信息安全技術(shù)與應(yīng)用（高學(xué)勤）課件 4.5 Web應(yīng)用防火墻VIP

第5節(jié)Web應(yīng)用防火墻第4章目

錄01Web應(yīng)用防火墻簡介02Web應(yīng)用防火墻的功能03Web應(yīng)用防火墻部署及應(yīng)用01Web應(yīng)用防火墻簡介Web應(yīng)用防火墻的概念Web應(yīng)用防火墻（WebApplicationFirewall），簡稱：WAF。根據(jù)Gartner定義：什么是Web應(yīng)用防火墻？WAF是一種以保護(hù)Web應(yīng)用程序和API服務(wù)免受各種攻擊（包括自動化攻擊（bot）、應(yīng)用層拒絕服務(wù)（httpflood）和常見Web安全漏洞攻擊等）為主要目標(biāo)的軟硬件系統(tǒng)。WAF一般提供基于規(guī)則的保護(hù)，也提供可靠的安全模型或異常檢測功能。Web應(yīng)用防火墻的工作過程WAF的工作過程解析HTTP請求（攻擊請求、業(yè)務(wù)請求）….….….進(jìn)行規(guī)則檢測（惡意訪問過濾）做不同的防御動作（攔截、放行、記錄）將防御過程記錄下來（日志）Web應(yīng)用防火墻的實(shí)現(xiàn)原理WAF通過5個模塊來實(shí)現(xiàn)防護(hù)功能配置模塊協(xié)議解析模塊規(guī)則模塊動作模塊日志模塊Web應(yīng)用防火墻的實(shí)現(xiàn)原理配置模塊WAF引擎設(shè)置協(xié)議解析配置規(guī)則配置是否開啟WAF：開啟、關(guān)閉、僅記錄攔截方式：允許訪問、拒絕訪問、關(guān)閉鏈接、繼續(xù)處理部署方式：透明橋接、反向代理、透明代理、路由模式、檢測端口請求內(nèi)容：請求體、響應(yīng)體類型支持的協(xié)議組成：請求頭、請求體、響應(yīng)頭、響應(yīng)體協(xié)議大小限制HTTP格式：協(xié)議版本、Cookie格式、參數(shù)內(nèi)置規(guī)則：啟用、停用規(guī)則自定義規(guī)則：不同HTTP請求類型，不同攔截方式，URI、POST、COOKIE，特征關(guān)鍵詞規(guī)則模板設(shè)置：內(nèi)置模板、自定義模板Web應(yīng)用防火墻的實(shí)現(xiàn)原理協(xié)議解析模塊協(xié)議解析配置1解析錯誤處理2協(xié)議解析3請求體處理響應(yīng)體處理文件上傳處理解析錯誤處理協(xié)議內(nèi)容限制協(xié)議編碼配置Multipart解析錯誤X-www-form-urlencode解析錯誤響應(yīng)體解析錯誤請求頭解析請求體解析響應(yīng)頭解析響應(yīng)體解析Web應(yīng)用防火墻的實(shí)現(xiàn)原理規(guī)則模塊規(guī)則配置規(guī)則解析規(guī)則檢測規(guī)則信息：ID、規(guī)則名稱、規(guī)則描述、攔截方式、告警等級、攻擊類別、啟用狀態(tài)、更新時間規(guī)則模板變量部分：請求變量、響應(yīng)變量、客戶端變量、Server變量、時間變量、事務(wù)變量、其他操作符部分事物函數(shù)部分動作部分操作符函數(shù)庫事務(wù)函數(shù)庫檢測控制流Web應(yīng)用防火墻的實(shí)現(xiàn)原理字符操作模式匹配、字符串操作校驗URL編碼、utf8校驗、xml校驗、JSON校驗、字節(jié)校驗數(shù)字操作IP庫校驗攻擊IP庫規(guī)則模塊-規(guī)則檢測操作符函數(shù)庫1事務(wù)函數(shù)庫2檢測控制流302Web應(yīng)用防火墻的實(shí)現(xiàn)原理動作模塊01030405通過后續(xù)請求全部通過繼續(xù)繼續(xù)執(zhí)行下一個規(guī)則攔截攔截本次http請求、斷開連接、封IP、禁止對URI訪問0607重定向重定向到honepot中主動防御響應(yīng)體頁面注入防御代碼驗證碼驗證通過后才能繼續(xù)訪問只記錄只記錄本次命中規(guī)則的細(xì)節(jié)??