【51CTO.com獨家特稿】一、Web安全不僅僅是網際網路才需要 Web服務是指採用B/S架構、通過Http協議提供服務的統稱，這種結構也稱為Web架構，隨著Web2.0的發展，出現了資料與服務處理分離、服務與資料分散式等變化，其互動效能也大大增強，也有人叫B/S/D三層結構。網際網路能夠快速流行得益於Web部署上的簡單，開發上簡便，Web網頁的開發大軍迅速超過了以往任何計算機語言的愛好者，普及帶來了應用上繁榮。J2EE與.NET的殊途同歸，為Web流行掃清了廠家與標準的差異；眾望所歸，SOA選中Web2.0作為其實現的基本工具之一(使用最廣的)，Web架構從網際網路走進了企業內部網路，新業務系統的開發，越來越多的系統架構師選擇了Web架構，與熟悉它的人如此廣泛是分不開的。事實再一次證明了那個經典的理論：簡潔的最容易流行。 簡單與安全好象總有些“矛盾”，瀏覽器可以直接看到頁面的Html程式碼，早期的Web服務設計沒有過多的安全考慮，人性本善，技術人員總是相信人都是善良的！但隨著Web2.0的廣泛使用，Web服務不再只是資訊釋出，遊戲中的裝備交易、日常生活中網上購物、政府行政審批、企業資源管理…資訊價值的誘惑，人的貪婪開始顯現，不是所有的人都有Web設計者的“大同”思想，安全問題日顯突出了。 2008年網路安全事件統計最多是：SQL注入與“網頁掛馬(***)”。因為這是“殭屍”網路發展新“會員”的基本工具，而殭屍網路的經濟與政治“價值”，這裡就不用說了。SQL注入與“網頁掛馬”主要就是針對Web服務的，傳統的安全產品(UTM/IPS)都有些力不從心。 網際網路是個人思想展現的樂園，也是世界級的、虛擬的“另一個”社會，既然大家都是虛擬的、帶著面具的，要變成現實社會中的真實利益，還需要一些轉換才可以兌現，但SOA把Web架構帶入企業內部網路，這裡的網路世界是“真實的”，利益是可以直接兌現的，Web安全問題變得刻不容緩。 二、Web架構原理 要保護Web服務，先要了解Web系統架構，下圖是Web服務的一般性結構圖，適用於網際網路上的網站，也適用於企業內網上的Web應用架構：

圖

使用者使用通用的Web瀏覽器，通過接入網路(網站的接入則是網際網路)連線到Web伺服器上。使用者發出請求，伺服器根據請求的URL的地址連線，找到對應的網頁檔案，傳送給使用者，兩者對話的“官方語言”是Http。網頁檔案是用文字描述的，HTML/Xml格式，在使用者瀏覽器中有個直譯器，把這些文字描述的頁面恢復成圖文並茂、有聲有影的可視頁面。 通常情況下，使用者要訪問的頁面都存在Web伺服器的某個固定目錄下，是一些.html或.xml檔案，使用者通過頁面上的“超連線”(其實就是URL地址)可以在網站頁面之間“跳躍”，這就是靜態的網頁。後來人們覺得這種方式只能單向地給使用者展示資訊，資訊釋出還可以，但讓使用者做一些比如身份認證、投票選舉之類的事情就比較麻煩，由此產生了動態網頁的概念；所謂動態就是利用flash、Php、asp、Java等技術在網頁中嵌入一些可執行的“小程式”，使用者瀏覽器在解釋頁面時，看到這些小程式就啟動執行它。小程式的用法很靈活，可以展示一段動畫(如Flash)，也可以在你的PC上生成一個檔案，或者接收你輸入的一段資訊，這樣就可以根據你的“想法”，對頁面進行定製處理，讓你每次來到時，看到的是你上次設計好的特有風格，“貴賓的感覺”是每個人都喜歡的，更何況虛擬的網路世界中，你不認識的人還對你如此“敬仰”，服務得如此體貼… “小程式”的使用讓Web服務模式有了“雙向交流”的能力，Web服務模式也可以象傳統軟體一樣進行各種事務處理，如編輯檔案、利息計算、提交表格等，Web架構的適用面大大擴充套件，Web2.0可以成為SOA架構的實現技術之一，這個“小程式”是功不可沒的。 