面面俱到點評Web安全原理與技術分析

【51CTO.com獨家特稿】 1、Web安全不只僅是互聯網才須要

Web服務是指採用B/S架構、經過Http協議提供服務的統稱，這種結構也稱爲Web架構，隨着Web2.0的發展，出現了數據與服務處理分離、服務與數據分佈式等變化，其交互性能也大大加強，也有人叫B/S/D三層結構。互聯網可以快速流行得益於Web部署上的簡單，開發上簡便，Web網頁的開發大軍迅速超過了以往任何計算機語言的愛好者，普及帶來了應用上繁榮。J2EE與.NET的異曲同工，爲Web流行掃清了廠家與標準的差別；衆望所歸，SOA選中Web2.0做爲其實現的基本工具之一(使用最廣的)，Web架構從互聯網走進了企業內部網絡，新業務系統的開發，愈來愈多的系統架構師選擇了Web架構，與熟悉它的人如此普遍是分不開的。事實再一次證實了那個經典的理論：簡潔的最容易流行。

簡單與安全好象總有些「矛盾」，瀏覽器能夠直接看到頁面的Html代碼，早期的Web服務設計沒有過多的安全考慮，人性本善，技術人員老是相信人都是善良的！但隨着Web2.0的普遍使用，Web服務再也不只是信息發佈，遊戲中的裝備交易、平常生活中網上購物、政府行政審批、企業資源管理…信息價值的誘惑，人的貪婪開始顯現，不是全部的人都有Web設計者的「大同」思想，安全問題日顯突出了。

2008年網絡安全事件統計最可能是：SQL注入與「網頁掛馬(***)」。由於這是「殭屍」網絡發展新「會員」的基本工具，而僵屍網絡的經濟與政治「價值」，這裏就不用說了。SQL注入與「網頁掛馬」主要就是針對Web服務的，傳統的安全產品(UTM/IPS)都有些力不從心。

互聯網是我的思想展示的樂園，也是世界級的、虛擬的「另外一個」社會，既然你們都是虛擬的、帶着面具的，要變成現實社會中的真實利益，還須要一些轉換才能夠兌現，但SOA把Web架構帶入企業內部網絡，這裏的網絡世界是「真實的」，利益是能夠直接兌現的，Web安全問題變得刻不容緩。

2、Web架構原理

要保護Web服務，先要了解Web系統架構，下圖是Web服務的通常性結構圖，適用於互聯網上的網站，也適用於企業內網上的Web應用架構： 

圖

用戶使用通用的Web瀏覽器，經過接入網絡(網站的接入則是互聯網)鏈接到Web服務器上。用戶發出請求，服務器根據請求的URL的地址鏈接，找到對應的網頁文件，發送給用戶，二者對話的「官方語言」是Http。網頁文件是用文本描述的，HTML/Xml格式，在用戶瀏覽器中有個解釋器，把這些文本描述的頁面恢復成圖文並茂、有聲有影的可視頁面。

一般狀況下，用戶要訪問的頁面都存在Web服務器的某個固定目錄下，是一些.html或.xml文件，用戶經過頁面上的「超鏈接」(其實就是URL地址)能夠在網站頁面之間「跳躍」，這就是靜態的網頁。後來人們以爲這種方式只能單向地給用戶展現信息，信息發佈還能夠，但讓用戶作一些好比身份認證、投票選舉之類的事情就比較麻煩，由此產生了動態網頁的概念；所謂動態就是利用flash、Php、asp、Java等技術在網頁中嵌入一些可運行的「小程序」，用戶瀏覽器在解釋頁面時，看到這些小程序就啓動運行它。小程序的用法很靈活，能夠展現一段動畫(如Flash)，也能夠在你的PC上生成一個文件，或者接收你輸入的一段信息，這樣就能夠根據你的「想法」，對頁面進行定製處理，讓你每次來到時，看到的是你上次設計好的特有風格，「貴賓的感受」是每一個人都喜歡的，更況且虛擬的網絡世界中，你不認識的人還對你如此「敬仰」，服務得如此體貼…

