梭子魚Web應(yīng)用防火墻技術(shù)原理

1、一、Web應(yīng)用防火墻介紹1.1 Web應(yīng)用防火墻簡(jiǎn)介梭子魚應(yīng)用防火墻基于梭子魚專利的NCOS體系，對(duì)HTTP請(qǐng)求進(jìn)行終止、防護(hù)和加速。集中化GUI控制界面可以讓系統(tǒng)的配置和管理變得十分簡(jiǎn)單。 特別是，梭子魚應(yīng)用防火墻完全符合WAFEC & OWASP提出的標(biāo)準(zhǔn)。并且是世界上唯一被ICSA在網(wǎng)絡(luò)層和應(yīng)用層上通過認(rèn)證的產(chǎn)品。目前已知的應(yīng)用層和網(wǎng)絡(luò)層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見的攻擊技術(shù)，其中最后一列描述了梭子魚WAF如何對(duì)該攻擊進(jìn)行防護(hù)：攻擊方式描述應(yīng)用防火墻的防護(hù)方法跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問該站點(diǎn)的用戶，常見目的是竊取該站點(diǎn)訪問者相關(guān)的

2、用戶登陸或認(rèn)證信息。其防護(hù)方法是：通過檢查應(yīng)用流量，阻止各種惡意的腳本插入到URL, header及form中。SQL 注入攻擊者通過輸入一段數(shù)據(jù)庫查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)。防護(hù)方法是：通過檢查應(yīng)用流量，偵測(cè)是否有危險(xiǎn)的數(shù)據(jù)庫命令或查詢語句被插入到URL, header及form中。命令注入攻擊者利用網(wǎng)頁漏洞將含有操作系統(tǒng)或軟件平臺(tái)命令注入到網(wǎng)頁訪問語句中以盜取數(shù)據(jù)或后端服務(wù)器的控制權(quán)。防護(hù)方法是：通過檢查應(yīng)用流量，檢測(cè)并阻止危險(xiǎn)的系統(tǒng)或軟件平臺(tái)命令被插入到URL, header及form中。cookie/session中毒Cookie通常用于攜帶用戶敏感的登陸信息，但它可能被修改提高

3、訪問權(quán)限，或偽裝成他人的身份登陸。通過對(duì)cookie進(jìn)行數(shù)據(jù)加密，簽名和時(shí)間戳等技術(shù)防止其內(nèi)容被竊取篡改。參數(shù)（或表單）篡改在URL、HTTP頭和表中經(jīng)常使用參數(shù)用于控制對(duì)敏感數(shù)據(jù)的有效訪問。利用參數(shù)配置文檔檢測(cè)應(yīng)用中的參數(shù)，僅允許合法的參數(shù)通過，防止參數(shù)篡改發(fā)生。緩沖溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲取系統(tǒng)管理員的權(quán)限。自動(dòng)執(zhí)行限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。目錄穿越攻擊攻擊者能訪問合法應(yīng)用之外的數(shù)據(jù)或文件目錄，導(dǎo)致數(shù)據(jù)泄露或被篡改。利用應(yīng)用配置文檔，阻止含有路徑穿越

4、的訪問，并強(qiáng)迫只能訪問設(shè)計(jì)發(fā)布的網(wǎng)頁，從而阻止非法訪問不合法的網(wǎng)頁或目錄。密碼攔截黑客很少嘗試破解強(qiáng)編碼數(shù)據(jù)如SSL，他們傾向于攻擊那些臨時(shí)的無防御的數(shù)據(jù)點(diǎn)，數(shù)據(jù)的加密和解密通常由多臺(tái)設(shè)備配合進(jìn)行，這種零散的結(jié)構(gòu)為黑客對(duì)數(shù)據(jù)截取大開方便之門。具備SSL安全防護(hù)機(jī)制，在任何環(huán)境下僅加密的流量才能通過網(wǎng)絡(luò)，在結(jié)合DMZ區(qū)的防御機(jī)制，進(jìn)一步減少單獨(dú)某個(gè)設(shè)備漏洞暴露的可能性。Cookie竊取Cookie通常用來傳輸用戶的登陸認(rèn)證信息，它通常只是采用簡(jiǎn)單的編碼如Base64，這樣容易導(dǎo)致登陸信息被竊取。對(duì)Cookie采用數(shù)據(jù)加密，簽名和時(shí)間戳技術(shù)防止Cookie被竊取。日志篡改黑客篡改刪除日志以掩蓋其攻