這些“小程式”可以嵌入在頁面中，也可以以檔案的形式單獨存放在Web伺服器的目錄裡，如.asp、.php、jsp檔案等，並且可以在開發時指定是在使用者端執行，還是在伺服器端執行；使用者不再能看到這些小程式的原始碼，服務的安全性也大大提高。這樣功能性的小程式越來越多，形成常用的工具包，單獨管理，Web業務開發時，直接使用就可以了，這就是中介軟體伺服器，它實際上是Web伺服器處理能力的擴充套件。 靜態網頁與“小程式”都是事前設計好的，一般不經常改動，但網站上很多內容需要經常的更新，如新聞、部落格文章、互動遊戲等，這些變動的資料放在靜態的程式中顯然不適合，傳統的辦法是資料與程式分離，採用專業的資料庫。Web開發者在Web伺服器後邊增加了一個數據庫伺服器，這些經常變化的資料存進資料庫，可以隨時更新。當用戶請求頁面時，“小程式”根據使用者要求的頁面，涉及到動態資料的地方，利用SQL資料庫語言，從資料中讀取最新的資料，生成“完整”頁面，最後送給使用者，如股市行情曲線，就是由一個不斷重新整理的小程式控制。 除了應用資料需要變化，使用者的一些狀態資訊、屬性資訊也需要臨時記錄(因為每個使用者都是不同的)，而Web伺服器本來是不記錄這些資訊的，只管答覆你的要求，“人一走茶就涼了”。後來Web技術為了“友好”互動，需要“記住”使用者的訪問資訊，建立了一些“新”的通訊機制： ◆Cookie：把一些使用者的引數，如帳戶名、口令等資訊存放在客戶端的硬碟臨時檔案中，使用者再次訪問這個網站時，引數也一同送給伺服器，伺服器就知道你就是上次來的那個“傢伙”了 ◆Session：把使用者的一些引數資訊存在伺服器的記憶體中，或寫在伺服器的硬碟檔案中，使用者是不可見的，這樣使用者用不同電腦訪問時的貴賓待遇就同樣了，Web伺服器總能記住你的“樣子”，一般情況下，Cookie與Session可以結合使用 Cookie在使用者端，一般採用加密方式存放就可以了；Session在伺服器端，資訊集中，被篡改問題將很嚴重，所以一般放在記憶體裡管理，儘量不存放在硬碟上。 到此，我們清楚了，Web伺服器上有兩種服務用資料要保證“清白”，一是頁面檔案(.html、.xml等)，這裡包括動態程式檔案(.php、.asp、.jsp等)，一般存在Web伺服器的特定目錄中，或是中間間伺服器上；二是後臺的資料庫，如Oracle、SQL Server等，其中存放的資料的動態網頁生成時需要的，也有業務管理資料、經營資料。 還有一個問題應該提一下，就是瀏覽器給使用者電腦帶來的安全問題，因為Web可以對本地的程序、硬碟操作，可以把***、病毒放到你的電腦上來，Web架構中使用“沙漏”技術提供安全保護，就是限制頁面中“小程式”的本地讀寫許可權，但限制畢竟不能不讓其“工作”，所以多數情況下在寫入時給出提示，讓你自己選擇，大家經常看見有程序在安裝程式進入你的電腦，但絕大多數人分不清是否應該，要麼一概不許，造成很多事情做不了(很多下載與遊戲就只能看著)，要麼“大膽”接受，大門敞開，聽天由命。這裡主要分析伺服器端的安全，客戶端的安全再行考慮。
