Radware網(wǎng)站安全解決方案課件

1、AppWall產(chǎn)品介紹 2009 Radware, Inc. All rights reserved.Radware 陳玉奇Page 1第1頁，共86頁。Web應(yīng)用安全的挑戰(zhàn)2第2頁，共86頁。政府3第3頁，共86頁。企業(yè)4第4頁，共86頁。防不勝防5第5頁，共86頁。面子與里子預(yù)言成真6第6頁，共86頁。問題根源全開放的系統(tǒng)，面對全球的目光開發(fā)中對安全的忽視，開發(fā)人員缺乏安全意識復(fù)雜的系統(tǒng)、頻繁的更新傳統(tǒng)防御方式的缺陷高級HTTP攻擊工具的大量傳播大量的Web漏洞傳播7第7頁，共86頁。OWASP 10大安全威脅(2004)A1.Unvalidated InputA2.Broken Acce

2、ss ControlA3.Broken Authentication/ Session ManagementA4.Cross-Site Scripting FlawsA5.Buffer Overflows A6.Injection Flaws A7.Improper Error Handling A8.Insecure Storage A9.Denial of Service A10.Insecure Configuration Management 8第8頁，共86頁。OWASP 10大安全威脅(2010)A1. Injection A2. Cross-Site Scripting (XSS

3、)A3. Broken Authentication and Session Management A4. Insecure Direct Object References A5. Cross-Site Request Forgery (CSRF) A6. Security Misconfiguration A7. Insecure Cryptographic Storage A8. Failure to Restrict URL Access A9. Insufficient Transport Layer Protection A10. Unvalidated Redirects and

4、 Forwards 9第9頁，共86頁。Web攻擊類型舉例10第10頁，共86頁。SQL注入攻擊者通過構(gòu)造一個特殊的SQL查詢語句獲得對數(shù)據(jù)庫或者系統(tǒng)的全面控制權(quán)，是目前最流行的攻擊方式之一11第11頁，共86頁。SQL注入常見的Login請求： SELECT * FROM users WHERE login = victorAND password = 123(If it returns something then login!)ASP/MS SQL Server login syntaxvar sql = SELECT * FROM usersWHERE login = + formus

5、r + AND password = + formpwd + ; 12第12頁，共86頁。SQL注入formusr = or 1=1 formpwd = anythingFinal query would look like this:SELECT * FROM usersWHERE username = or 1=1 AND password = anything13第13頁，共86頁?？缯灸_本 (XSS)跨站腳本就是在加載網(wǎng)站頁面上可運(yùn)行的腳本，最終導(dǎo)致信息泄露。臨時腳本，需要點(diǎn)擊URL長期腳本，只需要簡單的瀏覽14第14頁，共86頁。跨站腳本含XSS漏洞的應(yīng)用32上傳腳本、設(shè)置陷阱攻擊者

6、向網(wǎng)頁上傳有害腳本，并被存儲在數(shù)據(jù)庫中1受害者瀏覽腳本將受害者信息偷偷發(fā)送到攻擊者手中腳本在受害者的瀏覽器中運(yùn)行，就可獲得對DOM對象和cookie的完全訪問權(quán)限Custom CodeAccountsFinanceAdministrationTransactionsCommunicationKnowledge MgmtE-CommerceBus. Functions15第15頁，共86頁。Cookie 篡改cookie篡改是攻擊者修改cookie（網(wǎng)站用戶計(jì)算機(jī)中的個人信息）獲得用戶未授權(quán)信息，進(jìn)而盜用身份的過程，攻擊者可能使用此信息打開新賬號或者獲取用戶已存在賬號的存取權(quán)限。 16第16頁，

7、共86頁。傳統(tǒng)的防御方式17第17頁，共86頁。防火墻防火墻僅作訪問控制作用。防火墻并不是為Web應(yīng)用而開發(fā)，不能識別應(yīng)用層的信息。防火墻無法了解Web的輸入內(nèi)容，不考慮URL請求中的異常參數(shù)防火墻不可能檢測SSL信息，而大量Web應(yīng)用采用SSL加密18第18頁，共86頁。IPSIPS主要針對通用的應(yīng)用開發(fā)，沒有特別針對Web做優(yōu)化和擴(kuò)展。傳統(tǒng)IPS主要基于靜態(tài)特征的方式進(jìn)行檢測，對層出不窮的Web應(yīng)用漏洞無法覆蓋。IPS只能簡單處理Web攻擊，無法確切了解攻擊目標(biāo)和代碼內(nèi)容。缺乏針對Web應(yīng)用的理解導(dǎo)致IPS的誤報(bào)率很高，對Web應(yīng)用控制力度有限。19第19頁，共86頁。防篡改系統(tǒng)主要針對靜

