[发明专利]一种基于应用网关的Web应用防火墙方法及系统

说明书

本发明属于网络安全技术领域，公开了一种基于应用网关的Web应用防火墙方法及系统，利用具有统一网络入口的防火墙网关，配合负载均衡进行调度，拦截Web入侵行为、数据泄露；使用异常检测方法，对day0进行防御；并进行联动检测，对证书进行管理以及进行私钥保护，不将证书文件、私钥文件直接明文的存放在服务器某个目录下，进行浏览器配置。本发明实验结果表明，该Web应用防火墙有效防御各种变形的SQL注入攻击、暴力破解和扫号攻击Webshell检测、XSS跨站脚本攻击、信息泄露等主流Web应用层的攻击；本系统能够在关键的路径上，切断典型的入侵尝试，挡住探测payload，大幅提高入侵难度。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于应用网关的Web应用防火墙方法及系统。

背景技术

目前，最接近的现有技术：Web 2.0技术的广泛使用为用户和相关系统带来了越来越大的潜在威胁。现在的Web应用程序和在线服务都基于Web 2.0技术，如JavaScript和AJAX，因此也出现了一系列的针对应层的安全攻击。在web安全变得愈发重要之下，Web应用防火墙(WAF)应运而生。

Web应用程序在机构的威望中占据了绝对的主导地位。针对web应用程序的攻击愈发增加，Internet上提供的服务项目也逐渐增多。由于开发中缺乏对Web应用程序安全性的关注和认识，并且没有使用安全的软件开发技术，Web应用程序已经成为当前攻击的首要目标。大约百分之七十的基于Web的攻击是成功的。即使传统的防火墙能够成功阻止网络层的攻击，但他们在基于Web的对Web应用程序的攻击并不是有效的。因此，在防止信息泄露和互联网上无法提供安全环境的弱点方面，Web应用程序有安全需求。

在互联网行业，Google将安全做到基础设施里面，素来是安全学习的榜样。在Web方面，通过GFE(Google Front-End)同意对外发布，业务只需要在GFE登记，GFE就回调取正确的证书，保障用户到GFE的TLS连接安全。此外，Microsoft在Web方面，有一款叫做AzureApplication Gateway的产品，提供了同意的Web路由、负载均衡，以及WAF(Web应用防火墙)功能。但这几款产品均不能用于私有化部署，Google Front-End和AzureApplicationGateway只服务于他们自身业务以及他们自己的云客户。想要使用他们的产品，得使用他们的云服务，不然就只能望然兴叹了。

此外，Web应用程序使用超文本传输协议(Typer Text Transfer Protocal,HTTP)，因此攻击也来自HTTP。关于检测HTTP流量和显示异常请求的研究有很多。存在像WebApplication Security Consortium这样的组织为万维网(WWW)开发安全标准。也有另外的类似的一个小组Thinking Stone，他们开发了Mod Security，这是一个Apache Web服务器的开源模块。Mod Security实现了基于签名的检测，所以它对已知类型的攻击有效，但对day0攻击无效。

再者，经济利益成为安全攻击的驱动力，这改变了整个互联网的安全图景，攻击变得“工业化”，具有庞大的组织、资金，更聚焦，并具有自动化能力。在此图景下，Web安全事件不断暴露出来，WAF解决方案应运而生，而为了更系统地进行Web安全防护，各类法规、政策陆续出现，这更有力地推动了WAF的需求和技术发展。但业内对WAF的需求特点并不完全一样，所以业内厂商的WAF技术发展也不完全一样，产品走出了不一样的发展轨迹。

为统一Web应用安全隐患，加强对Web应用安全的意识，业内Web应用安全项目提出“Web应用的十大安全隐患”，总结了目前Web应用最常受到的10种攻击手段，并且按照攻击发生的概率进行了排序。针对Web应用的10大安全隐患，业界提出了Web应用防火墙，它可以防范大多数的Web应用攻击，是当前主要的Web应用安全解决方案。