securesphere waf工作原理和優(yōu)勢技術(shù)-cmb

ImpervaWAF工作原理

及優(yōu)勢技術(shù)中國區(qū)技術(shù)顧問劉沛旻

議程Imperva

WAF透明檢測工作原理Imperva

WAF優(yōu)勢技術(shù)層次化的管理配置架構(gòu)動態(tài)建模及模型自動更新全局用戶跟蹤（AUT、WebtoDB關(guān)聯(lián)）關(guān)聯(lián)分析功能高級WAF防護(hù)策略（網(wǎng)站防爬、機(jī)器人識別等）真實IP追蹤應(yīng)用漏掃工具結(jié)合和虛擬補(bǔ)丁提供不同的阻斷頁面告警分析（告警匯聚、敏感數(shù)據(jù)掩碼、響應(yīng)內(nèi)容記錄、添加例外）應(yīng)用案例分享透明檢測工作原理CONFIDENTIAL-Imperva3Non-InlineDeploymentReverseProxyDeploymentInlineBridgeDeploymentImpervaWAF部署方式透明橋部署（推薦）支持所有的策略執(zhí)行高性能，低延遲Fail-open網(wǎng)絡(luò)接口反向代理高性能內(nèi)容修改解決方案URL重寫、cookie簽名、

SSL終結(jié)支持透明方式旁路監(jiān)聽部署主要用于監(jiān)聽，沒有任何網(wǎng)絡(luò)延遲SwitchSecureSphereDataCenterSecureSphereINTERNET透明橋vs透明代理透明代理不同的透明代理：二層MAC透明代理，三層IP透明代理；代理服務(wù)器的工作機(jī)制，會終結(jié)客戶會話數(shù)據(jù)包經(jīng)過WAF后，會修改數(shù)據(jù)包的源MAC地址、源端口、序列號等優(yōu)點：可以實現(xiàn)SSL會話終結(jié)、Cookie簽名、URL重寫等特定功能缺點：性能差，因為修改了原有數(shù)據(jù)包可能對業(yè)務(wù)造成影響，無法支持PortChannel等二層設(shè)置透明橋二層橋工作機(jī)制，不會終結(jié)客戶會話數(shù)據(jù)包經(jīng)過WAF，不會修改原有數(shù)據(jù)包優(yōu)點：性能高、處理快、完全不影響業(yè)務(wù)系統(tǒng)，可透傳CDP，Ipsec的數(shù)據(jù)包，支持PortChannel無法支持SSL終結(jié)、URL重寫、Cookie簽名等代理機(jī)制的功能-CONFIDENTIAL-ImpervaWAF透明檢測引擎CONFIDENTIAL-Imperva6SecureSphere會維持一個“影子”TCP/IP堆棧以重構(gòu)TCP流。在將完整的請求發(fā)送至Web服務(wù)器之前，該影子TCP/IP堆棧會以正確的TCP序列處理數(shù)據(jù)，并會分析各個HTTP請求。如果檢測到攻擊，違規(guī)分組將會被丟棄，整個連接將會被阻止。WAF安全策略對應(yīng)OSI工作層次CONFIDENTIAL-Imperva7SecureSphere采用三個解析層來精確阻止Web應(yīng)用程序攻擊：SecureSphere使用流上的批量URL編碼檢查TCP/IP流以尋找攻擊特征碼。然后，SecureSphere分析基本HTTP協(xié)議信息-URL、報頭值、參數(shù)名稱和值，但不分析其全部內(nèi)容。在此，例如：SecureSphere會將過長參數(shù)（可能是一次緩沖溢出嘗試）識別為HTTP協(xié)議違反。在最后一層，SecureSphere將分析完整的HTTP請求和響應(yīng)，標(biāo)準(zhǔn)化編碼內(nèi)容，檢測規(guī)避技術(shù)，檢查自定義特征碼，并使用應(yīng)用程序特征驗證輸入。工作原理圖CONFIDENTIAL-Imperva8物理設(shè)備和產(chǎn)品配置對應(yīng)SITESERVERGROUPSSERVICESAPPLICATIONSImpervaWAF優(yōu)勢技術(shù)CONFIDENTIAL-Imperva10層次化的管理配置架構(gòu)策略可基于ServerGroup、Service、Application分別設(shè)定-CONFIDENTIAL-精準(zhǔn)的安全策略需要充分對應(yīng)用和協(xié)議的理解:每一個URL,目錄,

參數(shù),方法和cookieXML,SOAP,Web服務(wù)

動態(tài)內(nèi)容,JavaScript預(yù)期應(yīng)用的使用行為Cookie可以被修改嗎?

