Web服务是指采用B/S架构、通过Http协议提供服务的统Uͼq种l构也称为Web架构Q随着Web2.0的发展,出现了数据与服务处理分离、服务与数据分布式等变化Q其交互性能也大大增强,也有人叫B/S/D三层l构。互联网能够快速流行得益于Web部v上的单,开发上便,Web|页的开发大军迅速超q了以往M计算a的爱好者,普及带来了应用上J荣。J2EE?NET的殊途同归,为Web行扫清了厂家与标准的差异;众望所归,SOA选中Web2.0作ؓ其实现的基本工具之一(使用最q的)QWeb架构从互联网走进了企业内部网l,C务系l的开发,来多的系l架构师选择了Web架构Q与熟悉它的人如此广泛是分不开的。事实再一ơ证明了那个l典的理论:z的最Ҏ行?/p>
单与安全好象L?#8220;矛盾”Q浏览器可以直接看到面的Html代码Q早期的Web服务设计没有q多的安全考虑Qh性本善,技术h员L怿人都是善良的Q但随着Web2.0的广泛用,Web服务不再只是信息发布Q游戏中的装备交易、日常生zM|上购物、政府行政审扏V企业资源管?#8230;信息价值的诱惑Qh的贪婪开始显玎ͼ不是所有的人都有Web设计者的“大同”思想Q安全问题日昄Z?/p>
2008q网l安全事件统计最多是QSQL注入?#8220;|页挂马(木马)”。因?#8220;僵尸”|络发展?#8220;会员”的基本工P而僵网l的l济与政?#8220;价?#8221;Q这里就不用说了。SQL注入?#8220;|页挂马”主要是针对Web服务的,传统的安全?UTM/IPS)都有些力不从心?/p>
互联|是个h思想展现的乐园,也是世界U的、虚拟的“另一?#8221;C会Q既然大安是虚拟的、带着面具的,要变成现实社会中的真实利益,q需要一些{换才可以兑现Q但SOA把Web架构带入企业内部|络Q这里的|络世界?#8220;真实?#8221;Q利益是可以直接兑现的,Web安全问题变得M容缓?/p>
二、Web架构原理
要保护Web服务Q先要了解Webpȝ架构Q下图是Web服务的一般性结构图Q适用于互联网上的|站Q也适用于企业内|上的Web应用架构Q?
 |
通常情况下,用户要访问的面都存在Web服务器的某个固定目录下,是一?html?xml文gQ用户通过面上的“连?#8221;(其实是URL地址)可以在网站页面之?#8220;跌”Q这是静态的|页。后来h们觉得这U方式只能单向地l用户展CZ息,信息发布q可以,但让用户做一些比如n份认证、投选D之类的事情就比较ȝQ由此生了动态网늚概念Q所谓动态就是利用flash、Php、asp、Java{技术在|页中嵌入一些可q行?#8220;程?#8221;Q用h览器在解释页面时Q看到这些小E序启动运行它。小E序的用法很灉|Q可以展CZD动?如Flash)Q也可以在你的PC上生成一个文Ӟ或者接收你输入的一D信息,q样可以根据你?#8220;x”Q对面q行定制处理Q让你每ơ来到时Q看到的是你上次设计好的Ҏ风格Q?#8220;贵宾的感?#8221;是每个h都喜Ƣ的Q更何况虚拟的网l世界中Q你不认识的对你如此“敬Ԓ”Q服务得如此体脓…
“程?#8221;的用让Web服务模式有了“双向交流”的能力,Web服务模式也可以象传统软g一栯行各U事务处理,如编辑文件、利息计、提交表格等QWeb架构的适用面大大扩展,Web2.0可以成ؓSOA架构的实现技术之一Q这?#8220;程?#8221;是功不可没的?/p>