5、擊痕跡或改變web處理日志。.將后端服務(wù)器的訪問記錄集中到梭子魚Web應(yīng)用防火墻上，通過數(shù)據(jù)簽名和加密防止其被篡改。還可以按應(yīng)用聲稱加密日志。出錯(cuò)信息截獲黑客通過網(wǎng)站的某些出錯(cuò)信息能夠分析網(wǎng)站的某些特征，進(jìn)而找到攻擊點(diǎn)。梭子魚web應(yīng)用防火墻像防護(hù)罩一樣，防止訪問者獲取來自服務(wù)器的出錯(cuò)信息造成無意的信息泄露。攻擊隱藏黑客通常通過將他們的請(qǐng)求進(jìn)行編碼，以此來偽裝自己的身份。在檢查之前對(duì)解密URL、Unicode和其他各種形式加密。應(yīng)用平臺(tái)偵測(cè) 常見的攻擊通?？梢酝ㄟ^補(bǔ)丁來修補(bǔ)，但是很多情況下補(bǔ)丁并不及時(shí)，黑客在偵測(cè)了應(yīng)用平臺(tái)后，可以利用該平臺(tái)的已知漏洞進(jìn)行攻擊。梭子魚將阻止已知的攻擊，這樣用戶可

6、以按計(jì)劃打補(bǔ)丁，而不必時(shí)刻關(guān)注最新的補(bǔ)丁。安全管理偵測(cè)經(jīng)驗(yàn)豐富的黑客會(huì)對(duì)安全管理系統(tǒng)下手，修改或者關(guān)閉某些安全策略（網(wǎng)絡(luò)層、應(yīng)用層都可能發(fā)生）。通過安全的加密通道對(duì)所有的管理流量進(jìn)行防護(hù)。TCP碎片攻擊通過將一個(gè)攻擊會(huì)話分片成多個(gè)TCP數(shù)據(jù)包可以使得一個(gè)攻擊只掃描數(shù)據(jù)包而不掃描完整會(huì)話的檢測(cè)。對(duì)整個(gè)會(huì)話做深度檢測(cè)，合并碎片重組數(shù)據(jù)以檢測(cè)是否含有攻擊。DOS攻擊經(jīng)驗(yàn)豐富的黑客會(huì)對(duì)安全管理系統(tǒng)下手，修改或者關(guān)閉某些安全策略（網(wǎng)絡(luò)層應(yīng)用層都可能發(fā)生）。包括所有的網(wǎng)絡(luò)層的DoS防護(hù)，包括防止 SYN cookie 和對(duì)客戶端連接速率進(jìn)行限制。通過上表可以看到，Web應(yīng)用防火墻可以從多個(gè)層面做到對(duì)Web

7、服務(wù)器和SQL服務(wù)器的保護(hù)。而對(duì)于移動(dòng)MDC機(jī)房的顧慮：l 跨站腳本攻擊l SQL注入攻擊l 網(wǎng)站偵測(cè)攻擊l 應(yīng)用層DDOS攻擊l 惡意爬行攻擊l Cookie竊取攻擊l Cookie中毒攻擊l 信息泄露攻擊l 網(wǎng)頁被篡改梭子魚WAF不僅僅是完成其中一項(xiàng)或者幾項(xiàng)安全漏洞的填補(bǔ)，而是從Web和SQL訪問的每個(gè)層面，每個(gè)細(xì)節(jié)，進(jìn)行完全的防護(hù)。梭子魚WAF完全可以滿足福建省移動(dòng)的業(yè)務(wù)發(fā)展需求。1.2梭子魚WAF如何做到全面立體的攻擊防護(hù)梭子魚WAF采用多重安全防護(hù)提供最高級(jí)別的保護(hù)。這些防護(hù)包括動(dòng)態(tài)配置文件、HTTP 協(xié)議驗(yàn)證、平臺(tái)攻擊安全和SQL保護(hù)等功能。l 自動(dòng)應(yīng)用學(xué)習(xí) WAF的動(dòng)態(tài)建模梭子魚

