在6月份的時候有這樣一則新聞：美國科學(xué)家表示，許多網(wǎng)站目前都面臨一種新形式網(wǎng)絡(luò)攻擊——“HTTP請求走私”的威脅，這種攻擊將有害的數(shù)據(jù)包隱藏在看似合法的數(shù)據(jù)包中，通過HTTP請求破壞網(wǎng)站。

　　專家發(fā)現(xiàn)，“HTTP請求走私”最簡單的一種攻擊形式是添加多余的“內(nèi)容長度的頭信息標(biāo)簽”。通常，當(dāng)瀏覽器發(fā)出網(wǎng)頁請求時，它會發(fā)送包含詳細(xì)請 求內(nèi)容的數(shù)據(jù)包。一般情況下，數(shù)據(jù)包中只包含一個“內(nèi)容長度的頭信息標(biāo)簽”，以保證需要處理的數(shù)據(jù)大小。而在“HTTP請求走私”中，可能會出現(xiàn)兩個以上 “內(nèi)容長度的頭信息標(biāo)簽”。科學(xué)家發(fā)現(xiàn)，不同的網(wǎng)站在遭到這種攻擊時會作出不同的反應(yīng)，很可能會造成處理錯誤。另外，“HTTP請求走私”能夠突破安全過 濾器，可以將新網(wǎng)站非法上載到網(wǎng)站緩沖區(qū)中。

　　專家認(rèn)為，黑客可能很快就會利用“HTTP請求走私”，對網(wǎng)站進(jìn)行大規(guī)模攻擊。最好的防范措施，就是嚴(yán)格遵循超文本數(shù)據(jù)傳輸協(xié)議的各項要求。同時，專家也認(rèn)為，之所以出現(xiàn)“HTTP請求走私”，說明超文本傳輸協(xié)議存在漏洞，應(yīng)對其進(jìn)行修改。

　　這條新聞所提到的攻擊只是網(wǎng)站所面對的眾多攻擊中的比較新的一個。隨著互聯(lián)網(wǎng)的飛速發(fā)展，Web應(yīng)用也日益增多。今天，商業(yè)交易的各個部分都正在 向Web上轉(zhuǎn)移，但每增加一個新的基于Web的應(yīng)用系統(tǒng)，都會導(dǎo)致之前處于保護狀態(tài)下的后端系統(tǒng)直接連接到互聯(lián)網(wǎng)上，最后的結(jié)果就是將公司的關(guān)鍵數(shù)據(jù)置于 外界攻擊之下。

　　據(jù)Gartner調(diào)查顯示，現(xiàn)在有75%的攻擊都是針對Web應(yīng)用層發(fā)起的。尤其是金融服務(wù)業(yè)成為了眾矢之的，而攻擊者的主要目的就是直接獲取個人數(shù)據(jù)。

　　據(jù)美國計算機安全協(xié)會(CSI)/美國聯(lián)邦調(diào)查局(FBI)的研究表明，在接受調(diào)查的公司中，2004年有52%的公司的系統(tǒng)遭受過外部攻擊(包 括系統(tǒng)入侵、濫用Web應(yīng)用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕服務(wù)等等)，這些攻擊給269家受訪公司帶來的經(jīng)濟損失超過1.41億美元，但事實上他們 中有98%的公司都裝有防火墻。

　　為什么防火墻沒有防住攻擊?因為他們安裝的是網(wǎng)絡(luò)防火墻，而真正能防御這些攻擊的是應(yīng)用防火墻。早在2002年，IDC就曾在報告中認(rèn)為，“網(wǎng)絡(luò)防火墻對應(yīng)用層的安全已起不到什么作用了，因為為了確保通信，網(wǎng)絡(luò)防火墻內(nèi)的端口都必須處于開放狀態(tài)。”