q些“程?#8221;可以嵌入在页面中Q也可以以文件的形式单独存放在Web服务器的目录里,?asp?php、jsp文g{,q且可以在开发时指定是在用户端运行,q是在服务器端运行;用户不再能看到这些小E序的源代码Q服务的安全性也大大提高。这样功能性的程序越来越多,形成常用的工具包Q单独管理,Web业务开发时Q直接用就可以了,q就是中间g服务器,它实际上是Web服务器处理能力的扩展?/p>
静态网与“程?#8221;都是事前设计好的Q一般不l常改动Q但|站上很多内定w要经常的更新Q如新闻?a target="_blank">博客文章、互动游戏等Q这些变动的数据攑֜静态的E序中显然不适合Q传l的办法是数据与E序分离Q采用专业的数据库。Web开发者在Web服务器后边增加了一个数据库服务器,q些l常变化的数据存q数据库Q可以随时更新。当用户h面Ӟ“程?#8221;Ҏ用户要求的页面,涉及到动态数据的地方Q利用SQL数据库语aQ从数据中读取最新的数据Q生?#8220;完整”面Q最后送给用户Q如股市行情曲线Q就是由一个不断刷新的程序控制?/p>
除了应用数据需要变化,用户的一些状态信息、属性信息也需要时记?因ؓ每个用户都是不同?Q而Web服务器本来是不记录这些信息的Q只答复你的要求,“Z走茶凉?#8221;。后来Web技术ؓ?#8220;友好”互动Q需?#8220;C”用户的访问信息,建立了一?#8220;?#8221;的通讯机制Q?
CookieQ把一些用L参数Q如帐户名、口令等信息存放在客L的硬盘时文件中Q用户再ơ访问这个网站时Q参C一同送给服务器,服务器就知道你就是上ơ来的那?#8220;家伙”?
SessionQ把用户的一些参C息存在服务器的内存中Q或写在服务器的盘文g中,用户是不可见的,q样用户用不同电脑访问时的贵宑־遇就同样了,Web服务器总能C你的“样子”Q一般情况下QCookie与Session可以l合使用
Cookie在用LQ一般采用加密方式存攑ְ可以了;Session在服务器端,信息集中Q被改问题很严重Q所以一般放在内存里理Q尽量不存放在硬盘上?/p>
到此Q我们清楚了QWeb服务器上有两U服务用数据要保?#8220;清白”Q一是页面文?.html?xml{?Q这里包括动态程序文?.php?asp?jsp{?Q一般存在Web服务器的特定目录中,或是中间间服务器上;二是后台的数据库Q如Oracle、SQLServer{,其中存放的数据的动态网는成时需要的Q也有业务管理数据、经营数据?/p>
q有一个问题应该提一下,是览器给用户电脑带来的安全问题,因ؓWeb可以Ҏ地的q程、硬盘操作,可以把木马、病毒放C的电脑上来,Web架构中?#8220;沙漏”技术提供安全保护,是限制面?#8220;程?#8221;的本地读写权限,但限制毕竟不能不让其“工作”Q所以多数情况下在写入时l出提示Q让你自己选择Q大家经常看见有q程在安装程序进入你的电脑,但绝大多Ch分不清是否应该,要么一概不许,造成很多事情做不?很多下蝲与游戏就只能看着)Q要?#8220;大胆”接受Q大门敞开Q听天由命。这里主要分析服务器端的安全Q客L的安全再行考虑?/p>
?? 1 234567
内容D
W?1 :Web架构原理 W?2 :Web架构中的安全点分?/p>
W?3 :|页防篡改?W?4 :Web防火墙?/p>
W?5 :Web数据库审计?W?6 :Web木马查工?/p>
W?7 :新的xLWeb|关
三、Web架构中的安全点分?/strong>
从Web架构上可以看出,Web服务器是必经的大门,q了大门Q还有很多服务器需要保护,如中间g服务器、数据库服务器等。我们这里不考虑|络内部人员的攻击,只考虑从接入网(或互联网)来的dQ入侵者入늚通道有下面几个:
