话访问。Cookie/seesion提高访问权限，或伪装成他人的身份登陆。通过修改对URL、header和form利用参数配置文档检测应用中的参数（或表单）中对用户输入数据的安全性判参数，仅允许合法的参数通过，篡改断，并且提交到服务器。防止参数篡改发生。由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写用户可以根据应用需求设定和限入超出其长度的内容，造成缓冲缓冲溢出攻击制数据边界条件，确保不危及脆区的溢出，从而破坏程序的堆弱的服务器。栈，使程序转而执行其它指令。如获取系统管理员的权限。黑客篡改删除日志以掩盖其攻击通过检查应用流量，防止带有日日志篡改痕迹或改变web处理日志。.志篡改的应用访问。安恒WAF将阻止已知的攻击，并黑客通过获悉应用平台后，可以提供安全策略规则升级服务，用利用该平台的已知漏洞进行攻户可以按计划进行安全应用策略应用平台漏洞攻击。当应用平台出现漏洞，且没升级。同时，对于高级用户，安击有官方补丁时，同样面临被攻击恒WAF提供自定义规则库的添的风险。加，可以针对某些关键字，特殊应用做特殊安全处理。通过DOS攻击请求，以达到消耗可以防护所有的网络层的DoS。应用平台资源异常消耗的一种攻包括防止SYNcookie，应用层DOS攻击击，最终造成应用平台拒绝服DOS攻击和对客户端连接速率进务。行限制。一些狡猾的黑客通过HTTPS进行支持用户上传HTTPS证书，在HTTPS类的攻击，由于SSL加密数WAF进行第一轮认证，并对应用HTTPS类攻击据包无法进行有效的检测，导致流量进行解密和侦测，对HTTPS通用的网络防火墙和普通WEB应类的所有攻击进行有效的拦截和用防火墙无能为力。防御。2.现有的防御技术目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。2.1.传统网络防火墙第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对Web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web及其应用服务器事实上是无安全检测和防范的。状