安恒信息明御WEB應(yīng)用防火墻產(chǎn)品白皮書

1、1.概述Web網(wǎng)站是企業(yè)和用戶、合作伙伴及員工的快速、高效的交流平臺(tái)。Web網(wǎng)站也容易成為黑客或惡意程序的攻擊目標(biāo)，造成數(shù)據(jù)損失，網(wǎng)站篡改或其他安全威脅。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡(jiǎn)稱CNCERT/CC的工作報(bào)告顯示：目前中國(guó)的互聯(lián)網(wǎng)安全實(shí)際狀況仍不容樂(lè)觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加。對(duì)政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁(yè)的攻擊形式，以達(dá)到泄憤和炫耀的 目的，也不排除放置惡意代碼的可能，導(dǎo)致政府類網(wǎng)站存在安全隱患。對(duì)中小企業(yè)，尤其 是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用注入攻擊、跨站攻擊以及應(yīng)用層拒絕服務(wù)攻擊(Denial OfService)等，影響業(yè)務(wù)的正常開(kāi)展

2、。2007年到2009年上半年，中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)。1.1常見(jiàn)攻擊手法目前已知的應(yīng)用層和網(wǎng)絡(luò)層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見(jiàn)的攻擊技術(shù)，其中最后一列描述了安恒WAF如何對(duì)該攻擊進(jìn)行防護(hù)。表1.1:對(duì)不同攻擊的防御方法攻擊方式描述安恒WAF的防護(hù)方法跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪 問(wèn)該站點(diǎn)的用戶，常見(jiàn)目的是竊取該站點(diǎn) 訪問(wèn)者相關(guān)的用戶登陸或認(rèn)證信息。通過(guò)檢查應(yīng)用流量，阻止各種惡意的腳本插入到URL,header 及 form 中。SQL注入攻擊者通過(guò)輸入一段數(shù)據(jù)庫(kù)查詢代碼竊 取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。通過(guò)檢查應(yīng)用流量，偵測(cè)是否

3、有危險(xiǎn)的數(shù)據(jù)庫(kù)命令或查詢語(yǔ)句被插入到 URL, header及 form 中。命令注入攻擊者利用網(wǎng)頁(yè)漏洞將含有操作系統(tǒng)或 軟件平臺(tái)命令注入到網(wǎng)頁(yè)訪問(wèn)語(yǔ)句中以 盜取數(shù)據(jù)或后端服務(wù)器的控制權(quán)。通過(guò)檢查應(yīng)用流量，檢測(cè)并阻 止危險(xiǎn)的系統(tǒng)或軟件平臺(tái)命 令被插入到URL, header及form 中。cookie/seesion 劫持Cookie/seesion通常用于用戶身份認(rèn)證，并且可能攜帶用戶敏感的登陸信息。攻擊者可能被修改 Cookie/seesion提高訪問(wèn)權(quán)限，或偽裝成他人的身份登陸。通過(guò)檢查應(yīng)用流量，拒絕偽造 身份登錄的會(huì)話訪問(wèn)。參數(shù)（或表單）篡改通過(guò)修改對(duì) URL、header和form

4、中對(duì)用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服 務(wù)器。利用參數(shù)配置文檔檢測(cè)應(yīng)用中的參數(shù),僅允許合法的參數(shù)通過(guò)，防止參數(shù)篡改發(fā)生。緩沖溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊 者通過(guò)向程序緩沖區(qū)寫入超出其長(zhǎng)度的 內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序 的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲 取系統(tǒng)管理員的權(quán)限。用戶可以根據(jù)應(yīng)用需求設(shè)定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。日志篡改黑客篡改刪除日志以掩蓋其攻擊痕跡或 改變web處理日志。.通過(guò)檢查應(yīng)用流量，防止帶有 日志篡改的應(yīng)用訪問(wèn)。應(yīng)用平臺(tái)漏洞攻擊黑客通過(guò)獲悉應(yīng)用平臺(tái)后，可以利用該平 臺(tái)的已知漏洞進(jìn)行攻擊。當(dāng)應(yīng)用平臺(tái)出現(xiàn) 漏洞，且沒(méi)有官方補(bǔ)丁