1、服务器pȝ漏洞QWeb服务器毕竟的一个通用的服务器Q无论是WindowsQ还是Linux/UnixQ都不可的带有pȝ自n的漏z,通过q些漏洞入RQ可以获得服务器的高U权限,当然Ҏ务器上运行的Web服务可以随意控制了。除了OS的漏z,q有Web服务软g的漏z,IIS也好QTomcat也好Q同样需要不断地打补丁?/p>
2、Web服务应用漏洞Q如果说pȝU的软g漏洞被关注的人太多了Q那么Web应用软g的漏z数量上更多了Q因为Web服务开发简单,开发的团队参差不齐Qƈ非都?#8220;专业”的高手,~程不规范、安全意识不强、因为开发时间紧张而简化测试等Q应用程序的漏洞也同样可以让入R者来去自如。最为常见的SQL注入Q就是因为大多应用编E过E中产生的漏z?/p>
3、密码暴力破解:漏洞会招来攻d易理解,但毕竟需要高的技术水qI破解密码却十分有效,而且单易行。一般来说帐号信息容易获得,剩下的就是猜密码了Q由于用复杂密码是仉烦而又“讨厌”的事Q设|容易记忆的密码Q是l大多数用户的选择。大多Web服务是靠“帐号+密码”的方式管理用户帐P一旦破解密码,其是远E管理者的密码Q破坏程度难以想象,q且其攻击难度比通过漏洞方式要简单的多,而且不容易被发觉。在知名的网l经案例中Q通过密码入R的占了接q一半的比例?/p>
入R者进入WebpȝQ其动作行ؓ目的性是十分明确的:
?
让网站瘫痪:|站瘫痪是让服务中断。用DDOSd都可以让|站瘫痪Q但对Web服务内部没有损害Q而网l入侵,可以删除文g、停止进E,让Web服务器彻底无法恢复。一般来_q种做法是烦要金钱或恶意竞争的要挟,也可能是昄他的技术高,拿你的网站被d作ؓ宣传他的工具?/p>
改|页Q修改网站的面昄Q是相对比较Ҏ的,也是公众Ҏ知道的攻L果,对于d者来_没有什?#8220;实惠”好处Q主要是炫耀自己Q当然对于政府等|站QŞ象问题是很严重的?
挂木马:q种入R对网站不产生产生直接破坏Q而是对访问网站的用户q行dQ挂木马的最?#8220;实惠”是收集僵网l的“肉鸡”Q一个知名网站的首页传播木马的速度是爆炸式的。挂木马Ҏ被网站管理者发觉,XSS(跨站d)是新的們?
改数据Q这是最危险的攻击者,改|站数据库,或者是动态页面的控制E序Q表面上没有什么变化,很不Ҏ发觉Q是最常见的经利益入c数据篡改的危害是难以估量的Q比如:购物|站可以修改你帐号金额或交易记录Q政府审批网站可以修改行政审批结果,企业ERP可以修改销售定单或成交h…有h说采用加密协议可以防止入侵,如https协议Q这U说法是不准的。首先Web服务是面向大众的Q不可以完全使用加密方式Q在企业内部的Web服务上可以采用,但大安?#8220;内部人员”Q加密方式是q的;其次Q加密可以防止别?#8220;H听”Q但入R者可以冒充正规用P一样可以入侵;再者,“中间人劫?#8221;同样可以H听加密的通讯?/p>
?? 12 3456[7]
内容D
W?1 :Web架构原理 W?2 :Web架构中的安全点分?/p>
W?3 :|页防篡改?W?4 :Web防火墙?/p>
W?5 :Web数据库审计?W?6 :Web木马查工?/p>
W?7 :新的xLWeb|关
四、Web安全产品分析
围绕Web服务的安全,产品可以说五花八门,最基本的是接入|入口的UTM|关Q其中IPS功能与防DDOS功能是Web服务器系l入R的直接防护,但UTM是通用的边界安全网养I?#8220;专业?#8221;Web入R防护Q一般作为安全的入门U防护,q里不细说。这里主要分析专为Web服务开发的安全产品Q大概有下面几方面的产品Q?/p>
1、网防改产品Q?/strong>
