F5應(yīng)用安全解決方案
       F5的BIG-IP®應(yīng)用安全管理器™ (ASM)是一個(gè)先進(jìn)的Web應(yīng)用防火墻,，可顯著減少和控制數(shù)據(jù)、知識(shí)產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險(xiǎn),。BIG-IP ASM通過一個(gè)將應(yīng)用交付與網(wǎng)絡(luò)和應(yīng)用加速及優(yōu)化結(jié)合在一起的平臺(tái),，提供了無與匹敵的應(yīng)用和網(wǎng)站防護(hù)、完整的攻擊專家系統(tǒng),，并且可以滿足關(guān)鍵的法規(guī)要求,。
       BIG-IP ASM是業(yè)內(nèi)最全面的Web應(yīng)用安全與應(yīng)用完整性解決方案。對(duì)于對(duì)業(yè)務(wù)至關(guān)重要的應(yīng)用,，屢獲殊榮的BIG-IP ASM能夠使其保持安全性,、可用性和高性能，從而保護(hù)了您企業(yè)的安全,，并維護(hù)了企業(yè)的聲譽(yù),。
1.1 方案部署網(wǎng)絡(luò)邏輯圖

1.2 ASM的技術(shù)特點(diǎn)
滿足安全標(biāo)準(zhǔn)的要求
  先進(jìn)的內(nèi)置安全防護(hù)和遠(yuǎn)程審計(jì)功能可幫助您的企業(yè)以經(jīng)濟(jì)高效的方式滿足行業(yè)安全標(biāo)準(zhǔn)的要求，包括PCI DSS,、HIPAA,、Basel II和SOX，您既不需要購置多個(gè)設(shè)備,，也不需要對(duì)應(yīng)用進(jìn)行更改或重寫,。BIG-IP ASM提供了針對(duì)新型威脅的高級(jí)報(bào)告能力，例如第7層服務(wù)拒絕攻擊(DoS),、暴力攻擊和SQL注入攻擊等,。通過PCI報(bào)告功能，BIG-IP ASM列出了PCIDSS 1.2所要求的安全措施,，并確定是否滿足了要求,，若未滿足要求則詳細(xì)說明為滿足要求所需采取的措施。此外,，BIG-IP ASM與WhiteHat,、Splunk和Secerno集成，可支持漏洞評(píng)估,、審計(jì)和實(shí)時(shí)數(shù)據(jù)庫報(bào)告功能,，從而實(shí)現(xiàn)安全違規(guī)檢查、攻擊防護(hù)和法規(guī)遵從,。

保證應(yīng)用安全與可用性
  許多網(wǎng)站和應(yīng)用都遭受過安全威脅,，這些安全威脅會(huì)導(dǎo)致業(yè)務(wù)中斷，并損害企業(yè)的品牌,。BIG-IP ASM可以報(bào)告以前未知的威脅,，例如第7層DoS和SQL注入攻擊，并且可減輕Web應(yīng)用威脅，從而保護(hù)企業(yè)免遭數(shù)據(jù)侵害,。BIG-IP ASM有助于預(yù)防棘手而且代價(jià)高昂的應(yīng)用侵害,，這些侵害可導(dǎo)致企業(yè)遭受數(shù)百萬美元的損失，包括監(jiān)管機(jī)構(gòu)處罰,、收入下降和品牌價(jià)值受損等,。

高級(jí)執(zhí)行能力
      BIG-IP ASM可保護(hù)任何參數(shù)免遭客戶端的篡改，并且通過驗(yàn)證登錄參數(shù)和應(yīng)用流來防御強(qiáng)制瀏覽和邏輯缺陷攻擊,。BIG-IP ASM還可以防護(hù)OWASP十大Web應(yīng)用安全漏洞以及零日Web應(yīng)用攻擊,。