5、時(shí)，同樣面臨被攻 擊的風(fēng)險(xiǎn)。安恒WAF將阻止已知的攻擊，并提供安全策略規(guī)則升級(jí)服務(wù)，用戶可以按計(jì)劃進(jìn)行安全應(yīng)用策略升級(jí)。同時(shí)，對(duì)于局級(jí)用戶，安恒 WAF提供自定 義規(guī)則庫(kù)的添加，可以針對(duì)某 些關(guān)鍵字，特殊應(yīng)用做特殊安全處理。DOS攻擊通過(guò)DOS攻擊請(qǐng)求，以達(dá)到消耗應(yīng)用平臺(tái) 資源異常消耗的一種攻擊，最終造成應(yīng)用 平臺(tái)拒絕服務(wù)?？梢苑雷o(hù)所有的網(wǎng)絡(luò)層的DoS。包括防止 SYN cookie , 應(yīng)用層DOS攻擊和對(duì)客戶端 連接速率進(jìn)行限制。HTTP找攻擊一些狡猾的黑客通過(guò) HTTP仙行HTTPS 的攻擊，由于SSL加密數(shù)據(jù)包無(wú)法進(jìn)行有 效的檢測(cè)，導(dǎo)致通用的網(wǎng)絡(luò)防火墻和普通 WEB應(yīng)用防火墻無(wú)能為力。

6、支持用戶上傳HIIPS證書，在WAF進(jìn)行第一輪認(rèn)證，并對(duì)應(yīng) 用流量進(jìn)行解密和偵測(cè)，對(duì)HTTPS類的所有攻擊進(jìn)行有 效的攔截和防御。2.現(xiàn)有的防御技術(shù)目前，很多企業(yè)采用網(wǎng)絡(luò)安全防御技術(shù)對(duì)Web應(yīng)用進(jìn)行防護(hù)，如綜合采用網(wǎng)絡(luò)防火墻、IDS、補(bǔ)丁安全管理、升級(jí)軟件等措施，然而這些方法難以有效的阻止Web攻擊，且對(duì)于HTTPS類的攻擊手段，更是顯得束手無(wú)策。2.1.傳統(tǒng)網(wǎng)絡(luò)防火墻第一代網(wǎng)絡(luò)防火墻可以控制對(duì)網(wǎng)絡(luò)的訪問(wèn)，管理員可以創(chuàng)建網(wǎng)絡(luò)訪問(wèn)控制列表(ACLs)允許或阻止來(lái)自某個(gè)源地址或發(fā)往某個(gè)目的地址及相關(guān)端口的訪問(wèn)流量。傳統(tǒng)的防火墻無(wú)法阻止Web攻擊，不論這些攻擊來(lái)自防火墻內(nèi)部的還是外部，因?yàn)樗鼈儫o(wú)法檢

7、測(cè)、阻斷、修 訂、刪除或重寫HTTP應(yīng)用的請(qǐng)求或應(yīng)答內(nèi)容。為了保障對(duì)web應(yīng)用的訪問(wèn)，防火墻會(huì)開(kāi)放Web應(yīng)用的80端口，這意味著Internet上的任意IP都能直接訪問(wèn) Web應(yīng)用，因此 web及 其應(yīng)用服務(wù)器事實(shí)上是無(wú)安全檢測(cè)和防范的。狀態(tài)檢測(cè)防火墻是防火墻技術(shù)的重大進(jìn)步，這種防火墻在網(wǎng)絡(luò)層的 ACLs基礎(chǔ)上增加了狀態(tài)檢測(cè)方式，它監(jiān)視每一個(gè)連接狀態(tài)， 并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時(shí)刻的數(shù)據(jù)包 和狀態(tài)信息進(jìn)行比較， 從而得到該數(shù)據(jù)包的控制信息， 來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。 它能根 據(jù)TCP會(huì)話異常及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過(guò)IP分拆和組合也能判斷是否有攻擊隱藏在多個(gè)數(shù)據(jù)包中。 然而，狀

8、態(tài)防火墻無(wú)法偵測(cè)很多應(yīng)用層的攻擊，如果一個(gè)攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通過(guò)防火墻到達(dá)應(yīng)用服務(wù)器；同樣，如果某個(gè)攻擊進(jìn)行了加密或編碼該防火墻也不能檢測(cè)。2.2. 入侵檢測(cè)系統(tǒng)（IDS）入侵檢測(cè)系統(tǒng)使用特征識(shí)別技術(shù)記錄并報(bào)警潛在的安全威脅。其工作模式是被動(dòng)的， 它不能阻止攻擊，也不能對(duì)未知的攻擊進(jìn)行報(bào)警。目前大多數(shù)攻擊特征數(shù)據(jù)庫(kù)都是網(wǎng)絡(luò)層的攻擊，此外，可以通過(guò)加密， TCP碎片攻擊以及其他方式繞過(guò)入侵檢測(cè)系統(tǒng)的防御。3. Web安全需求企業(yè)對(duì)Web應(yīng)用的安全防護(hù)主要包括如下需求：部署簡(jiǎn)便，管理集中，操作簡(jiǎn)潔，性 能影響甚微。包括：對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無(wú)影響 ；方便管理，無(wú)需進(jìn)行復(fù)雜的配置

