華為WAF5000系列防火墻技術(shù)白皮書

1、華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書目錄目錄 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 常見攻擊手法2 HYPERLINK l _bookmark2 下一代防火墻4 HYPERLINK l _bookmark3 入侵防御系統(tǒng)4 HYPERLINK l _bookmark4 WAF 產(chǎn)品介紹5 HYPERLINK l _bookmark5 縱深防御5 HYPERLINK l _bookmark6 網(wǎng)絡(luò)主機(jī)安全5 HYPERLINK l _bookmark7 Web

2、 服務(wù)安全透明代理5 HYPERLINK l _bookmark8 Web 應(yīng)用安全三大核心技術(shù)6 HYPERLINK l _bookmark9 內(nèi)容分析與響應(yīng)檢查8 HYPERLINK l _bookmark10 快速應(yīng)用交付8 HYPERLINK l _bookmark11 TCP 協(xié)議加速8 HYPERLINK l _bookmark12 高速緩存8 HYPERLINK l _bookmark13 安全監(jiān)控與服務(wù)發(fā)現(xiàn)9 HYPERLINK l _bookmark14 自動服務(wù)發(fā)現(xiàn)9 HYPERLINK l _bookmark15 安全監(jiān)控9 HYPERLINK l _bookmark16

3、 性能監(jiān)控9 HYPERLINK l _bookmark17 多種接口兼容10 HYPERLINK l _bookmark18 SNMP 接口10 HYPERLINK l _bookmark19 Syslog 接口10 HYPERLINK l _bookmark20 郵件與短信告警接口10 HYPERLINK l _bookmark21 WebService 接口10 HYPERLINK l _bookmark22 功能特點11 HYPERLINK l _bookmark23 使網(wǎng)站更安全11 HYPERLINK l _bookmark24 雙模式安全引擎11 HYPERLINK l _boo

4、kmark25 黑名單安全技術(shù)11 HYPERLINK l _bookmark26 白名單安全技術(shù)11 HYPERLINK l _bookmark27 IP 信譽(yù)庫12 HYPERLINK l _bookmark28 區(qū)域訪問控制12 HYPERLINK l _bookmark29 智能防護(hù)12ii HYPERLINK l _bookmark30 CC 精準(zhǔn)防護(hù)12 HYPERLINK l _bookmark31 虛擬補(bǔ)丁12 HYPERLINK l _bookmark32 使訪問更快速12 HYPERLINK l _bookmark33 服務(wù)優(yōu)先原則的高性能算法12 HYPERLINK l

5、_bookmark34 多種加速方案12 HYPERLINK l _bookmark35 高速緩存12 HYPERLINK l _bookmark36 使運(yùn)維更簡單13 HYPERLINK l _bookmark37 服務(wù)自發(fā)現(xiàn)13 HYPERLINK l _bookmark38 策略自學(xué)習(xí)建模13 HYPERLINK l _bookmark39 策略規(guī)則在線更新13 HYPERLINK l _bookmark40 支持 PCI-DSS 報表功能13 HYPERLINK l _bookmark41 規(guī)則誤判分析13 HYPERLINK l _bookmark42 部署模式14 HYPERLIN

6、K l _bookmark43 透明直連模式14 HYPERLINK l _bookmark44 反向代理14 HYPERLINK l _bookmark45 旁路監(jiān)控15 HYPERLINK l _bookmark46 HA 雙機(jī)模式透明串接15 HYPERLINK l _bookmark47 VRRP反向代理17華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書華為 WAF5000 系列 Web 應(yīng)用防火墻 技術(shù)白皮書關(guān)鍵詞：WAF、SQL注入、XSS、CSRF摘要：本文詳細(xì)介紹常見攻擊手段、防御技術(shù)、華為WAF功能特點和部署模式。名稱縮寫完整拼寫中文解釋W(xué)AFWeb Applica

