浅谈网银之WEB应用防火墙

network

当前，网上银行发展迅猛，目前已经成为金融服务的重要渠道，去年网上银行的交易总额已经达到三百万亿，占整个银行业务总额的30%，大有替代柜台服务之势。自从央视3•15晚会曝光网上支付和网银盗窃案之后，我国网银市场受到了一定冲击。但随着网银安全技术的不断提高，客户网银安全知识的更多了解，网上银行将为客户提供更加安全、便捷和个性化的服务，满足更多客户的需求，从而实现客户和银行的双赢。
我们的网银系统在如此的大背景下即将要上线运营，作为一个商业银行科技部的安全主管，我们首当应当考虑的就是如何提供更具有安全性的网银系统来保障用户的利益。虽然我们的网银系统客户端已经使用业界最安全的认证：电子证书+动态口令+USBKEY等多重认证。但对于网银系统的服务器端的安全更是我们科技部所关注的重点。
基本上大部份的网上银行都是基于B/S（浏览器/服务器）系统，我们行的网上银行系统也不例外。在我们的网络前端虽然已经部署了防火墙，但针对于B/S的应用型攻击，防火墙基本上无效。此时，我们考虑使用业界内比较前沿的应用安全防护产品---WEB应用防火墙（WAF）。
在国外PCI法案通过之后，要求提供信用卡网上支付超过一定营业额的企业，都需要配置Web应用防火墙。初期，我们对于WEB应用防火墙也不太熟悉。我们找了三个厂家进行测试。分别是北京的安全大厂绿X，国外厂家梭子X以及新兴的国内应用安全厂家杭州安X。
对于我们的考虑，WEB应用防火墙基本上要符合我们以下几个安全要求：
1． 防WEB应用攻击。尤其是现在国内特别多的SQL注入攻击和XSS攻击。
2． 策略的可定制化。WEB应用变化多，需要有针对性的根据我们的网银系统进行安全策略调整。
3． 支持HTTP/HTTPS。网银基于上是使用SSL，必须要求支持HTTPS。
4． 详尽的报告功能。需要支持查询和导出功能。
根据几个厂家提供的样品。我们依次做了一些测试。功能对比数据如下：

北京绿X产品感觉大并发的时候抗压力能力不够 ，对网站影响速度明显，优点是支持在线切换到直通模式 适合试用 部署方便 不改变网络结构。通过他们报表功能，感觉就像IPS改造出来的，并非是基于应用安全的报表。在报表里面只有访问者的IP和保护对象IP，没有具体到应用的哪一个页面。管理起来不是特别方便。
国外梭子X产品和杭州安X，一开始我们部门几个人员都比较喜欢，但摇摆不定。但梭子X产品未有扫描模块，无法做到WEB应用安全检查，同时通过对比实现机制的比较，我们发现反向代理相比于透明模式较弱些。反向代理的最大缺点是，需要改变服务器（被保护对象，网银的WEB主机）的IP地址及DNS解析，实际上是把被保护对象（网银的WEB主机）的IP地址配置到WAF上，这样，被保护对象的服务器就需要重新来配置IP地址和DNS解析了。DNS解析各地速度不一样，对于网银系统的高效安全性上，这块处理会比较麻烦。
杭州安X，作为一家新业的WEB应用安全厂家，在WEB应用防火墙领域，有领先的解决方案。虽然他的成立比北京绿X和国外梭子X较晚些，但相信以他们的专注和专业品质，足以在应用安全领域方面超越前者。就像我们商业银行一样，虽然国内有四大银行，但我们银行可以提供更加专业的安全的网银系统，为客户提供更多的安全保障，以此树立口碑，发展出更多忠实的网银用户。

network

http://www.dbappsecurity.com.cn/

network

http://security.ctocio.com.cn/sec_site/