特殊字符是否可以被使用?

表單選項是否是必須的還是可選的?精準(zhǔn)的保護(hù)需要可以自動的識別應(yīng)用程序的變化，而不是通過手工干預(yù)動態(tài)建模及模型自動更新（1）動態(tài)建模及模型自動更新（2）通過分析網(wǎng)絡(luò)流量,SecureSphere會自動學(xué)習(xí)…DirectoriesURLs參數(shù)預(yù)期的用戶輸入因此可以警告或者阻止異常的請求可將部署時間從幾個月縮短到幾天大大減輕持續(xù)管理的負(fù)擔(dān)每周5-15個變更需要花費管理員5-30人小時的配置時間DATEPROFILECHANGES理解應(yīng)用和使用情況適應(yīng)持續(xù)不斷的應(yīng)用變更動態(tài)建模及模型自動更新（3）動態(tài)建模及模型自動更新（4）每一個應(yīng)用都可以有自己的動態(tài)模型和基于該模型的安全策略動態(tài)模型可以實現(xiàn)自動更新，以應(yīng)對業(yè)務(wù)的變化全局用戶跟蹤（1）

應(yīng)用用戶跟蹤AUTSecureSphere動態(tài)學(xué)習(xí):

登陸的URLs User&password

成功或失敗登陸當(dāng)用戶登錄到一個Web應(yīng)用時，SecureSphere會關(guān)聯(lián)用戶和會話的關(guān)系SecureSphere可以監(jiān)控和阻止

用戶,而不僅僅通過IP地址全局用戶跟蹤（2）

Web到DB關(guān)聯(lián)分析誰是真的用戶?他們在做什么?通過那個URL訪問？應(yīng)用程序在做什么?為哪個應(yīng)用用戶?Web應(yīng)用數(shù)據(jù)庫用戶訪問web應(yīng)用Web應(yīng)用訪問后臺數(shù)據(jù)庫所有的應(yīng)用用戶將共享同一個數(shù)據(jù)庫賬號用戶1用戶2用戶3…應(yīng)用服務(wù)器使用的數(shù)據(jù)庫賬號應(yīng)用用戶ImpervaWAF理解Web應(yīng)用、跟蹤Web應(yīng)用用戶Imperva數(shù)據(jù)庫解決方案記錄詳細(xì)數(shù)據(jù)庫的訪問關(guān)聯(lián)分析全局用戶跟蹤（3）

Web到DB關(guān)聯(lián)分析關(guān)聯(lián)分析功能（1）ProfileLength&TypeViolationJavaScriptSignatureProtocolViolation+AttackSignature+

ProfileViolation=CrossSiteScriptingAttackSecureSphereCorrelationEngine關(guān)聯(lián)規(guī)則精準(zhǔn)的阻止攻擊，避免誤判

Network

ProtocolValidation

AttackSignatures

ApplicationProfile

WebServicesDataLeakPrevention

ThreatRadar

Encoding,anevasionmethod關(guān)聯(lián)分析功能（2）

CONFIDENTIAL-Imperva20關(guān)聯(lián)分析功能（3）

自定義的關(guān)聯(lián)分析策略SecureSphere阻止…如果在30秒內(nèi)嘗試了3次一個登陸請求…用戶輸入超出了預(yù)期的行為SecureSphere提供了25+匹配條件供客戶選擇，實現(xiàn)強(qiáng)大的管理功能BotchallengeSuccessfulresultHumanBotBotchallengeBlocked機(jī)器人程序抑制技術(shù)（Botmitigation）

可以偵測發(fā)現(xiàn)爬蟲程序,用來限制各種爬蟲工具、被控制的傀儡主機(jī)等不是簡單通過識別User-Agent信息來區(qū)分訪問客戶端類型，而是通過更加準(zhǔn)確的Challenge方式來判斷SecureSphereWAF高級WAF防護(hù)策略（1）

