securesphere waf工作原理和優(yōu)勢(shì)技術(shù)-cmb

ImpervaWAF工作原理

及優(yōu)勢(shì)技術(shù)中國(guó)區(qū)技術(shù)顧問(wèn)劉沛旻

議程Imperva

WAF透明檢測(cè)工作原理Imperva

WAF優(yōu)勢(shì)技術(shù)層次化的管理配置架構(gòu)動(dòng)態(tài)建模及模型自動(dòng)更新全局用戶跟蹤（AUT、WebtoDB關(guān)聯(lián)）關(guān)聯(lián)分析功能高級(jí)WAF防護(hù)策略（網(wǎng)站防爬、機(jī)器人識(shí)別等）真實(shí)IP追蹤應(yīng)用漏掃工具結(jié)合和虛擬補(bǔ)丁提供不同的阻斷頁(yè)面告警分析（告警匯聚、敏感數(shù)據(jù)掩碼、響應(yīng)內(nèi)容記錄、添加例外）應(yīng)用案例分享透明檢測(cè)工作原理CONFIDENTIAL-Imperva3Non-InlineDeploymentReverseProxyDeploymentInlineBridgeDeploymentImpervaWAF部署方式透明橋部署（推薦）支持所有的策略執(zhí)行高性能，低延遲Fail-open網(wǎng)絡(luò)接口反向代理高性能內(nèi)容修改解決方案URL重寫(xiě)、cookie簽名、

SSL終結(jié)支持透明方式旁路監(jiān)聽(tīng)部署主要用于監(jiān)聽(tīng)，沒(méi)有任何網(wǎng)絡(luò)延遲SwitchSecureSphereDataCenterSecureSphereINTERNET透明橋vs透明代理透明代理不同的透明代理：二層MAC透明代理，三層IP透明代理；代理服務(wù)器的工作機(jī)制，會(huì)終結(jié)客戶會(huì)話數(shù)據(jù)包經(jīng)過(guò)WAF后，會(huì)修改數(shù)據(jù)包的源MAC地址、源端口、序列號(hào)等優(yōu)點(diǎn)：可以實(shí)現(xiàn)SSL會(huì)話終結(jié)、Cookie簽名、URL重寫(xiě)等特定功能缺點(diǎn)：性能差，因?yàn)樾薷牧嗽袛?shù)據(jù)包可能對(duì)業(yè)務(wù)造成影響，無(wú)法支持PortChannel等二層設(shè)置透明橋二層橋工作機(jī)制，不會(huì)終結(jié)客戶會(huì)話數(shù)據(jù)包經(jīng)過(guò)WAF，不會(huì)修改原有數(shù)據(jù)包優(yōu)點(diǎn)：性能高、處理快、完全不影響業(yè)務(wù)系統(tǒng)，可透?jìng)鰿DP，Ipsec的數(shù)據(jù)包，支持PortChannel無(wú)法支持SSL終結(jié)、URL重寫(xiě)、Cookie簽名等代理機(jī)制的功能-CONFIDENTIAL-ImpervaWAF透明檢測(cè)引擎CONFIDENTIAL-Imperva6SecureSphere會(huì)維持一個(gè)“影子”TCP/IP堆棧以重構(gòu)TCP流。在將完整的請(qǐng)求發(fā)送至Web服務(wù)器之前，該影子TCP/IP堆棧會(huì)以正確的TCP序列處理數(shù)據(jù)，并會(huì)分析各個(gè)HTTP請(qǐng)求。如果檢測(cè)到攻擊，違規(guī)分組將會(huì)被丟棄，整個(gè)連接將會(huì)被阻止。WAF安全策略對(duì)應(yīng)OSI工作層次CONFIDENTIAL-Imperva7SecureSphere采用三個(gè)解析層來(lái)精確阻止Web應(yīng)用程序攻擊：SecureSphere使用流上的批量URL編碼檢查TCP/IP流以尋找攻擊特征碼。然后，SecureSphere分析基本HTTP協(xié)議信息-URL、報(bào)頭值、參數(shù)名稱和值，但不分析其全部?jī)?nèi)容。在此，例如：SecureSphere會(huì)將過(guò)長(zhǎng)參數(shù)（可能是一次緩沖溢出嘗試）識(shí)別為HTTP協(xié)議違反。在最后一層，SecureSphere將分析完整的HTTP請(qǐng)求和響應(yīng)，標(biāo)準(zhǔn)化編碼內(nèi)容，檢測(cè)規(guī)避技術(shù)，檢查自定義特征碼，并使用應(yīng)用程序特征驗(yàn)證輸入。工作原理圖CONFIDENTIAL-Imperva8物理設(shè)備和產(chǎn)品配置對(duì)應(yīng)SITESERVERGROUPSSERVICESAPPLICATIONSImpervaWAF優(yōu)勢(shì)技術(shù)CONFIDENTIAL-Imperva10層次化的管理配置架構(gòu)策略可基于ServerGroup、Service、Application分別設(shè)定-CONFIDENTIAL-精準(zhǔn)的安全策略需要充分對(duì)應(yīng)用和協(xié)議的理解:每一個(gè)URL,目錄,

參數(shù),方法和cookieXML,SOAP,Web服務(wù)

動(dòng)態(tài)內(nèi)容,JavaScript預(yù)期應(yīng)用的使用行為Cookie可以被修改嗎?

