Web應用安全解決專項方案

TITLE××Web應用安全處理方案應用安全需求針對Web攻擊現(xiàn)代信息系統(tǒng)，不管是建立對外信息公布和數據交換平臺，還是建立內部業(yè)務應用系統(tǒng)，全部離不開Web應用。Web應用不僅給用戶提供一個方便和易用交互手段，也給信息和服務提供者構建一個標準技術開發(fā)和應用平臺。網絡發(fā)展歷史也能夠說是攻擊和防護不停交織發(fā)展過程?，F(xiàn)在，全球網絡用戶已近20億，用戶利用互聯(lián)網進行購物、銀行轉賬支付和多種軟件下載，企業(yè)用戶更是依靠于網絡構建她們關鍵業(yè)務，對此，Web安全性已經提升一個空前高度。然而，伴隨黑客們將注意力從以往對網絡服務器攻擊逐步轉移到了對Web應用攻擊上，她們針對Web網站和應用攻擊愈演愈烈，頻頻得手。依據Gartner最新調查，信息安全攻擊有75%全部是發(fā)生在Web應用而非網絡層面上。同時，數據也顯示，三分之二Web站點全部相當脆弱，易受攻擊。另外，據美國計算機安全協(xié)會（CSI）/美國聯(lián)邦調查局（FBI）研究表明，在接收調查企業(yè)中，有52%企業(yè)信息系統(tǒng)遭受過外部攻擊（包含系統(tǒng)入侵、濫用Web應用系統(tǒng)、網頁置換、盜取私人信息及拒絕服務等等），這些攻擊給269家受訪企業(yè)帶來經濟損失超出1.41億美元，但實際上她們之中有98%企業(yè)全部裝有防火墻。早在，IDC就曾在匯報中認為，“網絡防火墻對應用層安全已起不到什么作用了，因為為了確保通信，網絡防火墻內Web端口全部必需處于開放狀態(tài)?！爆F(xiàn)在，利用網上隨地可見攻擊軟件，攻擊者不需要對網絡協(xié)議深厚了解，即可完成諸如更換Web網站主頁、盜取管理員密碼、破壞整個網站數據等等攻擊。而這些攻擊過程中產生網絡層數據，和正常數據沒有什么區(qū)分。Web安全防范在Web應用各個層面，全部會使用不一樣技術來確保安全性，圖示1所表示。為了確保用戶數據傳輸到企業(yè)Web服務器傳輸安全，通信層通常會使用SSL技術加密數據；企業(yè)會使用防火墻和IDS/IPS來確保僅許可特定訪問，全部沒有須要暴露端口和非法訪問，在這里全部會被阻止。防火墻防火墻IDS/IPSDoS攻擊端口掃描網絡層

模式攻擊已知Web

服務器漏洞跨站腳本注入式攻擊惡意實施網頁篡改Web服務器數據庫服務器Web應用應用服務器圖示SEQ圖示\*ARABIC1Web應用安全防護不過，即便有防火墻和IDS/IPS，企業(yè)仍然不得不許可一部分通訊經過防火墻，畢竟Web應用目標是為用戶提供服務，保護方法能夠關閉無須要暴露端口，不過Web應用必需80和443端口，是一定要開放。能夠順利經過這部分通訊，可能是善意，也可能是惡意，極難分辨。而惡意用戶則能夠利用這兩個端口實施多種惡意操作，或偷竊、或操控、或破壞Web應用中關鍵信息。然而我們看到現(xiàn)實確是，絕大多數企業(yè)將大量投資花費在網絡和服務器安全上，沒有從真正意義上確保Web應用本身安全，給黑客以可乘之機。圖示3所表示，在現(xiàn)在安全投資中，只有10％花在了怎樣防護應用安全漏洞，而這卻是75％攻擊起源。正是這種投資錯位也是造成目前Web站點頻頻被攻陷一個關鍵原因。75%75%25%10%90%Web應用網絡服務器安全風險安全投資圖示SEQ圖示\*ARABIC3安全風險和投資Web漏洞Web應用系統(tǒng)有著其固有開發(fā)特點：常常更改、設計和代碼編寫不根本、沒有經過嚴格測試等，這些特點造成Web應用出現(xiàn)了很多漏洞。另外，管理員對Web服務器配置不妥也會造成很多漏洞?