三、Web架構中的安全點分析 從Web架構上可以看出，Web伺服器是必經的大門，進了大門，還有很多伺服器需要保護，如中介軟體伺服器、資料庫伺服器等。我們這裡不考慮網路內部人員的***，只考慮從接入網(或網際網路)來的***，***者***的通道有下面幾個： 1、伺服器系統漏洞：Web伺服器畢竟的一個通用的伺服器，無論是Windows，還是Linux/Unix，都不可少的帶有系統自身的漏洞，通過這些漏洞***，可以獲得伺服器的高階許可權，當然對伺服器上執行的Web服務就可以隨意控制了。除了OS的漏洞，還有Web服務軟體的漏洞，IIS也好，Tomcat也好，同樣需要不斷地打補丁。 2、Web服務應用漏洞：如果說系統級的軟體漏洞被關注的人太多了，那麼Web應用軟體的漏洞數量上就更多了，因為Web服務開發簡單，開發的團隊參差不齊，並非都是“專業”的高手，程式設計不規範、安全意識不強、因為開發時間緊張而簡化測試等，應用程式的漏洞也同樣可以讓***者來去自如。最為常見的SQL注入，就是因為大多應用程式設計過程中產生的漏洞。 3、密碼暴力破解：漏洞會招來***容易理解，但畢竟需要高超的技術水平，破解密碼卻十分有效，而且簡單易行。一般來說帳號資訊容易獲得，剩下的就是猜測密碼了，由於使用複雜密碼是件麻煩而又“討厭”的事，設定容易記憶的密碼，是絕大多數使用者的選擇。大多Web服務是靠“帳號+密碼”的方式管理使用者帳戶，一旦破解密碼，尤其是遠端管理者的密碼，破壞程度難以想象，並且其***難度比通過漏洞方式要簡單的多，而且不容易被發覺。在知名的網路經濟案例中，通過密碼***的佔了接近一半的比例。 ***者進入Web系統，其動作行為目的性是十分明確的： ◆讓網站癱瘓：網站癱瘓是讓服務中斷。使用DDOS***都可以讓網站癱瘓，但對Web服務內部沒有損害，而網路***，可以刪除檔案、停止程序，讓Web伺服器徹底無法恢復。一般來說，這種做法是索要金錢或惡意競爭的要挾，也可能是顯示他的技術高超，拿你的網站被***作為宣傳他的工具。 ◆篡改網頁：修改網站的頁面顯示，是相對比較容易的，也是公眾容易知道的***效果，對於***者來說，沒有什麼“實惠”好處，主要是炫耀自己，當然對於政府等網站，形象問題是很嚴重的。 ◆掛***：這種***對網站不產生產生直接破壞，而是對訪問網站的使用者進行***，掛***的最大“實惠”是收集殭屍網路的“肉雞”，一個知名網站的首頁傳播***的速度是爆炸式的。掛***容易被網站管理者發覺，XSS(跨站***)是新的傾向。 ◆篡改資料：這是最危險的***者，篡改網站資料庫，或者是動態頁面的控制程式，表面上沒有什麼變化，很不容易發覺，是最常見的經濟利益***。資料篡改的危害是難以估量的，比如：購物網站可以修改你帳號金額或交易記錄，政府審批網站可以修改行政審批結果，企業ERP可以修改銷售定單或成交價格… 有人說採用加密協議可以防止***，如https協議，這種說法是不準確的。首先Web服務是面向大眾的，不可以完全使用加密方式，在企業內部的Web服務上可以採用，但大家都是“內部人員”，加密方式是共知的；其次，加密可以防止別人“竊聽”，但***者可以冒充正規使用者，一樣可以***；再者，“中間人劫持”同樣可以竊聽加密的通訊。
四、Web安全產品分析 圍繞Web服務的安全，產品可以說五花八門，最基本的是接入網入口的UTM閘道器，其中IPS功能與防DDOS功能是Web伺服器系統級***的直接防護，但UTM是通用的邊界安全閘道器，非“專業的”Web***防護，一般作為安全的入門級防護，這裡不細說。這裡主要分析專為Web服務開發的安全產品，大概有下面幾方面的產品： 1、網頁防篡改產品： 防護未知***是難的，但看好我自己的“家底”是相對容易的。因此，人們最先想到的就是網頁防篡改技術，保持自己的“純潔”，起碼對社會不會造成大危害。