8、態(tài)頁面的非授權(quán)修改的防范，通過MD5等掃描驗(yàn)證來實(shí)現(xiàn)，實(shí)際是網(wǎng)頁服務(wù)器功能的一個選項(xiàng)只是基于特征靜態(tài)的對SQL注入和跨站進(jìn)行防范，無法對高級注入和攻擊進(jìn)行防范無法對OWASP所定義的其他Web威脅進(jìn)行防范不支持SSL加密的Web防護(hù)沒有動態(tài)自學(xué)習(xí)過程，對網(wǎng)站的動態(tài)變化無能為力只適用于靜態(tài)頁面發(fā)布的站點(diǎn)，不適合動態(tài)事務(wù)處理的商業(yè)站點(diǎn)20第20頁，共86頁。代碼也是安全邊界的重要部分FirewallHardened OSWeb ServerApp ServerFirewallDatabasesLegacy SystemsWeb ServicesDirectoriesHuman ResrcsBill

9、ing用戶開發(fā)的應(yīng)用代碼APPLICATIONATTACK網(wǎng)絡(luò)層應(yīng)用層你的安全“邊界”在應(yīng)用層存在巨大的漏洞21第21頁，共86頁。Web 應(yīng)用防火墻才是最佳選擇對應(yīng)用的內(nèi)容進(jìn)行狀態(tài)檢測雙向處理針對每個應(yīng)用都基于策略防護(hù)主動安全被動安全串聯(lián)部署 獨(dú)立新型設(shè)備 結(jié)論: 須有金剛鉆，來攬瓷器活 22第22頁，共86頁。RadwareAppWall介紹23第23頁，共86頁。Radware AppWallAppWall是一個高性能的Web應(yīng)用防火墻AppWall探測、阻斷針對Web的攻擊，并且生成安全事件AppWall 截取、監(jiān)控所有進(jìn)出Web應(yīng)用的流量是Radware應(yīng)用交付和安全解決方案的重要一

10、環(huán)滿足企業(yè)對Web應(yīng)用安全的管理需求Slide 2424第24頁，共86頁。產(chǎn)品概述AppWall 是最好的Web應(yīng)用防火墻AppWall 三大核心優(yōu)勢安全性性能管理性安全性 集最全面的安全防范于一身為所有層面提供Database, XML, HTML自動發(fā)現(xiàn)安全威脅將人為風(fēng)險(xiǎn)降到最低性能 最佳的性能細(xì)顆粒的安全增強(qiáng)優(yōu)化的安全檢測手段可隨應(yīng)用安全的需求而擴(kuò)展 管理性AppWall 管理整個系統(tǒng)End to End 自動配置自動識別應(yīng)用架構(gòu)最全面的監(jiān)測工具 - Logging, Reporting, forensics25第25頁，共86頁。安全性 保護(hù)內(nèi)容動態(tài)頁面：Database recor

11、dsPages with parametersPages with cookiesXML pagesLogin pages靜態(tài)頁面：Media filesPages without parametersHTML files管理站點(diǎn)信息：Access and login dataWeb application reports and statisticsThreatsParameters Tampering Cookie Poisoning Database Sabotage Session HijackingWebServices Manipulation Stealth Commands D

12、ebug Options Backdoor Manipulation of IT Infrastructure Vulnerabilities 3rd Party Misconfiguration Buffer Overflow Attacks Data Encoding Protocol Piggyback Cross-Site Scripting (XSS) Brute Force Attacks26第26頁，共86頁。被動安全模塊主動安全模塊概念A(yù)ppWall 在識別攻擊的同時，并不影響合法流量AppWall 主動學(xué)習(xí)和建立合法流量的特征模型，從而阻斷其它非法流量優(yōu)勢 不需客戶定制 開箱