7、tion FirewallWeb 應(yīng)用防火墻SQL 注入SQL InjectionSQL 注入XSSXCross-Site Scripting跨站腳本攻擊CSRFCross-site request forgery跨站請求偽造華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書1 概述 1 概 述Web 網(wǎng)站是企業(yè)和用戶、合作伙伴及員工的快速、高效的交流平臺。Web 網(wǎng)站也容易成為黑客或惡意程序的攻擊目標(biāo)，造成數(shù)據(jù)損失，網(wǎng)站篡改或其他安全威脅。華為Web 應(yīng)用防火墻是華為結(jié)合多年在應(yīng)用安全攻防基礎(chǔ)理論和安全漏洞研究實踐經(jīng)驗基礎(chǔ)研發(fā)完成的針對網(wǎng)站全方位安全防護(hù)產(chǎn)品，采用黑名單安全技術(shù)、白名單

8、安全技術(shù)、參數(shù)自學(xué)習(xí)建模技術(shù)、行為建模分析技術(shù)等先進(jìn)技術(shù)，提供 Web 應(yīng)用實時深度防御、Web 應(yīng)用加速、敏感信息防泄露、網(wǎng)頁防篡改等功能，能夠抵御各類針對 Web 應(yīng)用的外來攻擊，最大限度的保障網(wǎng)站運(yùn)行安全。同時，華為 WAF 滿足 PCI、等級保護(hù)、企業(yè)內(nèi)部控制規(guī)范等各類法律法規(guī)。該產(chǎn)品致力于解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題，廣泛適用于涉及Web 應(yīng)用場景的政府、運(yùn)營商、金融、企業(yè)等行業(yè)。華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書2 常見攻擊手法 2 常見攻擊手法目前已知的應(yīng)用層和網(wǎng)絡(luò)層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見的攻擊技術(shù)，其中最后一列描述了華

9、為 WAF 如何對該攻擊進(jìn)行防護(hù)。攻擊方式 描述 華為 WAF 的防護(hù)方法 跨站腳本攻擊 跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問該站點的用戶，常見目的是竊取該站點訪問者相關(guān)的用戶登陸或認(rèn)證信息。 通過檢查應(yīng)用流量，阻止各種惡意的腳本插入到 URL, header 及form 中。 SQL 注入攻擊者通過輸入一段數(shù)據(jù)庫查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)。 通過檢查應(yīng)用流量，偵測是否有危險的數(shù)據(jù)庫命令或查詢語句被插入到 URL, header 及form 中。 命令注入 攻擊者利用網(wǎng)頁漏洞將含有操作系統(tǒng)或軟件平臺命令注入到網(wǎng)頁訪問語句中以盜取數(shù)據(jù)或后端服務(wù)器的控制權(quán)。 通過檢查應(yīng)用流量，檢測并阻止危險

10、的系統(tǒng)或軟件平臺命令被插入到 URL, header 及form 中。 cookie/session劫持Cookie/session 通常用于用戶身份認(rèn)證， 并且可能攜帶用戶敏感的登陸信息。攻 擊者可能被修改 Cookie/session 提高訪問權(quán)限，或偽裝成他人的身份登陸。通過檢查應(yīng)用流量，拒絕偽造身份登錄的會話訪問。 參數(shù)（或表單） 篡改 通過修改對 URL、header 和form 中對用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服務(wù)器。 利用參數(shù)配置文檔檢測應(yīng)用中的參數(shù)，僅允許合法的參數(shù)通過，防止參數(shù)篡改發(fā)生。 緩沖溢出攻擊 由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻 擊者通過向程序緩沖區(qū)寫入超出其

11、長度 的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞 程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲取系統(tǒng)管理員的權(quán)限。 用戶可以根據(jù)應(yīng)用需求設(shè)定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。 日志篡改 黑客篡改刪除日志以掩蓋其攻擊痕跡或改變Web 處理日志。. 通過檢查應(yīng)用流量，防止帶有日志篡改的應(yīng)用訪問。 應(yīng)用平臺漏洞攻擊黑客通過獲悉應(yīng)用平臺后，可以利用該平臺的已知漏洞進(jìn)行攻擊。當(dāng)應(yīng)用平臺出現(xiàn)漏洞，且沒有官方補(bǔ)丁時，同樣面臨被攻擊的風(fēng)險。 華為WAF 將阻止已知的攻擊，并提供安全策略規(guī)則升級服務(wù)，用戶可以按計劃進(jìn)行安全應(yīng)用策略升級。同時，對于高級用戶，華為WAF 提供自定義規(guī)則庫的添加，可以針對某些關(guān)鍵字，特