網頁被篡改產品出現在Web早期，幾經風雨，各廠家技術逐漸統一。網頁防篡改技術的基本原理：是對Web伺服器上的頁面檔案(目錄下檔案)進行監控，發現有更改及時恢復。所以該產品實際是一個“修補”的工具，不能阻止***者的篡改，就來個守株待兔，專人看守，減少損失是目標，防篡改屬於典型的被動防護技術。 網頁防篡改產品的部署：建立一臺單獨的管理伺服器(Web伺服器數量少可以省略)，然後在每臺Web伺服器上安裝一個Agent程式，負責該伺服器的“網頁檔案看護”，管理伺服器是管理這些Agent看護策略的。 我們先分析一下“頁面檔案看護”技術的變遷：

圖

a)第一代技術，把Web伺服器主目錄下的檔案做一個備份，用一個定時迴圈程序，把備份的檔案與服務使用的檔案逐個進行比較，不一樣的就用備份去覆蓋。網站更新發布時，則同時更新主目錄與備份。這種方法在網站大的情況下，網頁數量巨大，掃描一遍的時間太長，並且對Web伺服器效能也是擠佔。 b)第二代技術，採用了Hash演算法，對主目錄下的每個檔案做Hash，生成該檔案的“指紋”，定時迴圈程序直接計算服務用檔案的Hash指紋，然後進行指紋核對，指紋一般比較小，比較方便；指紋具有不可逆的特點，不怕仿製。 c)第三代技術，既然網站上頁面太多，三級以下頁面的訪問量，一般使用呈指數級下降，沒人訪問當然也不會被篡改，在這些頁面重複掃描是不划算的。改變一下思路：對檔案讀取應該沒有危險，危險的是對檔案的改寫操作。若只對檔案被改變時才做檢查，就可以大大降低對伺服器資源的佔用；具體做法是：開啟一個看守程序，對Web伺服器的主目錄檔案刪改操作進行監控，發現有此操作，判斷是否有合法身份，是否為授權的維護操作，否則阻斷其執行，檔案不被改寫，也就起到了網頁防篡改的目的。這個技術也稱為事件觸發防篡改。 這種技術需要考驗對伺服器作業系統的熟悉程度，但***也是高手，你的看護程序是使用者級的，***可以獲得高階許可權，繞過你的“訊息鉤子”，監控就成了擺設。 d)第四代技術，既然是比誰的程序許可權高，讓作業系統幹這個活兒，應該是最合適的，***再牛也不可能越過作業系統自己“幹活”。因此，在Windows系統中，提供系統級的目錄檔案修改看護程序(系統呼叫)，防篡改產品直接呼叫就可以了，或者利用作業系統自身的檔案安全保護功能，對主目錄檔案進行鎖定(Windows對自己系統的重要檔案也採取了類似的防篡改保護，避免病毒的侵擾)，只允許網站釋出系統(網頁升級更新)才可以修改檔案，其他系統程序也不允許刪改。 這個方法應該說比較徹底，但可以看出，以後防篡改技術將成為作業系統的“專利”了，安全廠家實在是不願意看到的。好在目前Linux還沒有支援。 網頁防篡改系統可以用於Web伺服器，也可以用於中介軟體伺服器，其目的都是保障網頁檔案的完整性。 網頁防篡改對保護靜態頁面有很好的效果，但對於動態頁面就沒有辦法了，因為頁面是使用者訪問時生成的，內容與資料庫相關。很多SQL注入就是利用這個漏洞，可以繼續***Web伺服器。 到目前為止，很多網頁防篡改產品中都提供了一個IPS軟體模組，用來阻止來針對Web服務的SQL注入、XML注入***。如國內廠家的WebGuard、iGuard、InforGuard等產品 2、Web防火牆產品： 防止網頁被篡改是被動的，能阻斷***行為才是主動型的，前邊提到的IPS/UTM等產品是安全通用的閘道器，也有專門針對Web的硬體安全閘道器，國內的如：綠盟的Web防火牆，啟明的WIPS(web IPS)，國外的有imperva的WAF(Web Application Firewall)等。

