http://www.ithome.com.tw/itadm/article.php?c=50860&s=6
絕招4 先擋再修,以應用防火牆搶時間
企業網站發生SQL Injection問題後,不論是添加檢查使用者輸入資料的程式碼,或者是調整資料庫權限架構等,都耗費數周,甚至數個月的時間,才能達到一定的防護效果。只有,透過網路端的防禦設備,才能用幾天時間建構出防護系統。
這也是為什麼,從去年開始,不少企業,紛紛開始關注應用程式防火牆(Web Application Firewall)相關產品的主因之一。尤其是從事電子商務的企業,莫不希望能在最短的時間內,先建立網站的防禦機制,再慢慢修補程式的漏洞。WAF也的 確能夠快速地在企業網站的前線,築出一道檢查網,過濾掉各種具有潛在威脅的資料。
不同於其他更低階的網通設備,WAF採用第七層網路協定的檢查技術,能夠檢查網頁程式所傳輸的使用者輸入資訊,可以針對不同的資訊類型和輸入源, 設定白名單或黑名單的過濾條件,例如限制使用者輸入資料的長度、型態、格式等,能夠彌補原本應用程式所疏漏的內容檢查。還可進行雙向過濾,檢查輸出的網頁 內容,避免將惡意資訊二度傳送給使用者。
用WAF確保網站服務不中斷,爭取修補程式的緩衝時間
網駭科技創辦人徐千洋表示,WAF雖然價格不斐,但的確可在最短時間內,幫企業架構出防護網,可以爭取一些修補網站程式的緩衝時間。
敦揚科技資安顧問楊伯瀚認為:「WAF的好處是能夠自動學習網站需要的防護特徵,採取白名單的作法,能一勞永逸的隔絕惡意資訊,不需要不斷更新過濾特 徵。」他進一步補充,透過資安顧問來協助安裝,只需半天就能完成,可以達到70%的防禦效果,「再經過1~2個月的自動學習,讓 WAF了解企業網站的使用特性,就能達到99.5%的防禦程度。」楊伯瀚說。
WAF的過濾功能雖然強大,但代價也相當昂貴,企業往往需投資數百萬元,甚至上千萬元,才能架構出不影響原來網站服務品質的WAF防護網。換句話說,企業等於用金錢來換取時間,用WAF擋住攻擊,確保網站運行,再進行程式修補。
但是,對於中小企業而言,WAF卻是高不可攀的產品。不少中小企業,全公司只有1~2個IT人員,連網站開發都需委外開發,更別說投入這麼多錢來防禦。這些中小企業的網站,也往往成為這一波自動化攻擊的主要受害者。
其實,坊間有一些免費的軟體WAF,例如有套開源WAF工具ModSecurity,可以安裝在PHP網站常用的Apache伺服器中,能協助過 濾Apache上網站程式的傳輸內容。微軟也針對ASP網頁的IIS伺服器環境,免費提供了一套軟體WAF工具UrlScan,連IIS 7都內建。
這類軟體防火牆,通常需耗用網站伺服器的硬體資源,來進行內容的檢查,當網站流量龐大時,很容易降低效能。不過,這的確是中小企業可負擔的SQL Injection防護工具。文⊙王宏仁