9、；對(duì)現(xiàn)有 WEB服務(wù)器的訪問(wèn)速率不能造成太大的影響 ；-對(duì)正常業(yè)務(wù)訪問(wèn)不能進(jìn)行錯(cuò)誤的攔截阻斷。3.1. Web應(yīng)用防火墻Web應(yīng)用防火墻的兩個(gè)關(guān)鍵功能是，深入理解HTTP/HTTPS&議，可監(jiān)測(cè)往返流量，能對(duì)web流量進(jìn)行安全控制。 Web數(shù)據(jù)中心是經(jīng)常變化的，包括新的應(yīng)用程序、新的軟件模塊，不斷更新的軟件補(bǔ)丁等。專業(yè)的安全工具和方法應(yīng)能適應(yīng)這種動(dòng)態(tài)環(huán)境，應(yīng)用配置的升級(jí)更新和對(duì)監(jiān)測(cè)數(shù)據(jù)的分析使得應(yīng)用防火墻總能適應(yīng)新的安全需求4.安恒WAF的特點(diǎn)安恒WAF提供高效的 Web應(yīng)用安全邊界檢查功能。安恒 WAF整合了所有的 Web安全防御功能，能全方位的保護(hù)用戶的Web數(shù)據(jù)中心。安恒 WAF

10、對(duì)所有 Web流量（包括客戶端請(qǐng)求流量和服務(wù)器返回的數(shù)據(jù)流量）進(jìn)行深度檢測(cè)，在網(wǎng)絡(luò)層和應(yīng)用層兩方面提供了廣泛的入侵防護(hù)功能。安恒WAF提供多種部署模式，典型的部署模式有：透明直連模式和單臂鏡像監(jiān)控模式。透明直連模式提供完全透明的部署方式，即對(duì)原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不造成任何影響，安恒WAF自身也不占用IP地址，從而不僅保護(hù)了 Web服務(wù)器，也提高了自身的安全等級(jí)（針對(duì) 安恒WAF的攻擊將顯得無(wú)能為力）。安恒 WAF的透明直連部署如下圖所示：安恒3廁曲隨方期上圖為透明直連部署方式，在該部署模式下，安恒WAF提供直連檢測(cè)防御和旁路檢測(cè)兩種模式。直連檢測(cè)防御模式：對(duì)Web流量進(jìn)行安全檢測(cè)，并且可以采取防御

11、阻斷措施，防止非法入侵訪問(wèn)和 Web服務(wù)器敏感信息等流量通過(guò)；旁路檢測(cè)模式：對(duì)Web流量進(jìn)行鏡像檢測(cè)，并不采取阻斷，從而既實(shí)現(xiàn)了監(jiān)控又達(dá)到了對(duì)網(wǎng)路性能零損耗的目的。我們推薦在部署初期采用旁路檢測(cè)模式，對(duì)既有網(wǎng)絡(luò)環(huán)境和Web服務(wù)不會(huì)產(chǎn)生任何負(fù)面影響，并可及時(shí)針對(duì)相關(guān)告警信息以及客戶實(shí)際業(yè)務(wù)需求，做適量調(diào)整后切換到直連檢測(cè)防御模式，達(dá)到 既安全又保險(xiǎn)的目的。Web另外我們還提供單臂鏡像的監(jiān)控模式：即通過(guò)網(wǎng)絡(luò)交換機(jī)鏡像口，將保護(hù)對(duì)象（ 服務(wù)器）相關(guān)的流量鏡像到安恒 WAF設(shè)備，實(shí)現(xiàn)鏡像的監(jiān)控模式。安恒WAF具備獨(dú)立的安全策略規(guī)則庫(kù)，可以對(duì)應(yīng)用層數(shù)據(jù)流量進(jìn)行雙向檢測(cè)，并對(duì)非 法訪問(wèn)記錄相關(guān)日志，用戶可