13、即用 簡單，直接 精確識別 可防范未知攻擊 無需特征庫升級安全模塊27第27頁，共86頁。設(shè)備處理模式Active學(xué)習(xí)、報(bào)警、阻斷Passive學(xué)習(xí)、報(bào)警Bypass單純轉(zhuǎn)發(fā)流量28第28頁，共86頁。完善的安全過濾器（Security Filter）允許列表安全過濾器驗(yàn)證HTTP請求是否被批準(zhǔn)暴力破解安全過濾器建立行為規(guī)則并阻止?jié)撛诘墓粼碔P，防范暴力破解數(shù)據(jù)庫安全過濾器檢查HTTP請求中的參數(shù)，檢測有害SQL注入文件上傳安全過濾器驗(yàn)證文件上傳及已上傳文件的訪問方式是否被批準(zhǔn)全局參數(shù)安全過濾器通過全局參數(shù)定義可接受的HTTP請求參數(shù)HTTP 方法安全過濾器驗(yàn)證HTTP請求methods 是

14、否被批準(zhǔn)訪問記錄安全過濾器將HTTP頭信息和載體記錄進(jìn)日志供以后追蹤和查詢參數(shù)安全過濾器有針對性的建立可接受的HTTP請求參數(shù)列表29第29頁，共86頁。完善的安全過濾器（續(xù)）路徑限制安全過濾器驗(yàn)證HTTP請求是否在未經(jīng)授權(quán)的情況下訪 某些文件和目錄安全回復(fù)安全過濾器檢測回復(fù)中是否包含未經(jīng)授權(quán)的信息和內(nèi)容，例如信用卡號碼，身份證號碼會話安全過濾器防止遠(yuǎn)程用戶使用人造會話狀態(tài)信息并入侵Web應(yīng)用漏洞安全過濾器使用安全策略檢測HTTP請求，驗(yàn)證是否含有針對漏洞的攻擊 (基于特征碼).Web服務(wù)安全過濾器驗(yàn)證對外提供的服務(wù)器和操作時被批準(zhǔn)的。XML 安全過濾器驗(yàn)證Post請求中的XML語句，分析封裝

15、在XML參數(shù)中信息，供后續(xù)的安全過濾器來使用30第30頁，共86頁。根據(jù)自定義的列表來允許用戶的請求用戶請求與預(yù)定義的頁面或者擴(kuò)展名不匹配則被阻斷只有匹配預(yù)定義頁面或者擴(kuò)展名的請求才被轉(zhuǎn)發(fā)到后臺應(yīng)用用戶列表缺省是為空如果這個過濾器被啟動而列表為空時，所有的請求都會被阻斷，并生成日志支持全局配置和應(yīng)用層面的配置支持自動配置允許列表安全過濾器31第31頁，共86頁。允許列表安全過濾器32第32頁，共86頁。允許列表安全過濾器33第33頁，共86頁。防止遠(yuǎn)程用戶猜測用戶名和口令探測自動化的暴力破解過程，并阻斷攻擊者的IP能夠阻斷攻擊者通過自動的工具實(shí)現(xiàn)的攻擊根據(jù)Web服務(wù)器正常或者異常的響應(yīng)來判斷暴

16、力破解安全過濾器34第34頁，共86頁。暴力破解安全過濾器35第35頁，共86頁。暴力破解安全過濾器36第36頁，共86頁。探測可能存在威脅的各種參數(shù)，是否包含有害的數(shù)據(jù)庫命令驗(yàn)證參數(shù)與輸入值，確認(rèn)其內(nèi)容與標(biāo)準(zhǔn)輸入是否一致探測到試圖對數(shù)據(jù)庫操作的行為時進(jìn)行告警，自動生成攻擊特征支持自動配置數(shù)據(jù)庫安全過濾器37第37頁，共86頁。數(shù)據(jù)庫安全過濾器38第38頁，共86頁。數(shù)據(jù)庫安全過濾器39第39頁，共86頁。監(jiān)控Web應(yīng)用改程序的文件上傳行為任何文件的上傳都會告警可以通過配置這個過濾器來定義何種上傳行為才會告警，配置參數(shù)包括：應(yīng)用路徑 定義允許上傳的目標(biāo)擴(kuò)展名 定義允許上傳的文件類型HTTP方法

17、 PUT或者POST 作為上傳的方法提取權(quán)限 定義用戶是否允許提取上傳的文件文件上傳安全過濾器40第40頁，共86頁。文件上傳安全過濾器41第41頁，共86頁。文件上傳安全過濾器42第42頁，共86頁。驗(yàn)證參數(shù)類型的值能夠被用于驗(yàn)證在其他安全過濾器中定義的參數(shù)類型能夠全局配置或者針對特定應(yīng)用路徑針對 URL, Path, XML, WebServices和Cookie 進(jìn)行參數(shù)的驗(yàn)證根據(jù)以下順序提供兩類處理機(jī)制: 針對每個列出的表達(dá)式進(jìn)行全局的處理應(yīng)用路徑級別的處理驗(yàn)證以下參數(shù)類型：Long, Float, Numeric, Alpha, AlphaNum, Expression, Strin