主要功能進(jìn)行日志記錄（用戶訪問日志、攻擊日志）提供日志分析與攻擊溯源Web應(yīng)用防火墻的實(shí)現(xiàn)原理日志模塊02Web應(yīng)用防火墻的功能Web應(yīng)用防火墻的基本功能1.漏洞掃描2.Web業(yè)務(wù)可用性監(jiān)測3.外聯(lián)監(jiān)控4.Web應(yīng)用防護(hù)6.混合型攻擊防護(hù)7.惡意掃描防護(hù)8.DDOS/CC攻擊防護(hù)9.策略分組5.專業(yè)網(wǎng)頁防篡改10.高可用性11.服務(wù)器信息隱藏12.敏感信息過濾13.Web云加速14.軟硬件BTPASS功能15.動態(tài)建模Web應(yīng)用防火墻的基本功能掃描的項目包括無效鏈接代碼泄露目錄遍歷入侵廣告目錄瀏覽郵箱地址泄露典型登錄頁面內(nèi)部IP泄露內(nèi)部目錄泄露內(nèi)部文件泄露SQL注入漏洞XSS腳本漏洞Web后門網(wǎng)頁掛馬程序錯誤信息掃描過程功能·漏洞掃描掃描結(jié)果掃描報告可靠的數(shù)據(jù)支撐生成提供Web應(yīng)用防火墻的基本功能功能·Web業(yè)務(wù)可用性監(jiān)測對網(wǎng)頁主頁和指定頁面進(jìn)行頁面級可用性監(jiān)測。確保Web業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)營和服務(wù)的正常提供。監(jiān)測的過程根據(jù)配置的檢測任務(wù)網(wǎng)站服務(wù)的可用性質(zhì)量目標(biāo)的URL請求執(zhí)行時間耗時結(jié)束時間狀態(tài)正常與否檢測指定的web應(yīng)用頁面測試監(jiān)控HTTP/HTTPS流量，對數(shù)據(jù)包內(nèi)容具有完全的訪問控制權(quán)限。檢查所有流經(jīng)網(wǎng)絡(luò)的HTTP/HTTPSl流量，通過各類防護(hù)引擎，策略控制識別黑Web攻擊應(yīng)用行為。系統(tǒng)監(jiān)控畫面Web應(yīng)用防火墻的基本功能功能·Web應(yīng)用攻擊防護(hù)SQL注入攻擊XSS跨站攻擊CSRF跨站請求偽造攻擊木馬病毒惡意爬蟲盜鏈請求Web應(yīng)用防火墻的基本功能實(shí)現(xiàn)的過程SQL語句SQL注入特點(diǎn)SQL語法結(jié)構(gòu)根據(jù)SQL注入符合正常SQL語句不符合功能·Web應(yīng)用攻擊防護(hù)·SQL注入防護(hù)分析通過人工智能的方式識別“注入攻擊”使用的SQL語句。大幅度提高對SQL注入攻擊的識別率和準(zhǔn)確率。實(shí)現(xiàn)低漏報率，抗攻擊逃逸?？煞烙粗腟QL注入。Web應(yīng)用防火墻的基本功能爬蟲分為搜索引擎爬蟲和掃描程序爬蟲。屏蔽特定的搜索引擎爬蟲。屏蔽掃描程序爬蟲。節(jié)省帶寬和性能。避免網(wǎng)站被惡意抓取頁面?；陉P(guān)聯(lián)分析技術(shù)進(jìn)行有效識別和阻斷告警。功能·Web應(yīng)用攻擊防護(hù)·爬蟲防護(hù)Web應(yīng)用防火墻的基本功能屏蔽Web掃描器的檢測功能·惡意掃描防護(hù)Web應(yīng)用防火墻的基本功能Internet……網(wǎng)站服務(wù)器A網(wǎng)站服務(wù)器J網(wǎng)站服務(wù)器C網(wǎng)站服務(wù)器I網(wǎng)站服務(wù)器B網(wǎng)站服務(wù)器……云防線發(fā)起DDOS攻擊流量引入云防線進(jìn)行清洗流量預(yù)定閥值云防護(hù)模式有效分流和清洗動態(tài)防護(hù)機(jī)制DDOS/CC攻擊達(dá)到切換進(jìn)行WAF功能·DDOS/CC攻擊聯(lián)合防護(hù)在httpheader里看到服務(wù)器構(gòu)建的信息，如：典型的響應(yīng)消息：Web應(yīng)用防火墻的基本功能功能·服務(wù)器信息隱藏在一些信息比如在404頁面，會輸出服務(wù)器版本和運(yùn)行的程序版本。