「小程序」的使用讓Web服務模式有了「雙向交流」的能力，Web服務模式也能夠象傳統軟件同樣進行各類事務處理，如編輯文件、利息計算、提交表格等，Web架構的適用面大大擴展，Web2.0能夠成爲SOA架構的實現技術之一，這個「小程序」是功不可沒的。

這些「小程序」能夠嵌入在頁面中，也能夠以文件的形式單獨存放在Web服務器的目錄裏，如.asp、.php、jsp文件等，而且能夠在開發時指定是在用戶端運行，仍是在服務器端運行；用戶再也不能看到這些小程序的源代碼，服務的安全性也大大提升。這樣功能性的小程序愈來愈多，造成經常使用的工具包，單獨管理，Web業務開發時，直接使用就能夠了，這就是中間件服務器，它其實是Web服務器處理能力的擴展。

靜態網頁與「小程序」都是事前設計好的，通常不常常改動，但網站上不少內容須要常常的更新，如新聞、博客文章、互動遊戲等，這些變更的數據放在靜態的程序中顯然不適合，傳統的辦法是數據與程序分離，採用專業的數據庫。Web開發者在Web服務器後邊增長了一個數據庫服務器，這些常常變化的數據存進數據庫，能夠隨時更新。當用戶請求頁面時，「小程序」根據用戶要求的頁面，涉及到動態數據的地方，利用SQL數據庫語言，從數據中讀取最新的數據，生成「完整」頁面，最後送給用戶，如股市行情曲線，就是由一個不斷刷新的小程序控制。

除了應用數據須要變化，用戶的一些狀態信息、屬性信息也須要臨時記錄(由於每一個用戶都是不一樣的)，而Web服務器原本是不記錄這些信息的，只管答覆你的要求，「人一走茶就涼了」。後來Web技術爲了「友好」互動，須要「記住」用戶的訪問信息，創建了一些「新」的通信機制： 

◆Cookie：把一些用戶的參數，如賬戶名、口令等信息存放在客戶端的硬盤臨時文件中，用戶再次訪問這個網站時，參數也一同送給服務器，服務器就知道你就是上次來的那個「傢伙」了 

◆Session：把用戶的一些參數信息存在服務器的內存中，或寫在服務器的硬盤文件中，用戶是不可見的，這樣用戶用不一樣電腦訪問時的貴賓待遇就一樣了，Web服務器總能記住你的「樣子」，通常狀況下，Cookie與Session能夠結合使用

Cookie在用戶端，通常採用加密方式存放就能夠了；Session在服務器端，信息集中，被篡改問題將很嚴重，因此通常放在內存裏管理，儘可能不存放在硬盤上。

到此，咱們清楚了，Web服務器上有兩種服務用數據要保證「清白」，一是頁面文件(.html、.xml等)，這裏包括動態程序文件(.php、.asp、.jsp等)，通常存在Web服務器的特定目錄中，或是中間間服務器上；二是後臺的數據庫，如Oracle、SQL Server等，其中存放的數據的動態網頁生成時須要的，也有業務管理數據、經營數據。

還有一個問題應該提一下，就是瀏覽器給用戶電腦帶來的安全問題，由於Web能夠對本地的進程、硬盤操做，能夠把***、病毒放到你的電腦上來，Web架構中使用「沙漏」技術提供安全保護，就是限制頁面中「小程序」的本地讀寫權限，但限制畢竟不能不讓其「工做」，因此多數狀況下在寫入時給出提示，讓你本身選擇，你們常常看見有進程在安裝程序進入你的電腦，但絕大多數人分不清是否應該，要麼一律不準，形成不少事情作不了(不少下載與遊戲就只能看着)，要麼「大膽」接受，大門敞開，聽天由命。這裏主要分析服務器端的安全，客戶端的安全再行考慮。