12、殊應(yīng)用做特殊安全處理。 CC 攻擊通過 CC 攻擊請求，以達(dá)到消耗應(yīng)用平臺資源異常消耗的一種攻擊，最終造成應(yīng)用平臺拒絕服務(wù)。 通過請求速率和請求集中度多重檢測算法可以有效的對 CC 攻擊進(jìn)行防御 HTTPS 類攻擊一些狡猾的黑客通過 HTTPS 進(jìn)行HTTPS 類的攻擊，由于 SSL 加密數(shù)據(jù)包無法進(jìn)行有效的檢測，導(dǎo)致通用的網(wǎng)絡(luò)防火墻和普通Web 應(yīng)用防火墻無能為力。 支持用戶上傳 HTTPS 證書，在WAF 進(jìn)行第一輪認(rèn)證，并對應(yīng)用流量進(jìn)行解密和偵測，對 HTTPS 類的所有攻擊進(jìn)行有效的攔截和防御。 現(xiàn)有防御技術(shù)目前，很多企業(yè)采用網(wǎng)絡(luò)安全防御技術(shù)對 Web 應(yīng)用進(jìn)行防護(hù)，如綜合采用網(wǎng)絡(luò)防火

13、墻、IDS、補(bǔ)丁安全管理、升級軟件等措施，然而這些方法難以有效的阻止Web 攻擊，且對于 HTTPS 類的攻擊手段，更是顯得束手無策。下一代防火墻下一代防火墻可以實現(xiàn)對應(yīng)用、用戶、內(nèi)容、威脅、時間、位置 6 個維度的全面感知， 提供精細(xì)的業(yè)務(wù)訪問控制和加速。入侵防御（IPS）和防病毒（AV）等應(yīng)用層深度防御與應(yīng)用識別相結(jié)合，有效提高了威脅防御的效率和準(zhǔn)確性。具備全面的防護(hù)功能，一機(jī)多能，有效降低管理成本。精細(xì)的帶寬管理和 QoS 優(yōu)化能力有效降低企業(yè)的帶寬租用費(fèi)， 確保關(guān)鍵業(yè)務(wù)體驗。持續(xù)、簡單、高效地提供下一代網(wǎng)絡(luò)安全。但是無法偵測很多應(yīng)用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通

14、過防火墻到達(dá)應(yīng)用服務(wù)器； 同樣，如果某個攻擊進(jìn)行了加密或編碼該防火墻也不能檢測。入侵防御系統(tǒng)IPS（Intrusion Prevention System ）入侵防御系統(tǒng)具有對所保護(hù)的網(wǎng)絡(luò)環(huán)境感知能力、深度應(yīng)用感知能力、內(nèi)容感知能力，以及對未知威脅的防御能力，實現(xiàn)了更精準(zhǔn)的檢測能力和更優(yōu)化的管理體驗。更好地保障客戶應(yīng)用和業(yè)務(wù)安全，實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)器、客戶端以及網(wǎng)絡(luò)帶寬性能的全面防護(hù)。雖然也可以對一些應(yīng)用層攻擊進(jìn)行識別和防御，但是深度不夠，無法實現(xiàn)網(wǎng)站防篡改、掛馬檢測和阻斷等功能。Web 安全需求企業(yè)對 Web 應(yīng)用的安全防護(hù)主要包括如下需求：部署簡便，管理集中，操作簡潔，性能影響甚微。

15、包括：對現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無影響。方便管理，無需進(jìn)行復(fù)雜的配置。對現(xiàn)有 Web 服務(wù)器的訪問速率不能造成太大的影響。對正常業(yè)務(wù)訪問不能進(jìn)行錯誤的攔截阻斷。Web 應(yīng)用防火墻的兩個關(guān)鍵功能是，深入理解HTTP/HTTPS 協(xié)議，可監(jiān)測往返流量， 能對 Web 流量進(jìn)行安全控制。Web 數(shù)據(jù)中心是經(jīng)常變化的，包括新的應(yīng)用程序、新的軟件模塊，不斷更新的軟件補(bǔ)丁等。專業(yè)的安全工具和方法應(yīng)能適應(yīng)這種動態(tài)環(huán)境，應(yīng)用配置的升級更新和對監(jiān)測數(shù)據(jù)的分析使得應(yīng)用防火墻總能適應(yīng)新的安全需求。華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書3 WAF 產(chǎn)品介紹 3 WAF 產(chǎn)品介紹華為 WAF 系列 Web 應(yīng)