　　從概念走向?qū)嵱?br />
　　應(yīng)用防火墻其實是個安全“老兵”了。在十幾年前，就已經(jīng)出現(xiàn)了應(yīng)用防火墻的概念。但是為什么遲遲沒有產(chǎn)品出現(xiàn)呢?華城技術(shù)有限公司負(fù)責(zé)人楊磊說： “因為系統(tǒng)的硬件平臺跟不上。以前，網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)處理就占用了CPU大量的資源，CPU根本無法再做應(yīng)用層的處理;而可以進(jìn)行高速網(wǎng)絡(luò)數(shù)據(jù)處理的 ASIC技術(shù)又處理不了應(yīng)用層數(shù)據(jù)的復(fù)雜性，所以應(yīng)用防火墻沒有誕生的條件?！彪S著NP(網(wǎng)絡(luò)處理器)性能的迅速提升，特別是基于通用CPU的多核NP 體系(例如Broadcom的雙核NP 1250，將2個64位MIPS芯片集成在一塊處理器芯片里面，而且后續(xù)推出了集成4個CPU的處理器;而 Cavium公司也推出了集成16個MIPS CPU和硬件加速處理單元的網(wǎng)絡(luò)服務(wù)處理器OCTEON)產(chǎn)生之后，利用多CPU的并行處理能力和軟件的靈 活性，應(yīng)用防火墻可以實現(xiàn)對復(fù)雜應(yīng)用的安全處理，并且能夠達(dá)到千兆線速的性能。

　　在2004年，應(yīng)用防火墻終于沖破概念的圍城，真正實現(xiàn)了產(chǎn)品化。國外有Teros、Sanctum、Netcontinuum和Kavado等 廠商推出了Web應(yīng)用防火墻，目前在國內(nèi)記者看到的產(chǎn)品僅僅有華城技術(shù)(secnumen)的AppRock和F5網(wǎng)絡(luò)公司的 TrafficShield.

　　現(xiàn)在我們所說的應(yīng)用防火墻，一般是指Web應(yīng)用防火墻和數(shù)據(jù)庫防火墻(也叫SQL防火墻)，而現(xiàn)在我們所能見到的產(chǎn)品基本都是Web應(yīng)用防火墻。

　　應(yīng)用前面的銅墻鐵壁

　　安裝了網(wǎng)絡(luò)防火墻和IDS，就能抵擋應(yīng)用層攻擊嗎?不能。因為在保護應(yīng)用方面，網(wǎng)絡(luò)防火墻和IDS各有不足。

　　網(wǎng)絡(luò)防火墻有洞

　　網(wǎng)絡(luò)防火墻技術(shù)的發(fā)展已經(jīng)非常成熟，也是目前網(wǎng)絡(luò)安全技術(shù)中最實用和作用最大的技術(shù)。但是，作為目前應(yīng)用最為廣泛的HTTP服務(wù)器等應(yīng)用服務(wù)器， 通常是部署在防火墻的DMZ區(qū)域，防火墻完全向外部網(wǎng)絡(luò)開放HTTP應(yīng)用端口，這種方式對于HTTP應(yīng)用沒有任何的保護作用。即使使用HTTP代理型的防 火墻，防火墻也只是驗證HTTP協(xié)議本身的合法性，完全不能理解HTTP協(xié)議所承載的數(shù)據(jù)，也無從判斷對HTTP服務(wù)器的訪問行為是否合法。攻擊者知道正 面攻破網(wǎng)絡(luò)防火墻十分困難，于是從簡單的端口掃描攻擊轉(zhuǎn)向通過應(yīng)用層協(xié)議進(jìn)入企業(yè)內(nèi)部，目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡(luò)協(xié)議有深厚 的理解，即可完成諸如更換Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。一個最 簡單的例子就是在請求中包含SQL注入代碼，或者提交可以完成獲取其他用戶認(rèn)證信息的跨站腳本，這些數(shù)據(jù)不管是在傳統(tǒng)防火墻所處理的網(wǎng)絡(luò)層和傳輸層，還是 在代理型防火墻所處理的協(xié)議會話層，都會認(rèn)為是合法的。