現(xiàn)成的保護(hù)能力
    BIG-IP ASM配備了一套預(yù)置應(yīng)用安全策略，可為Microsoft Outlook Web Access,、LotusDomino郵件服務(wù)器,、Oracle E-Business Financials和Microsoft Office SharePoint等常用的應(yīng)用提供現(xiàn)成的保護(hù)能力。此外,，BIG-IP ASM包含快速部署策略,，可立即為任何客戶應(yīng)用提供安全保障。這套經(jīng)過驗(yàn)證的策略無需要花費(fèi)任何時(shí)間進(jìn)行配置,，并且可以根據(jù)啟發(fā)式學(xué)習(xí)和特定的客戶應(yīng)用安全需求,，用作創(chuàng)建更先進(jìn)的策略的起點(diǎn)。

全面的應(yīng)用安全與加速
       BIG-IP ASM與BIG-IP® WebAccelerator™可同時(shí)在BIG-IP®本地流量管理器™設(shè)備上運(yùn)行,，因此您可以確保應(yīng)用的安全,，同時(shí)提高應(yīng)用性能。這個(gè)高效的多解決方案平臺(tái)在不降低性能的情況下增加安全性,。您可以立即過濾攻擊,，并對(duì)Web應(yīng)用進(jìn)行加速，從而改善用戶體驗(yàn),。由于不需要向網(wǎng)絡(luò)中增添新的設(shè)備,，您可以獲得一體化的解決方案，從而實(shí)現(xiàn)最高的成本效益,。

Web scraping防護(hù)
       BIG-IP ASM可保護(hù)您的網(wǎng)站免遭Web Scraping攻擊(復(fù)制并重復(fù)利用寶貴的知識(shí)產(chǎn)權(quán)和信息),，從而保護(hù)您的品牌。通過辨別使用瀏覽器的是人還是僵尸程序,，BIG-IP ASM可防止通過自動(dòng)請(qǐng)求獲得數(shù)據(jù),。Web應(yīng)用策略可以識(shí)別請(qǐng)求量的增加，并通知BIG-IP ASM檢查這些是否為需要的請(qǐng)求,。以前曾發(fā)生過Web Scraping攻擊的已知IP地址可以列入黑名單,，以便對(duì)其進(jìn)行檢測(cè)和阻止。

Attack Expert系統(tǒng)
  隨著威脅數(shù)量的增加和和復(fù)雜程度日益提高,，集成的綜合Attack Expert系統(tǒng)提供了對(duì)攻擊的即時(shí)了解,，新策略的配置和攻擊的報(bào)告能力，以立即通知管理員。攻擊專家系統(tǒng)將網(wǎng)絡(luò)和應(yīng)用團(tuán)隊(duì)結(jié)合在一起,，使管理員能夠隨時(shí)了解應(yīng)用安全性,。

攻擊類型詳細(xì)信息
  攻擊詳細(xì)信息提供了對(duì)每種違規(guī)行為的解釋，包括對(duì)BIG-IP ASM執(zhí)行的確切檢查的詳細(xì)說明,。

分級(jí)
  分級(jí)功能使更新的策略透明地在實(shí)際環(huán)境中進(jìn)行測(cè)試,，而不會(huì)降低當(dāng)前的保護(hù)等級(jí)。BIG-IP ASM可使您輕松地采用攻擊簽名,、文件類型、URL和其它參數(shù)對(duì)策略進(jìn)行分級(jí),，并且在執(zhí)行策略之前輕松地測(cè)試是否需要更改,。策略可以重新設(shè)計(jì)和重新測(cè)試，直到您滿意為止,，并且策略可隨時(shí)用于實(shí)際實(shí)施,。

優(yōu)異的報(bào)告能力
  所有報(bào)告都基于GUI，并提供了通過簡(jiǎn)單的鼠標(biāo)點(diǎn)擊便可使用的向下鉆取選項(xiàng),。地理位置報(bào)告可讓您了解威脅發(fā)起的國(guó)家,，另外還包括攻擊類型、違反的標(biāo)準(zhǔn),、URL,、IP地址、嚴(yán)重程度等,。您還可以預(yù)定時(shí)間將報(bào)告自動(dòng)發(fā)送到指定的電子郵件地址,，以提供最新的報(bào)告。

