安恒信息明御WEB應用防火墻產(chǎn)品白皮書

1、1.概述Web網(wǎng)站是企業(yè)和用戶、合作伙伴及員工的快速、高效的交流平臺。Web網(wǎng)站也容易成為黑客或惡意程序的攻擊目標，造成數(shù)據(jù)損失，網(wǎng)站篡改或其他安全威脅。根據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(簡稱CNCERT/CC的工作報告顯示：目前中國的互聯(lián)網(wǎng)安全實際狀況仍不容樂觀。各種網(wǎng)絡安全事件與去年同期相比都有明顯增加。對政府類和安全管理相關類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式，以達到泄憤和炫耀的 目的，也不排除放置惡意代碼的可能，導致政府類網(wǎng)站存在安全隱患。對中小企業(yè)，尤其 是以網(wǎng)絡為核心業(yè)務的企業(yè)，采用注入攻擊、跨站攻擊以及應用層拒絕服務攻擊(Denial OfService)等，影響業(yè)務的正常開展

2、。2007年到2009年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢。1.1常見攻擊手法目前已知的應用層和網(wǎng)絡層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見的攻擊技術，其中最后一列描述了安恒WAF如何對該攻擊進行防護。表1.1:對不同攻擊的防御方法攻擊方式描述安恒WAF的防護方法跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪 問該站點的用戶，常見目的是竊取該站點 訪問者相關的用戶登陸或認證信息。通過檢查應用流量，阻止各種惡意的腳本插入到URL,header 及 form 中。SQL注入攻擊者通過輸入一段數(shù)據(jù)庫查詢代碼竊 取或修改數(shù)據(jù)庫中的數(shù)據(jù)。通過檢查應用流量，偵測是否

3、有危險的數(shù)據(jù)庫命令或查詢語句被插入到 URL, header及 form 中。命令注入攻擊者利用網(wǎng)頁漏洞將含有操作系統(tǒng)或 軟件平臺命令注入到網(wǎng)頁訪問語句中以 盜取數(shù)據(jù)或后端服務器的控制權(quán)。通過檢查應用流量，檢測并阻 止危險的系統(tǒng)或軟件平臺命 令被插入到URL, header及form 中。cookie/seesion 劫持Cookie/seesion通常用于用戶身份認證，并且可能攜帶用戶敏感的登陸信息。攻擊者可能被修改 Cookie/seesion提高訪問權(quán)限，或偽裝成他人的身份登陸。通過檢查應用流量，拒絕偽造 身份登錄的會話訪問。參數(shù)（或表單）篡改通過修改對 URL、header和form

4、中對用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服 務器。利用參數(shù)配置文檔檢測應用中的參數(shù),僅允許合法的參數(shù)通過，防止參數(shù)篡改發(fā)生。緩沖溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊 者通過向程序緩沖區(qū)寫入超出其長度的 內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序 的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲 取系統(tǒng)管理員的權(quán)限。用戶可以根據(jù)應用需求設定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務器。日志篡改黑客篡改刪除日志以掩蓋其攻擊痕跡或 改變web處理日志。.通過檢查應用流量，防止帶有 日志篡改的應用訪問。應用平臺漏洞攻擊黑客通過獲悉應用平臺后，可以利用該平 臺的已知漏洞進行攻擊。當應用平臺出現(xiàn) 漏洞，且沒有官方補丁

5、時，同樣面臨被攻 擊的風險。安恒WAF將阻止已知的攻擊，并提供安全策略規(guī)則升級服務，用戶可以按計劃進行安全應用策略升級。同時，對于局級用戶，安恒 WAF提供自定 義規(guī)則庫的添加，可以針對某 些關鍵字，特殊應用做特殊安全處理。DOS攻擊通過DOS攻擊請求，以達到消耗應用平臺 資源異常消耗的一種攻擊，最終造成應用 平臺拒絕服務?？梢苑雷o所有的網(wǎng)絡層的DoS。包括防止 SYN cookie , 應用層DOS攻擊和對客戶端 連接速率進行限制。HTTP找攻擊一些狡猾的黑客通過 HTTP仙行HTTPS 的攻擊，由于SSL加密數(shù)據(jù)包無法進行有 效的檢測，導致通用的網(wǎng)絡防火墻和普通 WEB應用防火墻無能為力。

