及時補丁

　　積極安全模式理論上更好一些因為瀏覽器和WEB應用程序之間的通信協議通過HTML規范進行了很好的定義。現在的Web開發語言都可以處理帶有多個參數的 HTTP請求。因為這些參數在Web應用防火墻中都是可見的，因此WEB應用防火墻可以分析這些參數判斷是否存在允許該請求。，

　　當一個應用中的漏洞被發現時大多數情況下我們會盡可能在代碼中修補它。受諸多因素的影響(如應用的規模，是否有開發人員，法律問題等等)，開發補丁的過程可能需要幾分鐘，或者一直到無限長的是時間。這些時間正是攻擊者發起攻擊的好機會。

　　如果開發人員能夠在非常短的時間內在代碼中修補好漏洞，那你就不用擔心了。但如果修補這個漏洞需要花費幾天，甚至幾周來修復呢?Web應用防火墻就是處理這個問題的理想工具：只要給一個安全專家不錯的WAF和足夠的漏洞信息，他就能在不到一個小時的時間內屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應的補丁就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

　　及時補丁的原理可以更好的適用于基于XML的應用中，因為這些應用的通信協議都具規范性。

　　基于規則的保護和基于異常的保護

　　現在市場上大多數的產品是基于規則的WAF。其原理是每一個會話都要經過一系列的測試，每一項測試都由一個過多個檢測規則組成，如果測試沒通過，請求就會被認為非法并拒絕。

　　基于規則的WAFs很容易構建并且能有效的防范已知安全問題。當我們要制定自定義防御策略時使用它會更加便捷。但是因為它們必須要首先確認每一個威脅的特點，所以要由一個強大的規則數據庫支持。WAF生產商維護這個數據庫，并且他們要提供自動更新的工具。

　　這個方法不能有效保護自己開發的WEB應用或者零日漏洞(攻擊者使用的沒有公開的漏洞)，這些威脅使用基于異常的WAF更加有效。

　　異常保護的基本觀念是建立一個保護層，這個保護層能夠根據檢測合法應用數據建立統計模型，以此模型為依據判別實際通信數據是否是攻擊。理論上，一但構建成功，這個基于異常的系統應該能夠探測出任何的異常情況。擁有了它，我們不再需要規則數據庫而且零日攻擊也不再成問題了。但基于異常保護的系統很難構建，所以并不常見。因為用戶不了解它的工作原理也不相信它，所以它也就不如基于規則的WAF應用廣范。

　　狀態管理

　　HTTP的無狀態性對Web應用安全有很多負面影響。會話只能夠在應用層上實現，但對許多應用來說這個附加的功能只能滿足業務的需要而考慮不到安全因素了。Web應用防火墻則將重點放在會話保護上，它的特征包括：

　　強制登錄頁面。在大多數站點， 你可以從任何你所知道的URL上訪問站點，這通常方便了攻擊者而給防御增加了困難。WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。

　　分別檢測每一個用戶會話。如果能夠區分不同的會話，這就帶來了無限的可能。比如，我們能夠監視登陸請求的發送頻率和用戶的頁面跳轉。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。

　　對暴力攻擊的識別和響應。通常的Web應用網絡是沒有檢測暴力攻擊的。有了狀態管理模式，WAF能檢測出異常事件(比如登陸失敗)，并且在達到極限值時進行處理。此時它可以增加更多的身份認證請求的時間，這個輕微的變化用戶感覺不到，但對于足以對付自動攻擊腳本了。如果一個認證腳本需要50毫秒完成，那它可以發出大約每秒20次的請求。如果你增加一點延時，比如說，一秒種的延遲，那會將請求降低至每秒不足一次。與此同時，發出進一步檢測的警告，這將構成一個相當好的防御。

　　實現會話超時。超出默認時間會話將失效，并且用戶將被要求重新認證。用戶在長時間沒有請求時將會自動退出登錄。

　　會話劫持的檢測和防御。許多情況下，會話劫持會改變IP地址和一些請求數據(HTTP請求的報頭會不同)。狀態監控工具能檢測出這些異常并防止非法應用的發生。在這種情況下應該終止會話，要求用戶重新認證，并且記錄一個警告日志信息。

　　只允許包含在前一請求應答中的鏈接。一些WAF很嚴格，只允許用戶訪問前一次請求返回頁面中的鏈接。這看上去是一個有趣的特點但很難得到實施。一個問題在于它不允許用戶使用多個瀏覽器窗口，另一個問題是它令使用JavaScript自動建立連接的應用失效。

　　其他防護技術

　　WAF的另外一些安全增強的功能用來解決WEB程序員過分信任輸入數據帶來的問題。比如：

　　隱藏表單域保護。有時，內部應用數據通過隱藏表單變量實現，而它們并不是真的隱藏的。程序員通常用隱藏表單變量的方式來保存執行狀態，給用戶發送數據，以確保這些數據返回時未被修改。這是一個復雜繁瑣的過程，WAF經常使用密碼簽名技術來處理。

　　Cookies保護。和隱藏表單相似的是，cookies經常用來傳遞用戶個人的應用數據，而不一樣的是，一些cookies可能含有敏感數據。WAFs 通常會將整個內容加密，或者是將整個cookies機制虛擬化。有了這種設置，終端用戶只能夠看到cookies令牌(如同會話令牌)，從而保證 cookies在WAF中安全地存放

　　抗入侵規避技術。基于網絡的IDS對付WEB攻擊的問題就是攻擊規避技術。改寫HTTP輸入請求數據(攻擊數據)的方式太多，并且各種改寫的請求能夠逃避IDS探測。在這個方面如果能完全理解HTTP就是大幅度的改進。比如，WAF每次可以看到整個HTTP請求，就可以避免所有類型的HTTP請求分片的攻擊。因為很好的了解HTTP協議，因此能夠將動態請求和靜態請求分別對待，就不用花大量時間保護不會被攻擊的靜態數據。這樣WAF可以有足夠的計算能力對付各種攻擊規避技術， 而這些功能由NIDSs完成是很耗時的。

　　響應監視和信息泄露保護。信息泄露防護是我們給監視HTTP輸出數據的一個名稱。從原理上來說它和請求監視是一樣的，目的是監視可疑的輸出，并防止可疑的 http輸出數據到達用戶。最有可能的應用模式是監視信用卡號和社會保險號。另外，這個技術的另一項應用是發現成功入侵的跡象。因為有經驗攻擊者總會給信息編碼來防止監測，所以防止這樣有決心并技術熟練的攻擊者獲取信息是很困難的。但是，在攻擊者沒有完全掌控服務器而僅僅嘗試WEB應用的安全漏洞的情況下，這項技術可以起到防護效果。

　　　　　　　計算機軟件水平考試網工歷年真題匯總

　　　　　　　軟件水平考試網絡工程師學習筆記匯總(完整版)

　　　　　　　2010年軟件水平考試網絡工程師模擬試題匯總