3、Web架構中的安全點分析

從Web架構上能夠看出，Web服務器是必經的大門，進了大門，還有不少服務器須要保護，如中間件服務器、數據庫服務器等。咱們這裏不考慮網絡內部人員的***，只考慮從接入網(或互聯網)來的***，***者***的通道有下面幾個：

一、服務器系統漏洞：Web服務器畢竟的一個通用的服務器，不管是Windows，仍是Linux/Unix，都不可少的帶有系統自身的漏洞，經過這些漏洞***，能夠得到服務器的高級權限，固然對服務器上運行的Web服務就能夠隨意控制了。除了OS的漏洞，還有Web服務軟件的漏洞，IIS也好，Tomcat也好，一樣須要不斷地打補丁。

二、Web服務應用漏洞：若是說系統級的軟件漏洞被關注的人太多了，那麼Web應用軟件的漏洞數量上就更多了，由於Web服務開發簡單，開發的團隊良莠不齊，並不是都是「專業」的高手，編程不規範、安全意識不強、由於開發時間緊張而簡化測試等，應用程序的漏洞也一樣可讓***者來去自如。最爲常見的SQL注入，就是由於大多應用編程過程當中產生的漏洞。

三、密碼暴力破解：漏洞會招來***容易理解，但畢竟須要高超的技術水平，破解密碼卻十分有效，並且簡單易行。通常來講賬號信息容易得到，剩下的就是猜想密碼了，因爲使用複雜密碼是件麻煩而又「討厭」的事，設置容易記憶的密碼，是絕大多數用戶的選擇。大多Web服務是靠「賬號+密碼」的方式管理用戶賬戶，一旦破解密碼，尤爲是遠程管理者的密碼，破壞程度不可思議，而且其***難度比經過漏洞方式要簡單的多，並且不容易被發覺。在知名的網絡經濟案例中，經過密碼***的佔了接近一半的比例。

***者進入Web系統，其動做行爲目的性是十分明確的： 

◆讓網站癱瘓：網站癱瘓是讓服務中斷。使用DDOS***均可以讓網站癱瘓，但對Web服務內部沒有損害，而網絡***，能夠刪除文件、中止進程，讓Web服務器完全沒法恢復。通常來講，這種作法是索要金錢或惡意競爭的要挾，也多是顯示他的技術高超，拿你的網站被***做爲宣傳他的工具。 

◆篡改網頁：修改網站的頁面顯示，是相對比較容易的，也是公衆容易知道的***效果，對於***者來講，沒有什麼「實惠」好處，主要是炫耀本身，固然對於政府等網站，形象問題是很嚴重的。 

◆掛***：這種***對網站不產生產生直接破壞，而是對訪問網站的用戶進行***，掛***的最大「實惠」是收集僵屍網絡的「肉雞」，一個知名網站的首頁傳播***的速度是爆炸式的。掛***容易被網站管理者發覺，XSS(跨站***)是新的傾向。 

◆篡改數據：這是最危險的***者，篡改網站數據庫，或者是動態頁面的控制程序，表面上沒有什麼變化，很不容易發覺，是最多見的經濟利益***。數據篡改的危害是難以估量的，好比：購物網站能夠修改你賬號金額或交易記錄，政府審批網站能夠修改行政審批結果，企業ERP能夠修改銷售定單或成交價格…    有人說採用加密協議能夠防止***，如https協議，這種說法是不許確的。首先Web服務是面向大衆的，不能夠徹底使用加密方式，在企業內部的Web服務上能夠採用，但你們都是「內部人員」，加密方式是共知的；其次，加密能夠防止別人「竊聽」，但***者能夠冒充正規用戶，同樣能夠***；再者，「中間人劫持」一樣能夠竊聽加密的通信。

4、Web安全產品分析

圍繞Web服務的安全，產品能夠說五花八門，最基本的是接入網入口的UTM網關，其中IPS功能與防DDOS功能是Web服務器系統級***的直接防禦，但UTM是通用的邊界安全網關，非「專業的」Web***防禦，通常做爲安全的入門級防禦，這裏不細說。這裏主要分析專爲Web服務開發的安全產品，大概有下面幾方面的產品：