圖

Web防火牆，主要是對Web特有***方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。由於是應用層而非網路層的***，從技術角度都應該稱為Web IPS，而不是Web防火牆。這裡之所以叫做Web防火牆，是因為大家比較好理解，業界流行的稱呼而已。由於重點是防SQL注入，也有人稱為SQL防火牆。 Web防火牆產品部署在Web伺服器的前面，序列接入，不僅在硬體效能上要求高，而且不能影響Web服務，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、Web Cache等Web伺服器前的常見的產品協調部署。 Web防火牆的主要技術的對***的檢測能力，尤其是對Web服務***的檢測，不同的廠家技術差別很大，不能以廠家特徵庫大小來衡量，主要的還是看測試效果，從廠家技術特點來說，有下面幾種方式： ◆代理服務：代理方式本身就是一種安全閘道器，基於會話的雙向代理，中斷了使用者與伺服器的直接連線，適用於各種加密協議，這也是Web的Cache應用中最常用的技術。代理方式防止了***者的直接進入，對DDOS***可以抑制，對非預料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術的代表。 ◆特徵識別：識別出***者是防護他的前提。特徵就是***者的“指紋”，如緩衝區溢位時的Shellcode，SQL注入中常見的“真表達(1=1)”…應用資訊沒有“標準”，但每個軟體、行為都有自己的特有屬性，病毒與蠕蟲的識別就採用此方式，麻煩的就是每種***都自己的特徵，數量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意程式碼的特徵指數型地增長，安全界聲言要淘汰此項技術，但目前應用層的識別還沒有特別好的方式。 ◆演算法識別：特徵識別有缺點，人們在尋求新的方式。對***型別進行歸類，相同類的特徵進行模式化，不再是單個特徵的比較，演算法識別有些類似模式識別，但對***方式依賴性很強，如SQL注入、DDOS、XSS等都開發了相應的識別演算法。演算法識別是進行語義理解，而不是靠“長相”識別。 ◆模式匹配：是IDS中“古老”的技術，把***行為歸納成一定模式，匹配後能確定是***行為，當然模式的定義有很深的學問，各廠家都隱祕為“專利”。協議模式是其中簡單的，是按標準協議的規程來定義模式；行為模式就複雜一些， Web防火牆最大的挑戰是識別率，這並不是一個容易測量的指標，因為漏網進去的***者，並非都大肆張揚，比如給網頁掛馬，你很難察覺進來的是那一個，不知道當然也無法統計。對於已知的***方式，可以談識別率；對未知的***方式，你也只好等他自己“跳”出來才知道。 “自學習”功能的發展： Imperva公司的WAF產品在提供***防護的同時，還提供了另外一個安全防護技術，就是對Web應用網頁的自動學習功能，由於不同的網站不可能一樣，所以網站自身頁面的特性沒有辦法提前定義，所以imperva採用裝置自動預學習方式，從而總結出本網站的頁面的特點。具體的做法是這樣的： 通過一段時間的使用者訪問，WAF記錄了常用網頁的訪問模式，如一個網頁中有幾個輸入點，輸入的是什麼型別的內容，通常情況的長度是多少…學習完畢後，定義出一個網頁的正常使用模式，當今後有使用者突破了這個模式，如一般的帳號輸入不應該有特殊字元，而XML注入時需要有“<”之類的語言標記，WAF就會根據你預先定義的方式預警或阻斷；再如密碼長度一般不超過20位，在SQL注入時加入程式碼會很長，同樣突破了網頁訪問的模式。 