当黑客攻击Web应用时，网络防火墙和入侵检测产品发挥的作用有限，而应用防火墙却让黑客无功而返。

在6月份的时候有这样一则新闻：美国科学家表示，许多网站目前都面临一种新形式网络攻击——“HTTP请求走私”的威胁，这种攻击将有害的数据包隐藏在看似合法的数据包中，通过HTTP请求破坏网站。

专家发现，“HTTP请求走私”最简单的一种攻击形式是添加多余的“内容长度的头信息标签”。通常，当浏览器发出网页请求时，它会发送包含详细请求内容的数据包。一般情况下，数据包中只包含一个“内容长度的头信息标签”，以保证需要处理的数据大小。而在“HTTP请求走私”中，可能会出现两个以上“内容长度的头信息标签”。科学家发现，不同的网站在遭到这种攻击时会作出不同的反应，很可能会造成处理错误。另外，“HTTP请求走私”能够突破安全过滤器，可以将新网站非法上载到网站缓冲区中。

专家认为，黑客可能很快就会利用“HTTP请求走私”，对网站进行大规模攻击。最好的防范措施，就是严格遵循超文本数据传输协议的各项要求。同时，专家也认为，之所以出现“HTTP请求走私”，说明超文本传输协议存在漏洞，应对其进行修改。

这条新闻所提到的攻击只是网站所面对的众多攻击中的比较新的一个。随着互联网的飞速发展，Web应用也日益增多。今天，商业交易的各个部分都正在向Web上转移，但每增加一个新的基于Web的应用系统，都会导致之前处于保护状态下的后端系统直接连接到互联网上，最后的结果就是将公司的关键数据置于外界攻击之下。

据Gartner调查显示，现在有75%的攻击都是针对Web应用层发起的。尤其是金融服务业成为了众矢之的，而攻击者的主要目的就是直接获取个人数据。

据美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明，在接受调查的公司中，2004年有52%的公司的系统遭受过外部攻击（包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等），这些攻击给269家受访公司带来的经济损失超过1.41亿美元，但事实上他们中有98%的公司都装有防火墙。

为什么防火墙没有防住攻击？因为他们安装的是网络防火墙，而真正能防御这些攻击的是应用防火墙。早在2002年，IDC就曾在报告中认为，“网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火墙内的端口都必须处于开放状态。”

|从概念走向实用

应用防火墙其实是个安全“老兵”了。在十几年前，就已经出现了应用防火墙的概念。但是为什么迟迟没有产品出现呢？华城技术有限公司负责人杨磊说：“因为系统的硬件平台跟不上。以前，网络层数据的转发处理就占用了CPU大量的资源，CPU根本无法再做应用层的处理；而可以进行高速网络数据处理的ASIC技术又处理不了应用层数据的复杂性，所以应用防火墙没有诞生的条件。”随着NP（网络处理器）性能的迅速提升，特别是基于通用CPU的多核NP 体系（例如Broadcom的双核NP 1250，将2个64位MIPS芯片集成在一块处理器芯片里面，而且后续推出了集成4个CPU的处理器；而Cavium公司也推出了集成16个MIPS CPU和硬件加速处理单元的网络服务处理器OCTEON）产生之后，利用多CPU的并行处理能力和软件的灵活性，应用防火墙可以实现对复杂应用的安全处理，并且能够达到千兆线速的性能。

在2004年，应用防火墙终于冲破概念的围城，真正实现了产品化。国外有Teros、Sanctum、Netcontinuum和Kavado等厂商推出了Web应用防火墙，目前在国内记者看到的产品仅仅有华城技术（secnumen）的AppRock和F5网络公司的TrafficShield.现在我们所说的应用防火墙，一般是指Web应用防火墙和数据库防火墙（也叫SQL防火墙），而现在我们所能见到的产品基本都是Web应用防火墙。

应用前面的铜墙铁壁

安装了网络防火墙和IDS，就能抵挡应用层攻击吗？不能。因为在保护应用方面，网络防火墙和IDS各有不足。

网络防火墙有洞

网络防火墙技术的发展已经非常成熟，也是目前网络安全技术中最实用和作用最大的技术。

但是，作为目前应用最为广泛的HTTP服务器等应用服务器，通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放HTTP应用端口，这种方式对于HTTP应用没有任何的保护作用。即使使用HTTP代理型的防火墙，防火墙也只是验证HTTP协议本身的合法性，完全不能理解HTTP协议所承载的数据，也无从判断对HTTP服务器的访问行为是否合法。攻击者知道正面攻破网络防火墙十分困难，于是从简单的端口扫描攻击转向通过应用层协议进入企业内部，目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚的理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。一个最简单的例子就是在请求中包含SQL注入代码，或者提交可以完成获取其他用户认证信息的跨站脚本，这些数据不管是在传统防火墙所处理的网络层和传输层，还是在代理型防火墙所处理的协议会话层，都会认为是合法的。