一、網頁防篡改產品：

防禦未知***是難的，但看好我本身的「家底」是相對容易的。所以，人們最早想到的就是網頁防篡改技術，保持本身的「純潔」，起碼對社會不會形成大危害。網頁被篡改產品出如今Web早期，幾經風雨，各廠家技術逐漸統一。網頁防篡改技術的基本原理：是對Web服務器上的頁面文件(目錄下文件)進行監控，發現有更改及時恢復。因此該產品實際是一個「修補」的工具，不能阻止***者的篡改，就來個守株待兔，專人看守，減小損失是目標，防篡改屬於典型的被動防禦技術。

網頁防篡改產品的部署：創建一臺單獨的管理服務器(Web服務器數量少能夠省略)，而後在每臺Web服務器上安裝一個Agent程序，負責該服務器的「網頁文件看護」，管理服務器是管理這些Agent看護策略的。

咱們先分析一下「頁面文件看護」技術的變遷： 

圖

a)第一代技術，把Web服務器主目錄下的文件作一個備份，用一個定時循環進程，把備份的文件與服務使用的文件逐個進行比較，不同的就用備份去覆蓋。網站更新發布時，則同時更新主目錄與備份。這種方法在網站大的狀況下，網頁數量巨大，掃描一遍的時間太長，而且對Web服務器性能也是擠佔。

b)第二代技術，採用了Hash算法，對主目錄下的每一個文件作Hash，生成該文件的「指紋」，定時循環進程直接計算服務用文件的Hash指紋，而後進行指紋覈對，指紋通常比較小，比較方便；指紋具備不可逆的特色，不怕仿製。

c)第三代技術，既然網站上頁面太多，三級如下頁面的訪問量，通常使用呈指數級降低，沒人訪問固然也不會被篡改，在這些頁面重複掃描是不划算的。改變一下思路：對文件讀取應該沒有危險，危險的是對文件的改寫操做。若只對文件被改變時才作檢查，就能夠大大下降對服務器資源的佔用；具體作法是：開啓一個看守進程，對Web服務器的主目錄文件刪改操做進行監控，發現有此操做，判斷是否有合法身份，是否爲受權的維護操做，不然阻斷其執行，文件不被改寫，也就起到了網頁防篡改的目的。這個技術也稱爲事件觸發防篡改。

這種技術須要考驗對服務器操做系統的熟悉程度，但***也是高手，你的看護進程是用戶級的，***能夠得到高級權限，繞過你的「消息鉤子」，監控就成了擺設。

d)第四代技術，既然是比誰的進程權限高，讓操做系統幹這個活兒，應該是最合適的，***再牛也不可能越過操做系統本身「幹活」。所以，在Windows系統中，提供系統級的目錄文件修改看護進程(系統調用)，防篡改產品直接調用就能夠了，或者利用操做系統自身的文件安全保護功能，對主目錄文件進行鎖定(Windows對本身系統的重要文件也採起了相似的防篡改保護，避免病毒的侵擾)，只容許網站發佈系統(網頁升級更新)才能夠修改文件，其餘系統進程也不容許刪改。

這個方法應該說比較完全，但能夠看出，之後防篡改技術將成爲操做系統的「專利」了，安全廠家實在是不肯意看到的。好在目前Linux尚未支持。

網頁防篡改系統能夠用於Web服務器，也能夠用於中間件服務器，其目的都是保障網頁文件的完整性。

網頁防篡改對保護靜態頁面有很好的效果，但對於動態頁面就沒有辦法了，由於頁面是用戶訪問時生成的，內容與數據庫相關。不少SQL注入就是利用這個漏洞，能夠繼續***Web服務器。

到目前爲止，不少網頁防篡改產品中都提供了一個IPS軟件模塊，用來阻止來針對Web服務的SQL注入、XML注入***。如國內廠家的WebGuard、iGuard、InforGuard等產品

