一,、什么是Web安全　　隨著Web2.0,、社交網(wǎng)絡(luò)、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生,，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛,，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注,，接踵而至的就是Web安全威脅的凸顯,，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容,，重則竊取重要內(nèi)部數(shù)據(jù),，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害,。這也使得越來越多的用戶關(guān)注應(yīng)用層的安全問題,，對(duì)Web應(yīng)用安全的關(guān)注度也逐漸升溫,。

二、Web安全威脅日趨嚴(yán)重的原因

　　目前很多業(yè)務(wù)都依賴于互聯(lián)網(wǎng),，例如說網(wǎng)上銀行,、網(wǎng)絡(luò)購物、網(wǎng)游等,，很多惡意攻擊者出于不良的目的對(duì)Web 服務(wù)器進(jìn)行攻擊,，想方設(shè)法通過各種手段獲取他人的個(gè)人賬戶信息謀取利益。正是因?yàn)檫@樣,，Web業(yè)務(wù)平臺(tái)最容易遭受攻擊,。同時(shí)，對(duì)Web服務(wù)器的攻擊也可以說是形形色色,、種類繁多,，常見的有掛馬、SQL注入,、緩沖區(qū)溢出,、嗅探、利用IIS等針對(duì)Webserver漏洞進(jìn)行攻擊,。 　　一方面,，由于TCP/IP的設(shè)計(jì)是沒有考慮安全問題的，這使得在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是沒有任何安全防護(hù)的,。攻擊者可以利用系統(tǒng)漏洞造成系統(tǒng)進(jìn)程緩沖區(qū)溢出,，攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶權(quán)限來運(yùn)行任意程序，甚至安裝和運(yùn)行惡意代碼,，竊取機(jī)密數(shù)據(jù),。而應(yīng)用層面的軟件在開發(fā)過程中也沒有過多考慮到安全的問題，這使得程序本身存在很多漏洞,，諸如緩沖區(qū)溢出,、SQL注入等等流行的應(yīng)用層攻擊，這些均屬于在軟件研發(fā)過程中疏忽了對(duì)安全的考慮所致,。 　　另一方面,，用戶對(duì)某些隱秘的東西帶有強(qiáng)烈的好奇心，一些利用木馬或病毒程序進(jìn)行攻擊的攻擊者,，往往就利用了用戶的這種好奇心理,，將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費(fèi)軟件等文件中,，然后把這些文件置于某些網(wǎng)站當(dāng)中,，再引誘用戶去單擊或下載運(yùn)行?；蛘咄ㄟ^電子郵件附件和QQ,、MSN等即時(shí)聊天軟件,，將這些捆綁了木馬或病毒的文件發(fā)送給用戶，利用用戶的好奇心理引誘用戶打開或運(yùn)行這些文件,。

三,、常見的WEB安全攻擊種類

　　1、SQL注入：即通過把SQL命令插入到Web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串,，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令,，比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊,。 　　2,、跨站腳本攻擊(也稱為XSS)：指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站,、使用即時(shí)通訊軟件,、甚至在閱讀電子郵件時(shí)，通常會(huì)點(diǎn)擊其中的鏈接,。攻擊者通過在鏈接中插入惡意代碼,，就能夠盜取用戶信息。 　　3,、網(wǎng)頁掛馬：把一個(gè)木馬程序上傳到一個(gè)網(wǎng)站里面然后用木馬生成器生一個(gè)網(wǎng)馬,，再上到空間里面，再加代碼使得木馬在打開網(wǎng)頁里運(yùn)行,。