特殊字符是否可以被使用?

表單選項(xiàng)是否是必須的還是可選的?精準(zhǔn)的保護(hù)需要可以自動(dòng)的識(shí)別應(yīng)用程序的變化，而不是通過(guò)手工干預(yù)動(dòng)態(tài)建模及模型自動(dòng)更新（1）動(dòng)態(tài)建模及模型自動(dòng)更新（2）通過(guò)分析網(wǎng)絡(luò)流量,SecureSphere會(huì)自動(dòng)學(xué)習(xí)…DirectoriesURLs參數(shù)預(yù)期的用戶輸入因此可以警告或者阻止異常的請(qǐng)求可將部署時(shí)間從幾個(gè)月縮短到幾天大大減輕持續(xù)管理的負(fù)擔(dān)每周5-15個(gè)變更需要花費(fèi)管理員5-30人小時(shí)的配置時(shí)間DATEPROFILECHANGES理解應(yīng)用和使用情況適應(yīng)持續(xù)不斷的應(yīng)用變更動(dòng)態(tài)建模及模型自動(dòng)更新（3）動(dòng)態(tài)建模及模型自動(dòng)更新（4）每一個(gè)應(yīng)用都可以有自己的動(dòng)態(tài)模型和基于該模型的安全策略動(dòng)態(tài)模型可以實(shí)現(xiàn)自動(dòng)更新，以應(yīng)對(duì)業(yè)務(wù)的變化全局用戶跟蹤（1）

應(yīng)用用戶跟蹤AUTSecureSphere動(dòng)態(tài)學(xué)習(xí):

登陸的URLs User&password

成功或失敗登陸當(dāng)用戶登錄到一個(gè)Web應(yīng)用時(shí)，SecureSphere會(huì)關(guān)聯(lián)用戶和會(huì)話的關(guān)系SecureSphere可以監(jiān)控和阻止

用戶,而不僅僅通過(guò)IP地址全局用戶跟蹤（2）

Web到DB關(guān)聯(lián)分析誰(shuí)是真的用戶?他們?cè)谧鍪裁?通過(guò)那個(gè)URL訪問(wèn)？應(yīng)用程序在做什么?為哪個(gè)應(yīng)用用戶?Web應(yīng)用數(shù)據(jù)庫(kù)用戶訪問(wèn)web應(yīng)用Web應(yīng)用訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)所有的應(yīng)用用戶將共享同一個(gè)數(shù)據(jù)庫(kù)賬號(hào)用戶1用戶2用戶3…應(yīng)用服務(wù)器使用的數(shù)據(jù)庫(kù)賬號(hào)應(yīng)用用戶ImpervaWAF理解Web應(yīng)用、跟蹤Web應(yīng)用用戶Imperva數(shù)據(jù)庫(kù)解決方案記錄詳細(xì)數(shù)據(jù)庫(kù)的訪問(wèn)關(guān)聯(lián)分析全局用戶跟蹤（3）

Web到DB關(guān)聯(lián)分析關(guān)聯(lián)分析功能（1）ProfileLength&TypeViolationJavaScriptSignatureProtocolViolation+AttackSignature+

ProfileViolation=CrossSiteScriptingAttackSecureSphereCorrelationEngine關(guān)聯(lián)規(guī)則精準(zhǔn)的阻止攻擊，避免誤判

Network

ProtocolValidation

AttackSignatures

ApplicationProfile

WebServicesDataLeakPrevention

ThreatRadar

Encoding,anevasionmethod關(guān)聯(lián)分析功能（2）

CONFIDENTIAL-Imperva20關(guān)聯(lián)分析功能（3）

自定義的關(guān)聯(lián)分析策略SecureSphere阻止…如果在30秒內(nèi)嘗試了3次一個(gè)登陸請(qǐng)求…用戶輸入超出了預(yù)期的行為SecureSphere提供了25+匹配條件供客戶選擇，實(shí)現(xiàn)強(qiáng)大的管理功能BotchallengeSuccessfulresultHumanBotBotchallengeBlocked機(jī)器人程序抑制技術(shù)（Botmitigation）

可以偵測(cè)發(fā)現(xiàn)爬蟲(chóng)程序,用來(lái)限制各種爬蟲(chóng)工具、被控制的傀儡主機(jī)等不是簡(jiǎn)單通過(guò)識(shí)別User-Agent信息來(lái)區(qū)分訪問(wèn)客戶端類型，而是通過(guò)更加準(zhǔn)確的Challenge方式來(lái)判斷SecureSphereWAF高級(jí)WAF防護(hù)策略（1）