6、支持用戶上傳HIIPS證書，在WAF進行第一輪認證，并對應 用流量進行解密和偵測，對HTTPS類的所有攻擊進行有 效的攔截和防御。2.現(xiàn)有的防御技術目前，很多企業(yè)采用網(wǎng)絡安全防御技術對Web應用進行防護，如綜合采用網(wǎng)絡防火墻、IDS、補丁安全管理、升級軟件等措施，然而這些方法難以有效的阻止Web攻擊，且對于HTTPS類的攻擊手段，更是顯得束手無策。2.1.傳統(tǒng)網(wǎng)絡防火墻第一代網(wǎng)絡防火墻可以控制對網(wǎng)絡的訪問，管理員可以創(chuàng)建網(wǎng)絡訪問控制列表(ACLs)允許或阻止來自某個源地址或發(fā)往某個目的地址及相關端口的訪問流量。傳統(tǒng)的防火墻無法阻止Web攻擊，不論這些攻擊來自防火墻內(nèi)部的還是外部，因為它們無法檢

7、測、阻斷、修 訂、刪除或重寫HTTP應用的請求或應答內(nèi)容。為了保障對web應用的訪問，防火墻會開放Web應用的80端口，這意味著Internet上的任意IP都能直接訪問 Web應用，因此 web及 其應用服務器事實上是無安全檢測和防范的。狀態(tài)檢測防火墻是防火墻技術的重大進步，這種防火墻在網(wǎng)絡層的 ACLs基礎上增加了狀態(tài)檢測方式，它監(jiān)視每一個連接狀態(tài)， 并且將當前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包 和狀態(tài)信息進行比較， 從而得到該數(shù)據(jù)包的控制信息， 來達到保護網(wǎng)絡安全的目的。 它能根 據(jù)TCP會話異常及攻擊特征阻止網(wǎng)絡層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中。 然而，狀

8、態(tài)防火墻無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通過防火墻到達應用服務器；同樣，如果某個攻擊進行了加密或編碼該防火墻也不能檢測。2.2. 入侵檢測系統(tǒng)（IDS）入侵檢測系統(tǒng)使用特征識別技術記錄并報警潛在的安全威脅。其工作模式是被動的， 它不能阻止攻擊，也不能對未知的攻擊進行報警。目前大多數(shù)攻擊特征數(shù)據(jù)庫都是網(wǎng)絡層的攻擊，此外，可以通過加密， TCP碎片攻擊以及其他方式繞過入侵檢測系統(tǒng)的防御。3. Web安全需求企業(yè)對Web應用的安全防護主要包括如下需求：部署簡便，管理集中，操作簡潔，性 能影響甚微。包括：對現(xiàn)有網(wǎng)絡拓撲結(jié)構(gòu)盡量無影響 ；方便管理，無需進行復雜的配置

9、；對現(xiàn)有 WEB服務器的訪問速率不能造成太大的影響 ；-對正常業(yè)務訪問不能進行錯誤的攔截阻斷。3.1. Web應用防火墻Web應用防火墻的兩個關鍵功能是，深入理解HTTP/HTTPS&議，可監(jiān)測往返流量，能對web流量進行安全控制。 Web數(shù)據(jù)中心是經(jīng)常變化的，包括新的應用程序、新的軟件模塊，不斷更新的軟件補丁等。專業(yè)的安全工具和方法應能適應這種動態(tài)環(huán)境，應用配置的升級更新和對監(jiān)測數(shù)據(jù)的分析使得應用防火墻總能適應新的安全需求4.安恒WAF的特點安恒WAF提供高效的 Web應用安全邊界檢查功能。安恒 WAF整合了所有的 Web安全防御功能，能全方位的保護用戶的Web數(shù)據(jù)中心。安恒 WAF

10、對所有 Web流量（包括客戶端請求流量和服務器返回的數(shù)據(jù)流量）進行深度檢測，在網(wǎng)絡層和應用層兩方面提供了廣泛的入侵防護功能。安恒WAF提供多種部署模式，典型的部署模式有：透明直連模式和單臂鏡像監(jiān)控模式。透明直連模式提供完全透明的部署方式，即對原有網(wǎng)絡拓撲結(jié)構(gòu)不造成任何影響，安恒WAF自身也不占用IP地址，從而不僅保護了 Web服務器，也提高了自身的安全等級（針對 安恒WAF的攻擊將顯得無能為力）。安恒 WAF的透明直連部署如下圖所示：安恒3廁曲隨方期上圖為透明直連部署方式，在該部署模式下，安恒WAF提供直連檢測防御和旁路檢測兩種模式。直連檢測防御模式：對Web流量進行安全檢測，并且可以采取防御