網頁自學習技術，從Web服務自身的業務特定角度入手，不符合我的常規就是異常的，也是***檢測技術的一種，比起單純的Web防火牆來，不僅給***者“下通緝令”，而且建立進入自家的內部“規矩”，這一種雙向的控制，顯然比單向的要好。 Citrix公司收購了Teros後，推出的應用防火牆通過分析雙向流量來學習Web服務的使用者行為模式，建立了若干使用者行為模型，一但匹配上你是某個行為，就按該模式行為去衡量你的行為做法，有“越軌”企圖立即給予阻斷。這個自適應學習引擎與Imperva公司的網頁自學習有些類似，不過一個重點是學習網頁特點，一個是學習使用者訪問的規律。 從安全形度來說，網業自學習技術與***防護結合使用，是理想的選擇。 Web防火牆的未來出路： 有一種說法：因為Web伺服器前的負載均衡裝置、Web 加速裝置是不可缺少的，又是Web伺服器群的出口必經之路，所以Web防火牆的功能有可能與這些裝置合併。這種發展趨勢有些象閘道器UTM與單獨的FW、IPS、AV、×××等裝置進化發展一樣，UTM就是這些閘道器的集合產品。 但我有一個不同的看法：UTM部署於網路的外連接出口，一般是網際網路出口，其網路安全隔離作用，這裡的頻寬價格昂貴，所以擁有大頻寬的使用者很有限，而Web伺服器群是與網路主交換機連線的，提供的是應用處理能力，要求的引數常是併發使用者的數量與線上使用者的數量，伺服器一般都是千兆介面，目前的交換機就可達到幾十個TB的交換能力，在大流量鏈路上做多功能的安全產品，又是應用層的檢測，對產品的硬體壓力是巨大的，能達到“線性”流量的產品一定價格昂貴，因此Web防火牆的這種合併思路是有待商榷的。
3、Web資料庫審計產品： 有效恢復是安全保障的一個很重要的理念。我們提到動態網頁的防護難點是用資料庫現場生成的，因此對資料庫的修改就變得很關鍵， Web資料庫審計產品的目的就是對資料的所有操作進行記錄，當發現問題時，這些操作可以回溯。打個比方，你在遊戲中的裝備被別人給“划走”了，過了一週，你發現了，但一週中，遊戲在繼續，你的裝備有很多新動態，合理與不合理變化交織在一起。此時，若管理人員知道確定是“某人”的篡改，就可以把他的動作進行“逆向”操作，你的遊戲仍可以繼續，不受影響；若通過協商，需要恢復到篡改前的某個狀態，則在資料庫中先取得篡改前最近一次的備份資料，再使用資料庫的審計記錄，一直“操作”到篡改前的狀態，遊戲就可以繼續了。這種技術與資料庫的實時同步備份技術是類似的。 當然資料庫的操作量很大，全部記錄需要很大的資料空間，所以，Web服務中重要資料庫操作才進行詳細審計，審計的目的是為了運營狀態的可恢復。常見的Web審計資料： ◆帳戶操作：涉及許可權的改變 ◆運營操作：涉及“財與物”的變化 ◆維護操作：涉及“特殊許可權”人的動作 Web資料庫審計產品一般採用旁路部署，不影響資料庫的業務效率。若在業務流量不很大的情況下，可以採用Agent的軟體方式，但是不建議完全依靠資料庫自身的日誌功能，因為，***者破壞後一定有“抹去痕跡”的步驟，痕跡一般就是系統本身的日誌，單獨的審計機制保障了日誌的完整性。