16、用防火墻（簡稱：華為 WAF）提供高效的 Web 應(yīng)用安全邊界檢查功能。華為 WAF 整合了 Web 安全深度防御及站點隱藏等功能，能全方位的保護(hù)用戶的 Web 數(shù)據(jù)中心。通過對所有Web 流量（包括客戶端請求流量和服務(wù)器返回的數(shù)據(jù)流量）進(jìn)行深度檢測，提供了實時有效的入侵防護(hù)功能。華為 WAF 充分考慮用戶已有環(huán)境的差異性，對環(huán)境兼容性、應(yīng)用多樣性進(jìn)行了深入的分析和總結(jié)?？v深防御華為WAF 結(jié)合多年研發(fā)經(jīng)驗，充分考慮 Web 應(yīng)用系統(tǒng)可能存在的安全風(fēng)險，通過對網(wǎng)絡(luò)層、Web 服務(wù)層、Web 應(yīng)用程序?qū)?、?yīng)用內(nèi)容屬性四個層面進(jìn)行全方位安全分析與防御。針對各個層面不同的安全屬性，分別采取相互獨(dú)立的

17、安全防御技術(shù)針對性防御，從整體上提升 Web 應(yīng)用的安全防御能力。如下圖所示華為 WAF 分別在網(wǎng)絡(luò)層、Web 服務(wù)層、應(yīng)用程序?qū)印?yīng)用內(nèi)容四個層面全面的安全檢測與防御。網(wǎng)絡(luò)主機(jī)安全Web 應(yīng)用安全與其他業(yè)務(wù)系統(tǒng)一樣，安全與否取決于是否建立了完善的安全機(jī)制，因此網(wǎng)絡(luò)層的安全也必不可少。尤其是當(dāng)前一些攻擊行為以DMZ 區(qū)跳板機(jī)、旁注、ARP 欺騙等攻擊手段的大量應(yīng)用，網(wǎng)絡(luò)主機(jī)安全顯的尤為重要。Web 服務(wù)安全透明代理華為WAF 采用當(dāng)前最為主流的透明代理技術(shù)架構(gòu)，以 Web 服務(wù)代理技術(shù)形成的天然屏障解決了傳統(tǒng)網(wǎng)絡(luò)重組技術(shù)的在系列難題，主要的技術(shù)優(yōu)勢表現(xiàn)在如下幾個方面：解決了 HTTP 慢攻擊等

18、諸多網(wǎng)絡(luò)層問題傳統(tǒng)入侵防御技術(shù)架構(gòu)基于數(shù)據(jù)高速緩存分析機(jī)制，安全設(shè)備對流經(jīng)的數(shù)據(jù)流量進(jìn)行緩存分析，安全檢測后針對緩存的數(shù)據(jù)包采取相應(yīng)的安全措施。HTTP 慢攻擊通常采用較長的時間分多個數(shù)據(jù)包構(gòu)成一個完整的HTTP 請求，而傳統(tǒng)入侵防御技術(shù)引擎為了實現(xiàn)最低的安全檢測延時，必須將緩存時間盡可能縮短，從而無法識別精心構(gòu)架的 HTTP 慢攻擊行為。除此之外網(wǎng)絡(luò)層諸如碎片包攻擊行為也通常困繞傳統(tǒng)入侵防御架構(gòu)的 Web 應(yīng)用防火墻。華為WAF 構(gòu)建了雙向的獨(dú)立HTTP 請求與服務(wù)，實現(xiàn)對每個 HTTP 事務(wù)級別的識別與轉(zhuǎn)發(fā)。如果環(huán)境中存在HTTP 慢攻擊行為，那么 Web 應(yīng)用防火墻會等待這個HTTP 請