易讀取的策略(遠(yuǎn)程審計(jì))
    BIG-IP ASM允許將策略導(dǎo)出,，供場(chǎng)外審計(jì)人員使用,，從而使得安全法規(guī)遵從更容易實(shí)現(xiàn)，并且節(jié)約IT人員的寶貴時(shí)間,。遠(yuǎn)程工作的審計(jì)人員可以查看,、選擇、審查并測(cè)試策略,，而不必浪費(fèi)寶貴的時(shí)間,，也無需Web應(yīng)用安全管理器的支持。

iRules集成
  您可以設(shè)計(jì)定制的iRules,，以應(yīng)對(duì)BIG-IP ASM事件,。例如，在檢測(cè)到Web抓取僵尸程序時(shí),，頁面阻止策略可用于防止多個(gè)網(wǎng)站使用顯示定制阻止頁面的iRules (針對(duì)特定Web域),。許多BIG-ASM事件都可以根據(jù)您的獨(dú)特環(huán)境而定制。

集成的XML防火墻
      BIG-IP ASM提供了特定應(yīng)用的XML過濾和驗(yàn)證功能，保證Web應(yīng)用的XML輸入的結(jié)構(gòu)正確,。它提供了模式驗(yàn)證,、常見攻擊防御和XML解析器服務(wù)拒絕預(yù)防。

DataGuard和Cloaking
       BIG-IP ASM通過分離數(shù)據(jù)和隱藏信息而預(yù)防敏感數(shù)據(jù)的泄露(例如信用卡號(hào)碼,、社會(huì)安全號(hào)碼等),。此外，BIG-IP ASM隱藏錯(cuò)誤頁面和應(yīng)用錯(cuò)誤信息,，防止黑客發(fā)現(xiàn)底層架構(gòu)并發(fā)起有針對(duì)性的攻擊,。

利用WhiteHat Sentinel實(shí)現(xiàn)漏洞評(píng)估
  與WhiteHat Sentinel Security的集成提供了一種獨(dú)特的漏洞評(píng)估服務(wù)，該服務(wù)將自動(dòng)化工具與專業(yè)的高技能應(yīng)用安全專家聯(lián)系在一起,。通過與BIG-IP ASM集成,，業(yè)界領(lǐng)先的WhiteHat Sentinel服務(wù)可以掃描Web應(yīng)用，并創(chuàng)建專門處理應(yīng)用中發(fā)現(xiàn)的漏洞的BIG-IP ASM規(guī)則,。這樣可以通過接近即時(shí)的漏洞控制響應(yīng)而進(jìn)行經(jīng)過驗(yàn)證并且可行的漏洞評(píng)估,，從而在開發(fā)人員糾正漏洞代碼時(shí)保護(hù)應(yīng)用的安全。

攻擊簽名的實(shí)時(shí)更新
  為了保證最新的防護(hù)能力,，新攻擊的新簽名需要經(jīng)常更新,。BIG-IP ASM每天查詢F5簽名服務(wù)，并自動(dòng)下載和應(yīng)用新的簽名,。

SMTP和FTP安全
      BIG-IP ASM使FTP服務(wù)器組的管理輕松易行,。BIG-IP ASM驗(yàn)證FTP協(xié)議，控制暴力攻擊,，而且也可以對(duì)允許的FTP命令進(jìn)行白名單控制,。此外，BIG-IP ASM可以執(zhí)行命令長(zhǎng)度限制和主動(dòng)/被動(dòng)連接,。對(duì)于SMTP,，BIG-IP ASM提供了額外的全面安全檢查。它還支持灰名單,，目的是預(yù)防垃圾郵件,，執(zhí)行SMTP協(xié)議，將危險(xiǎn)SMTP命令加入黑名單,，并且控制目錄獲取攻擊,。BIG-IP ASM的速率限制能力有助于應(yīng)對(duì)DoS攻擊。