防护未知d是难的,但看好我自己?#8220;家底”是相对容易的。因此,Z最先想到的是|页防篡Ҏ术,保持自己?#8220;U洁”Qv码对C会不会造成大危実뀂网被改产品出现在Web早期Q几l风雨,各厂家技术逐渐l一。网防改技术的基本原理Q是对Web服务器上的页面文?目录下文?q行监控Q发现有更改及时恢复。所以该产品实际是一?#8220;修补”的工P不能Ld者的改Q就来个守株待兔Q专人看守,减少损失是目标,防篡改属于典型的被动防护技术?/p>
|页防篡改品的部vQ徏立一台单独的理服务?Web服务器数量少可以省略)Q然后在每台Web服务器上安装一个AgentE序Q负责该服务器的“|页文g看护”Q管理服务器是管理这些Agent看护{略的?/p>
我们先分析一?#8220;面文g看护”技术的变迁Q?/strong> b)W二代技术,采用了Hash法Q对ȝ录下的每个文件做HashQ生成该文g?#8220;指纹”Q定时@环进E直接计服务用文g的Hash指纹Q然后进行指UҎ对,指纹一般比较小Q比较方便;指纹h不可逆的特点Q不怕仿制?/p>
c)W三代技术,既然|站上页面太多,三以下面的访问量Q一般用呈指数U下降,没h讉K当然也不会被改Q在q些面重复扫描是不划算的。改变一下思\Q对文gd应该没有危险Q危险的是对文g的改写操作。若只对文g被改变时才做查,可以大大降低对服务器资源的占用Q具体做法是Q开启一个看守进E,对Web服务器的ȝ录文件删Ҏ作进行监控,发现有此操作Q判断是否有合法w䆾Q是否ؓ授权的维护操作,否则L其执行,文g不被改写Q也pvC|页防篡改的目的。这个技术也UCؓ事g触发防篡攏V?/p>
q种技术需要考验Ҏ务器操作pȝ的熟悉程度,但黑客也是高手,你的看护q程是用L的,黑客可以获得高权限Q绕q你?#8220;消息钩子”Q监控就成了摆设?/p>
d)W四代技术,既然是比谁的q程权限高,让操作系l干q个zdQ应该是最合适的Q黑客再牛也不可能越q操作系l自?#8220;q活”。因此,在Windowspȝ中,提供pȝU的目录文g修改看护q程(pȝ调用)Q防改产品直接调用可以了Q或者利用操作系l自w的文g安全保护功能Q对ȝ录文件进行锁?Windows对自ql的重要文g也采取了cM的防改保护Q避免病毒的侉|)Q只允许|站发布pȝ(|页升更新)才可以修ҎӞ其他pȝq程也不允许删改?/p>
q个Ҏ应该说比较彻底,但可以看出,以后防篡Ҏ术将成ؓ操作pȝ?#8220;专利”了,安全厂家实在是不愿意看到的。好在目前Linuxq没有支持?/p>
|页防篡改系l可以用于Web服务器,也可以用于中间g服务器,其目的都是保障网|件的完整性?/p>
|页防篡改对保护静态页面有很好的效果,但对于动态页面就没有办法了,因ؓ面是用戯问时生成的,内容与数据库相关。很多SQL注入是利用q个漏洞Q可以l入侵Web服务器?/p>
到目前ؓ止,很多|页防篡改品中都提供了一个IPS软g模块Q用来阻止来针对Web服务的SQL注入、XML注入d。如国内厂家的WebGuard、iGuard、InforGuard{品?/p>
?? 123 4567 内容D W?1 :Web架构原理 W?2 :Web架构中的安全点分?/p>
W?3 :|页防篡改?W?4 :Web防火墙?/p>
W?5 :Web数据库审计?W?6 :Web木马查工?/p>
W?7 :新的xLWeb|关 2、Web防火墙品: 防止|页被篡Ҏ被动的,能阻断入侵行为才是主动型的,前边提到的IPS/UTM{品是安全通用的网养I也有专门针对Web的硬件安全网养I国内的如Q绿盟的Web防火墙,启明的WIPS(webIPS)Q国外的有imperva的WAF(WebApplication Firewall){?