19、求數(shù)據(jù)完全到達(dá)或進(jìn)行超時處理，其余正常的請求將被快速轉(zhuǎn)發(fā)，彼此相互獨(dú)立不受影響。實現(xiàn)了全面協(xié)議規(guī)范性審查華為WAF 可以嚴(yán)格遵守 RFC 標(biāo)準(zhǔn)或者允許具體應(yīng)用微小的偏差來實現(xiàn)HTTP 協(xié)議驗證?？蓪崿F(xiàn)快速的防御包括緩沖區(qū)溢出攻擊、惡意編碼、HTTP 走私以及非法服務(wù)器操作在內(nèi)的大量協(xié)議濫用行為。華為WAF 的部署可以有效的隱藏 Web 服務(wù)容器存在的安全問題，同時也可有效緩解針對 Web 服務(wù)容器發(fā)起的攻擊，諸如針對 Apache 容器的分片下載 DDOS 攻擊、針對 PHP 開發(fā)語言的 DDOS 攻擊等。代理架構(gòu)的防護(hù)技術(shù)可以實現(xiàn)但不限于如下類型的安全過濾，并解決了跨包攻擊、碎片包攻擊等試圖

20、繞過安全檢測的攻擊行為：雙URL 編碼URL 編碼是用于在HTTP 請求字段 (例如URL)中嵌入非打印字符或特殊字符的標(biāo)準(zhǔn)基本格式。字符以百分符號(%) 后跟其值的 16 進(jìn)制表示的形式表示 (例如:TAB 字符的ASCII 值為 9，可以表示為%09)。雙 URL 編碼是攻擊者通過對攻擊的URL 多次應(yīng)用URL 編碼，以繞過訪問控制、授權(quán)和檢測機(jī)制的一種規(guī)避技術(shù)。例如:在目錄遍歷攻擊中，/字符將會被編碼為%252F，即兩次應(yīng)用URL 編碼的結(jié)果。頭名稱中出現(xiàn)非法字節(jié)碼字符HTTP 頭名稱包含HTTP 標(biāo)準(zhǔn)禁止的字符。這些通常是非打印的 ASCII 字符或其它特殊字符(例如等)。根據(jù) RFC

21、(number=2616)允許的字符集來分別檢查各個頭名稱。參數(shù)名中出現(xiàn)非法字節(jié)字符請求內(nèi)容中的參數(shù)名稱包含 HTTP 標(biāo)準(zhǔn)禁止的字符。這些通常是非打印的 ASCII 字符或其它特殊字符(例如 等)。根據(jù)RFC(number=2616)允許的字符集來分別檢查各個參數(shù)名稱。Web 應(yīng)用安全三大核心技術(shù)安全特征技術(shù)源自于對攻擊樣本的分析，從而形成人們常見的病毒特征庫、木馬特征庫等，而這一切的基礎(chǔ)是源于對安全攻擊的分析與跟蹤。特征庫的精確度通常受到兩個重要因素的影響，其一攻擊樣本是否具有代表性，其二是運(yùn)行環(huán)境的相對確定性，例如windows 病毒特征庫不能在 Linux 操作系統(tǒng)中直接使用。Web

22、應(yīng)用程序不同于操作系統(tǒng)的規(guī)范和單一，因此針對 Web 應(yīng)用層的安全特征通常會因為程序編碼不規(guī)范而導(dǎo)致誤判。另一方面以安全特征匹配技術(shù)為基礎(chǔ)的安全技術(shù)假定所有的請求都不安全，需要對所有的請求進(jìn)行安全匹配，因此將會帶來極大的檢測負(fù)荷與訪問延時。華為結(jié)合多年專業(yè) Web 應(yīng)用安全研究的經(jīng)驗，采用白名單安全引擎與黑名單安全引擎相結(jié)合的方式工作，為華為 WAF 安全檢測引擎技術(shù)架構(gòu)示意圖，實現(xiàn)了正常請求快速識別與轉(zhuǎn)發(fā)，未知請求進(jìn)行深度清洗的安全策略，實現(xiàn)了安全性與可用性的最佳結(jié)合。參數(shù)自學(xué)習(xí)建模與白名單安全技術(shù)華為WAF 引入了安全白名單技術(shù)，從而使華為WAF 實現(xiàn)快速安全檢測，與安全特征庫不同，安全白