，F(xiàn)在常見針對Web服務器和Web應用漏洞攻擊已經多達幾百種，常見攻擊手段包含：注入式攻擊、跨站腳本攻擊、上傳假冒文件、不安全當地存放、非法實施腳本和系統(tǒng)命令、源代碼泄漏、URL訪問限制失效等。攻擊目標包含：非法篡改網頁、非法篡改數據庫、非法實施命令、跨站提交信息、網站資源盜鏈、竊取腳本源程序、竊取系統(tǒng)信息、竊取用戶信息等。產品概況iGuard網頁防篡改系統(tǒng)iGuard網頁防篡改系統(tǒng)采取優(yōu)異Web服務器關鍵內嵌技術，將篡改檢測模塊（數字水印技術）和應用防護模塊（防注入攻擊）內嵌于Web服務器內部，并輔助以增強型事件觸發(fā)檢測技術，不僅實現(xiàn)了對靜態(tài)網頁和腳本實時檢測和恢復，更能夠保護數據庫中動態(tài)內容免受來自于Web攻擊和篡改，根本處理網頁防篡改問題。iGuard篡改檢測模塊使用密碼技術，為網頁對象計算出唯一性數字水印。公眾每次訪問網頁時，全部將網頁內容和數字水印進行對比；一旦發(fā)覺網頁被非法修改，即進行自動恢復，確保非法網頁內容不被公眾瀏覽。同時，iGuard應用防護模塊也對用戶輸入URL地址和提交表單內容進行檢驗，任何對數據庫注入式攻擊全部能夠被實時阻斷。iGuard以國家863項目技術為基礎，全方面保護網站靜態(tài)網頁和動態(tài)網頁。iGuard支持網頁自動公布、篡改檢測、應用保護、警告和自動恢復，確保傳輸、判別、完整性檢驗、地址訪問、表單提交、審計等各個步驟安全，完全實時地杜絕篡改后網頁被訪問可能性，也杜絕任何使用Web方法對后臺數據庫篡改。iGuard支持全部主流操作系統(tǒng)，包含：Windows、Linux、FreeBSD、Unix（Solaris、HP-UX、AIX）；支持常見Web服務器軟件，包含：IIS、Apache、SunONE、Weblogic、WebSphere等；保護全部常見數據庫系統(tǒng)，包含：SQLServer、Oracle、MySQL、Access等。iWall應用防火墻iWall應用防火墻（Web應用防護系統(tǒng)）是一款保護Web站點和應用免受來自于應用層攻擊Web防護系統(tǒng)。iWall應用防火墻實現(xiàn)了對Web站點尤其是Web應用保護。它內置于Web服務器軟件中，經過分析應用層用戶請求數據（如URL、參數、鏈接、Cookie等），區(qū)分正常見戶訪問Web和攻擊者惡意行為，對攻擊行為進行實時阻斷和報警。這些攻擊包含利用特殊字符修改數據數據攻擊、設法實施程序或腳本命令攻擊等，黑客經過這些攻擊手段能夠達成篡改數據庫和網頁、繞過身份認證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴重危害網站內容安全目標。iWall應用防火墻對常見注入式攻擊、跨站攻擊、上傳假冒文件、不安全當地存放、非法實施腳本、非法實施系統(tǒng)命令、資源盜鏈、源代碼泄漏、URL訪問限制失效等攻擊手段全部著有效防護效果。iWall應用防火墻為軟件實現(xiàn)，適適用于全部操作系統(tǒng)和Web服務器軟件，而且完全對Web應用系統(tǒng)透明。應用防火墻是現(xiàn)代網絡安全架構一個關鍵組成部分，它著重進行應用層內容檢驗和安全防御，和傳統(tǒng)安全設備共同組成全方面和有效安全防護體系。產品特征篡改檢測和恢復iGuard支持以下篡改檢測和恢復功效：支持安全散列檢測方法；可檢測靜態(tài)頁面/動態(tài)腳本/二進制實體；支持對注入式攻擊防護；網頁公布同時自動更新水印值；網頁發(fā)送時比較網頁和水印值；支持斷線/連線狀態(tài)下篡改檢測；支持連線狀態(tài)下網頁恢復；網頁篡改時多個方法報警；網頁篡改時可實施外部程序或命令；能夠按不一樣容器選擇待檢測網頁；支持增強型事件觸發(fā)檢測技術；加密存放水印值數據庫；支持多種私鑰硬件存放；支持使用外接安全密碼算法。