突破单一防御的Web安全策略

　　1.Web安全防御思想分析

　　如何保护企业网站免于遭受攻击，是令很多CIO们头疼不已的问题。

　　一般来说，Web安全的防范措施不外乎两种：未被禁止的就是允许的，未被允许的就是禁止的。

　　先来看第一种，“未被禁止的就是允许的”。

　　这一思想可以解释为：凡是与记录在案的攻击行为相符合的，就认为是攻击行为，凡是不符合已知攻击行为特征的，就是正常行为，这称之为模式匹配技术。早期的入侵检测技术就是这一思想的典型代表。通过定义攻击事件的数据特征，来区分网络中的各种数据流。这种方法的准确率较高，但如果攻击者采用最新的，尚未添加到检测中的攻击方法，容易有漏报。而且早期的模式匹配技术没有通配概念，变形攻击很容易躲过入侵检测的检查。随着入侵检测技术的发展，这已经是非常困难的事了。

　　第二种，“未被允许的就是禁止的”。

　　类似于防火墙等访问控制设备，设定一些允许规则，不包括在规则内的，就将被禁止。这一类的Web安全产品包括application firewall和静态网页防篡改系统。

　　Application firewall，之所以叫firewall，就是因为其主体设计思想是模仿防火墙，所不同的是，application firewall不仅关心4层以下的数据，还需要关注应用层的数据。而在“未被允许的就是禁止的”这一思想指导下，application firewall多采用构建异常模型方式：通过学习“干净”的网络数据，视情况需几天或几星期，一一列举出所有应当被允许的行为，当模型构建完成，所有被允许的行为也就定义下来了，在工作过程中，一旦发现某条数据行为并未包括在模型中，就予以响应（阻断、报警）。这种方法对未知攻击和新漏洞攻击有很好的防御能力，但弱点也同样明显：学习数据必须是“干净”的，否则攻击行为将被认为是正常行为而给予放行，产生漏报。而且业务结构发生变化后，比如更换服务器，添加新的在线服务业务等，需要重新学习，否则容易误报。

　　静态网页防篡改系统，将“未被允许的就是禁止的”贯彻得更死板一些：将所有被保护的网页做备份，除了规定程序/地址外，其它任何企图更改页面的行为都是被禁止的，即使骇客攻击后更改成功，也可通过备份机制进行自动还原。但随着动态页面技术的进步，Web网站已经很少有静态页面了，而且这种防篡改系统仅保障了网页内容不被修改，无法保障其它私隐信息（如用户数据）的安全。

　　这两种防御思路各有优劣，单一思路指导下的Web防御产品都是不完善的，要实现全面的Web安全防御，需要融合两种思路的优势。我们欣喜地看到，相关厂商已经在这些方面进行努力。