安恒信息明御WEB應(yīng)用防火墻產(chǎn)品白皮書

精心整理精心整理精心整理安恒信息明御WEB應(yīng)用防火墻產(chǎn)品白皮書概述根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱CNCERT/CC）的工作報(bào)告顯示：目前中國(guó)的互聯(lián)網(wǎng)安全實(shí)際狀況仍不容樂(lè)觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加。對(duì)政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁(yè)的攻擊形式，以達(dá)到泄憤和炫耀的目的，也不排除放置惡意代碼的可能，導(dǎo)致政府類網(wǎng)站存在安全隱患。對(duì)中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用注入攻擊、跨站攻擊以及應(yīng)用層拒絕服務(wù)攻擊（DenialOfService）等，影響業(yè)務(wù)的正常開展。2007年到2009年上半年，中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)。常見(jiàn)攻擊手法攻擊方式描述安恒WAF的防護(hù)方法跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問(wèn)該站點(diǎn)的用戶，常見(jiàn)目的是竊取該站點(diǎn)訪問(wèn)者相關(guān)的用戶登陸或認(rèn)證信息。通過(guò)檢查應(yīng)用流量，阻止各種惡意的腳本插入到URL,header及form中。SQL注入攻擊者通過(guò)輸入一段數(shù)據(jù)庫(kù)查詢代碼竊取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。通過(guò)檢查應(yīng)用流量，偵測(cè)是否有危險(xiǎn)的數(shù)據(jù)庫(kù)命令或查詢語(yǔ)句被插入到URL,header及form中。命令注入攻擊者利用網(wǎng)頁(yè)漏洞將含有操作系統(tǒng)或軟件平臺(tái)命令注入到網(wǎng)頁(yè)訪問(wèn)語(yǔ)句中以盜取數(shù)據(jù)或后端服務(wù)器的控制權(quán)。通過(guò)檢查應(yīng)用流量，檢測(cè)并阻止危險(xiǎn)的系統(tǒng)或軟件平臺(tái)命令被插入到URL,header及form中。cookie/seesion劫持Cookie/seesion通常用于用戶身份認(rèn)證，并且可能攜帶用戶敏感的登陸信息。攻擊者可能被修改Cookie/seesion提高訪問(wèn)權(quán)限，或偽裝成他人的身份登陸。通過(guò)檢查應(yīng)用流量，拒絕偽造身份登錄的會(huì)話訪問(wèn)。參數(shù)（或表單）篡改通過(guò)修改對(duì)URL、header和form中對(duì)用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服務(wù)器。利用參數(shù)配置文檔檢測(cè)應(yīng)用中的參數(shù)，僅允許合法的參數(shù)通過(guò)，防止參數(shù)篡改發(fā)生。緩沖溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過(guò)向程序緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲取系統(tǒng)管理員的權(quán)限。用戶可以根據(jù)應(yīng)用需求設(shè)定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。日志篡改黑客篡改刪除日志以掩蓋其攻擊痕跡或改變web處理日志。.通過(guò)檢查應(yīng)用流量，防止帶有日志篡改的應(yīng)用訪問(wèn)。應(yīng)用平臺(tái)漏洞攻擊黑客通過(guò)獲悉應(yīng)用平臺(tái)后，可以利用該平臺(tái)的已知漏洞進(jìn)行攻擊。當(dāng)應(yīng)用平臺(tái)出現(xiàn)漏洞，且沒(méi)有官方補(bǔ)丁時(shí)，同樣面臨被攻擊的風(fēng)險(xiǎn)。安恒WAF將阻止已知的攻擊，并提供安全策略規(guī)則升級(jí)服務(wù)，用戶可以按計(jì)劃進(jìn)行安全應(yīng)用策略升級(jí)。同時(shí)，對(duì)于高級(jí)用戶，安恒WAF提供自定義規(guī)則庫(kù)的添加，可以針對(duì)某些關(guān)鍵字，特殊應(yīng)用做特殊安全處理。DOS攻擊通過(guò)DOS攻擊請(qǐng)求，以達(dá)到消耗應(yīng)用平臺(tái)資源異常消耗的一種攻擊，最終造成應(yīng)用平臺(tái)拒絕服務(wù)。可以防護(hù)所有的網(wǎng)絡(luò)層的DoS。