4、Web***檢查工具： Web安全不僅是維護網站自己安全，通過網站***使用者電腦的危害也十分棘手。網頁容易被掛上***，或被XSS***利用，是否有工具可以對所有的網頁進行安全檢查呢？這裡用到了“爬蟲”技術。 “爬蟲”技術最早是搜尋引擎“發明”的，搜尋網站放出N個小“爬蟲”，在世界各地的網站上迴圈掃描，收集網站上的新資訊，建立供世界人民查詢的資料庫，這樣大家就可以從Google、百度等搜尋門戶上搜到你想要的任何東東。由於“爬蟲”來自網站外部，所以可以模擬使用者開啟網站的實際效果，所以“爬蟲”很快被網站用來測試自身效能的“使用者體驗”工具，比如網頁開啟的速度，使用者互動的等待時間等。作為使用者體驗工具，“爬蟲”很快也在企業內部網路上開始流行，關注使用者感受，是08年開始IT領域內最流行的開發理念。

圖

所謂“爬蟲”就是這樣一些程序，按照一定的規則(橫向優先搜尋、縱向優先搜尋)，將網站上所有的頁面開啟一遍，(你知道很多網站的點選率飛漲的原因了吧，是有無數的小爬蟲在工作…)，在對網頁上關心的事情進行檢查。由於是以使用者的身份“瀏覽”網頁，所以沒有靜態與動態頁面的差別。Web***檢查工具就是基於這個原理開發的，不同於搜尋爬蟲的是，在網頁檢查時，重點檢視網頁是否被掛***，或被XSS利用。因為網站內的URL連結去向應該可追溯的，所以對XSS的檢查是很有效的。(“爬蟲”有些象網頁防篡改的檔案檢查程序是吧，不過一個是在Web伺服器的內部，另一個是在web伺服器的外部) Web***檢查工具一般作為安全服務檢查使用，也可以單獨部署一臺伺服器，定期對網站檢查，發現問題及時報警。該工具目前市場上的產品化很少，一般不銷售，網上有些免費的類似軟體可以試用，隨著Web服務在企業內的應用增多，該工具應該象防病毒檢查工具一樣流行。
五、新的想法---主機Web閘道器 Web服務是從網際網路技術發展起來，網際網路是“草根”文化的集大成者。在網際網路中，共享智慧是追求，簡捷實用是方法。 很常見的現象，Web服務的處理能力採用叢集技術、雲端計算技術，都是利用物美價廉的PC伺服器整合在一起，而不是選用“龐大”的巨型機。P2P技術、CDN技術都是網民降低Web服務中心壓力，而又能支援大使用者、實時流媒體業務的“網際網路Web技術”。但這也為Web業務的安全防護帶來問題---網路結構問題。為了提供處理能力，眾多的伺服器“網”一樣地接在核心交換機上，在伺服器前沒有匯聚點，web防火牆的部署就成了問題。 草根文化的特點就是系統避免過渡依賴某一個點(大家都是重要的)。Web服務不同於傳統銀行模式的集中處理，伺服器是PCServer組成的群，由於加入與離開群，對群的服務沒有影響，只是服務處理能力的動態變化而已，所以伺服器群中的每個伺服器的處理能力相對不是那麼寶貴，某個伺服器的異常宕機也只是對個別的使用者服務有些“臨時影響”，在伺服器中安裝Agent的“恐懼”，Web服務管理者應該是沒有的。 為了與“群”或“雲”等Web新型網狀結構相適應，Web服務應用層的防護，可以與網頁防篡改合起來(尤其是OS提供底層的檔案修改監控)，我們給它一個新的名字---主機Web閘道器(Host Web Gateway)。 主機Web閘道器的部署與防篡改產品一樣，以Agent的形式嵌入到Web伺服器中，不需要再關心Web服務的網路結構，同時，也避免了在Web服務使用加密協議時，閘道器安全裝置對應用層***無能為力的弊端。 主機Web閘道器的主要功能： ◆Web應用***防護(SQL注入、XSS等) ◆頁面檔案防篡改W◆eb網頁自動學習功能 ◆Web使用者訪問行為的自學習功能 至於系統級的***防護與DDOS防護，放在UTM/IPS中解決，Web服務的網路結構就靈活多了。主機Web閘道器採用軟體形式，沒有了序列裝置的效能要求，部署的成本也會大大下降。