實(shí)時(shí)流量策略構(gòu)建器
       BIG-IP ASM的核心是動(dòng)態(tài)策略構(gòu)建器引擎,，它負(fù)責(zé)自動(dòng)的自我學(xué)習(xí)并創(chuàng)建安全策略,。它圍繞新發(fā)現(xiàn)的漏洞自動(dòng)構(gòu)建和管理安全策略，部署快速,、敏捷的業(yè)務(wù)流程,，而無需手工干預(yù),。當(dāng)流量通過BIGIPASM傳輸時(shí)，策略構(gòu)建器解析請(qǐng)求和響應(yīng),，提供獨(dú)特的能力檢驗(yàn)完整的客戶端和應(yīng)用流量的雙向流程—包括數(shù)據(jù)和協(xié)議,。通過利用先進(jìn)的統(tǒng)計(jì)和啟發(fā)式引擎，策略構(gòu)建器可以過濾掉攻擊和異常流量,。策略構(gòu)建器也可以在被告知站點(diǎn)更新的模式下運(yùn)行,。通過解析響應(yīng)和請(qǐng)求，它可以探測(cè)站點(diǎn)的變化,，并且相應(yīng)地自動(dòng)更新策略,，而無需用戶干預(yù)。
1.3 BIG-IP ASM架構(gòu)
        BIG-IP ASM運(yùn)行于F5獨(dú)特,、專用的TMOS®架構(gòu)上,。TMOS是一個(gè)智能的、模塊化,、高性能平臺(tái)，可增強(qiáng)BIG-IP ASM的每項(xiàng)功能,。TMOS提供了洞察力,、靈活性和控制力，旨在幫您智能地保護(hù)您的Web應(yīng)用,。