23、名單并不是對 Web 攻擊行為的分析與提取，而是對正常訪問行為的分析與總結(jié)規(guī)律，從而實現(xiàn)了假定安全的檢測邏輯。不同網(wǎng)站有著各自獨(dú)立的特性與訪問規(guī)律，因此華為 WAF 的白名單安全特征采用了自學(xué)習(xí)建模技術(shù)，針對所防護(hù)的網(wǎng)站進(jìn)行流量學(xué)習(xí)，在概率統(tǒng)計學(xué)為基礎(chǔ)不斷的安全分析與收斂，最終形成一套針對網(wǎng)站特性的安全白名單規(guī)則。黑名單安全技術(shù)華為WAF 提供默認(rèn)的安全策略，對 Web 網(wǎng)站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。這些安全規(guī)則來自于 Snort、CWE、OWASP 組織，以及華為安全研究部對國內(nèi)典型應(yīng)用的深入研究成果。除了默認(rèn)的策略外，用戶還可以創(chuàng)建客戶化的策略。每個策略下分為若干子策略：HTTP 協(xié)議合規(guī)性S

24、QL 注入阻斷跨站點腳本攻擊防護(hù)表單/cookie 篡改防護(hù)DoS 攻擊防護(hù)敏感信息泄漏目錄遍歷掃描器掃描手工探測與滲透惡意攻擊蠕蟲攻擊應(yīng)用層 CC 攻擊應(yīng)用層流量攻擊請求包大小限制限制HTTP 請求 Head 大小避免惡意代碼通過，超過規(guī)定大小的請求將被丟棄。正確配置請求限制還能減輕 Dos 攻擊、緩沖區(qū)攻擊。HTTP/HTTPS 請求方法限制限制HTTP/HTTPS 各種方法的訪問，包括：GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT 等。HTTP/HTTPS 請求方法限制支持黑白名單的配置，可以設(shè)定可信的訪問客戶端 IP（白名單）而不受安全策略規(guī)則的檢測；設(shè)

25、定非法的訪問客戶端（黑名單），直接禁止其任何對 Web 服務(wù)器的訪問。用戶自定義規(guī)則庫支持用戶自定義規(guī)則庫，用戶可以根據(jù)業(yè)務(wù)需求，針對某些關(guān)鍵字，數(shù)據(jù)段長度等相關(guān)信息，自定義安全過濾規(guī)則。同時，對于多字段，多條件的組合防護(hù)需求，華為WAF 仍提供了自定義規(guī)則的解決方案。行為建模分析技術(shù)華為WAF 具有較強(qiáng)的用戶訪問行為建模分析技術(shù)，可以有效的解決如應(yīng)用層 CC 攻擊、盜鏈攻擊、惡意商業(yè)數(shù)據(jù)抓取等攻擊行為。由于HTTP 協(xié)議是一種無狀態(tài)的協(xié)議，因此通過單次請求分析難以識別上述的攻擊行為。只有通過行為建模分析技術(shù)才能將訪問者行為進(jìn)行跟蹤與分析，從而區(qū)分正常訪問行為與上述訪問的差異。目前華為WAF

26、已經(jīng)廣泛應(yīng)用于國內(nèi)知名企業(yè)的在線交易系統(tǒng)專用于防御上述三類常見應(yīng)用攻擊，詳細(xì)信息可查看相關(guān)技術(shù)?？?nèi)容分析與響應(yīng)檢查華為WAF 內(nèi)置了內(nèi)容安全檢測模塊，可以實現(xiàn)提交敏感言論，敏感內(nèi)容泄露的分析與阻斷?？梢詫崿F(xiàn)對中文詞組的分析與檢測，適用于需要限制提交敏感言論的論壇、留言板、在線業(yè)務(wù)系統(tǒng)等；內(nèi)置的防敏感內(nèi)容泄露模塊可以有效防御諸如以下的內(nèi)容泄露： 手機(jī)號、身份證號碼、信用卡卡號、郵件地址等，從而防止因為用戶數(shù)據(jù)丟失而給企業(yè)帶來的信任危機(jī)?？焖賾?yīng)用交付TCP 協(xié)議加速當(dāng)一個 TCP 連接開始傳輸數(shù)據(jù)時，由于并不知道雙方通道的帶寬，所以為了最大利用帶寬。傳輸是一個逐漸加速的過程，起初，假設(shè)帶寬是一