機(jī)器人訪問(wèn)抑制?Copyright2012Imperva,Inc.Allrightsreserved.22防止網(wǎng)頁(yè)爬取策略

有效偵測(cè)和阻斷短時(shí)間內(nèi)大量訪問(wèn)不同頁(yè)面的請(qǐng)求，防止公司公開(kāi)的有價(jià)值信息被他人批量復(fù)制和拷貝不僅僅檢測(cè)有價(jià)值頁(yè)面是不是被同一訪問(wèn)源（用戶、會(huì)話、IP）大量訪問(wèn)，還會(huì)檢測(cè)這些被訪問(wèn)的頁(yè)面是否是不同的頁(yè)面（相同頁(yè)面則可能是DDOS攻擊）高級(jí)WAF防護(hù)策略（2）

網(wǎng)站防爬策略?Copyright2012Imperva,Inc.Allrightsreserved.23真實(shí)IP追蹤WAF設(shè)備如果部署在LB設(shè)備之后，可能看到的是LB設(shè)備的IP地址我們可以通過(guò)X-Forwarded-For字段信息，還原真實(shí)源IP，并基于真實(shí)源IP設(shè)置安全規(guī)則CONFIDENTIAL-Imperva24SecureSphere可以導(dǎo)入掃描的結(jié)果，并立即生成抑制漏洞的安全策略避免了支付卡信息處理公司對(duì)于嚴(yán)重漏洞緊急修復(fù)和測(cè)試的過(guò)程CustomerSite掃描工具發(fā)現(xiàn)應(yīng)用漏洞SecureSphere導(dǎo)入掃描結(jié)果Web應(yīng)用得到保護(hù)漏掃工具結(jié)合和虛擬補(bǔ)?。?）

?Copyright2012Imperva,Inc.Allrightsreserved.25某支付卡數(shù)據(jù)處理公司:使用網(wǎng)頁(yè)應(yīng)用漏洞掃描工具發(fā)現(xiàn)漏洞，這些漏洞將會(huì)成為被攻擊的目標(biāo)整個(gè)修復(fù)過(guò)程涉及開(kāi)發(fā)團(tuán)隊(duì)，并且耗時(shí)、耗錢SecureSphere:縮小了手工修復(fù)應(yīng)用補(bǔ)丁帶來(lái)的漏洞空窗期、以及成本為開(kāi)發(fā)人員提供了全面的漏洞管理視圖將漏洞導(dǎo)入WAF公司使用網(wǎng)頁(yè)應(yīng)用漏洞掃描工具掃描網(wǎng)站漏掃工具結(jié)合和虛擬補(bǔ)?。?）

虛擬補(bǔ)丁實(shí)際案例?Copyright2012Imperva,Inc.Allrightsreserved.26提供不同的阻斷頁(yè)面可以根據(jù)客戶需要定制多種阻斷頁(yè)面例如，不同的攻擊阻斷告警頁(yè)面不同；不同的源地址告警頁(yè)面不同CONFIDENTIAL-Imperva27告警分析（告警匯聚）提供強(qiáng)大的告警分析功能，包括了告警匯聚、敏感數(shù)據(jù)掩碼、響應(yīng)內(nèi)容記錄、添加例外等功能CONFIDENTIAL-Imperva28告警分析（敏感數(shù)據(jù)掩碼、響應(yīng)內(nèi)容記錄）提供詳細(xì)的Http頭和Http響應(yīng)內(nèi)容信息，并對(duì)敏感的內(nèi)容進(jìn)行掩碼CONFIDENTIAL-Imperva29告警分析（快速添加例外、修改策略）可直接在告警界面上進(jìn)行例外的添加和策略的修改CONFIDENTIAL-Imperva30應(yīng)用案例分享CONFIDENTIAL-Imperva31北京移動(dòng)WAF應(yīng)用案例問(wèn)題背景：北京中國(guó)移動(dòng)網(wǎng)上商場(chǎng)吉祥號(hào)碼，號(hào)碼剛剛放出來(lái)的新號(hào)不到15秒就被號(hào)販子獲得，普通用戶根本無(wú)法正常獲得吉祥號(hào)碼。故障分析：6月7日訪問(wèn)網(wǎng)站的用戶IP是26000多，有7個(gè)IP的訪問(wèn)流量就達(dá)到了32.26GB，也就是說(shuō)0.02%的IP占了總流量的36%。經(jīng)分析，這幾個(gè)IP的行為模式如下：1.長(zhǎng)時(shí)間高頻率發(fā)送查詢吉祥號(hào)碼的請(qǐng)求2.偶爾發(fā)送購(gòu)買和提交訂單的請(qǐng)求3.部分IP發(fā)送查詢吉祥號(hào)碼請(qǐng)求的間隔是隨機(jī)的CONFIDENTIAL-Imperva32ImpervaWAF解決方案推斷：號(hào)販子采用自動(dòng)機(jī)器人程序?qū)W(wǎng)站進(jìn)行長(zhǎng)期掃描，并命中特定靚號(hào)后自動(dòng)下單掃描的業(yè)務(wù)頁(yè)面是特定的自定義安全規(guī)則設(shè)定：策略一：對(duì)于前綴為【/jxhsimca