自動公布和同時iGuard支持以下自動公布和同時功效：自動檢測公布服務器上文件系統(tǒng)任何改變；文件改變自動同時到多個Web服務器；支持文件/目錄增加/刪除/修改/更名；支持任何內容管理系統(tǒng)；支持虛擬目錄/虛擬主機；支持頁面包含文件；支持雙機方法冗余布署；斷線后自動重聯(lián)；上傳失敗后自動重試；使用SSL安全協(xié)議進行通信；確保通信過程不被篡改和不被竊聽；通信實體使用數字證書進行身份判別；全部過程有具體審計。應用安全防護特征請求特征限制iWall能夠對HTTP請求特征進行以下過濾和限制：請求頭檢驗：對HTTP報文中請求頭名字和長度進行檢驗。請求方法過濾：限制對指定HTTP請求方法訪問。請求地址過濾：限制對指定HTTP請求地址訪問。請求開始路徑過濾：限制HTTP請求中對指定開始路徑地址訪問。請求文件過濾：限制HTTP請求中對指定文件訪問。請求文件類型過濾：限制HTTP請求中對指定文件類型訪問。請求版本過濾：限制對指定HTTP版本訪問及完整性檢驗。請求用戶端過濾：限制對指定HTTP用戶端訪問及完整性檢驗。請求鏈接過濾：限制鏈接字段中含有字符及完整性檢驗。判別類型過濾：限制對指定HTTP判別類型訪問。判別帳號過濾：限制對指定HTTP判別帳號訪問。內容長度過濾：限制對指定HTTP請求內容長度訪問。內容類型過濾：限制對指定HTTP請求內容類型訪問。這些規(guī)則需要能夠依據Web系統(tǒng)實際情況進行配置和分站點應用。請求內容限制iWall能夠對HTTP請求內容進行以下過濾和限制：URL過濾：對提交URL請求中字符進行限制。請求參數過濾：對GET方法提交參數進行檢驗（包含注入式攻擊和代碼攻擊）。請求數據過濾：對POST方法提交數據進行檢驗（包含注入式攻擊和代碼攻擊）。Cookie過濾：對Cookie內容進行檢驗。盜鏈檢驗：對指定文件類型進行參考域檢驗?？缯灸_本攻擊檢驗：對指定文件類型進行參考開始路徑檢驗。這些規(guī)則需要能夠依據Web系統(tǒng)實際情況進行配置和分站點應用。指定站點規(guī)則iWall能夠分別為一臺服務器上不一樣站點制訂不一樣規(guī)則，站點區(qū)分方法包含：不一樣端口。不一樣IP地址。不一樣主機頭名（即域名）?？煞婪豆鬷Wall組合以上限制特征，可針對以下應用攻擊進行有效防御：SQL數據庫注入式攻擊。腳本源代碼泄露。非法實施系統(tǒng)命令。非法實施腳本。上傳假冒文件?？缯灸_本漏洞。不安全當地存放。網站資源盜鏈。應用層拒絕服務攻擊。對這些攻擊更具體描述見本文檔第6章：常見應用層攻擊介紹。iGuard標準布署兩臺服務器布署iGuard最少需要兩臺服務器：公布服務器：在內網中，本身處于相對安全環(huán)境中，其上布署iGuard公布服務器軟件。Web服務器：在公網/DMZ中，本身處于不安全環(huán)境中，其上布署iGuardWeb服務器端軟件。它們之間關系圖示1所表示。iGuardiGuard公布服務器軟件公布服務器HTTPFTP…SSLIntranetDMZInternetiGuardWeb服務器端軟件Web服務器Internet圖示SEQ圖示\*ARABIC\s11iGuard兩臺服務器Internet公布服務器公布服務器上運行iGuard“公布服務器軟件”（StagingServer）。全部網頁正當變更（包含增加、修改、刪除、重命名）全部在公布服務器上進行。公布服務器上含有和Web服務器上網頁文件完全相同目錄結構，公布服務器上任何文件/目錄改變全部會自動和立即地反應到Web服務器對應位置上，文件/目錄變更方法能夠是任意方法（比如：FTP、SFTP、RCP、NFS、文件共享等）。