二、Web防火牆產品：

防止網頁被篡改是被動的，能阻斷***行爲纔是主動型的，前邊提到的IPS/UTM等產品是安全通用的網關，也有專門針對Web的硬件安全網關，國內的如：綠盟的Web防火牆，啓明的WIPS(web IPS)，國外的有imperva的WAF(Web Application Firewall)等。 

圖

Web防火牆，主要是對Web特有***方式的增強防禦，如DDOS防禦、SQL注入、XML注入、XSS等。因爲是應用層而非網絡層的***，從技術角度都應該稱爲Web IPS，而不是Web防火牆。這裏之因此叫作Web防火牆，是由於你們比較好理解，業界流行的稱呼而已。因爲重點是防SQL注入，也有人稱爲SQL防火牆。

Web防火牆產品部署在Web服務器的前面，串行接入，不只在硬件性能上要求高，並且不能影響Web服務，因此HA功能、Bypass功能都是必須的，並且還要與負載均衡、Web Cache等Web服務器前的常見的產品協調部署。

Web防火牆的主要技術的對***的檢測能力，尤爲是對Web服務***的檢測，不一樣的廠家技術差異很大，不能以廠家特徵庫大小來衡量，主要的仍是看測試效果，從廠家技術特色來講，有下面幾種方式：

◆代理服務：代理方式自己就是一種安全網關，基於會話的雙向代理，中斷了用戶與服務器的直接鏈接，適用於各類加密協議，這也是Web的Cache應用中最經常使用的技術。代理方式防止了***者的直接進入，對DDOS***能夠抑制，對非預料的「特別」行爲也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術的表明。 

◆特徵識別：識別出***者是防禦他的前提。特徵就是***者的「指紋」，如緩衝區溢出時的Shellcode，SQL注入中常見的「真表達(1=1)」…應用信息沒有「標準」，但每一個軟件、行爲都有本身的特有屬性，病毒與蠕蟲的識別就採用此方式，麻煩的就是每種***都本身的特徵，數量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特徵指數型地增加，安全界聲言要淘汰此項技術，但目前應用層的識別尚未特別好的方式。 

◆算法識別：特徵識別有缺點，人們在尋求新的方式。對***類型進行歸類，相同類的特徵進行模式化，再也不是單個特徵的比較，算法識別有些相似模式識別，但對***方式依賴性很強，如SQL注入、DDOS、XSS等都開發了相應的識別算法。算法識別是進行語義理解，而不是靠「長相」識別。 

◆模式匹配：是IDS中「古老」的技術，把***行爲概括成必定模式，匹配後能肯定是***行爲，固然模式的定義有很深的學問，各廠家都隱祕爲「專利」。協議模式是其中簡單的，是按標準協議的規程來定義模式；行爲模式就複雜一些，

Web防火牆最大的挑戰是識別率，這並非一個容易測量的指標，由於漏網進去的***者，並不是都大肆張揚，好比給網頁掛馬，你很難察覺進來的是那一個，不知道固然也沒法統計。對於已知的***方式，能夠談識別率；對未知的***方式，你也只好等他本身「跳」出來才知道。

「自學習」功能的發展：

Imperva公司的WAF產品在提供***防禦的同時，還提供了另一個安全防禦技術，就是對Web應用網頁的自動學習功能，因爲不一樣的網站不可能同樣，因此網站自身頁面的特性沒有辦法提早定義，因此imperva採用設備自動預學習方式，從而總結出本網站的頁面的特色。具體的作法是這樣的：

經過一段時間的用戶訪問，WAF記錄了經常使用網頁的訪問模式，如一個網頁中有幾個輸入點，輸入的是什麼類型的內容，一般狀況的長度是多少…學習完畢後，定義出一個網頁的正常使用模式，當從此有用戶突破了這個模式，如通常的賬號輸入不該該有特殊字符，而XML注入時須要有「<」之類的語言標記，WAF就會根據你預先定義的方式預警或阻斷；再如密碼長度通常不超過20位，在SQL注入時加入代碼會很長，一樣突破了網頁訪問的模式。

