目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁，盜取管理員密碼，數(shù)據(jù)庫注入和破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。

以下是國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)統(tǒng)計的2008年上半年我國國內(nèi)網(wǎng)站被黑被篡改的統(tǒng)計圖，在1月-7月內(nèi)僅發(fā)現(xiàn)的被篡改的網(wǎng)站就多達(dá)41,000多個，平均每天就有近200個網(wǎng)站被篡改，這真是一個驚人的數(shù)字。

下圖是CNCERT/CC從2003-2007的被篡改網(wǎng)站的歷史統(tǒng)計圖:

從上圖的對比中我們看出，網(wǎng)站被篡改的數(shù)目以每年2-3倍的遞增速度還在不斷的上升趨勢當(dāng)中。在WEB應(yīng)用如此普及，如此至關(guān)重要的今天，可以說，網(wǎng)站的防黑防篡改解決方案，已經(jīng)是每一個企業(yè)或事業(yè)單位網(wǎng)絡(luò)運維部門的迫在眉急的重大任務(wù)。

很多用戶認(rèn)為，在網(wǎng)絡(luò)中部署多層的防火墻，入侵檢測系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護(hù)WEB應(yīng)用了，但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對網(wǎng)絡(luò)層的數(shù)據(jù)過濾(基于TCP/IP報文頭部的ACL)實現(xiàn)訪問控制的功能;通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫進(jìn)行匹配，從而識別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對應(yīng)用層攻擊的防護(hù)。但是對于未知攻擊，和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護(hù)。

WEB應(yīng)用防火墻的出現(xiàn)解決了這方面的難題，應(yīng)用防火墻通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，它專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來說相當(dāng)于給原網(wǎng)站加上了一個安全的絕緣外殼。

下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda-NC應(yīng)用防火墻來舉例，來看看應(yīng)用防火墻是如何保護(hù)網(wǎng)站防止被惡意注入和篡改的了。

網(wǎng)絡(luò)架構(gòu)和部署：雙臂代理模式

雙臂代理模式是Web應(yīng)用防火墻部署種的最佳模式。這個模式也是拓?fù)溥^程中推薦的模式，能夠提供最佳的安全性能。

在此模式中，所有的數(shù)據(jù)端口都將被開啟;端口eth1是對外的，直接面向因特網(wǎng)的端口;端口eth2將會和內(nèi)部的設(shè)備(交換機(jī)等)進(jìn)行連接，是面向內(nèi)部的。管理端口可以被分配到另一個網(wǎng)段，我們推薦將管理數(shù)據(jù)和實際的流量分離，避免因為實際流量和管理數(shù)據(jù)的沖突。

以下為示例拓?fù)鋱D：

網(wǎng)絡(luò)實現(xiàn)：

1、前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶將會和應(yīng)用虛擬IP地址進(jìn)行連接，此虛擬ip將會和前端端口(eth1)進(jìn)行綁定

2、客戶的連接將會在設(shè)備上終止，進(jìn)行安全檢查和過濾

3、合法的流量將會由后端端口(eth2)建立新的連接到負(fù)載均衡設(shè)備

4、負(fù)載均衡進(jìn)行流量的負(fù)載

5、雙臂代理模式可以開啟所有的安全功能

工作特點：基于應(yīng)用層的檢測，同時又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢

對應(yīng)用數(shù)據(jù)錄入完整檢查、HTTP包頭重寫、強(qiáng)制HTTP協(xié)議合規(guī)化，杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升

預(yù)期數(shù)據(jù)的完整知識(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

實時策略生成及執(zhí)行，根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略，而不是千篇一律的廠家預(yù)定義防攻擊策略，無縫的砌合您的應(yīng)用程序，不會造成任何應(yīng)用失真。

網(wǎng)站全面隱身：黑客再神奇也無法攻擊看不見的東西

Barracuda-NC應(yīng)用防火墻對外部訪問網(wǎng)站進(jìn)行隱身，可以隱藏真實的Web服務(wù)器類型、應(yīng)用服務(wù)器類型、操作系統(tǒng)、版本號、版本更新程度、已知安全漏洞、真實IP地址、內(nèi)部工作站信息，讓黑客看不見，摸不著，探測不到，自然也無從猜測分析和攻擊。以下便是一款常用掃描工具掃描經(jīng)過Barracuda-NC應(yīng)用防火墻隱藏的網(wǎng)站的結(jié)果。

同時，它還能識別各種爬行探測程序，只允許正常的搜索引擎爬蟲進(jìn)入，抵御黑客爬行程序于門外，讓想通過探測確定攻擊目標(biāo)的黑客徹底無門。

除此之外，做為一款強(qiáng)大的應(yīng)用防火墻，Barracuda-NC應(yīng)用防火墻還有許多應(yīng)用交付功能：應(yīng)用數(shù)據(jù)緩存，數(shù)據(jù)壓縮，TCP連接池，SSL Offloading，7層內(nèi)容交換負(fù)載均衡等等，完全可以替代其他應(yīng)用層交換設(shè)備，做為應(yīng)用層交換的中流砥柱。