18、g and Null Parameter全局參數(shù)安全過濾器43第43頁，共86頁。全局參數(shù)安全過濾器44第44頁，共86頁。全局參數(shù)安全過濾器45第45頁，共86頁。根據(jù)Http驗(yàn)證請求的合法性針對特定的路徑或頁面確定允許哪些Http方法可以進(jìn)行全局或者特定路徑的定義特定路徑的Http方法定義優(yōu)先級高于全局定義一旦啟用這個過濾器，用戶請求中帶有未經(jīng)定義的Http方法將被阻斷Http方法安全過濾器46第46頁，共86頁。Http方法安全過濾器47第47頁，共86頁。Http方法安全過濾器48第48頁，共86頁。允許記錄請求和響應(yīng)的數(shù)據(jù)被用于Troubleshooting或者記錄非法請求允許用戶根

19、據(jù)請求或者響應(yīng)定義以下的屬性：記錄的文件名最大的文件大小記錄所有的請求或者響應(yīng)頭信息記錄所有的請求或者響應(yīng)缺省情況下，記錄文件在: .EventLogging 目錄下訪問記錄安全過濾器49第49頁，共86頁。訪問記錄安全過濾器50第50頁，共86頁。訪問記錄安全過濾器51第51頁，共86頁。驗(yàn)證用戶請求中的參數(shù)，當(dāng)出現(xiàn)非法參數(shù)時進(jìn)行告警運(yùn)行在兩種模式下Can operate in 2 modes:只檢查列出的參數(shù)，允許其他參數(shù)請求直接通過只檢查列出的參數(shù)，阻斷其他所有參數(shù)請求（缺?。┛梢栽O(shè)置成只驗(yàn)證參數(shù)名稱，也可以驗(yàn)證參數(shù)的值支持正則表達(dá)式去定義特定的名稱和數(shù)值根據(jù)以下條件來驗(yàn)證參數(shù)的值:數(shù)值

20、類型范圍 最大/最小長度參數(shù)順序空值正則表達(dá)式支持自動配置參數(shù)安全過濾器52第52頁，共86頁。參數(shù)安全過濾器53第53頁，共86頁。參數(shù)安全過濾器54第54頁，共86頁。自定義不允許訪問的路徑或者頁面請求中帶有列表中定義的路徑或頁面會被阻斷只有不匹配列表中的頁面或者路徑才被允許和“允許列表”配合例子，允許用戶訪問某一類型的頁面（允許列表），但是阻斷特定的文件或者子目錄（路徑限制）路徑限制安全過濾器55第55頁，共86頁。路徑限制安全過濾器56第56頁，共86頁。路徑限制安全過濾器57第57頁，共86頁。屏蔽回應(yīng)的數(shù)據(jù)包中存在敏感信息泄露的可能，包括信用卡號社會保障號用戶自定義信息檢測每個回應(yīng)

21、包中匹配定義的模板和數(shù)值這樣回應(yīng)既可以被阻斷，也可以通過星號的方式進(jìn)行隱藏安全回復(fù)安全過濾器58第58頁，共86頁。安全回復(fù)安全過濾器59第59頁，共86頁。安全回復(fù)安全過濾器60第60頁，共86頁。防止遠(yuǎn)程用戶提交被修改過的會話狀態(tài)信息防止攻擊者修改Cookie的初始值防止遠(yuǎn)程用戶修改隱藏在HTML表單中的并提交給應(yīng)用程序原始回應(yīng)數(shù)據(jù)包中的值都是被加密的，AppWall驗(yàn)證數(shù)值是否被修改后再次提交如果數(shù)值被修改過，那么后繼的請求將會被阻斷，并生成告警會話安全過濾器61第61頁，共86頁。會話安全過濾器62第62頁，共86頁。會話安全過濾器63第63頁，共86頁。檢測請求中是否存在已知的漏洞特

22、征當(dāng)請求中包含已知特征或者參數(shù)的表達(dá)式時，AppWall會進(jìn)行告警特征的檢測基于：URL, Header, Body 和請求的參數(shù)漏洞安全過濾器64第64頁，共86頁。漏洞安全過濾器65第65頁，共86頁。漏洞安全過濾器66第66頁，共86頁?？焖傧`報(bào)67第67頁，共86頁。Active 全面的入侵檢測和告警并阻斷非法流量；Passive 全面的入侵檢測和告警但是不阻斷非法流量；Learn 記錄能夠觸發(fā)安全過濾器的請求，允許用戶以后配置消除誤報(bào)；Disable 特定過濾器關(guān)閉；安全過濾器的運(yùn)行模式68第68頁，共86頁。Full AutoAppWall自動判斷是否開啟或關(guān)閉特定的過濾器Au