網頁自學習技術，從Web服務自身的業務特定角度入手，不符合個人常規就是異常的，也是***檢測技術的一種，比起單純的Web防火牆來，不只給***者「下通緝令」，並且創建進入自家的內部「規矩」，這一種雙向的控制，顯然比單向的要好。

Citrix公司收購了Teros後，推出的應用防火牆經過分析雙向流量來學習Web服務的用戶行爲模式，創建了若干用戶行爲模型，一但匹配上你是某個行爲，就按該模式行爲去衡量你的行爲作法，有「越軌」企圖當即給予阻斷。這個自適應學習引擎與Imperva公司的網頁自學習有些相似，不過一個重點是學習網頁特色，一個是學習用戶訪問的規律。

從安全角度來講，網業自學習技術與***防禦結合使用，是理想的選擇。

Web防火牆的將來出路：

有一種說法：由於Web服務器前的負載均衡設備、Web 加速設備是不可缺乏的，又是Web服務器羣的出口必經之路，因此Web防火牆的功能有可能與這些設備合併。這種發展趨勢有些象網關UTM與單獨的FW、IPS、AV、×××等設備進化發展同樣，UTM就是這些網關的集合產品。

但我有一個不一樣的見解：UTM部署於網絡的外鏈接出口，通常是互聯網出口，其網絡安全隔離做用，這裏的帶寬價格昂貴，因此擁有大帶寬的用戶頗有限，而Web服務器羣是與網絡主交換機鏈接的，提供的是應用處理能力，要求的參數常是併發用戶的數量與在線用戶的數量，服務器通常都是千兆接口，目前的交換機就可達到幾十個TB的交換能力，在大流量鏈路上作多功能的安全產品，又是應用層的檢測，對產品的硬件壓力是巨大的，能達到「線性」流量的產品必定價格昂貴，所以Web防火牆的這種合併思路是有待商榷的。

三、Web數據庫審計產品：

有效恢復是安全保障的一個很重要的理念。咱們提到動態網頁的防禦難點是用數據庫現場生成的，所以對數據庫的修改就變得很關鍵， Web數據庫審計產品的目的就是對數據的全部操做進行記錄，當發現問題時，這些操做能夠回溯。打個比方，你在遊戲中的裝備被別人給「划走」了，過了一週，你發現了，但一週中，遊戲在繼續，你的裝備有不少新動態，合理與不合理變化交織在一塊兒。此時，若管理人員知道肯定是「某人」的篡改，就能夠把他的動做進行「逆向」操做，你的遊戲仍能夠繼續，不受影響；若經過協商，須要恢復到篡改前的某個狀態，則在數據庫中先取得篡改前最近一次的備份數據，再使用數據庫的審計記錄，一直「操做」到篡改前的狀態，遊戲就能夠繼續了。這種技術與數據庫的實時同步備份技術是相似的。

固然數據庫的操做量很大，所有記錄須要很大的數據空間，因此，Web服務中重要數據庫操做才進行詳細審計，審計的目的是爲了運營狀態的可恢復。常見的Web審計數據： 

◆賬戶操做：涉及權限的改變 

◆運營操做：涉及「財與物」的變化 

◆維護操做：涉及「特殊權限」人的動做

Web數據庫審計產品通常採用旁路部署，不影響數據庫的業務效率。若在業務流量不很大的狀況下，能夠採用Agent的軟件方式，可是不建議徹底依靠數據庫自身的日誌功能，由於，***者破壞後必定有「抹去痕跡」的步驟，痕跡通常就是系統自己的日誌，單獨的審計機制保障了日誌的完整性。

四、Web***檢查工具：

Web安全不只是維護網站本身安全，經過網站***用戶電腦的危害也十分棘手。網頁容易被掛上***，或被XSS***利用，是否有工具能夠對全部的網頁進行安全檢查呢？這裏用到了「爬蟲」技術。