明白了防火墙的工作原理，我们就知道，对于应用层攻击，网络防火墙是无能为力的。

入侵检测有限

目前最成熟的入侵检测技术就是攻击特征检测。入侵检测系统首先建立一个包含目前大多已知攻击特征的数据库，然后检测网络数据中的每一个报文，判断是否含有数据库中的任何一个攻击特征，如果有，则认为发生相应的攻击，否则认为是合法的数据。

入侵检测系统作为防火墙的有力补充，加强了网络的安全防御能力。但是，入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据，对于未知攻击和不能有效提取攻击特征的攻击，入侵检测系统不能检测和防御。另外就是其技术实现的矛盾，如果需要防御更多的攻击，那么就需要很多的规则，但是随着规则的增多，系统出现的虚假报告（对于入侵防御系统来说，会产生中断正常连接的问题）率就会上升，同时，系统的效率会降低。

对于应用攻击，入侵检测系统可以有效的防御部分攻击，但不是全部。

应用防火墙有效

网络面临的许多安全问题单靠网络防火墙是无法解决的，必须通过一种全新设计的高性能安全代理专用设备来配合网络防火墙。具体来说，利用网络防火墙阻挡外面的端口扫描攻击，利用应用安全防护技术，深层管理和控制由用户访问外部资源而引起的应用层攻击，解决针对应用的、具有破坏性的复杂攻击。

应用防火墙真正实现了对网络应用的保护，是传统安全技术的有效补充。应用防火墙可以阻止针对Web应用的攻击，而不仅仅是验证HTTP协议。这些攻击包括利用特殊字符或通配符修改数据的数据攻击、设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。2004年所出现的Web应用10大漏洞，应用防火墙均可以防御，未知攻击也无法越过应用防火墙。

业界标准的应用防火墙一般采用主动安全技术实现对应用的保护。主动安全技术是指建立正面规则集，也就是说明哪些行为和访问是合法的规则描述。对于接收到的应用数据（从网络协议还原出来的应用数据，不是数据报文头），判断是否符合合法规则。因为只允许通过已知的正常数据，这种方式可以防御所有的未知攻击。

应用防火墙技术是现有网络安全架构的一个重要补充，而不是取代传统防火墙和入侵检测等安全设备。传统安全设备阻挡攻击者从正面入侵，着重进行网络层的攻击防护；而应用防火墙着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面、有效的安全防护体系。

严格把关

应用防火墙安装在传统网络防火墙与应用服务器之间，在ISO模型的第七层上运行。所有的会话信息，包括上行和下行的会话信息，都要流经应用防火墙。下行请求经过应用防火墙，并且在积极模型的情况下，进行政策的解析处理。这就要求应用防火墙安装在缓存服务器的前端，以保证请求的有效性。上行请求经过只允许有效请求通过的应用防火墙，因此避免了有害请求进入服务器。应用防火墙了解解析和输出的会话请求，提供与已有应用的联机集成，并与Web应用技术相兼容。应用防火墙监听80和443 TCP端口，并从客户机接收输入的HTTP/HTTPS请求，然后解析这些请求，将这些请求与会话建立关系或者创建一次会话，然后将请求与会话的政策相匹配。如果这个请求符合安全策略，它就被转发给Web服务器，否则请求就被拒绝。

像华城技术有限公司的AppRock应用防火墙的用户行为检测技术，就是从网络数据中还原出应用数据流，并在应用数据的基础上归纳用户行为，然后进行用户行为的合法性判断，从而精确的判断出攻击行为。通过和积极安全模型结合，用户行为检测可以实现只允许发生符合正常用户行为的访问数据通过，任何异常数据都会被阻止。

实行安全策略的最佳方法就是为用户与应用系统间的交互设定一个详细模型或策略。一旦定义了合法活动，则其他活动就会被视为非法活动而被禁止访问。拥有一个可精确识别用户活动的模型对执行安全策略是至关重要的。F5网络公司的TrafficShield的应用流量模型是对合法用户与Web应用间交互的逻辑表述。应用流量模型可自动“搜寻”整个应用系统，映射用户与网站间的互动流程或全部模式。除追踪流量模式外，可映射应用系统的能力远比之前为用户互动制定模型的方法更为精确。

积极和消极

为什么应用防火墙可以阻止未知的攻击呢？这和应用防火墙的工作原理有关。从安全产品对各种攻击的应对方法来说，安全产品的工作原理有两种：积极安全防御模型和消极安全防御模型。

