Web安全防护与安全概述

一、Web安全防护概述

背景：传统网络层面的攻击与防御手段都日趋成熟，随着应用市场的爆炸性发展，基于Web的应用也逐渐增多。在此背景下，Web应用更是成为了黑客瞄准的重要目标。本章主要介绍基于Web应用常见的攻击手段及防御手段。

一.Web攻击来源

Web攻击来源主要是根据Web应用实现机制，从图中三方面进行

Web攻击来源

二、Web基础原理

服务器通过HTTP协议进行通信，HTTP协议采用的是请求、响应模式，即客户端发起HTTP请求，web服务器接收并解析处理HTTP请求，然后将HTTP响应发送给客户端。

三、Web攻击浅析（列举）

（1）Distributed Denial of Service （DDoS， 分布式拒绝服务）

是一种针对服务器能让服务器呈现资源耗竭状态的攻击方式。也称为服务停止攻击或拒绝服务攻击。其原理就是发送大量的合法请求到服务器，服务器无法分辨这些请求是正常请求还是攻击请求，大量的请求会造成服务器停止工作或拒绝服务的状态。

（2）跨站点请求伪造（CSRF，Cross-Site Request Forgeries）

是指攻击者通过已经设置好的陷阱，强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态的更新。属于被动攻击。更简单的理解就是攻击者盗用了你的名义，以你的名义发送了请求。

（3）SQL Injection （SQL 注入）

是指通过对web连接的数据库发送恶意的SQL语句而产生的攻击，从而产生安全隐患和对网站的威胁，可以造成逃过验证或者私密信息泄露等危害。

四、URL过滤技术

URL过滤功能可以对用户访问的URL进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项，实现针对不同时间段或不同用户/组的URL访问控制，达到更加精细化和准确化控制员工上网权限的需求。

URL过滤功能只支持过滤HTTP或HTTPS协议的URL请求。需要过滤HTTPS协议的URL请求时，还需要配置URL过滤的加密流量过滤功能。

URL过滤与DNS过滤的关系：除了URL过滤，DNS过滤也可以达到规范上网行为的目的。DNS过滤是对DNS请求报文中的域名进行过滤，允许或禁止用户访问某些网站。

 

url过滤流程

URL过滤流程

1.用户发起URL访问请求，如果数据流匹配了安全策略，且安全策略的动作为允许，则进行URL过滤处理流程。

2.FW检测HTTP报文是否异常。

a：如果HTTP报文异常，则阻断该请求。

b:如果HTTP报文正常，则进行下一步检测。

3.FW将URL信息与白名单进行匹配。

a：如果匹配白名单，则允许该请求通过。

b:如果未匹配白名单，则进行下一步检测。

4.FW将URL信息与黑名单进行匹配。

a:如果匹配黑名单，则阻断该请求。

b:如果未匹配黑名单，则进行下一步检测。

5.FW将HTTP请求中的referer字段与白名单进行匹配。

a:如果HTTP请求中的referer字段与配置的referer-host匹配，则允许该请求通过。

b:如果HTTP请求中的referer字段与配置的referer-host不匹配，用户可以决定是否使用referer字段去匹配所有配置的白名单规则。

（1）当referer字段匹配白名单功能开启时，会使用referer字段与配置的所有白名单规则继续匹配。

（1）如果匹配，则允许该请求通过。

（2）如果未匹配，则进行下一步检测。

（2）当referer字段匹配白名单功能关闭时，不会使用referer字段与配置的所有白名单匹配，而是进行下一步检测。

referer字段匹配白名单功能默认开启，如果要关闭该功能，可以配置undo referer-filter whitelist-all enable命令。

6.FW将URL信息与自定义分类进行匹配。

a:如果匹配自定义分类，则按照自定义URL分类的控制动作处理请求。

b:如果未匹配自定义分类，则进行下一步检测。

7.FW将URL信息与恶意URL、低信誉URL进行匹配。

a:如果匹配恶意URL或低信誉URL，则阻断该请求。

b:如果未匹配恶意URL或低信誉URL，则进行下一步检测。

8.FW将URL信息与本地缓存中的预定义分类进行匹配。

a:如果在本地缓存中查询到对应的分类，则按照该分类的控制动作处理请求。

b:如果在本地缓存中没有查询到对应的分类，则进行远程查询。

c:如果远程查询服务器可用，则继续进行远程查询。

d:如果远程查询服务器不可用，则按照缺省动作处理请求。

9.启动远程查询。

a:.如果远程查询服务器在设定的超时时间内没有返回结果，则按照管理员配置的“超时后动作”处理。

b:如果远程查询服务器上明确查询到该URL属于某个预定义分类，则按照该分类的控制动作处理。