TMOS提供了:
• SSL卸載
• 緩存
• 壓縮
• 即時(shí)處理任何應(yīng)用內(nèi)容的能力(無論是入站還是出站流量)
• TCP/IP優(yōu)化
• 先進(jìn)的速率整形和服務(wù)質(zhì)量
• IPv6網(wǎng)關(guān)™
• IP/端口過濾
• 通過內(nèi)置交換機(jī)支持VLAN
• 資源配置
• 路由域(虛擬化)
• 遠(yuǎn)程認(rèn)證
• 安全
• 顯示定制的合法通知和安全登錄橫幅
• 執(zhí)行管理會(huì)話超時(shí)
• 安全地登出BIG-IP系統(tǒng)
• 遵循增強(qiáng)的審計(jì)和日志記錄要求
• 全面隔離和保護(hù)SSL證書不被讀取或修改
BIG-IP-ASM防護(hù)多種應(yīng)用攻擊,，包括:
• 第7層DoS和DDoS
• 暴力攻擊
• 跨站腳本(XSS)
• SQL注入
• 參數(shù)篡改
• 敏感數(shù)據(jù)泄露
• 會(huì)話劫持
• 緩存溢流
• Cookie篡改
• 多種編碼攻擊
• 斷開的接入控制
• 強(qiáng)制瀏覽
• 隱藏字段操作
• 請(qǐng)求走私
• XML炸彈/DoS
額外的網(wǎng)絡(luò)和應(yīng)用安全服務(wù)包括:
• PCI遵從報(bào)告
• 易讀取的策略(遠(yuǎn)程審計(jì))
• Attack Expert系統(tǒng)
• 攻擊明細(xì)
• 分級(jí)
• 報(bào)告
• Web Scraping預(yù)防
• IP處罰執(zhí)行
• iRules與Fast Cache集成
• 報(bào)告調(diào)度
• SSL加速器
• 帶狀態(tài)的3-4層防火墻
• 透明和非透明的反向代理
• 密鑰管理和故障切換處理
• SSL終止和重新加密到Web服務(wù)器
• VLAN分段
• DoS保護(hù)
• 客戶端證書支持
• 通過LDAP/RADIUS進(jìn)行客戶機(jī)驗(yàn)證
• 專用管理端口
• URI監(jiān)控
• 采用Splunk提供集中的高級(jí)報(bào)告
• 采用Secerno的DataWall保證數(shù)據(jù)庫安全
預(yù)置的應(yīng)用安全策略包括:
• Lotus Domino 6.5
• OWA Exchange 2003
• OWA Exchange 2007
• Oracle 10g Portal
• Oracle Application 11i
• PeopleSoft Portal 9
• 快速部署安全策略
• SAP NetWeaver 7
• SharePoint 2003
• SharePoint 2007
2. IPS與WEB應(yīng)用防護(hù)設(shè)備的區(qū)別
   IPS（入侵防護(hù)系統(tǒng)）和WAF（Web應(yīng)用防護(hù)系統(tǒng)）兩款產(chǎn)品有不同的使用場(chǎng)景，隨著Web應(yīng)用發(fā)展帶來的復(fù)雜度,，對(duì)安全性要求也日趨增高,，Waf的出現(xiàn)是順應(yīng)了市場(chǎng)和技術(shù)的需要
　　Web應(yīng)用防護(hù)無疑是一個(gè)熱門話題。由于技術(shù)的發(fā)展成熟和人們對(duì)便利性的期望越來越高,，Web應(yīng)用成為主流的業(yè)務(wù)系統(tǒng)載體,。在Web上“安家”的關(guān)鍵業(yè)務(wù)系統(tǒng)中蘊(yùn)藏的數(shù)據(jù)價(jià)值引起攻擊者的青睞，網(wǎng)上流傳的Web漏洞挖掘和攻擊工具讓攻擊的門檻降低,，也使得很多攻擊帶有盲目和隨機(jī)性,。比如利用GoogleHacking原理的批量查找具有已知漏洞的應(yīng)用程序，還有SQL批量注入和掛馬等,。但對(duì)于重要的Web應(yīng)用（比如運(yùn)營(yíng)商或金融）,，始終有受利益驅(qū)動(dòng)的黑客進(jìn)行持續(xù)的跟蹤。
　　如果說傳統(tǒng)的“大而全”安全防護(hù)產(chǎn)品能抵御大多數(shù)由工具產(chǎn)生的攻擊行為,，那么對(duì)于有針對(duì)性的攻擊行為則力不從心,。而WAF正是應(yīng)需求而生的一款高端專業(yè)安全產(chǎn)品，這也是市場(chǎng)需求細(xì)化的必然趨勢(shì),。但由于其部署和功能方面與IPS有類似,，有人提出疑問,，為什么不能用IPS，或者說WAF與IPS有什么異同,？誰更適合保護(hù)Web服務(wù)器,？