11、阻斷措施，防止非法入侵訪問和 Web服務器敏感信息等流量通過；旁路檢測模式：對Web流量進行鏡像檢測，并不采取阻斷，從而既實現(xiàn)了監(jiān)控又達到了對網(wǎng)路性能零損耗的目的。我們推薦在部署初期采用旁路檢測模式，對既有網(wǎng)絡環(huán)境和Web服務不會產(chǎn)生任何負面影響，并可及時針對相關告警信息以及客戶實際業(yè)務需求，做適量調(diào)整后切換到直連檢測防御模式，達到 既安全又保險的目的。Web另外我們還提供單臂鏡像的監(jiān)控模式：即通過網(wǎng)絡交換機鏡像口，將保護對象（ 服務器）相關的流量鏡像到安恒 WAF設備，實現(xiàn)鏡像的監(jiān)控模式。安恒WAF具備獨立的安全策略規(guī)則庫，可以對應用層數(shù)據(jù)流量進行雙向檢測，并對非 法訪問記錄相關日志，用戶可

12、以實時查看WEB服務器的當前安全狀況。安恒WAF提供多個保護站點的功能，WAF設備面板具備多個IN和OUT 口，IN 口為訪問數(shù)據(jù)流入口， OUT為WAF與WEB服務器的接口。多個 IN和OUT 口支持對多臺主機的保 護，用戶同時也可以在 OUT 口接一臺交換機，后端保護多臺 WEB服務器。安恒 WAF提供 一個管理口，用戶可以通過管理口對WAF進行相關的配置和當前狀況的查看。安恒WAF提供對HTTPS的完全防護，訪問數(shù)據(jù)在WAF進行第一輪認證，并對后續(xù)訪問 流量進行安全檢查，充分防止 HTTPS類型的各種攻擊方式。5.安恒WAF的功能安恒WAF提供下列功能：-深度防護-Web站點隱藏-策略設

13、置向?qū)?安全策略檢測和阻斷模式-硬件旁路模式-HTTPS/SSL勺完全支持-網(wǎng)頁防篡改日志和報表-高可操作性5.1.web防火墻安恒WAF通過對 Web流量進行深度檢測對 Web應用進行深度防護，提供了全面的入 侵防御能力。安恒WAF能在攻擊到達Web服務器之前進行阻斷，防止惡意的請求或內(nèi)置非法程序的 請求訪問目標應用。安恒 WAF能解碼所有進入的請求，檢查這些請求是否合法或合乎規(guī)定；僅允許正確的格式或 RFC遵從的請求通過。已知的惡意請求將被阻斷，非法植入到Header、 Form和URL中的腳本將被阻止。 Web應用防火墻還能進行 Web地址翻譯、請求限制、 URL 格式定義及Cookie

14、安全。安恒 WAF能阻止一系列的攻擊，無論是已知的或未知的。能夠阻止那些最常見的攻擊 如跨站點腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽、SQL注入等。5.2. Web站點隱藏成功的Web攻擊往往由探測網(wǎng)絡漏洞開始，在網(wǎng)絡上很容易找到漏洞掃描工具對一個網(wǎng)站的應用程序、服務器、URL等進行掃描。安恒 WAF提供站點隱藏功能，黑客將無法查看web的源信息，安恒 WAF URL返回碼，HTTP頭信息以及終端服務器的 IP。安恒WAF能完全的中止所有的會話，因此用戶無法直接連接到Web服務器上，無法直接訪問服務器、操作系統(tǒng)或補丁程序。訪問出錯信息也將由安恒WAF提供，后端服務器的出錯信息不會直接返回給用戶。