包括防止SYNcookie，應(yīng)用層DOS攻擊和對(duì)客戶端連接速率進(jìn)行限制。HTTPS類攻擊一些狡猾的黑客通過(guò)HTTPS進(jìn)行HTTPS類的攻擊，由于SSL加密數(shù)據(jù)包無(wú)法進(jìn)行有效的檢測(cè)，導(dǎo)致通用的網(wǎng)絡(luò)防火墻和普通WEB應(yīng)用防火墻無(wú)能為力。支持用戶上傳HTTPS證書，在WAF進(jìn)行第一輪認(rèn)證，并對(duì)應(yīng)用流量進(jìn)行解密和偵測(cè)，對(duì)HTTPS類的所有攻擊進(jìn)行有效的攔截和防御。現(xiàn)有的防御技術(shù)傳統(tǒng)網(wǎng)絡(luò)防火墻入侵檢測(cè)系統(tǒng)（IDS）Web安全需求·對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無(wú)影響；·方便管理，無(wú)需進(jìn)行復(fù)雜的配置；·對(duì)現(xiàn)有WEB服務(wù)器的訪問(wèn)速率不能造成太大的影響；·對(duì)正常業(yè)務(wù)訪問(wèn)不能進(jìn)行錯(cuò)誤的攔截阻斷。Web應(yīng)用防火墻安恒WAF的特點(diǎn)安恒WAF提供高效的Web應(yīng)用安全邊界檢查功能。安恒WAF整合了Web安全深度防御及站點(diǎn)隱藏等功能，能全方位的保護(hù)用戶的Web數(shù)據(jù)中心。通過(guò)對(duì)對(duì)所有Web流量（包括客戶端請(qǐng)求流量和服務(wù)器返回的數(shù)據(jù)流量）進(jìn)行深度檢測(cè)，提供了實(shí)時(shí)有效的入侵防護(hù)功能。安恒WAF充分考慮用戶已有環(huán)境的差異性，對(duì)環(huán)境兼容性、應(yīng)用多樣性進(jìn)行了深入的分析和總結(jié)。領(lǐng)先的透明代理模式WEB應(yīng)用防火墻技術(shù)經(jīng)過(guò)不斷的發(fā)展已經(jīng)日益成熟，安恒WAF采用業(yè)界領(lǐng)先的代理技術(shù)實(shí)現(xiàn)WEB應(yīng)用深度分析和防御。基于代理的防火墻技術(shù)在防護(hù)深度及細(xì)粒度方面有著包過(guò)濾防火墻無(wú)法比擬的優(yōu)勢(shì)，但是如果代理模式處理不當(dāng)也會(huì)對(duì)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)產(chǎn)生影響，最為明顯的影響是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包文頭的改變，導(dǎo)致服務(wù)器識(shí)別到的源地址是代理設(shè)備IP地址，無(wú)法識(shí)別真話的訪問(wèn)者。而且還會(huì)對(duì)HTTP應(yīng)用數(shù)據(jù)流頭部的影響，如增加X(jué)-Forwarded相關(guān)的字段或影響已有的代理環(huán)境，影響WEB業(yè)務(wù)的正常使用，以及致使WEB服務(wù)器訪問(wèn)日志失效。安恒WAF憑著對(duì)網(wǎng)絡(luò)及應(yīng)用的深入解理，以及多年的研發(fā)經(jīng)驗(yàn)，研發(fā)的WAF產(chǎn)品繼承了代理防火墻技術(shù)深度防御的特性，同時(shí)也吸納了網(wǎng)絡(luò)防火墻對(duì)網(wǎng)絡(luò)及應(yīng)用透明的優(yōu)點(diǎn)。安恒是國(guó)內(nèi)首家發(fā)布全透明代理的模式的WEB應(yīng)用防火墻廠家，安恒WAF的部署不會(huì)對(duì)網(wǎng)絡(luò)及應(yīng)用產(chǎn)生任何的影響，甚至安恒WAF的工作口不需要配置任何的IP即可正常工作。獨(dú)創(chuàng)的鏡像監(jiān)控模式WEB應(yīng)用系統(tǒng)隨著應(yīng)用需求不同而千變?nèi)f化，對(duì)應(yīng)用的防護(hù)和安全識(shí)別提出了高的要求，因此應(yīng)用環(huán)境中對(duì)WEB應(yīng)用防火墻的接入需要經(jīng)過(guò)深入的分析和調(diào)研才能實(shí)現(xiàn)。針對(duì)一些大型的業(yè)務(wù)系統(tǒng)，特別是對(duì)業(yè)務(wù)連續(xù)性有較高要求的行為如電信運(yùn)營(yíng)、金融證券、社會(huì)保障等需要不中斷對(duì)外服務(wù)的應(yīng)用系統(tǒng)對(duì)部署WAF產(chǎn)品是一個(gè)極大的挑戰(zhàn)。如果實(shí)現(xiàn)部署WAF前期的準(zhǔn)備或者讓W(xué)AF工作在監(jiān)測(cè)模式下而不影響正常的業(yè)務(wù)是大型應(yīng)用系統(tǒng)的一個(gè)鋼性需求。