　　明白了防火墻的工作原理，我們就知道，對于應(yīng)用層攻擊，網(wǎng)絡(luò)防火墻是無能為力的。

　　入侵檢測有限

　　目前最成熟的入侵檢測技術(shù)就是攻擊特征檢測。入侵檢測系統(tǒng)首先建立一個包含目前大多已知攻擊特征的數(shù)據(jù)庫，然后檢測網(wǎng)絡(luò)數(shù)據(jù)中的每一個報文，判斷是否含有數(shù)據(jù)庫中的任何一個攻擊特征，如果有，則認(rèn)為發(fā)生相應(yīng)的攻擊，否則認(rèn)為是合法的數(shù)據(jù)。

　　入侵檢測系統(tǒng)作為防火墻的有力補充，加強了網(wǎng)絡(luò)的安全防御能力。但是，入侵檢測技術(shù)的作用存在一定的局限性。由于需要預(yù)先構(gòu)造攻擊特征庫來匹配網(wǎng) 絡(luò)數(shù)據(jù)，對于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測系統(tǒng)不能檢測和防御。另外就是其技術(shù)實現(xiàn)的矛盾，如果需要防御更多的攻擊，那么就需要很多的 規(guī)則，但是隨著規(guī)則的增多，系統(tǒng)出現(xiàn)的虛假報告(對于入侵防御系統(tǒng)來說，會產(chǎn)生中斷正常連接的問題)率就會上升，同時，系統(tǒng)的效率會降低。

　　對于應(yīng)用攻擊，入侵檢測系統(tǒng)可以有效的防御部分攻擊，但不是全部。

　　應(yīng)用防火墻有效

　　網(wǎng)絡(luò)面臨的許多安全問題單靠網(wǎng)絡(luò)防火墻是無法解決的，必須通過一種全新設(shè)計的高性能安全代理專用設(shè)備來配合網(wǎng)絡(luò)防火墻。具體來說，利用網(wǎng)絡(luò)防火墻 阻擋外面的端口掃描攻擊，利用應(yīng)用安全防護技術(shù)，深層管理和控制由用戶訪問外部資源而引起的應(yīng)用層攻擊，解決針對應(yīng)用的、具有破壞性的復(fù)雜攻擊。

　　應(yīng)用防火墻真正實現(xiàn)了對網(wǎng)絡(luò)應(yīng)用的保護，是傳統(tǒng)安全技術(shù)的有效補充。應(yīng)用防火墻可以阻止針對Web應(yīng)用的攻擊，而不僅僅是驗證HTTP協(xié)議。這些 攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法得到命令串或邏輯語句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機為主要目標(biāo)的目標(biāo)攻擊。2004年所 出現(xiàn)的Web應(yīng)用10大漏洞，應(yīng)用防火墻均可以防御，未知攻擊也無法越過應(yīng)用防火墻。

　　業(yè)界標(biāo)準(zhǔn)的應(yīng)用防火墻一般采用主動安全技術(shù)實現(xiàn)對應(yīng)用的保護。主動安全技術(shù)是指建立正面規(guī)則集，也就是說明哪些行為和訪問是合法的規(guī)則描述。對于 接收到的應(yīng)用數(shù)據(jù)(從網(wǎng)絡(luò)協(xié)議還原出來的應(yīng)用數(shù)據(jù)，不是數(shù)據(jù)報文頭)，判斷是否符合合法規(guī)則。因為只允許通過已知的正常數(shù)據(jù)，這種方式可以防御所有的未知 攻擊。

　　應(yīng)用防火墻技術(shù)是現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)的一個重要補充，而不是取代傳統(tǒng)防火墻和入侵檢測等安全設(shè)備。傳統(tǒng)安全設(shè)備阻擋攻擊者從正面入侵，著重進(jìn)行網(wǎng)絡(luò)層的攻擊防護;而應(yīng)用防火墻著重進(jìn)行應(yīng)用層的內(nèi)容檢查和安全防御，與傳統(tǒng)安全設(shè)備共同構(gòu)成全面、有效的安全防護體系。