Web应用防火墙在网上银行的应用.pdf

Web应用防火墙在网上银行的应用 温州银行 叶坚 随着互联网应用的普及，商业银行纷纷建立了各具 识到weh应用安全的重要性。但传统安全设备[防火墙、 特色的网上银行，使客户不受时空限制，足不出户便可 IPS)解决Web应用安全问题存在局限性．整改网站代 以通过互联网进行申请、查询、管理、转账等金融交易。 码则需要付出较高代价而较难实现。 但随着互联网黑色经济链的产生和新的攻击手段的出 二、传统安全设备的作用和缺陷 现，商业银行网上银行Web应用面临恶意代码、注入 攻击、拒绝服务等安全威胁，导致商业银行的主页被 在商业银行网上银行安全架构中，可以通过设置细 篡改、数据被窃取或丢失。能否及时发现并成功阻止 化防火墙安全策略实现安全区域之间的隔离，并在对外 网络黑客的入侵和攻击、保障Web应用系统的安全和 提供服务的互联网区域部署IDS或IPS等安全设备以进 正常运行成为商业银行网上银行业务安全和安全管理 一 步加强安全审计和防护，但一些银行现有的安全体系 的关键 。 忽略了一个重点，即应用层面的安全 。 1．传统防火墙在 Web应用防护中的作用及缺陷 一 、 Web应用威胁的现状 无论是硬件防火墙还是软件防火墙都工作在 OSI模 基于Web应用的攻击大致可以分为两类：一是利 型第三层或第四层上，通过分析和判断数据报文是否为 用Web应用服务器的漏洞实施攻击，如CGI源代码泄 正常的访问请求数据，实现网络边界的隔离和保护 ，达 露、缓存区溢出、目录遍历等；二是利用Web页面编 到访问控制功能。可以把它形象地比喻成安全警卫，主 码的安全漏洞进行攻击，如SQL注入、跨站脚本攻击等。 要职能是控制人员进出大 门。网上银行系统是典型的 这两类攻击都可导致网页被篡改、网页挂马、信息被窃 B／S结构，需对外开启 80或 443等应用系统相关的网 取等网站安全事件的发生。对网上银行来说，一旦Web 络端 口，如图1所示。由于防火墙功能定位的局限性， 应用受到攻击或者破坏，将影响到网上银行业务的正常 凡是通过80或443端 口进出的数据都可以畅通无阻， 运行。因此，如何防止Web站点受到攻击、提高网上 其在数据过滤过程中不需要解析Web应用程序语言如 银行站点的安全防护能力，已成为各商业银行关注的问 HTML及ASP等，也无需监视 HTTP／HTTPS会话。但 题之一。 是，目前备受关注的Web应用攻击却是被封装在正常 来 自Gartner的数据表明，当前网络上 75％的攻击 的HTTP或HTTPS流量中，所 以传统防火墙无法检测 是针对Web应用的。另据国家计算机网络应急技术处 到攻击的发生，更谈不上采取措施实行防御。 理协调中心的 《2009年中国互联网网络安全报告》显示， 2．入侵检测系统在 Web应用防护 中的作用及 2009年我国内地被篡改网站的数量为4．2万个 ，Web应 缺陷 用安全已成为当前首要的安全问题。各商业银行也已意 不管是 IDS、IPS还是 IDP，其设计 目标都是监测 62 中国金融电脑／2010．9 网络中的异常流量，需要依靠 自身的特征库来识别和阻 防护；通过关联分析技术能有效识别和阻断蠕虫变形病 断相应病毒攻击。可把它们比喻成监控摄像头，用于查 毒；通过协议异常检测技术识别和过滤不符合RFC标 看来来往往 、形形色色的人所做的事情，如果有触犯事 准的畸形包，确保对高风险级别Web攻击事件的识别。 先规定的动作，则通知相关人员进行处理。但由于Web 例如，Web应用防火墙通过定义 “dba—users”等特征字 应用攻击具有复杂化和多样化的特点，入侵