四,、WEB應(yīng)用防火墻

　　Web應(yīng)用安全問題本質(zhì)上源于軟件質(zhì)量問題。但Web應(yīng)用相較傳統(tǒng)的軟件,，具有其獨(dú)特性。Web應(yīng)用往往是某個(gè)機(jī)構(gòu)所獨(dú)有的應(yīng)用,，對(duì)其存在的漏洞,，已知的通用漏洞簽名缺乏有效性；需要頻繁地變更以滿足業(yè)務(wù)目標(biāo),，從而使得很難維持有序的開發(fā)周期,；需要全面考慮客戶端與服務(wù)端的復(fù)雜交互場(chǎng)景，而往往很多開發(fā)者沒有很好地理解業(yè)務(wù)流程,；人們通常認(rèn)為Web開發(fā)比較簡單,，缺乏經(jīng)驗(yàn)的開發(fā)者也可以勝任。 　　Web應(yīng)用安全,，理想情況下應(yīng)該在軟件開發(fā)生命周期遵循安全編碼原則,，并在各階段采取相應(yīng)的安全措施。然而,，多數(shù)網(wǎng)站的實(shí)際情況是：大量早期開發(fā)的Web應(yīng)用,，由于歷史原因,，都存在不同程度的安全問題。對(duì)于這些已上線,、正提供生產(chǎn)的Web應(yīng)用,，由于其定制化特點(diǎn)決定了沒有通用補(bǔ)丁可用，而整改代碼因代價(jià)過大變得較難施行或者需要較長的整改周期,。 　　這種現(xiàn)狀,，專業(yè)的Web安全防護(hù)工具是一種合理的選擇。WEB應(yīng)用防火墻（以下簡稱WAF）正是這類專業(yè)工具,，提供了一種安全運(yùn)維控制手段：基于對(duì)HTTP/HTTPS流量的雙向分析,，為Web應(yīng)用提供實(shí)時(shí)的防護(hù)。 　　常見的WEB安全產(chǎn)品有梭子魚WEB應(yīng)用防火墻等,。

五,、梭子魚WEB應(yīng)用防火墻技術(shù)一覽

　　由于黑客的職業(yè)化程度越來越高，針對(duì)Web應(yīng)用的攻擊手段和技術(shù)日趨高明,、隱蔽,，致使大多Web應(yīng)用處在高風(fēng)險(xiǎn)環(huán)境下開展。網(wǎng)站遭受攻擊將直接沖破企業(yè)應(yīng)用的安全底線,，損害企業(yè)的社會(huì)形象,，導(dǎo)致客戶流失。梭子魚WEB應(yīng)用防火墻能夠?yàn)槠髽I(yè)提供強(qiáng)大的應(yīng)用層安全防護(hù),，同時(shí)通過梭子魚直觀,、實(shí)時(shí)的管理界面對(duì)Web應(yīng)用進(jìn)行統(tǒng)一的安全管理。 　　梭子魚WEB應(yīng)用防火墻能夠有效防護(hù)諸如數(shù)據(jù)竊取,、DDoS,、網(wǎng)頁篡改等各種高危害性的網(wǎng)站攻擊。

1,、全面的Web站點(diǎn)防護(hù)

　　統(tǒng)網(wǎng)絡(luò)防火墻的低層處理機(jī)制以及與IPS對(duì)于HTTP,、HTTPS和FTP流量的簡單操作相比，梭子魚WEB應(yīng)用防火墻則對(duì)HTTP流量進(jìn)行代理,，并全面掃描7層數(shù)據(jù),，確保攻擊在到達(dá)Web服務(wù)器之前就將其阻斷。許多Web應(yīng)用由于斷斷續(xù)續(xù)的代碼加固及安全維護(hù),，致使這些Web應(yīng)用通常存在嚴(yán)重的安全漏洞及隱患,。 火墻能夠阻斷所有常見的Web攻擊。作為一個(gè)反向代理,，在阻斷攻擊的同時(shí),，能夠?qū)ν獍l(fā)的HTTP響應(yīng)進(jìn)行全面的監(jiān)控，確保諸如信用卡卡號(hào)、社?？ㄌ?hào)等敏感信息的泄露,。結(jié)合動(dòng)態(tài)學(xué)習(xí)功能，梭子魚應(yīng)用防火墻能夠?qū)W習(xí)Web服務(wù)器的內(nèi)在結(jié)構(gòu)并生成策略,，確保網(wǎng)站的高安全性,。

2、領(lǐng)先的流量管理及加速技術(shù)

　　將網(wǎng)站安全的管理降到最低,，梭子魚WEB應(yīng)用防火墻使用動(dòng)態(tài)更新機(jī)制,，實(shí)時(shí)更新最新的安全策略庫和攻擊規(guī)則庫。同時(shí)還提供強(qiáng)大的SSL卸載,、SSL加速以及負(fù)載均衡功能,。這些流量優(yōu)化功能能夠大大提高整個(gè)網(wǎng)站的性能和效率。