积极安全防御

积极安全防御的原理是：对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配，如果不是这个正常范围以内，那么就认为是攻击行为，对其作出处理。这样做的最大好处是可以阻挡未知攻击。对这种方式来说，建立一个安全的、有效的模型就可以对各种攻击作出反应了。具有代表性的产品有网络防火墙、应用防火墙。

一个简单的例子就是网路防火墙中的状态检测技术，管理员可以配置基于网络地址、端口和协议的允许访问的规则，只要不是这些允许的访问，都禁止访问。在防火墙运行过程中，根据允许访问的规则建立动态状态表项，只有符合这些合法状态表项的访问数据才允许通过防火墙，其他的所有访问都禁止通行。网络防火墙在网络层做到了积极安全防御。但是对于应用层数据，由于网络防火墙不理解，所以对于应用层的攻击，网络防火墙也是无能为力的。

应用防火墙也和网络防火墙一样，通过积极安全防御模型来防范攻击，但是最大的不同是应用防火墙建立的允许访问的规则是描述应用的，而不是描述网络地址、端口和协议号等网络层的信息。应用防火墙建立对应用描述的允许规则以后，对所有的应用层数据进行检查，判断是否是允许通过的应用层数据，如果不是，就禁止通行。这样的原理可以防护未知攻击，因为各种针对应用的攻击和未知的攻击都不包括在允许访问的应用层描述规则集中。

消极安全防御

消极安全防御的原理是：对已经发现的攻击方式，经过专家分析后给出其特征进而来构建攻击特征集，然后在网络数据中寻找与之匹配的行为，从而起到发现或阻挡的作用。它的缺点是使用消极安全防御体系的安全产品不能对未被发现的攻击方式作出反应。具有代表性的产品有入侵检测系统（IDS）、入侵防御系统（IPS）、病毒防火墙等。

使用消极安全防御模型的产品，可以作为网络安全防御体系中的一个补充，但是由于对未知攻击的无能为力以及不断的数据库更新，起到的作用比较有限，同时对网络的性能有一定的影响。

可以看出，积极安全防御更加安全和有效，但是它的技术实现也更加复杂。随着厂商对积极安全防御的重视，以及技术的不断发展，使用积极安全防御模型的安全产品将会日益完善。

6方面考察应用防火墙如果你是某网站的CIO，发现网站的重要资料被窃，但是防火墙上没有任何攻击日志，那你就要考虑购买应用防火墙了。选择应用防火墙，需要关注6个方面：1.理解应用层数据。Web应用防火墙能够理解用户请求的是什么网页，是在提交用户信息，还是在访问某个新闻页面。同时，能够理解用户提交的各种信息，比如用户名、密码、身份证号码等。只有理解这些应用层的信息，才可能针对各个不同的应用发挥保护作用。所以，在选购应用防火墙时，必须确定厂家宣称的应用防火墙是否真正能够理解应用层的数据。

2.积极安全防御。只有建立在积极安全模型上的保护应用安全的产品才能称为真正的应用防火墙。目前市场上有一些通过建立针对应用的攻击特征库来检查攻击数据的应用安全产品，这种产品需要预先配置攻击特征库，对于未发现的攻击是无能为力的。这样的产品可以看作是针对应用的IDS或者IPS产品，而不能算作是真正的应用防火墙产品。在选购应用防火墙时，可以通过产品是否提供针对正常应用的规则配置来确定是否具有积极安全防御的特性。

3.处理性能。由于应用防火墙需要处理应用层数据，必须要对网络的报文进行重组、流还原和协议解析等处理，其复杂程度远远高于基于单个报文、仅仅处理网络层信息的传统网络安全设备。为了保证已有网络的可用性和实时性，应用防火墙不能成为应用的瓶颈，必须使用高速的处理算法和新一代的硬件平台。

在选购应用防火墙时，需要确定产品的性能指标是否适合被保护的应用环境。一些针对应用层的指标，如HTTP会话并发数、每秒请求数等是否满足要求。另外，针对提供硬件平台的产品，需要关心硬件的性能是否高于同档次的传统防火墙产品。比如，如果厂家宣称其应用防火墙的处理能力能够达到数据转发速率是每秒100兆，那么它的硬件处理能力必须强于同样标称为每秒100兆的网络防火墙。可以通过比较CPU性能、内存、接口总线带宽等来衡量硬件的性能指标。

4.应用层会话管理。应用层防火墙最好具有应用层会话管理的功能，才能做到基于对用户行为的检测功能。比如Web应用防火墙，必须能够实现建立HTTP会话的能力，因为HTTP协议本身是一个无状态的协议，只有建立起应用层的会话管理，才能够精确的判断用户是否在进行攻击行为。应用层会话管理一般包括HTTP会话建立，同时也需要能够保护已有客户端和服务器的会话维护信息，如提供Cookie验证功能、Cookie加密功能。