Web防火墙品部|在Web服务器的前面Q串行接入,不仅在硬件性能上要求高Q而且不能影响Web服务Q所以HA功能、Bypass功能都是必须的,而且q要与负载均衡、WebCache{Web服务器前的常见的产品协调部v?/p>
Web防火墙的主要技术的对入늚能力,其是对Web服务入R的检,不同的厂家技术差别很大,不能以厂家特征库大小来衡量,主要的还是看试效果Q从厂家技术特Ҏ_有下面几U方式:? 代理服务Q代理方式本w就是一U安全网养IZ会话的双向代理,中断了用户与服务器的直接q接Q适用于各U加密协议,q也是Web的Cache应用中最常用的技术。代理方式防止了入R者的直接q入Q对DDOSd可以抑制Q对非预料的“特别”行ؓ也有所抑制。Netcontinuum(梭子?公司的WAF是q种技术的代表? 特征识别Q识别出入R者是防护他的前提。特征就是攻击者的“指纹”Q如~冲区溢出时的ShellcodeQSQL注入中常见的“真表?1=1)”…应用信息没有“标准”Q但每个软g、行为都有自qҎ属性,病毒与蠕虫的识别采用此方式Q麻烦的是每种d都自q特征Q数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长Q安全界声言要淘汰此Ҏ术,但目前应用层的识别还没有特别好的方式? 法识别Q特征识别有~点Qh们在L新的方式。对dcdq行归类Q相同类的特征进行模式化Q不再是单个特征的比较,法识别有些cM模式识别Q但ҎL式依赖性很强,如SQL注入、DDOS、XSS{都开发了相应的识别算法。算法识别是q行语义理解Q而不是靠“长相”识别? 模式匚wQ是IDS?#8220;古?#8221;的技术,把攻击行为归Ux一定模式,匚w后能定是入侵行为,当然模式的定义有很深的学问,各厂安隐秘?#8220;专利”。协议模式是其中单的Q是按标准协议的规程来定义模式;行ؓ模式复杂一些, Web防火墙最大的挑战是识别率Q这q不是一个容易测量的指标Q因为漏|进ȝ入R者,q都大肆张扬,比如l网|马,你很隑֯觉进来的是那一个,不知道当然也无法l计。对于已知的d方式Q可以谈识别率;Ҏ知的d方式Q你也只好等他自?#8220;?#8221;出来才知道?/p>
“自学?#8221;功能的发展: Imperva公司的WAF产品在提供入侵防护的同时Q还提供了另外一个安全防护技术,是对Web应用|页的自动学习功能,׃不同的网站不可能一P所以网站自w页面的Ҏ没有办法提前定义,所以imperva采用讑֤自动预学习方式,从而ȝ出本|站的页面的特点。具体的做法是这LQ?/p>
通过一D|间的用户讉KQWAF记录了常用网늚讉K模式Q如一个网中有几个输入点Q输入的是什么类型的内容Q通常情况的长度是多少…学习完毕后,定义Z个网늚正常使用模式Q当今后有用L破了q个模式Q如一般的帐号输入不应该有Ҏ字符Q而XML注入旉要有“<”之类的语a标记QWAF׃Ҏ你预先定义的方式预警或阻断;再如密码长度一般不过20位,在SQL注入时加入代码会很长Q同L破了|页讉K的模式?/p>
|页自学习技术,从Web服务自n的业务特定角度入手,不符合我的常规就是异常的Q也是入侉|技术的一U,比v单纯的Web防火墙来Q不仅给入R?#8220;下通缉?#8221;Q而且建立q入自家的内?#8220;规矩”Q这一U双向的控制Q显然比单向的要好?/p>
Citrix公司收购了Teros后,推出的应用防火墙通过分析双向量来学习Web服务的用戯为模式,建立了若q用戯为模型,一但匹配上你是某个行ؓQ就按该模式行ؓ去衡量你的行为做法,?#8220;轨”企图立即l予L。这个自适应学习引擎与Imperva公司的网自学习有些cMQ不q一个重Ҏ学习|页特点Q一个是学习用户讉K的规律?/p>
从安全角度来_|业自学习技术与入R防护l合使用Q是理想的选择?/p>