8、WAF的獨(dú)特動(dòng)態(tài)建模技術(shù)可自動(dòng)學(xué)習(xí)被保護(hù) Web 應(yīng)用的結(jié)構(gòu)、要素和預(yù)期使用模式。動(dòng)態(tài)模型持續(xù)自動(dòng)檢測(cè)有效的應(yīng)用修改并將其納入到應(yīng)用規(guī)則文件中。通過對(duì)比 Web 請(qǐng)求與模型規(guī)則，梭子魚WAF能夠以高精度檢測(cè)不可接受的行為并防止惡意活動(dòng)。動(dòng)態(tài)配置文件克服了絕對(duì)安全模型相關(guān)的最大缺陷：需要手動(dòng)創(chuàng)建和更新一個(gè)可能包含幾百甚至幾千個(gè) URL、表單字段、參數(shù)和 cookies 的巨大白名單。動(dòng)態(tài)配置文件技術(shù)可自動(dòng)構(gòu)建精確的配置文件，不需要手動(dòng)配置或調(diào)整。l HTTP 協(xié)議驗(yàn)證 HTTP 協(xié)議驗(yàn)證可以防止包括緩沖區(qū)溢出、惡意編碼、HTTP 走私以及非法服務(wù)器操作在內(nèi)的巨量協(xié)議濫用。靈活的規(guī)則使用戶可以嚴(yán)格

9、遵守 RFC 標(biāo)準(zhǔn)，或者允許具體應(yīng)用的微小偏差。l 平臺(tái)和網(wǎng)絡(luò)攻擊防護(hù)梭子魚WAF阻止瞄準(zhǔn)已知的 Web 服務(wù)器漏洞、中間件漏洞和平臺(tái)漏洞的攻擊。梭子魚WAF集成了狀態(tài)網(wǎng)絡(luò)防火墻，能夠抵御來自內(nèi)部和外部來源的非法用戶、協(xié)議和網(wǎng)絡(luò)攻擊。它符合強(qiáng)制性最佳做法安全要求，可以防止非必需協(xié)議使用敏感 Web 應(yīng)用。l Web 服務(wù)保護(hù) 利用其動(dòng)態(tài)配置文件技術(shù)，梭子魚WAF還能夠創(chuàng)建包括 XML 文件、要素、屬性、模式、變量和 SOAP 操作在內(nèi)的合法 Web 服務(wù)行為模型。任何篡改正常 Web 服務(wù)行為的企圖都會(huì)被發(fā)現(xiàn)并阻止。技術(shù)總結(jié)十大功能 十大技術(shù) 網(wǎng)站隱身 反向代理網(wǎng)站防篡改 應(yīng)用層深度包檢測(cè)技術(shù)

