信息安全技術與應用（高學勤）課件 4.5 Web應用防火墻

第5節(jié)Web應用防火墻第4章目

錄01Web應用防火墻簡介02Web應用防火墻的功能03Web應用防火墻部署及應用01Web應用防火墻簡介Web應用防火墻的概念Web應用防火墻（WebApplicationFirewall），簡稱：WAF。根據(jù)Gartner定義：什么是Web應用防火墻？WAF是一種以保護Web應用程序和API服務免受各種攻擊（包括自動化攻擊（bot）、應用層拒絕服務（httpflood）和常見Web安全漏洞攻擊等）為主要目標的軟硬件系統(tǒng)。WAF一般提供基于規(guī)則的保護，也提供可靠的安全模型或異常檢測功能。Web應用防火墻的工作過程WAF的工作過程解析HTTP請求（攻擊請求、業(yè)務請求）….….….進行規(guī)則檢測（惡意訪問過濾）做不同的防御動作（攔截、放行、記錄）將防御過程記錄下來（日志）Web應用防火墻的實現(xiàn)原理WAF通過5個模塊來實現(xiàn)防護功能配置模塊協(xié)議解析模塊規(guī)則模塊動作模塊日志模塊Web應用防火墻的實現(xiàn)原理配置模塊WAF引擎設置協(xié)議解析配置規(guī)則配置是否開啟WAF：開啟、關閉、僅記錄攔截方式：允許訪問、拒絕訪問、關閉鏈接、繼續(xù)處理部署方式：透明橋接、反向代理、透明代理、路由模式、檢測端口請求內(nèi)容：請求體、響應體類型支持的協(xié)議組成：請求頭、請求體、響應頭、響應體協(xié)議大小限制HTTP格式：協(xié)議版本、Cookie格式、參數(shù)內(nèi)置規(guī)則：啟用、停用規(guī)則自定義規(guī)則：不同HTTP請求類型，不同攔截方式，URI、POST、COOKIE，特征關鍵詞規(guī)則模板設置：內(nèi)置模板、自定義模板Web應用防火墻的實現(xiàn)原理協(xié)議解析模塊協(xié)議解析配置1解析錯誤處理2協(xié)議解析3請求體處理響應體處理文件上傳處理解析錯誤處理協(xié)議內(nèi)容限制協(xié)議編碼配置Multipart解析錯誤X-www-form-urlencode解析錯誤響應體解析錯誤請求頭解析請求體解析響應頭解析響應體解析Web應用防火墻的實現(xiàn)原理規(guī)則模塊規(guī)則配置規(guī)則解析規(guī)則檢測規(guī)則信息：ID、規(guī)則名稱、規(guī)則描述、攔截方式、告警等級、攻擊類別、啟用狀態(tài)、更新時間規(guī)則模板變量部分：請求變量、響應變量、客戶端變量、Server變量、時間變量、事務變量、其他操作符部分事物函數(shù)部分動作部分操作符函數(shù)庫事務函數(shù)庫檢測控制流Web應用防火墻的實現(xiàn)原理字符操作模式匹配、字符串操作校驗URL編碼、utf8校驗、xml校驗、JSON校驗、字節(jié)校驗數(shù)字操作IP庫校驗攻擊IP庫規(guī)則模塊-規(guī)則檢測操作符函數(shù)庫1事務函數(shù)庫2檢測控制流302Web應用防火墻的實現(xiàn)原理動作模塊01030405通過后續(xù)請求全部通過繼續(xù)繼續(xù)執(zhí)行下一個規(guī)則攔截攔截本次http請求、斷開連接、封IP、禁止對URI訪問0607重定向重定向到honepot中主動防御響應體頁面注入防御代碼驗證碼驗證通過后才能繼續(xù)訪問只記錄只記錄本次命中規(guī)則的細節(jié)??主要功能進行日志記錄（用戶訪問日志、攻擊日志）提供日志分析與攻擊溯源Web應用防火墻的實現(xiàn)原理日志模塊02Web應用防火墻的功能Web應用防火墻的基本功能1.漏洞掃描2.Web業(yè)務可用性監(jiān)測3.外聯(lián)監(jiān)控4.Web應用防護6.混合型攻擊防護7.惡意掃描防護8.DDOS/CC攻擊防護9.策略分組5.專業(yè)網(wǎng)頁防篡改10.高可用性11.服務器信息隱藏12.敏感信息過濾13.Web云加速14.軟硬件BTPASS功能15.動態(tài)建模Web應用防火墻的基本功能掃描的項目包括無效鏈接代碼泄露目錄遍歷入侵廣告目錄瀏覽郵箱地址泄露典型登錄頁面內(nèi)部IP泄露內(nèi)部目錄泄露內(nèi)部文件泄露SQL注入漏洞XSS腳本漏洞Web后門網(wǎng)頁掛馬程序錯誤信息掃描過程功能·漏洞掃描掃描結果掃描報告可靠的數(shù)據(jù)支撐生成提供Web應用防火墻的基本功能功能·Web業(yè)務可用性監(jiān)測對網(wǎng)頁主頁和指定頁面進行頁面級可用性監(jiān)測。確保Web業(yè)務系統(tǒng)的連續(xù)運營和服務的正常提供。