Web防火墙的未来\Q?/strong> 有一U说法:因ؓWeb服务器前的负载均衡设备、Web加速设备是不可~少的,又是Web服务器群的出口必l之路,所以Web防火墙的功能有可能与q些讑֤合ƈ。这U发展趋势有些象|关UTM与单独的FW、IPS、AV、VPN{设备进化发展一PUTM是q些|关的集合品?/p>
但我有一个不同的看法QUTM部v于网l的外连接出口,一般是互联|出口,其网l安全隔M用,q里的带宽h格昂贵,所以拥有大带宽的用户很有限Q而Web服务器群是与|络M换机q接的,提供的是应用处理能力Q要求的参数常是q发用户的数量与在线用户的数量,服务器一般都是千兆接口,目前的交换机可辑ֈ几十个TB的交换能力,在大量链\上做多功能的安全产品Q又是应用层的检,对品的g压力是巨大的Q能辑ֈ“U?#8221;量的品一定h格昂贵,因此Web防火墙的q种合ƈ思\是有待商L?/p>
?? 1234 567 内容D W?1 :Web架构原理 W?2 :Web架构中的安全点分?/p>
W?3 :|页防篡改?W?4 :Web防火墙?/p>
W?5 :Web数据库审计?W?6 :Web木马查工?/p>
W?7 :新的xLWeb|关 3、Web数据库审计品: 有效恢复是安全保障的一个很重要的理c我们提到动态网늚防护隄是用数据库现场生成的Q因此对数据库的修改变得很关键QWeb数据库审计品的目的是Ҏ据的所有操作进行记录,当发现问题时Q这些操作可以回溯。打个比方,你在游戏中的装备被别人给“划走”了,q了一周,你发CQ但一周中Q游戏在l箋Q你的装备有很多新动态,合理与不合理变化交织在一赗此Ӟ若管理h员知道确定是“某h”的篡改,可以把他的动作q行“逆向”操作Q你的游戏仍可以l箋Q不受媄响;若通过协商Q需要恢复到改前的某个状态,则在数据库中先取得篡改前最q一ơ的备䆾数据Q再使用数据库的审计记录Q一?#8220;操作”到篡改前的状态,游戏可以l了。这U技术与数据库的实时同步备䆾技术是cM的?/p>
当然数据库的操作量很大,全部记录需要很大的数据I间Q所以,Web服务中重要数据库操作才进行详l审计,审计的目的是Zq营状态的可恢复。常见的Web审计数据Q? 帐户操作Q涉及权限的改变? q营操作Q涉?#8220;财与?#8221;的变? l护操作Q涉?#8220;Ҏ权限”人的动作 Web数据库审计品一般采用旁路部|Ԍ不媄响数据库的业务效率。若在业务流量不很大的情况下Q可以采用Agent的Y件方式,但是不徏议完全依靠数据库自n的日志功能,因ؓQ入侵者破坏后一定有“抹去痕迹”的步骤,痕迹一般就是系l本w的日志Q单独的审计机制保障了日志的完整性?/p>
?? 12345 6[7] 内容D W?1 :Web架构原理 W?2 :Web架构中的安全点分?/p>
W?3 :|页防篡改?W?4 :Web防火墙?/p>
W?5 :Web数据库审计?W?6 :Web木马查工?/p>
W?7 :新的xLWeb|关 4、Web木马查工P Web安全不仅是维护网站自己安全,通过|站入R用户电脑的危害也十分手。网容易被挂上木马Q或被XSSd利用Q是否有工具可以Ҏ有的|页q行安全查呢Q这里用C“爬虫”技术?/p>
“爬虫”技术最早是搜烦引擎“发明”的,搜烦|站攑ևN个小“爬虫”Q在世界各地的网站上循环扫描Q收集网站上的新信息Q徏立供世界人民查找的数据库Q这样大家就可以从Google、百度等搜烦门户上搜C惌的Q何东东。由?#8220;爬虫”来自|站外部Q所以可以模拟用h开|站的实际效果,所?#8220;爬虫”很快被网站用来测试自w性能?#8220;用户体验”工具Q比如网|开的速度Q用户互动的{待旉{。作为用户体验工P“爬虫”很快也在企业内部|络上开始流行,x用户感受Q是08q开始IT领域内最行的开发理c?