　　這些疑問其實(shí)是有道理的，差異化的產(chǎn)生在于高端需求是不同的,，從而需要細(xì)化功能貼合具體需求和符合應(yīng)用現(xiàn)狀的產(chǎn)品,，這也是用戶需求是隨著業(yè)務(wù)自身的發(fā)展所決定的。
　　保鏢和保安
　　為了更好的理解兩款產(chǎn)品差異性,，我們先用這個(gè)保鏢（WAF）和保安（IPS）比喻來描述,。
　　大樓保安需要對(duì)所有進(jìn)出大樓人員進(jìn)行檢查，一旦發(fā)現(xiàn)可疑人員則禁止他入內(nèi),，但如果混進(jìn)“貌似忠良”的壞人去撬保險(xiǎn)柜等破壞行為,，大樓保安是無能為力的。
　　私人保鏢則是指高級(jí)別,、更“貼身”的保護(hù),。他通常只保護(hù)特定的人員，所以事先需要理解被保護(hù)人的身份,、習(xí)慣,、喜好、作息,、弱點(diǎn)等,，因?yàn)楸槐Ｗo(hù)人的工作是需要去面對(duì)不同的人，去不同的場(chǎng)合,，保鏢的職責(zé)不能因?yàn)槲ｋU(xiǎn)就阻止,、改變他的行為，只能去預(yù)見可能的風(fēng)險(xiǎn),，然后量身定做合適的保護(hù)方案,。
　　這兩種角色的區(qū)別在于保安保護(hù)的是整個(gè)大樓，他不需要也無法知道誰是最需要保護(hù)的人,，保鏢則是明確了被保護(hù)對(duì)象名單,，需要深刻理解被保護(hù)人的個(gè)性特點(diǎn)。
　　通過上面的比喻,，大家應(yīng)該明白兩者的之所以會(huì)感覺相似是因?yàn)槁氊?zé)都是去保護(hù),，但差異在于職能定位的不同。從技術(shù)原理上則會(huì)根據(jù)定位來實(shí)現(xiàn),。下面通過幾個(gè)層面來分析WAF和IPS的異同,。
　　事件的時(shí)間軸
　　對(duì)于安全事件的發(fā)生，有三個(gè)時(shí)間點(diǎn)：事前,、事中,、事后,。傳統(tǒng)的IPS通常只對(duì)事中有效，也就是檢查和防護(hù)攻擊事件,，其他兩個(gè)時(shí)間點(diǎn)是WAF獨(dú)有的,。
　　事前是指能在事件發(fā)生之前通過主動(dòng)掃描檢測(cè)Web服務(wù)器來發(fā)現(xiàn)漏洞，通過修復(fù)Web服務(wù)器漏洞或在前端的防護(hù)設(shè)備上添加防護(hù)規(guī)則等積極主動(dòng)手段來預(yù)防事件發(fā)生,。事后則是指即使Web服務(wù)器被攻擊了,，也必須有網(wǎng)頁防篡改功能，讓攻擊者不能破壞網(wǎng)站數(shù)據(jù),。
　　為什么不能具備事中的100%防護(hù)能力,？其實(shí)從以下幾個(gè)方面就知道對(duì)于事中只能做到相對(duì)最佳防護(hù)而不能絕對(duì)，因?yàn)椋?/span>
　　1. 軟件先天是有缺陷的,，包括應(yīng)用到第三方的組件和函數(shù)庫無法控制其安全性,；
　　2. 應(yīng)用程序在更新，業(yè)務(wù)是持續(xù)發(fā)展的,、動(dòng)態(tài)的,，如果不持續(xù)監(jiān)控和調(diào)整安全策略，也是會(huì)有疏漏的,；
　　3. 攻擊者永遠(yuǎn)在暗處,，可以對(duì)業(yè)務(wù)系統(tǒng)跟蹤研究，查找漏洞和防護(hù)缺陷,，用各種變形繁雜的手法來探測(cè),，并用于攻擊,；
　　4. 任何防護(hù)設(shè)備都難以100%做到?jīng)]有任何缺陷,，無論是各種算法還是規(guī)則，都是把攻擊影響降低到最小化,。
　　所以需要用一個(gè)可閉環(huán)又可循環(huán)的方式去降低潛在的威脅,，對(duì)于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補(bǔ),，形成環(huán)環(huán)相扣的動(dòng)態(tài)安全防護(hù),。事前是用掃描方式主動(dòng)檢查網(wǎng)站并把結(jié)果形成新的防護(hù)規(guī)則增加到事中的防護(hù)策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此,，不能進(jìn)一步修改和損壞網(wǎng)站文件,，對(duì)于要信譽(yù)高和完整性的用戶來說，這是尤為重要的環(huán)節(jié),?！　?/span>
　　如果僅僅是對(duì)于事件的時(shí)間軸有區(qū)別，那么還是可以采用其他產(chǎn)品來進(jìn)行輔助,，但關(guān)鍵的是事中的防護(hù)也是有深度的差異,，那么下面我們來談?wù)剬?duì)于事中的差異,。