監(jiān)測的過程根據(jù)配置的檢測任務網(wǎng)站服務的可用性質量目標的URL請求執(zhí)行時間耗時結束時間狀態(tài)正常與否檢測指定的web應用頁面測試監(jiān)控HTTP/HTTPS流量，對數(shù)據(jù)包內(nèi)容具有完全的訪問控制權限。檢查所有流經(jīng)網(wǎng)絡的HTTP/HTTPSl流量，通過各類防護引擎，策略控制識別黑Web攻擊應用行為。系統(tǒng)監(jiān)控畫面Web應用防火墻的基本功能功能·Web應用攻擊防護SQL注入攻擊XSS跨站攻擊CSRF跨站請求偽造攻擊木馬病毒惡意爬蟲盜鏈請求Web應用防火墻的基本功能實現(xiàn)的過程SQL語句SQL注入特點SQL語法結構根據(jù)SQL注入符合正常SQL語句不符合功能·Web應用攻擊防護·SQL注入防護分析通過人工智能的方式識別“注入攻擊”使用的SQL語句。大幅度提高對SQL注入攻擊的識別率和準確率。實現(xiàn)低漏報率，抗攻擊逃逸。可防御未知的SQL注入。Web應用防火墻的基本功能爬蟲分為搜索引擎爬蟲和掃描程序爬蟲。屏蔽特定的搜索引擎爬蟲。屏蔽掃描程序爬蟲。節(jié)省帶寬和性能。避免網(wǎng)站被惡意抓取頁面?；陉P聯(lián)分析技術進行有效識別和阻斷告警。功能·Web應用攻擊防護·爬蟲防護Web應用防火墻的基本功能屏蔽Web掃描器的檢測功能·惡意掃描防護Web應用防火墻的基本功能Internet……網(wǎng)站服務器A網(wǎng)站服務器J網(wǎng)站服務器C網(wǎng)站服務器I網(wǎng)站服務器B網(wǎng)站服務器……云防線發(fā)起DDOS攻擊流量引入云防線進行清洗流量預定閥值云防護模式有效分流和清洗動態(tài)防護機制DDOS/CC攻擊達到切換進行WAF功能·DDOS/CC攻擊聯(lián)合防護在httpheader里看到服務器構建的信息，如：典型的響應消息：Web應用防火墻的基本功能功能·服務器信息隱藏在一些信息比如在404頁面，會輸出服務器版本和運行的程序版本。將服務器版本信息、服務信息和漏洞信息進行偽裝和隱藏。避免將服務器系統(tǒng)上的服務器信息與web軟件版本信息等一些關鍵信息透露給任何潛在的攻擊者。Web應用防火墻的基本功能功能·敏感信息過濾12345動態(tài)獲取各種網(wǎng)絡資源。根據(jù)輸入的搜索規(guī)則（關鍵詞）組合對于發(fā)表的信息進行過濾與審核。及時、準確定位涉密或敏感信息資源。防止重要的信息泄露或非法言論通過網(wǎng)站進行傳播。同時記錄、跟蹤敏感信息的傳播行為，及時阻止、消滅此類信息的傳播。Web應用防火墻的基本功能注：關于WAF配置操作步驟，請參閱第四章/配置WAF實現(xiàn)安全防護.mp4功能·動態(tài)建模03Web應用防火墻部署及應用Web應用防火墻的部署方式適用于需要在WAF上部署負載均衡的場景。反向代理模式下，路由器需要通過配置策略路由的方式，將被保護站點的流量先牽引到WAF設備（或WAF集群），WAF設備通過反向代理的方式，再將請求送至Web服務器。WAF防火墻Web服務器部署模式·反向代理模式Web應用防火墻的部署方式特點是即插即用，一般適用于需要緊急部署WAF進行防護的場景。透明模式下部署WAF，無需更改網(wǎng)絡及服務器配置，透明串接在防火墻和Web服務器群之間，即可對Web服務器群的出入流量進行有效監(jiān)控，從而確保Web應用的安全。WAF防火墻Web服務器部署模式·透明模式Web應用防火墻的部署方式WAF支持路由模式部署，它與網(wǎng)橋透明代理的唯一區(qū)別就是該代理工作在路由轉發(fā)模式而非網(wǎng)橋模式，其它工作原理都一樣。由于工作在路由（網(wǎng)關）模式因此需要為WAF的轉發(fā)接口配置IP地址以及路由。WAF防火墻Web服務器部署模式·路由模式當缺少Web服務器網(wǎng)關時，可進行路由模式部署。Web應用防火墻的部署方式WAF的混合部署模式，可把設備網(wǎng)口配置成反向代理模式和透明網(wǎng)橋模式共同工作，可提供多組透明橋。WAFWeb服務器2Web服務器1防火墻部署模式·混合模式適用于多個安全域的安全防護的場景。使用CC防護，實現(xiàn)基于session的，頻率控制，對超過頻率的請求，進行滑塊驗證使用BOT行為管理，通過對流量進行分析，識別爬蟲和機器人行為，減少垃圾流量訪問DNSCC防護BOT管理GAAPGAAP業(yè)務架構圖Web應用防火墻的應用案例某游戲企業(yè)Web應用防火墻部署案例客戶情況核心需求：防CC攻擊防惡意賬號減少或者減緩垃圾流量訪問，節(jié)約服務器和帶寬資源對高頻訪問行為進行限制和阻斷結合天御方案，對惡意賬號進行處理客戶需求防護效果通過基于用戶級別CC防護，對惡意刷資源消耗接口、營銷接口的行為進行有效識別和攔截。本章對WAF進行了詳細的分析，包括WAF的概念、WAF的實現(xiàn)原理，以及WAF的策略