安恒WAF產(chǎn)品獨(dú)創(chuàng)的鏡像監(jiān)控模式徹底解決這個(gè)難題，安恒WAF產(chǎn)品支持端口鏡像和串接鏡像兩種方式實(shí)現(xiàn)對(duì)數(shù)據(jù)包的分布，對(duì)安全的監(jiān)測(cè)，端口鏡像模式下僅需將監(jiān)測(cè)流量鏡像至WAF即可，而不會(huì)影響網(wǎng)絡(luò)和應(yīng)用系統(tǒng)；串接鏡像時(shí)將WAF串接入需要監(jiān)測(cè)的環(huán)境，此時(shí)WAF會(huì)自動(dòng)復(fù)制一份數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，也不會(huì)影響原有的網(wǎng)絡(luò)及應(yīng)用。雙向SSL的支持WEB應(yīng)用防火墻技術(shù)可以完美的防護(hù)HTTP應(yīng)用系統(tǒng)，然而針對(duì)于HTTPS的應(yīng)用系統(tǒng)則是當(dāng)前WEB應(yīng)用防火墻技術(shù)的難點(diǎn)?；贖TTPS的應(yīng)用系統(tǒng)，在網(wǎng)絡(luò)環(huán)境常規(guī)的設(shè)備無(wú)法識(shí)別傳輸?shù)膽?yīng)用數(shù)據(jù)，更無(wú)法識(shí)別來(lái)自應(yīng)用層的攻擊。要對(duì)HTTPS應(yīng)用進(jìn)行應(yīng)用防護(hù)，必須要求WAF能良好的支持HTTPS協(xié)議并能對(duì)SSL數(shù)據(jù)流進(jìn)行中繼。由于SSL需要大量的數(shù)據(jù)運(yùn)算對(duì)設(shè)備性能要求高，以及需要對(duì)用戶端和服務(wù)器端雙向的SSL支持這些技術(shù)難點(diǎn)，導(dǎo)致很多WEB應(yīng)用防火墻無(wú)法實(shí)現(xiàn)對(duì)HTTPS的支持。安恒WAF支持雙向的SSL環(huán)境，能對(duì)原有的HTTPS應(yīng)用系統(tǒng)良好的適應(yīng)，無(wú)勿需改變?cè)协h(huán)境，對(duì)HTTPS應(yīng)用系統(tǒng)仍可透明部署和全面防御。安恒通過(guò)對(duì)HTTPS的支持從而實(shí)現(xiàn)了對(duì)HTTP、HTTPS的全面防護(hù)，解決了WEB防火墻無(wú)法防御HTTPS應(yīng)用的短板。安恒WAF的功能···策略設(shè)置向?qū)Аぐ踩呗浴z測(cè)和阻斷模式···網(wǎng)頁(yè)防篡改·日志和報(bào)表·高可操作性深度防護(hù)Web站點(diǎn)隱藏網(wǎng)頁(yè)篡改監(jiān)測(cè)檢測(cè)到網(wǎng)頁(yè)被篡改，第一時(shí)間對(duì)管理員進(jìn)行實(shí)時(shí)告警，對(duì)外仍顯示篡改前的正常頁(yè)面，用戶可正常訪問(wèn)網(wǎng)站。事后可對(duì)原始文件及篡改后的文件進(jìn)行本地下載比較，查看篡改記錄。也可設(shè)置僅檢測(cè)模式，只對(duì)篡改進(jìn)行告警，不提供防護(hù)功能。WEB應(yīng)用加速安恒WAF為了提高被保護(hù)系統(tǒng)的訪問(wèn)速度同時(shí)消除WAF過(guò)濾分析過(guò)程中帶來(lái)的延時(shí)，定制提供了應(yīng)用加速功能，通過(guò)高速緩存和相關(guān)算法鏡像及管理相關(guān)的靜態(tài)內(nèi)容，一旦有用戶訪問(wèn)，。安全策略·HTTP協(xié)議合規(guī)性·SQL注入阻斷·跨站點(diǎn)腳本攻擊防護(hù)·表單/cookie篡改防護(hù)·DoS攻擊防護(hù)人性化運(yùn)維管理安恒WAF提供了豐富的人性化運(yùn)維管理數(shù)據(jù)，包括WAF自身的硬件運(yùn)行狀況，相關(guān)工作口的實(shí)時(shí)流量情況，各個(gè)硬件部件歷史占用情況，各個(gè)工作口的歷史流量情況，系統(tǒng)提供了圖形化的直觀的統(tǒng)計(jì)分析界面，讓維護(hù)管理員快速掌握整體的情況。檢測(cè)和阻斷模式硬件旁路模式HTTPS/SSL的完全支持日志和報(bào)表高可操作性結(jié)論杭州安恒信息技術(shù)有限公司的核心團(tuán)隊(duì)擁有多年互聯(lián)網(wǎng)應(yīng)用安全防衛(wèi)、網(wǎng)絡(luò)安全審計(jì)、數(shù)據(jù)庫(kù)安全審計(jì)的深厚技術(shù)背景，擁有全球領(lǐng)先的具有完全知識(shí)產(chǎn)權(quán)的安全技術(shù)；為明御WEB應(yīng)用防火墻（WAF）的成功推出奠定了有力的基礎(chǔ)。安恒WAF由資深安全專家經(jīng)歷數(shù)年的時(shí)間研發(fā)而成，它能夠輕松應(yīng)對(duì)各種復(fù)雜的WEB應(yīng)用，全面深入針對(duì)WEB應(yīng)用中存在的安全弱點(diǎn)攻擊防御。安恒WAF旨在降低WEB應(yīng)用的風(fēng)險(xiǎn)，降低國(guó)家利益