網頁變更后，“公布服務器軟件”將其同時到Web服務器上。公布服務器是布署iGuard時新增添機器，標準需要一臺獨立服務器；對于網頁更新不太頻繁網站，也能夠用一般PC機或和擔任其它工作服務器共用。公布服務器為PC服務器，其本身硬件配置無特定要求，操作系統(tǒng)可選擇Windows（通常網站）或Linux（大型網站，需選加Linux企業(yè)公布模塊）。Web服務器Web服務器上除了原本運行Web服務器軟件（如IIS、Apache、SunONE、Weblogic、Websphere等）外，還運行有iGuard“Web服務器端軟件”，“Web服務器端軟件”由“同時服務器”（SyncServer）和“防篡改模塊”（AntiTamper）組成。“iGuard同時服務器”負責和iGuard公布服務器通信，將公布服務器上全部網頁文件變更同時到Web服務器當地；“iGuard防篡改模塊”作為Web服務器軟件一個插件運行，負責對Web請求進行檢驗和對網頁進行完整性檢驗，需要對Web服務器軟件作合適配置，以使其生效。Web服務器是用戶網站原有機器，iGuard可適應于任何硬件和操作系統(tǒng)。內容管理系統(tǒng)現(xiàn)在，大部分網站全部使用了內容管理系統(tǒng)（CMS）來管理網頁產生全過程，包含網頁編輯、審核、簽發(fā)和合成等。在網站網絡拓撲中，公布服務器布署在原有內容管理系統(tǒng)和Web服務器之間，圖示2表明了三者之間關系。Web服務器Web服務器(Guard)公布服務器(Guard)內容管理系統(tǒng)(第三方軟件)Internet圖示SEQ圖示\*ARABIC\s12標準布署圖為一個已經有Web站點布署iGuard時，Web服務器和內容管理系統(tǒng)全部沿用原來機器，而需要在其間增加一臺公布服務器。iGuard自動同時機制完全和內容管理系統(tǒng)無關，適合和全部內容管理系統(tǒng)協(xié)同工作，而內容管理系統(tǒng)本身無須作任何變動。公布服務器上含有和Web服務器上網站文件完全相同目錄結構，任何文件/目錄改變全部會自動映射到Web服務器對應位置上。網頁正當變更（包含增加、修改、刪除、重命名）全部在公布服務器上進行，變更手段能夠是任意方法（比如：FTP、SFTP、RCP、NFS、文件共享等）。網頁變更后，公布服務器將其同時到Web服務器上。不管什么情況下，不許可直接變更Web服務器上頁面文件。iGuard通常情況下和內容管理系統(tǒng)分開布署，當然它也能夠和內容管理系統(tǒng)布署在一臺機器上，在這種情形下，iGuard還能夠提供接口，和內容管理系統(tǒng)進行相互功效調用，以實現(xiàn)整合性更強功效。集群和冗余布署Web站點運行穩(wěn)定性是最關鍵。iGuard支持全部部件多機工作和熱備：能夠有多臺安裝了iGuard防篡改模塊和同時服務軟件Web服務器，也能夠有兩臺安裝了iGuard公布服務軟件公布服務器，圖示4所表示。它實現(xiàn)了2Xn同時機制（2為公布服務器，n為Web服務器），當2或n單點失效完全不影響系統(tǒng)正常運行，且在修復后自動工作。CMSCMS內容管理系統(tǒng)iGuard公布服務器(主)iGuard公布服務器(備)主備通信Web服務器1Web服務器nIntranetDMZ…………圖示SEQ圖示\*ARABIC\s13集群和雙機布署示意圖Web服務器多機和集群iGuard公布服務器支持1對多達64臺Web服務器內容同時，這些Web服務器操作系統(tǒng)、Web服務器系統(tǒng)軟件、應用腳本及網頁內容既能夠相同也能夠不一樣。