　　縱深度差異
　　事中，也就是實(shí)時(shí)防護(hù),，兩者的區(qū)別在于一個(gè)是縱橫度,，一個(gè)是深度。IPS凸顯的優(yōu)勢(shì)在于縱橫度,，也就是對(duì)于網(wǎng)絡(luò)中的所有流量進(jìn)行監(jiān)管,，它面對(duì)的是海量數(shù)據(jù)，處理TCP/IP模型中網(wǎng)絡(luò)流量從物理層到應(yīng)用層是逐層遞交,，IPS主要定位在分析傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù),，而再往上則是復(fù)雜的各種應(yīng)用層協(xié)議報(bào)文，WAF則僅提供對(duì)Web應(yīng)用流量全部層面的監(jiān)管,。
　　監(jiān)管層面不同,，如果面對(duì)同樣的攻擊，比如SQL注入,，它們都是可以防護(hù)的,，但防護(hù)的原理有區(qū)別，IPS基本是依靠靜態(tài)的簽名進(jìn)行識(shí)別,，也就是攻擊特征,，這只是一種被動(dòng)安全模型。如下是一個(gè)Snort的告警規(guī)則：
　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS （msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/（%27）|（‘）|（--）|（%23）|（#）/i”; classtype:Web-application-attack; sid:9099; rev:5;
　　這里主要是檢查在SQL注入中提交的元字符,，包括單引號(hào)（ ' ）和雙橫（ -- ）,，從而避免注入'1 or 1=1—之類的攻擊發(fā)生，但同時(shí)又要考慮這些元字符轉(zhuǎn)換成Hex值來逃脫過濾檢查,，于是又在規(guī)則里增加了其對(duì)應(yīng)的十六進(jìn)制編碼后的字符串,。
　　當(dāng)然，要從簽名特征來識(shí)別攻擊要考慮的東西還很多,，不僅元字符還有SQL關(guān)鍵字,，包括：select insert update等，以及這些關(guān)鍵字的大小寫變形和拼接,，利用注釋逃脫過濾,，如下所示例：
　　使用大小寫混雜的字符：SeLecTfRom“
　　把空格符替換為TAB符或回車符：select[TAB]from
　　關(guān)鍵詞之間使用多個(gè)空格：select from
　　字符串的數(shù)值編碼：0x414141414141 或 0x41004100410041004100
　　插入被數(shù)據(jù)庫忽略的注釋串：sel/**/ectfr/**/om select/**/ from
　　使用數(shù)據(jù)庫支持的一些字符串轉(zhuǎn)換功能：char（65）或chr（65）
　　使用數(shù)據(jù)支持的字符串拼接操作：'sel'+'ect '+'fr'+'om’”、“‘sel'||'ect '||'fr'||'om'
　　可以設(shè)想一下,，如果要檢測(cè)以上的變形字符后的攻擊則需要增加相應(yīng)的簽名特征,，但更重要的是要充分考慮轉(zhuǎn)換編碼的種類，上面示例的snort的規(guī)則把可疑字符以及其轉(zhuǎn)換后的Hex值放入同一條規(guī)則里檢查,，如果對(duì)于變形后繁多的攻擊種類,，這是滯后的并且會(huì)造成簽名臃腫。
　　對(duì)于比較粗淺的攻擊方式兩者都能防護(hù),，但市面上大多數(shù)IPS是無法對(duì)報(bào)文編碼做多重轉(zhuǎn)換的,，所以這將導(dǎo)致攻擊者只需構(gòu)建諸如轉(zhuǎn)換編碼,、拼接攻擊語句、大小寫變換等數(shù)據(jù)包就可繞過輸入檢查而直接提交給應(yīng)用程序,。
　　而這恰恰又是WAF的優(yōu)勢(shì),，能對(duì)不同的編碼方式做強(qiáng)制多重轉(zhuǎn)換還原成攻擊明文，把變形后的字符組合后在分析,。那為什么IPS不能做到這個(gè)程度,？同樣還有對(duì)于HTTPS的加密和解密
　　產(chǎn)品架構(gòu)
　　大家知道IPS和WAF通常是串聯(lián)部署在Web服務(wù)器前端,這兩者串聯(lián)部署在Web服務(wù)器前端時(shí)，市面上的大多數(shù)IPS均采用橋模式,，而WAF是采用反向代理模式,，IPS需要處理網(wǎng)絡(luò)中所有的流量，而WAF僅處理與Web應(yīng)用相關(guān)的協(xié)議,，其他的給予轉(zhuǎn)發(fā),，如下圖：