23、to EnabledAppWall自動判斷過濾器的運(yùn)行模式：Passive 或者ActiveAuto Refinements自動消除某些過濾器的誤報(bào)： AllowList, Parameters,DatabaseManual手動配置安全過濾器 安全過濾器的自動配置69第69頁，共86頁。AppWall在阻斷非法請求時返回給用戶的頁面定義在主機(jī)層面安全頁面70第70頁，共86頁。性能根據(jù)應(yīng)用的路徑設(shè)置優(yōu)化的安全規(guī)則粒度根據(jù)不同的應(yīng)用設(shè)置最優(yōu)化的策略動態(tài)調(diào)整應(yīng)用需求檢測必須檢測的內(nèi)容優(yōu)化應(yīng)用性能 優(yōu)化系統(tǒng)無限的AppWall集群根據(jù)應(yīng)用需求輕松擴(kuò)展性能71第71頁，共86頁。管理性AppWall

24、管理整個應(yīng)用安全系統(tǒng) Security ManagementAutomatic Discovery of Application Structure No need to know, define or understand the ApplicationAutomatic Configuration of security policyAutomatic Policy creation and refinementZero Manual work Lowest proficiency levels requiredLowest Risk of Human Error Lowest TCO a

25、nd OPEX事件管理最完善的監(jiān)控、日志和數(shù)據(jù)管理工具安全信息管理雷達(dá)圖 Security Forensic Dashboard 管理, 系統(tǒng), 初始化、提交和安全日志應(yīng)用、過濾器事件，應(yīng)用報(bào)告72第72頁，共86頁。AppWall事件Dashboard73第73頁，共86頁。直觀的管理和安全日志74第74頁，共86頁。事件圖75第75頁，共86頁。AppWall 技術(shù)參數(shù)76第76頁，共86頁。AppWall 技術(shù)參數(shù)設(shè)備硬件 采用1U專用機(jī)架式硬件設(shè)備；提供4個千兆電口或多模光口作為業(yè)務(wù)口，一個獨(dú)立千兆電口作為管理口 處理性能單臺設(shè)備處理性能為1G檢測協(xié)議Http、Https，支持其他協(xié)議

26、Bypass運(yùn)行模式 支持旁路部署，無縫接入現(xiàn)有業(yè)務(wù)。支持多個虛擬主機(jī)防護(hù)，不同虛擬主機(jī)可以定義不同安全策略支持子應(yīng)用防護(hù)，下級應(yīng)用可以繼承上級應(yīng)用的安全策略，也可以自定義安全策略自動發(fā)現(xiàn)web站點(diǎn)結(jié)構(gòu)、頁面、參數(shù)等信息自動學(xué)習(xí)Web站點(diǎn)參數(shù)內(nèi)容，根據(jù)訪問行為實(shí)現(xiàn)自動的安全策略，安全級別不依賴于特征的更新自定義調(diào)整學(xué)習(xí)時間和相關(guān)學(xué)習(xí)參數(shù)支持快速消除誤報(bào)支持后臺服務(wù)器輪詢操作77第77頁，共86頁。AppWall 技術(shù)參數(shù)攻擊防護(hù)類型 SQL注入跨站腳本Parameter tampering會話操縱Cookie毒藥Stealth commanding后門程序web應(yīng)用溢出暴力破解非授權(quán)訪問SOAP服務(wù)操縱等文件上傳控制設(shè)備管理 具有獨(dú)立的管理平臺，可以對多臺設(shè)備進(jìn)行統(tǒng)一管理，管理數(shù)據(jù)的傳輸必須進(jìn)行加密。支持日志輸出，日志輸出可以使用以下協(xié)議：SMTP、SNMP、ODBC、SYSLOG、OPSEC可以對日志進(jìn)行詳細(xì)查詢支持圖形化報(bào)表可以通過外部LCD查看設(shè)備狀態(tài)并進(jìn)行管理擴(kuò)展性支持集群方式，能夠?qū)崿F(xiàn)無縫的性能擴(kuò)展行業(yè)標(biāo)準(zhǔn)支持PC