「爬蟲」技術最先是搜索引擎「發明」的，搜索網站放出N個小「爬蟲」，在世界各地的網站上循環掃描，收集網站上的新信息，創建供世界人民查找的數據庫，這樣你們就能夠從Google、百度等搜索門戶上搜到你想要的任何東東。因爲「爬蟲」來自網站外部，因此能夠模擬用戶打開網站的實際效果，因此「爬蟲」很快被網站用來測試自身性能的「用戶體驗」工具，好比網頁打開的速度，用戶互動的等待時間等。做爲用戶體驗工具，「爬蟲」很快也在企業內部網絡上開始流行，關注用戶感覺，是08年開始IT領域內最流行的開發理念。 

圖

所謂「爬蟲」就是這樣一些進程，按照必定的規則(橫向優先搜索、縱向優先搜索)，將網站上全部的頁面打開一遍，(你知道不少網站的點擊率飛漲的緣由了吧，是有無數的小爬蟲在工做…)，在對網頁上關心的事情進行檢查。因爲是以用戶的身份「瀏覽」網頁，因此沒有靜態與動態頁面的差異。Web***檢查工具就是基於這個原理開發的，不一樣於搜索爬蟲的是，在網頁檢查時，重點查看網頁是否被掛***，或被XSS利用。由於網站內的URL連接去向應該可追溯的，因此對XSS的檢查是頗有效的。(「爬蟲」有些象網頁防篡改的文件檢查進程是吧，不過一個是在Web服務器的內部，另外一個是在web服務器的外部)

Web***檢查工具通常做爲安全服務檢查使用，也能夠單獨部署一臺服務器，按期對網站檢查，發現問題及時報警。該工具目前市場上的產品化不多，通常不銷售，網上有些免費的相似軟件能夠試用，隨着Web服務在企業內的應用增多，該工具應該象防病毒檢查工具同樣流行。

5、新的想法---主機Web網關

Web服務是從互聯網技術發展起來，互聯網是「草根」文化的集大成者。在互聯網中，共享智慧是追求，簡捷實用是方法。

很常見的現象，Web服務的處理能力採用集羣技術、雲計算技術，都是利用物美價廉的PC服務器集成在一塊兒，而不是選用「龐大」的巨型機。P2P技術、CDN技術都是網民下降Web服務中心壓力，而又能支持大用戶、實時流媒體業務的「互聯網Web技術」。但這也爲Web業務的安全防禦帶來問題---網絡結構問題。爲了提供處理能力，衆多的服務器「網」同樣地接在覈心交換機上，在服務器前沒有匯聚點，web防火牆的部署就成了問題。

草根文化的特色就是系統避免過渡依賴某一個點(你們都是重要的)。Web服務不一樣於傳統銀行模式的集中處理，服務器是PCServer組成的羣，因爲加入與離開羣，對羣的服務沒有影響，只是服務處理能力的動態變化而已，因此服務器羣中的每一個服務器的處理能力相對不是那麼寶貴，某個服務器的異常宕機也只是對個別的用戶服務有些「臨時影響」，在服務器中安裝Agent的「恐懼」，Web服務管理者應該是沒有的。

爲了與「羣」或「雲」等Web新型網狀結構相適應，Web服務應用層的防禦，能夠與網頁防篡改合起來(尤爲是OS提供底層的文件修改監控)，咱們給它一個新的名字---主機Web網關(Host Web Gateway)。

主機Web網關的部署與防篡改產品同樣，以Agent的形式嵌入到Web服務器中，不須要再關心Web服務的網絡結構，同時，也避免了在Web服務使用加密協議時，網關安全設備對應用層***無能爲力的弊端。

主機Web網關的主要功能： 

◆Web應用***防禦(SQL注入、XSS等) 

◆頁面文件防篡改 W◆eb網頁自動學習功能 

◆Web用戶訪問行爲的自學習功能

至於系統級的***防禦與DDOS防禦，放在UTM/IPS中解決，Web服務的網絡結構就靈活多了。主機Web網關採用軟件形式，沒有了串行設備的性能要求，部署的成本也會大大降低。