10、網(wǎng)站主動(dòng)防攻擊 基于規(guī)則的攻擊模式匹配技術(shù)網(wǎng)站防信息泄露 http數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)網(wǎng)站防DDoS、CC攻擊 Cookie加密簽名及重放保護(hù)技術(shù)網(wǎng)站負(fù)載均衡 IP復(fù)用、緩存、壓縮等加速技術(shù)網(wǎng)站加速 認(rèn)證授權(quán)代理技術(shù)網(wǎng)站安全訪問 數(shù)據(jù)竊取防護(hù)技術(shù)網(wǎng)站安全審計(jì) 高可用性綜合技術(shù)網(wǎng)站安全合規(guī) 智能模式學(xué)習(xí)技術(shù)二、Web應(yīng)用防火墻工作原理梭子魚WAF通過反向代理（Reverse Proxy）的模式，放置在Web服務(wù)器的前端，基于會(huì)話的雙向代理不僅能應(yīng)用在網(wǎng)絡(luò)層，同時(shí)還能應(yīng)用在應(yīng)用層（HTTP）上，確保內(nèi)部服務(wù)器操作系統(tǒng)和TCP堆棧不直接暴露于Internet，保障Web應(yīng)用的安全。梭子魚WAF對(duì)Web站點(diǎn)

11、的防護(hù)是從3個(gè)層面展開的，分別為終止、安全、和加速。2.1終止梭子魚WAF有一個(gè)基本原則: 用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會(huì)話都在此終止。 梭子魚WAF將對(duì)應(yīng)用流量（向內(nèi)和向外）進(jìn)行全面的檢查，并管理每一個(gè)會(huì)話。通過TCP握手切斷任何基于TCP的DOS攻擊。在終止會(huì)話的同時(shí)，梭子魚應(yīng)用防火墻可以提供網(wǎng)絡(luò)層的NAT、PAT 、ACL 策略和SSL 密碼系統(tǒng)。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問權(quán)和控制權(quán)，檢查所有的HTTP 內(nèi)容，解釋和建立規(guī)則。TCP 會(huì)話終止 TCP會(huì)話終止的作用：l 在發(fā)往真實(shí)服務(wù)器之前，完全控制會(huì)話，并實(shí)行安全策略 l 實(shí)現(xiàn)應(yīng)用加速功能l 卸載諸如SSL之類的運(yùn)

12、算狀態(tài)網(wǎng)絡(luò)防火墻基于狀態(tài)的網(wǎng)絡(luò)防火墻的作用:l 實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防火墻的ACL，NAT，PAT等規(guī)則的設(shè)定l 保護(hù)內(nèi)部網(wǎng)絡(luò)免受24層的網(wǎng)絡(luò)攻擊：l 阻斷SYN flood（泛洪）l 阻斷過多半開連接l 阻斷端口及應(yīng)用掃描流量SSL 終止SSL終止的作用：l 卸載高強(qiáng)度計(jì)算的SSL加密，使應(yīng)用服務(wù)器CPU占用率大大降低 l 自定義的局部網(wǎng)站加密，無需改動(dòng)任何代碼l 在進(jìn)行內(nèi)部網(wǎng)絡(luò)之前，解密SSL加密數(shù)據(jù)HTTP協(xié)議合規(guī)化HTTP合規(guī)化的作用：l 強(qiáng)制符合標(biāo)準(zhǔn)化協(xié)議l 自動(dòng)解碼，并識(shí)別和阻斷被編碼的數(shù)據(jù)HTTP包頭重寫HTTP包頭重寫的作用：l 防止信息泄漏和掃描l 提供更得心應(yīng)手得流量管理l 提供獨(dú)

13、一無二得應(yīng)用層功能URL轉(zhuǎn)換URL轉(zhuǎn)換的作用：l 提供應(yīng)用層偽裝l 針對(duì)客戶只暴露一個(gè)簡(jiǎn)單的名稱結(jié)構(gòu)URL 速率控制URL速率控制能夠幫助您實(shí)現(xiàn)：l 后端應(yīng)用服務(wù)器收到指定速率的請(qǐng)求 l 防止應(yīng)用服務(wù)器過載 l 提供一個(gè)控制應(yīng)用的事務(wù)中心2.1 安全一旦某個(gè)會(huì)話被梭子魚應(yīng)用防火墻終止并被控制，將會(huì)對(duì)向內(nèi)或向外的流量進(jìn)行多種檢查，以阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取。 可以指定各種策略對(duì)URL、 參數(shù)和格式等進(jìn)行檢查。網(wǎng)站隱身應(yīng)用偽裝能使您的應(yīng)用和外界完全屏蔽：l 隱藏所有服務(wù)器，操作系統(tǒng)，應(yīng)用服務(wù)，web服務(wù)的結(jié)構(gòu)l 防止worms and bots 對(duì)應(yīng)用進(jìn)行掃描認(rèn)證與授權(quán)l(xiāng) 拒絕/同意被認(rèn)