Web木马查工具一般作为安全服务检查用,也可以单独部|一台服务器Q定期对|站查,发现问题及时报警。该工具目前市场上的产品化很,一般不销售,|上有些免费的类DY件可以试用,随着Web服务在企业内的应用增多,该工具应该象防病毒检查工具一h行?/p>
?? 123456 7 内容D W?1 :Web架构原理 W?2 :Web架构中的安全点分?/p>
W?3 :|页防篡改?W?4 :Web防火墙?/p>
W?5 :Web数据库审计?W?6 :Web木马查工?/p>
W?7 :新的xLWeb|关 五、新的想法主机Web|关 Web服务是从互联|技术发展v来,互联|是“草根”文化的集大成者。在互联|中Q共享智慧是q求Q简捷实用是Ҏ?/p>
很常见的现象QWeb服务的处理能力采用集技术、云计算技术,都是利用物美价廉的PC服务器集成在一P而不是选用“庞大”的巨型机。P2P技术、CDN技术都是网民降低Web服务中心压力Q而又能支持大用户、实时流媒体业务?#8220;互联|Web技?#8221;。但q也为Web业务的安全防护带来问题网l结构问题。ؓ了提供处理能力,众多的服务器“|?#8221;一样地接在核心交换ZQ在服务器前没有汇聚点,web防火墙的部v成了问题?/p>
草根文化的特点就是系l避免过渡依赖某一个点(大家都是重要?。Web服务不同于传l银行模式的集中处理Q服务器是PCServerl成的群Q由于加入与d,对群的服务没有媄响,只是服务处理能力的动态变化而已Q所以服务器中的每个服务器的处理能力相对不是那么宝贵,某个服务器的异常宕机也只是对个别的用h务有?#8220;临时影响”Q在服务器中安装Agent?#8220;恐惧”QWeb服务理者应该是没有的?/p>
Z?#8220;?#8221;?#8220;?#8221;{Web新型|状l构盔R应QWeb服务应用层的防护Q可以与|页防篡改合h(其是OS提供底层的文件修改监?Q我们给它一个新的名字主机Web|关(HostWebGateway)?/p>
LWeb|关的部|与防篡改品一P以Agent的Ş式嵌入到Web服务器中Q不需要再兛_Web服务的网l结构,同时Q也避免了在Web服务使用加密协议Ӟ|关安全讑֤对应用层d无能为力的弊端?/p>
LWeb|关的主要功能: ? Web应用入R防护(SQL注入、XSS{?? 面文g防篡? Web|页自动学习功能? Web用户讉K行ؓ的自学习功能 至于pȝU的入R防护与DDOS防护Q放在UTM/IPS中解冻IWeb服务的网l结构就灉|多了。主机Web|关采用软g形式Q没有了串行讑֤的性能要求Q部|的成本也会大大下降?/p>