機(jī)器人訪問抑制?Copyright2012Imperva,Inc.Allrightsreserved.22防止網(wǎng)頁爬取策略

有效偵測和阻斷短時間內(nèi)大量訪問不同頁面的請求，防止公司公開的有價值信息被他人批量復(fù)制和拷貝不僅僅檢測有價值頁面是不是被同一訪問源（用戶、會話、IP）大量訪問，還會檢測這些被訪問的頁面是否是不同的頁面（相同頁面則可能是DDOS攻擊）高級WAF防護(hù)策略（2）

網(wǎng)站防爬策略?Copyright2012Imperva,Inc.Allrightsreserved.23真實IP追蹤WAF設(shè)備如果部署在LB設(shè)備之后，可能看到的是LB設(shè)備的IP地址我們可以通過X-Forwarded-For字段信息，還原真實源IP，并基于真實源IP設(shè)置安全規(guī)則CONFIDENTIAL-Imperva24SecureSphere可以導(dǎo)入掃描的結(jié)果，并立即生成抑制漏洞的安全策略避免了支付卡信息處理公司對于嚴(yán)重漏洞緊急修復(fù)和測試的過程CustomerSite掃描工具發(fā)現(xiàn)應(yīng)用漏洞SecureSphere導(dǎo)入掃描結(jié)果Web應(yīng)用得到保護(hù)漏掃工具結(jié)合和虛擬補(bǔ)?。?）

?Copyright2012Imperva,Inc.Allrightsreserved.25某支付卡數(shù)據(jù)處理公司:使用網(wǎng)頁應(yīng)用漏洞掃描工具發(fā)現(xiàn)漏洞，這些漏洞將會成為被攻擊的目標(biāo)整個修復(fù)過程涉及開發(fā)團(tuán)隊，并且耗時、耗錢SecureSphere:縮小了手工修復(fù)應(yīng)用補(bǔ)丁帶來的漏洞空窗期、以及成本為開發(fā)人員提供了全面的漏洞管理視圖將漏洞導(dǎo)入WAF公司使用網(wǎng)頁應(yīng)用漏洞掃描工具掃描網(wǎng)站漏掃工具結(jié)合和虛擬補(bǔ)?。?）

虛擬補(bǔ)丁實際案例?Copyright2012Imperva,Inc.Allrightsreserved.26提供不同的阻斷頁面可以根據(jù)客戶需要定制多種阻斷頁面例如，不同的攻擊阻斷告警頁面不同；不同的源地址告警頁面不同CONFIDENTIAL-Imperva27告警分析（告警匯聚）提供強(qiáng)大的告警分析功能，包括了告警匯聚、敏感數(shù)據(jù)掩碼、響應(yīng)內(nèi)容記錄、添加例外等功能CONFIDENTIAL-Imperva28告警分析（敏感數(shù)據(jù)掩碼、響應(yīng)內(nèi)容記錄）提供詳細(xì)的Http頭和Http響應(yīng)內(nèi)容信息，并對敏感的內(nèi)容進(jìn)行掩碼CONFIDENTIAL-Imperva29告警分析（快速添加例外、修改策略）可直接在告警界面上進(jìn)行例外的添加和策略的修改CONFIDENTIAL-Imperva30應(yīng)用案例分享CONFIDENTIAL-Imperva31北京移動WAF應(yīng)用案例問題背景：北京中國移動網(wǎng)上商場吉祥號碼，號碼剛剛放出來的新號不到15秒就被號販子獲得，普通用戶根本無法正常獲得吉祥號碼。故障分析：6月7日訪問網(wǎng)站的用戶IP是26000多，有7個IP的訪問流量就達(dá)到了32.26GB，也就是說0.02%的IP占了總流量的36%。經(jīng)分析，這幾個IP的行為模式如下：1.長時間高頻率發(fā)送查詢吉祥號碼的請求2.偶爾發(fā)送購買和提交訂單的請求3.部分IP發(fā)送查詢吉祥號碼請求的間隔是隨機(jī)的CONFIDENTIAL-Imperva32ImpervaWAF解決方案推斷：號販子采用自動機(jī)器人程序?qū)W(wǎng)站進(jìn)行長期掃描，并命中特定靚號后自動下單掃描的業(yè)務(wù)頁面是特定的自定義安全規(guī)則設(shè)定：策略一：對于前綴為【/jxhsimca