14、證授權(quán)的用戶l 在URL級(jí)別設(shè)置訪問控制列表l 能為安全審計(jì)提供詳細(xì)的日志和報(bào)表表單參數(shù)保護(hù) 表單參數(shù)保護(hù)能夠：l 防止因?yàn)楸韱巫侄未鄹亩斐傻墓鬺 防止由于因?yàn)楸韱巫侄翁L導(dǎo)致的緩存溢出l 防止SQL注入和命令注入攻擊Cookie 保護(hù) Cookie保護(hù)能夠有效地：l 通過cookie加密來防止cookie偷竊 l 通過對(duì)會(huì)話cookie進(jìn)行簽名，防止cookie被篡改數(shù)據(jù)盜竊防護(hù) 數(shù)據(jù)盜竊防護(hù)能夠：l 通過正確地給信息進(jìn)行編碼，保護(hù)機(jī)密資料 l 數(shù)據(jù)偷盜保護(hù)功能完全根據(jù)一些對(duì)私有數(shù)據(jù)保護(hù)協(xié)議而設(shè)計(jì)，比如HIPAA, Gramm-Leach-Bliley, and CA SB-1386。動(dòng)

15、態(tài)學(xué)習(xí)功能 (DAP)動(dòng)態(tài)學(xué)習(xí)能力的優(yōu)勢(shì)：l 不需要設(shè)定相關(guān)的規(guī)則來阻擋攻擊，能夠自動(dòng)學(xué)習(xí)判斷 l 如果后臺(tái)應(yīng)用調(diào)整了，不需要來對(duì)應(yīng)用防火墻進(jìn)行相對(duì)應(yīng)的調(diào)整SQL和OS 命令注入防護(hù)l 防止SQL注入l 防止OS命令注入l 防止跨站點(diǎn)腳本攻擊l 無需改動(dòng)應(yīng)用代碼2.1加速除了Web應(yīng)用的安全性，數(shù)據(jù)中心還負(fù)責(zé)應(yīng)用的可用性和響應(yīng)時(shí)間。將加速功能 (TCP 池，緩存，GZIP壓縮)和可用性功能（負(fù)載均衡，內(nèi)容交換，健康檢查）在一個(gè)單一的節(jié)點(diǎn)處結(jié)合起來會(huì)顯著地簡(jiǎn)化數(shù)據(jù)中心的體系結(jié)構(gòu)，以此來降低成本。緩存緩存的作用：l 加快客戶響應(yīng)速度l 減少后臺(tái)服務(wù)器的CPU占用率GZIP 壓縮提供壓縮能夠幫助我們

16、：l 很大程度上的加速應(yīng)用交付l 降低帶寬90的使用l 提高web速度30%l 使后臺(tái)服務(wù)器原本需要執(zhí)行的壓縮處理過程轉(zhuǎn)嫁到應(yīng)用防火墻上TCP 連接池TCP連接池的作用：l TCP握手及釋放占用大量服務(wù)器資源，TCP連接池將有效的減少TCP握手及釋放所消耗的服務(wù)器資源，其復(fù)用率超過1：7 SSL offloadingl 將所有原本需要在服務(wù)器上執(zhí)行的SSL加解密運(yùn)算轉(zhuǎn)嫁到防火墻上，降低CPU占用率l SSL加密的數(shù)據(jù)在進(jìn)行內(nèi)部網(wǎng)絡(luò)前被完全地過濾l 在傳輸過程中，所有數(shù)據(jù)是加密的，非明文傳輸7層內(nèi)容交換（應(yīng)用交付）7層內(nèi)容交換（應(yīng)用交付）的作用：l 分組規(guī)則實(shí)現(xiàn)的負(fù)載均衡，緩存以及壓縮能夠有效地