12、以實(shí)時(shí)查看WEB服務(wù)器的當(dāng)前安全狀況。安恒WAF提供多個(gè)保護(hù)站點(diǎn)的功能，WAF設(shè)備面板具備多個(gè)IN和OUT 口，IN 口為訪問(wèn)數(shù)據(jù)流入口， OUT為WAF與WEB服務(wù)器的接口。多個(gè) IN和OUT 口支持對(duì)多臺(tái)主機(jī)的保 護(hù)，用戶同時(shí)也可以在 OUT 口接一臺(tái)交換機(jī)，后端保護(hù)多臺(tái) WEB服務(wù)器。安恒 WAF提供 一個(gè)管理口，用戶可以通過(guò)管理口對(duì)WAF進(jìn)行相關(guān)的配置和當(dāng)前狀況的查看。安恒WAF提供對(duì)HTTPS的完全防護(hù)，訪問(wèn)數(shù)據(jù)在WAF進(jìn)行第一輪認(rèn)證，并對(duì)后續(xù)訪問(wèn) 流量進(jìn)行安全檢查，充分防止 HTTPS類型的各種攻擊方式。5.安恒WAF的功能安恒WAF提供下列功能：-深度防護(hù)-Web站點(diǎn)隱藏-策略設(shè)

13、置向?qū)?安全策略檢測(cè)和阻斷模式-硬件旁路模式-HTTPS/SSL勺完全支持-網(wǎng)頁(yè)防篡改日志和報(bào)表-高可操作性5.1.web防火墻安恒WAF通過(guò)對(duì) Web流量進(jìn)行深度檢測(cè)對(duì) Web應(yīng)用進(jìn)行深度防護(hù)，提供了全面的入 侵防御能力。安恒WAF能在攻擊到達(dá)Web服務(wù)器之前進(jìn)行阻斷，防止惡意的請(qǐng)求或內(nèi)置非法程序的 請(qǐng)求訪問(wèn)目標(biāo)應(yīng)用。安恒 WAF能解碼所有進(jìn)入的請(qǐng)求，檢查這些請(qǐng)求是否合法或合乎規(guī)定；僅允許正確的格式或 RFC遵從的請(qǐng)求通過(guò)。已知的惡意請(qǐng)求將被阻斷，非法植入到Header、 Form和URL中的腳本將被阻止。 Web應(yīng)用防火墻還能進(jìn)行 Web地址翻譯、請(qǐng)求限制、 URL 格式定義及Cookie

14、安全。安恒 WAF能阻止一系列的攻擊，無(wú)論是已知的或未知的。能夠阻止那些最常見(jiàn)的攻擊 如跨站點(diǎn)腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽、SQL注入等。5.2. Web站點(diǎn)隱藏成功的Web攻擊往往由探測(cè)網(wǎng)絡(luò)漏洞開(kāi)始，在網(wǎng)絡(luò)上很容易找到漏洞掃描工具對(duì)一個(gè)網(wǎng)站的應(yīng)用程序、服務(wù)器、URL等進(jìn)行掃描。安恒 WAF提供站點(diǎn)隱藏功能，黑客將無(wú)法查看web的源信息，安恒 WAF URL返回碼，HTTP頭信息以及終端服務(wù)器的 IP。安恒WAF能完全的中止所有的會(huì)話，因此用戶無(wú)法直接連接到Web服務(wù)器上，無(wú)法直接訪問(wèn)服務(wù)器、操作系統(tǒng)或補(bǔ)丁程序。訪問(wèn)出錯(cuò)信息也將由安恒WAF提供，后端服務(wù)器的出錯(cuò)信息不會(huì)直接返回給用戶。

15、這樣，避免了服務(wù)器敏感信息泄露， 也同時(shí)讓一些高明的黑 客就無(wú)法通過(guò)出錯(cuò)信息發(fā)動(dòng)攻擊。5.3. 安全策略安恒WAF提供默認(rèn)的安全策略對(duì) Web網(wǎng)站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。除了默認(rèn)的策略外， 用戶還可以創(chuàng)建客戶化的策略。每個(gè)策略下分為若干子策略：-HTTP協(xié)議合規(guī)性-SQL注入阻斷-跨站點(diǎn)腳本攻擊防護(hù)表單/cookie篡改防護(hù)-DoS攻擊防護(hù)請(qǐng)求包大小限制限制HTTP請(qǐng)求Head大小避免惡意代碼通過(guò)，超過(guò)規(guī)定大小的請(qǐng)求將被丟棄。正確配 置請(qǐng)求限制還能減輕 Dos攻擊、緩沖區(qū)攻擊。HTTP/HTTPS青求方法限制限制 HTTP/HTTPS各種方法的訪問(wèn)，包括：GET, POST DELET巳 HEA