15、這樣，避免了服務器敏感信息泄露， 也同時讓一些高明的黑 客就無法通過出錯信息發(fā)動攻擊。5.3. 安全策略安恒WAF提供默認的安全策略對 Web網(wǎng)站或應用進行嚴格的保護。除了默認的策略外， 用戶還可以創(chuàng)建客戶化的策略。每個策略下分為若干子策略：-HTTP協(xié)議合規(guī)性-SQL注入阻斷-跨站點腳本攻擊防護表單/cookie篡改防護-DoS攻擊防護請求包大小限制限制HTTP請求Head大小避免惡意代碼通過，超過規(guī)定大小的請求將被丟棄。正確配 置請求限制還能減輕 Dos攻擊、緩沖區(qū)攻擊。HTTP/HTTPS青求方法限制限制 HTTP/HTTPS各種方法的訪問，包括：GET, POST DELET巳 HEA

16、D, CONNECTTRACE PUT。HTTP/HTTPS青求方法限制支持黑白名單的配置，可以設定可信的訪問客戶端IP（白名單）而不受安全策略規(guī)則的檢測;設定非法的訪問客戶端（黑名單），直接禁止其任何對 WEB服務器的訪問。用戶自定義規(guī)則庫支持用戶自定義規(guī)則庫，用戶可以根據(jù)業(yè)務需求，針對某些關鍵字，數(shù)據(jù)段長度等相關 信息，自定義安全過濾規(guī)則。5.4.檢測和阻斷模式架設web應用防火墻可能意外的現(xiàn)象，應用某個不當?shù)囊?guī)則可能影響當前應用的正常使用，因此不少管理員都在猶豫要不要使用最高安全等級的過濾策略。保守監(jiān)控功能可以幫助用戶解決這個擔憂，利用這個功能用戶可以在不影響使用的前提下進行策略配置。安

17、恒WAF支持檢測和阻斷模式功能，在檢測模式下，所有安全策略規(guī)則都只是對應用流量數(shù)據(jù)包進行檢測，并告警，而不做任何阻斷功能；在阻斷模式下，所有的安全策略規(guī)則同時可以提供用戶對單條規(guī)則的配置：阻斷 （默認）或者僅檢測。因此，管理員可以根據(jù)監(jiān)控 情況，實時進行調(diào)整。5.6碩件旁路模式硬件旁路：當設備出現(xiàn)故障或者關機時，WAF設備可以切換到硬件旁路模式，對既有的網(wǎng)絡連接狀況不會造成中斷影響。HTTPS/SSL勺完全支持安全套接字層 （SSL能提供一個加密的（公鑰私鑰配對）可靠的連接。許多商業(yè)網(wǎng)站采用SSL傳輸以保障數(shù)據(jù)安全，不過SSL的加密通常費時費力。安恒WAF支持對HTTPS訪問的完全監(jiān)控和阻斷能

18、力， 支持Openssl類加密的證書格式。支持用戶上傳WEB服務器的證書，在訪問WEB服務器之前進行第一輪認證，并對訪問應用 流量進行徹底檢查，防止各類攻擊訪問。5.7日志和報表安恒WAF記錄了重要事件的日志信息，日志信息非常全面涵蓋了一次訪問的主要信息 參數(shù)，支持多種搜索方式， 這些日志信息可以幫助用戶搜索并分析可以流量，進而優(yōu)化安全策略。安恒WAF的報表功能十分強大，在日志的基礎上可以生成各種報表，還提供報表模板，大大方便了管理員的數(shù)據(jù)分析，增強了系統(tǒng)的易用性。5.8高可操作性安恒WAF采用圖形（GUI）管理和配置界面，直觀且支持多任務，跟用戶平時的使用習慣 一致，可用性高。5.9WEB加速功能安恒WAF為了提高被保護系統(tǒng)的訪問速度同時消除WAF過濾分析過程中帶來的延時，定制提供了應用加速功能，通過高速緩存和相關算法鏡像及管理相關的靜態(tài)內(nèi)容，一旦有用戶訪問，客戶端直接通過 WAF緩存中獲取，避免了用戶重復通過 Web服務器并進行協(xié)議解 析等相關操作，從而加快了訪問速度，減輕了WEB服務器的負擔6.結(jié)論杭州安恒信息技術有限公司的核心團隊擁有多年互聯(lián)網(wǎng)應用安全防衛(wèi)、網(wǎng)絡安全審計、 數(shù)據(jù)庫安全審計