iGuard實現(xiàn)了異種系統(tǒng)架構下對不一樣內容統(tǒng)一管理。iGuard公布服務器(備)主備通信當多臺Web服務器作鏡像集群時，iGuard對于能夠嚴格確保多臺Web服務器內容相同。當單臺Web服務器失效時，因為Web服務器集群前端通常有負載均衡設備，所以，它并不影響公眾訪問網站。同時，它失效也不影響iGuard公布服務器向其它正常工作Web服務器提供內容同時。在失效期間，iGuard公布服務器會嘗試連接這臺Web服務器，一旦它修復后重新工作，即可自動進行連接，并自動進行內容同時。iGuard公布服務器(備)主備通信所以，Web服務器單點失效不影響系統(tǒng)完整性，而且在系統(tǒng)恢復時不需要對其它機器作任何手工操作。公布服務器雙機iGuard支持公布服務器雙機協(xié)同工作，即一臺主公布服務器和一臺熱備公布服務器。在這種布署情形下，內容管理系統(tǒng)（CMS）需要將內容同時公布到兩臺iGuard服務器上。在正常狀態(tài)下，iGuard主公布服務器工作，由它對全部Web服務器進行內容同時。顯然，熱備公布服務器失效不影響系統(tǒng)運作，一旦在它修復后能夠從主公布服務器恢復數據，進入正常熱備狀態(tài)。主公布服務器假如失效（即不發(fā)心跳信號），熱備公布服務器會接管工作，由它對全部Web服務器進行內容同時。當主公布服務器修復后，兩機同時工作，經過一段時間數據交接時間，熱備公布服務器重新進入熱備狀態(tài)。所以，iGuard公布服務器單點失效也不影響系統(tǒng)完整性，而且在系統(tǒng)恢復時不需要對其它機器作任何手工操作。iWall標準布署iWall由以下兩個模塊組成：應用防護模塊。iWall關鍵防護模塊，內嵌于Web系統(tǒng)（Web服務器軟件）中，和Web服務器一起運行。配置管理模塊。iWall配置生成程序，在獨立管理員機器上運行，僅在系統(tǒng)管理員需要改變iWall配置時才使用。二者之間沒有通信連接。僅經過一個配置文件交換數據，即：配置管理模塊生成一個配置文件，將它復制到Web服務器上供給用防護模塊使用。它們關系圖示5-1所表示。HTTPHTTPiWall配置管理模塊管理員用機iWall應用防護模塊Web服務器配置文件圖示STYLEREF1\s5SEQ圖示\*ARABIC\s11布署示意圖采取這種配置方法優(yōu)點在于：避免直接在Web服務器上修改配置，不給黑客可乘之機。避免在Web上新開管理網絡端口，不增加新安全隱患。在多個Web服務器鏡像時，能夠快速生成統(tǒng)一配置。“上?！痢痢盬eb應用安全布署方案系統(tǒng)現(xiàn)實狀況拓撲圖“上?！痢痢本W站現(xiàn)在網絡拓撲圖圖示4所表示。內容管理系統(tǒng)內容管理系統(tǒng)nWeb服務器雙機圖示SEQ圖示\*ARABIC4系統(tǒng)現(xiàn)實狀況拓撲圖關鍵點Web網站內容現(xiàn)有全靜態(tài)站點，也有動態(tài)應用站點；Web服務器操作系統(tǒng)為SunSalaris；安全隱患現(xiàn)在這個系統(tǒng)在網頁內容方面存在以下安全隱患：網頁篡改：沒有布署網頁防篡改系統(tǒng)，靜態(tài)網頁一旦被黑客篡改，沒有檢驗、報警和恢復機制。應用防護：沒有應用防護機制，輕易遭受各類web攻擊，比如注入式、跨站、上傳假冒文件、不安全當地存放、非法實施腳本、非法實施系統(tǒng)命令、資源盜鏈、源代碼泄漏、URL訪問限制失效等。布署實施拓撲圖“上海××”網站布署Web應用安全產品網絡拓撲圖圖示5所表示。CMSCMS內容管理系統(tǒng)iGuard公布服務器(主)iWall配置管理模塊iGuard公布服務器(備)主備