F5 吴静涛：技术人讲述WEB应用攻防之道

随着企业和政府越来越多的业务系统采用基于WEB服务方式，为用户提供方便快捷的同时，也带来了前所未有的巨大安全风险。不仅政府网站，近年来各种web网站攻击事件也是频频发生， SQL注入攻击，页面被篡改、信息失窃、甚至被利用成传播木马的载体……那么在威胁不断加重的Web安全面前，我们应该如何应对?我们有幸请来了F5中国区技术总监吴静涛先生为我们解答。

　　web应用攻击的危害及攻击特点

　　web 服务器是必经的大门，web 开发的团队技术实力的参差不齐，并非都是“专业型”的高手，编程不规范、安全意识不强，导致为黑客大开方便之门。

　　吴静涛说：“近年来web 安全漏洞被黑客关注和利用，成为了攻击的主流。使很多网站都深受其害。很多政府、企业、银行等部门对外的窗口和实施电子政务、电子商务的重要平台，也由于web 应用漏洞引起的安全问题被黑客篡改页面、信息失窃、甚至被利用成传播木马的载体，直接影响政府和企业的形象和声誉，这些危害都是毁灭性的。”

　　Web网站的安全事件频频发生，究其根源，关键原因有二：一是web 网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。

　　吴静涛表示，以前黑客经常使用DDOS攻击都可以让网站瘫痪，也可能是黑客在显示他的技术高超。但是，近年来随着WEB漏洞引起黑客的关注和利用，这种局面正在改变。现在黑客通常会选择WEB应用程序来实施攻击，如SQL注入攻击、跨站脚本攻击和其它web 漏洞的利用。

　　利用网站的安全漏洞，尤其是web应用程序漏洞：如SQL 注入等，黑客能够得到web 服务器的控制权限，随意篡改网页内容或窃取重要内部数据，更为严重的则是在网页中植入恶意代码，通过“网页挂马”感染更多的客户端用户。

　　吴静涛说：“SQL注入攻击本身就是对数据库进行一系列SQL语句的查询，分号后面会被注释为SQL语句。黑客可以执行一个SQL查询来实现绕过身份验证或者操纵数据。比如说黑客在登陆管理后台时，在用户名字段中输入了‘) OR 1=1- ，熟知 Select 语句的人知道，在条件语句中，无论用户名称是否正确，由于 1=1 永远是正确的，就这样黑客成功的绕过了身份验证，黑客登陆到这个系统中。通过 SQL 注入攻击，黑客可以轻松的敲入一些 SQL 语句登陆进网站、对隐秘数据进行查询等等，而这一切都可以在WEB浏览器中进行的。”

 
F5中国区技术总监吴静涛

　　传统硬件设备的不足

　　有数据显示，用户普遍认为网络防火墙能够防范web 攻击，相当大一部分比例企业认为部署的 IDS/IPS 即可有效防范web 攻击。

　　吴静涛说：“通常客户都喜欢把大量的费用投入到传统的安全设备中，如防火墙和IPS/IDS等等。但是和传统底层攻击方式不同的是，如今web 应用攻击通常是以七层的形式进行，对这种攻击，传统防火墙显得力不从心。”

　　吴静涛同时指出，最为常见的 SQL 注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言，这是最为正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击。即使一些高级网络安全设备可以通过特征库判断敏感SQL命令来提供部分安全防护，但是，关键应用和网上交易都是通过加密实现的，这个时候， 网络安全设备根本无法通过特征库的方式实现应用安全;所以，一些简单的 SQL 注入语句就可以使得昂贵的网络安全设备被轻松攻破。

　　无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题?访问一旦被允许，后续的安全问题就不是防火墙能应对了。IDS可以通过模式识别对网络层面的攻击做出防护措施，然而类似于防火墙，通过利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。

　　解决之道

　　随着近几年层出不穷的WEB安全事件曝光，企业也开始的清醒地意识到web攻击的严重性。传统的安全设备已无法满足应对web安全事件，企业该怎么办呢？

　　说到解决之道，吴静涛表示：“F5作为专业的应用交付网络厂商，F5 成功解决了现有web安全威胁。可帮助企业站点保护应用与数据不会受到任何web威胁的破坏。”

　　F5通过对网络和应用之间存在的问题，提出了以安全、快速和高可用为核心的应用交付网络概念，并从虚拟化、应用优化、共享和提高应用安全等几个方面入手，帮助企业、服务提供商、政府机构、Web 内容提供商和社交媒体站点构架应用交付网络，提高系统的高可用性、利用率和客户体验，并降低应用安全风险。

　　记者手记

　　通过采访，我们从吴静涛先生那里知道了F5的应用交付网络以及应用交付网络所能解决的问题，应用交付网络F5以先进技术理念和前瞻性走在了前头，将自身的位置定在了安全、快速、高可用。

　　吴静涛简历：

　　1999年开始进入应用交付的前身——负载均衡领域，2002年加入F5公司，历任北区技术经理、中国区技术经理、中国区技术总监；对电信、金融、政府等行业都有一定了解，涉及技术包括应用高可用技术，优化技术和应用安全防护技术等，并且和各大网站相关技术人员保持紧密联系，对互联网的新技术有深入了解。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。