　　橋模式和反向代理模式的差異在于：橋模式是基于網(wǎng)絡(luò)層的包轉(zhuǎn)發(fā)，基本都沒有協(xié)議棧,，或只能簡(jiǎn)單的模擬部分協(xié)議棧,，分析網(wǎng)絡(luò)報(bào)文流量是基于單包的方式，所以要處理分片報(bào)文,、數(shù)據(jù)流重組,、亂序報(bào)文、報(bào)文重傳,、丟包都不具備優(yōu)勢(shì),。同時(shí)網(wǎng)絡(luò)流量中包括的協(xié)議種類是非常多的，每種應(yīng)用層協(xié)議都有自身獨(dú)特的協(xié)議特征和格式要求,，比如Ftp,、SSH、Telnet,、SMTP等,，無法把各種應(yīng)用流量放到應(yīng)用層協(xié)議棧來處理,。
　　WAF系統(tǒng)內(nèi)嵌的協(xié)議棧是經(jīng)過修改和優(yōu)化的,，能完全支持Http應(yīng)用協(xié)議的處理，這意味著必須遵循RFC標(biāo)準(zhǔn)（Internet Requests For Comments）來處理Http報(bào)文,，包括如下主要RFC：
　　l RFC 2616 HTTP協(xié)議語法的定義
　　l RFC 2396 URL語法的定義
　　l RFC 2109 Cookie是怎樣工作的
　　l RFC 1867 HTTP如何POST,，以及POST的格式
　　RFC中對(duì)Http的request行長(zhǎng)度、URL長(zhǎng)度,、協(xié)議名稱長(zhǎng)度,、頭部值長(zhǎng)度等都是有嚴(yán)格要求的，以及傳輸順序和應(yīng)用格式,，比如Html參數(shù)的要求,、Cookie的版本和格式,、文件上傳的編碼 multipart/form-data encoding等，這些應(yīng)用層內(nèi)容只能在具有完整應(yīng)用層協(xié)議棧的前提下才可正確識(shí)別和控制,，對(duì)于不完整的丟包,，重傳包以及偽造的畸形包都會(huì)通過協(xié)議校驗(yàn)機(jī)制來處理。
　　上一節(jié)提到的WAF對(duì)Https的加解密和多重編碼方式的解碼正是由于報(bào)文必須經(jīng)過應(yīng)用層協(xié)議棧處理,。反之,，IPS為什么做不到？是由于其自身的橋模式架構(gòu),，把Http會(huì)話”打碎“成多個(gè)數(shù)據(jù)包在網(wǎng)絡(luò)層分析,，而不能完整地從應(yīng)用層角度來處理和組合多個(gè)報(bào)文，并且應(yīng)用層協(xié)議繁多,，全部去支持也是不現(xiàn)實(shí)的,，產(chǎn)品的定位并不需要這樣。下一節(jié)的學(xué)習(xí)模式更是兩者的截然不同的防護(hù)機(jī)制,，而這一機(jī)制也是有賴于WAF的產(chǎn)品架構(gòu),。
　　基于學(xué)習(xí)的主動(dòng)模式
　　在前面談到IPS的安全模型是應(yīng)用了靜態(tài)簽名的被動(dòng)模式，那么反之就是主動(dòng)模式,。WAF的防御模型是兩者都支持的,，所謂主動(dòng)模式在于WAF是一個(gè)有效驗(yàn)證輸入的設(shè)備，所有數(shù)據(jù)流都被校驗(yàn)后再轉(zhuǎn)發(fā)給服務(wù)器,，能增加應(yīng)用層邏輯組合的規(guī)則,，更重要的是具備對(duì)Web應(yīng)用程序的主動(dòng)學(xué)習(xí)功能。
　　學(xué)習(xí)功能包括：
　　1. 監(jiān)控和學(xué)習(xí)進(jìn)出的Web流量,，學(xué)習(xí)鏈接參數(shù)類型和長(zhǎng)度,、form參數(shù)類型和長(zhǎng)度等；
　　2. 爬蟲功能,，爬蟲主動(dòng)去分析整個(gè)Web站點(diǎn),，并建立正常狀態(tài)模型；
　　3. 掃描功能,，主動(dòng)去掃描并根據(jù)結(jié)果生成防護(hù)規(guī)則,。
　　基于學(xué)習(xí)的主動(dòng)模式目的是為了建立一個(gè)安全防護(hù)模型，一旦行為有差異則可以發(fā)現(xiàn),，比如隱藏的表單,、限制型的Listbox值是否被篡改、輸入的參數(shù)類型不合法等,，這樣在面對(duì)多變的攻擊手法和未知的攻擊類型時(shí)能依靠安全防護(hù)模型動(dòng)態(tài)調(diào)整防護(hù)策略,。