16、D, CONNECTTRACE PUT。HTTP/HTTPS青求方法限制支持黑白名單的配置，可以設(shè)定可信的訪問(wèn)客戶端IP（白名單）而不受安全策略規(guī)則的檢測(cè);設(shè)定非法的訪問(wèn)客戶端（黑名單），直接禁止其任何對(duì) WEB服務(wù)器的訪問(wèn)。用戶自定義規(guī)則庫(kù)支持用戶自定義規(guī)則庫(kù)，用戶可以根據(jù)業(yè)務(wù)需求，針對(duì)某些關(guān)鍵字，數(shù)據(jù)段長(zhǎng)度等相關(guān) 信息，自定義安全過(guò)濾規(guī)則。5.4.檢測(cè)和阻斷模式架設(shè)web應(yīng)用防火墻可能意外的現(xiàn)象，應(yīng)用某個(gè)不當(dāng)?shù)囊?guī)則可能影響當(dāng)前應(yīng)用的正常使用，因此不少管理員都在猶豫要不要使用最高安全等級(jí)的過(guò)濾策略。保守監(jiān)控功能可以幫助用戶解決這個(gè)擔(dān)憂，利用這個(gè)功能用戶可以在不影響使用的前提下進(jìn)行策略配置。安

17、恒WAF支持檢測(cè)和阻斷模式功能，在檢測(cè)模式下，所有安全策略規(guī)則都只是對(duì)應(yīng)用流量數(shù)據(jù)包進(jìn)行檢測(cè)，并告警，而不做任何阻斷功能；在阻斷模式下，所有的安全策略規(guī)則同時(shí)可以提供用戶對(duì)單條規(guī)則的配置：阻斷 （默認(rèn)）或者僅檢測(cè)。因此，管理員可以根據(jù)監(jiān)控 情況，實(shí)時(shí)進(jìn)行調(diào)整。5.6碩件旁路模式硬件旁路：當(dāng)設(shè)備出現(xiàn)故障或者關(guān)機(jī)時(shí)，WAF設(shè)備可以切換到硬件旁路模式，對(duì)既有的網(wǎng)絡(luò)連接狀況不會(huì)造成中斷影響。HTTPS/SSL勺完全支持安全套接字層 （SSL能提供一個(gè)加密的（公鑰私鑰配對(duì)）可靠的連接。許多商業(yè)網(wǎng)站采用SSL傳輸以保障數(shù)據(jù)安全，不過(guò)SSL的加密通常費(fèi)時(shí)費(fèi)力。安恒WAF支持對(duì)HTTPS訪問(wèn)的完全監(jiān)控和阻斷能

18、力， 支持Openssl類加密的證書格式。支持用戶上傳WEB服務(wù)器的證書，在訪問(wèn)WEB服務(wù)器之前進(jìn)行第一輪認(rèn)證，并對(duì)訪問(wèn)應(yīng)用 流量進(jìn)行徹底檢查，防止各類攻擊訪問(wèn)。5.7日志和報(bào)表安恒WAF記錄了重要事件的日志信息，日志信息非常全面涵蓋了一次訪問(wèn)的主要信息 參數(shù)，支持多種搜索方式， 這些日志信息可以幫助用戶搜索并分析可以流量，進(jìn)而優(yōu)化安全策略。安恒WAF的報(bào)表功能十分強(qiáng)大，在日志的基礎(chǔ)上可以生成各種報(bào)表，還提供報(bào)表模板，大大方便了管理員的數(shù)據(jù)分析，增強(qiáng)了系統(tǒng)的易用性。5.8高可操作性安恒WAF采用圖形（GUI）管理和配置界面，直觀且支持多任務(wù)，跟用戶平時(shí)的使用習(xí)慣 一致，可用性高。5.9WEB加速功能安恒WAF為了提高被保護(hù)系統(tǒng)的訪問(wèn)速度同時(shí)消除WAF過(guò)濾分析過(guò)程中帶來(lái)的延時(shí)，定制提供了應(yīng)用加速功能，通過(guò)高速緩存和相關(guān)算法鏡像及管理相關(guān)的靜態(tài)內(nèi)容，一旦有用戶訪問(wèn)，客戶端直接通過(guò) WAF緩存中獲取，避免了用戶重復(fù)通過(guò) Web服務(wù)器并進(jìn)行協(xié)議解 析等相關(guān)操作，從而加快了訪問(wèn)速度，減輕了WEB服務(wù)器的負(fù)擔(dān)6.結(jié)論杭州安恒信息技術(shù)有限公司的核心團(tuán)隊(duì)擁有多年互聯(lián)網(wǎng)應(yīng)用安全防衛(wèi)、網(wǎng)絡(luò)安全審計(jì)、 數(shù)據(jù)庫(kù)安全審計(jì)