在选购时，必须确认厂商宣称的会话管理不是基于传统网络层防火墙的网络层信息五元组的会话信息，而是真正可以标识用户访问行为的应用层会话管理能力。

5.智能的安全规则配置。针对应用防火墙，同样需要建立安全规则。这个安全规则是基于应用的，而不是简单的基于IP地址、端口等网络层信息。比如针对Web应用防火墙来说，安全规则必须包含允许用户请求的HTTP方法、各个缓冲区的合法长度、允许上传和下载文件类型、允许用户进行动态提交的内容等信息。网络层安全产品都是不具备这种规则的配置的，这也是区分网络层安全产品和应用防火墙的一个特征。

由于针对应用层的安全规则包含的信息非常复杂，而且，针对不同的商业应用环境，规则都需要重新配置，这个配置工作量是非常巨大的。真实世界中的Web应用非常复杂，而且网站在不断的动态变化。如果使用传统的配置方法，那么应用防火墙的管理员必须理解每个应用、每个网页的作用、每次提交的请求，甚至每个提交变量的范围，然后创建针对每个URL、每个请求串、每个变量的安全规则，并且，时刻都需要根据Web应用的变化来改变应用防火墙上的安全规则。要在现实中做到这些是非常困难的，传统的配置方式不能够满足应用防火墙策略周全性和变化性的特点，需要应用智能的方式来满足应用防火墙的安全策略配置。

6.稳定性。由于很多Web应用和企业的商业利益息息相关，不能容忍访问中断，因此，放在应用前面的应用防火墙必须要有很高的稳定性，不能成为故障点。

编看编想：等待花开中国的网站有多少？接近70万个。据我了解，很多知名网站的重要数据都可以被轻而易举的窃取，他们也苦于没有很好的解决办法，应用防火墙正是他们所需要的产品。可是我知道的在国内推广应用防火墙的厂商只有两家，对于应用防火墙这种非常有价值的产品来说，这个数字未免有点少，让我有些想不通。不过黑格尔说过：存在即合理。

F5网络公司市场渠道总监柯文说：“国内的应用防火墙市场还没起来，推产品非常困难。因为很多用户不理解这个产品，需要去做大量的解释工作，灌输新概念。”华城技术有限公司的杨磊说：“我们在给客户介绍产品时，只能举国外的案例，因为在国内还没有实际用户。2005年，我们已经作好了一分不挣的准备。估计到2006年，应用防火墙会有少量的销售，2007年会有其他厂商跟进。”

好消息是国内已经有著名网站在试用应用防火墙，也许只要有一个星星之火，就能形成燎原之势。

不久前发生的美国4000万个信用卡用户资料被盗的事件也可能会诱发用户购买应用防火墙的意愿。国外有一种应用防火墙产品，可以针对信用卡制定策略，它判断所有从服务器出来的流量，如果含有信用卡的信息，根本就不会放行，黑客不可能把信息拿到手。

为了您的Web应用安全，我想套用一句已经流行过的广告语吆喝一声：读过看过不要错过。

表2 3种技术比较

防火墙深度检测技术 Check Point Web Intelligence技术 应用防火墙

原理 预先定义规则，用规则和报文数据（不仅仅是报文头信息）做匹配，从而实现针对协议内容的过滤功能。另外，也可以预先定义协议描述网络攻击的特征规则，实现轻量级的IDS功能 针对已知的基于HTTP的攻击，形成HTTP攻击特征库，对HTTP流量进行协议还原，通过HTTP协议合法性检查以及查找攻击特征码来判断是否是HTTP攻击数据 通过机器学习形成描述正常商业应用的规则集，对HTTP流量还原。除了判断HTTP协议信息，还要提取应用信息，判断是否符合正常应用规则的描述，确定是否是HTTP正常数据

主要功能 内容过滤，也可以实现轻量级IDS HTTP恶意网页过滤、HTTP蠕虫病毒保护 保护Web服务器不受到非法攻击

保护的范围 主要用于保护内部网络，对访问内部网络的数据进行内容控制，如URL过滤、邮件标题过滤等 避免恶意网页代码对用户造成危害。也可以保护Web服务器，防范针对Web服务器的已知攻击 保护Web服务器和后台应用服务器

可以保护的协议 HTTP、FTP、SMTP、POP3等 HTTP HTTP

是否需要预先定义规则 需要 需要 不需要

能否防范未知攻击 不能 可以防范基于HTTP的已知攻击，可以防范少部分具有HTTP异常协议字段的未知攻击 只允许正常应用通过，能够防范未知攻击以及非授权访问行为

是否需要升级攻击特征库 不需要，规则功能通过手工配置或者预先定义 需要定期升级攻击特征库 没有攻击特征库

防御模型 消极模型 消极模型 积极模型

注：表中所提到的深度检测技术，是指在现有商业产品中已经实现的技术。