17、提高響應(yīng)速度和降低CPU占用率l 失敗連接地重定向l 重定向內(nèi)容請(qǐng)求到最適合的后臺(tái)服務(wù)器負(fù)載均衡l 內(nèi)建高性能和可靠性設(shè)計(jì)l 添加和刪除服務(wù)器對(duì)整個(gè)服務(wù)沒有任何影響l 對(duì)無效服務(wù)器的訪問進(jìn)行重定向并且梭子魚WAF對(duì)網(wǎng)站的防護(hù)是接收和外發(fā)同時(shí)保護(hù)的。不僅可以對(duì)外部Internet用戶對(duì)內(nèi)部服務(wù)器的請(qǐng)求信息進(jìn)行檢查和阻斷，同時(shí)可以對(duì)服務(wù)器返回的響應(yīng)信息進(jìn)行檢查和阻斷。梭子魚WAF對(duì)接收請(qǐng)求的保護(hù)梭子魚WAF對(duì)響應(yīng)請(qǐng)求的掃描三、梭子魚WAF部署方式梭子魚的WAF部署幾分鐘內(nèi)即可完成，不需要修改原有網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，能夠保護(hù)從個(gè)別應(yīng)用到服務(wù)器和網(wǎng)絡(luò)的整個(gè)應(yīng)用體系。梭子魚WAF的透明檢查技術(shù)具有千兆比特的

18、吞吐能力，等待時(shí)間短至毫秒級(jí)，還提供了多種高可用性能選項(xiàng)，能夠滿足福建省移動(dòng)MDC中心的要求，對(duì)于大規(guī)模的部署，梭子魚有Cluster Manager來提供集中管理，并提供配置、監(jiān)視和報(bào)表工作。透明檢查技術(shù)獨(dú)特地使梭子魚WAF能夠在不修改原有應(yīng)用程序、服務(wù)器或網(wǎng)絡(luò)的條件下部署在任何環(huán)境內(nèi)。并且提供了全面、準(zhǔn)確的應(yīng)用安全，而且還不要求企業(yè)重新設(shè)計(jì) Web 應(yīng)用、修改 IP 或 DNS 設(shè)置，也不必更新身份驗(yàn)證方案。3.1單臂模式單臂模式是目前為止用于產(chǎn)品測(cè)試的最透明和最簡(jiǎn)單的方式，不會(huì)影響網(wǎng)絡(luò)中的其他流量。在單臂模式下，只有HTTP和HTTPS流量會(huì)被指到控制器，控制器處于DMZ區(qū)。控制器檢查這些流量，轉(zhuǎn)發(fā)給服務(wù)器，記錄所有違背安全策略的行為。單臂模式是一種讓用戶“進(jìn)入”第7層安全應(yīng)用的方便的方法。3.2透明模式橋模式是指在兩臺(tái)運(yùn)行的設(shè)備中間插入控制器，但是對(duì)流量并不產(chǎn)生任何影響。在橋模式下，控制器阻斷第7層的應(yīng)用攻擊，但是讓其他的流量通過。橋模式是部署最為簡(jiǎn)便的方式。橋模式是透明的，所以不會(huì)干預(yù)任何網(wǎng)絡(luò)中的設(shè)備。然而，某些功能在橋模式下是無法啟用的，比如負(fù)載均衡，內(nèi)容交換和網(wǎng)絡(luò)防火墻。橋模式下不支持的功能：· 網(wǎng)絡(luò)防火墻 (如 ACL,NAT, 路由等功能) · 負(fù)載均衡· TCP連接復(fù)用 · OOB檢測(cè)（帶外健康檢查）· 服