將服務(wù)器版本信息、服務(wù)信息和漏洞信息進(jìn)行偽裝和隱藏。避免將服務(wù)器系統(tǒng)上的服務(wù)器信息與web軟件版本信息等一些關(guān)鍵信息透露給任何潛在的攻擊者。Web應(yīng)用防火墻的基本功能功能·敏感信息過濾12345動態(tài)獲取各種網(wǎng)絡(luò)資源。根據(jù)輸入的搜索規(guī)則（關(guān)鍵詞）組合對于發(fā)表的信息進(jìn)行過濾與審核。及時、準(zhǔn)確定位涉密或敏感信息資源。防止重要的信息泄露或非法言論通過網(wǎng)站進(jìn)行傳播。同時記錄、跟蹤敏感信息的傳播行為，及時阻止、消滅此類信息的傳播。Web應(yīng)用防火墻的基本功能注：關(guān)于WAF配置操作步驟，請參閱第四章/配置WAF實(shí)現(xiàn)安全防護(hù).mp4功能·動態(tài)建模03Web應(yīng)用防火墻部署及應(yīng)用Web應(yīng)用防火墻的部署方式適用于需要在WAF上部署負(fù)載均衡的場景。反向代理模式下，路由器需要通過配置策略路由的方式，將被保護(hù)站點(diǎn)的流量先牽引到WAF設(shè)備（或WAF集群），WAF設(shè)備通過反向代理的方式，再將請求送至Web服務(wù)器。WAF防火墻Web服務(wù)器部署模式·反向代理模式Web應(yīng)用防火墻的部署方式特點(diǎn)是即插即用，一般適用于需要緊急部署WAF進(jìn)行防護(hù)的場景。透明模式下部署WAF，無需更改網(wǎng)絡(luò)及服務(wù)器配置，透明串接在防火墻和Web服務(wù)器群之間，即可對Web服務(wù)器群的出入流量進(jìn)行有效監(jiān)控，從而確保Web應(yīng)用的安全。WAF防火墻Web服務(wù)器部署模式·透明模式Web應(yīng)用防火墻的部署方式WAF支持路由模式部署，它與網(wǎng)橋透明代理的唯一區(qū)別就是該代理工作在路由轉(zhuǎn)發(fā)模式而非網(wǎng)橋模式，其它工作原理都一樣。由于工作在路由（網(wǎng)關(guān)）模式因此需要為WAF的轉(zhuǎn)發(fā)接口配置IP地址以及路由。WAF防火墻Web服務(wù)器部署模式·路由模式當(dāng)缺少Web服務(wù)器網(wǎng)關(guān)時，可進(jìn)行路由模式部署。Web應(yīng)用防火墻的部署方式WAF的混合部署模式，可把設(shè)備網(wǎng)口配置成反向代理模式和透明網(wǎng)橋模式共同工作，可提供多組透明橋。WAFWeb服務(wù)器2Web服務(wù)器1防火墻部署模式·混合模式適用于多個安全域的安全防護(hù)的場景。使用CC防護(hù)，實(shí)現(xiàn)基于session的，頻率控制，對超過頻率的請求，進(jìn)行滑塊驗證使用BOT行為管理，通過對流量進(jìn)行分析，識別爬蟲和機(jī)器人行為，減少垃圾流量訪問DNSCC防護(hù)BOT管理GAAPGAAP業(yè)務(wù)架構(gòu)圖Web應(yīng)用防火墻的應(yīng)用案例某游戲企業(yè)Web應(yīng)用防火墻部署案例客戶情況核心需求：防CC攻擊防惡意賬號減少或者減緩垃圾流量訪問，節(jié)約服務(wù)器和帶寬資源對高頻訪問行為進(jìn)行限制和阻斷結(jié)合天御方案，對惡意賬號進(jìn)行處理客戶需求防護(hù)效果通過基于用戶級別CC防護(hù)，對惡意刷資源消耗接口、營銷接口的行為進(jìn)行有效識別和攔截。本章對WAF進(jìn)行了詳細(xì)的分析，包括WAF的概念、WAF的實(shí)現(xiàn)原理，以及WAF的策略