27、個比較小的值，通過另一端的反饋來逐漸增大對帶寬的估計值。通過增大該估計值，TCP 允許在未收到反饋時傳輸更多的包（即在途的包數(shù)目），最終該值達(dá)到穩(wěn)定值，接近帶寬，這個過程為TCP 慢啟動，這個時間的長短，直接影響了用戶的 Web 體驗華為WAF 通過優(yōu)化與客戶端的 TCP 協(xié)議棧，優(yōu)化后使得傳輸速度大幅度提升，特別是電信聯(lián)通之間往返時間較長時，效果非常明顯。高速緩存華為WAF 為了提高被保護(hù)系統(tǒng)的訪問速度，同時消除WAF 過濾分析過程中帶來的延時，定制提供了應(yīng)用加速功能，通過高速緩存和相關(guān)算法鏡像及管理相關(guān)的靜態(tài)內(nèi)容， 一旦有用戶訪問，客戶端直接通過 WAF 緩存中獲取，避免了用戶重復(fù)通過 W

28、eb 服務(wù)器并進(jìn)行協(xié)議解析等相關(guān)操作，從而加快了訪問速度，減輕了 Web 服務(wù)器的負(fù)擔(dān)。安全監(jiān)控與服務(wù)發(fā)現(xiàn)為了更好的監(jiān)控 Web 應(yīng)用防火墻自身狀態(tài)以及所防護(hù)的對象的安全狀態(tài)，華為 WAF 通過自動服務(wù)發(fā)現(xiàn)、安全態(tài)勢監(jiān)測、自身健康度監(jiān)測等多個方面進(jìn)行全面的監(jiān)測與展現(xiàn)。自動服務(wù)發(fā)現(xiàn)通常情況下管理員需要手工指定 Web 應(yīng)用防火墻需要防護(hù)哪些 Web 應(yīng)用，當(dāng)有大量的網(wǎng)站群需要防護(hù)時，或者具有復(fù)雜的域名對應(yīng)關(guān)系時通常難以手工對服務(wù)進(jìn)行確認(rèn)。另一方面數(shù)據(jù)中心的 Web 服務(wù)可能隨著業(yè)務(wù)的增加而不斷有新的服務(wù)開啟，此時我們的安全管理員可能并未被告知，因此 Web 服務(wù)的監(jiān)測與自動發(fā)現(xiàn)有助于 Web 應(yīng)

29、用的安全管理。開啟華為WAF 服務(wù)自動發(fā)現(xiàn)功能，可輕松實現(xiàn) Web 應(yīng)用防火墻部署的即插即用，不需復(fù)雜的環(huán)境調(diào)研和現(xiàn)場確認(rèn)，加載自動發(fā)現(xiàn)的服務(wù)對象即可實現(xiàn)快速安全防護(hù)策略的部署。安全監(jiān)控如下圖所示，華為 WAF 實現(xiàn)了基于安全事件級別的安全監(jiān)控，通過對安全日志分析、攻擊者跟蹤等手段，將最具有危害的行為、最需要處理的事件展現(xiàn)給管理員，實現(xiàn)高效管理。性能監(jiān)控Web 應(yīng)用系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)特性不一樣，決定業(yè)務(wù)系統(tǒng)的關(guān)鍵性能指標(biāo)通常不是由網(wǎng)絡(luò)流量或帶寬所決定，而是由HTTP 每秒處理事務(wù)數(shù)決定。除此之外 Web 應(yīng)用系統(tǒng)中通常用負(fù)載均衡器的性能指標(biāo)來衡量業(yè)務(wù)系統(tǒng)的性能，因此WAF 本身的性能情況，業(yè)務(wù)系統(tǒng)

30、的性能情況均可通過 WAF 直觀的展現(xiàn)出來，有利于管理員對業(yè)務(wù)系統(tǒng)性能情況的總體了解，并有利于業(yè)務(wù)系統(tǒng)出現(xiàn)故障時輔助分析定位問題。多種接口兼容SNMP 接口可遠(yuǎn)程監(jiān)測 WAF 的運(yùn)行狀態(tài)，支持 SNMP_V2、V3 版本，如 CPU、內(nèi)存、磁盤、端口速率等信息的狀態(tài)檢測，當(dāng)設(shè)備出現(xiàn)異常時可在第一時間發(fā)現(xiàn)。Syslog 接口將日志輸送到 Syslog 服務(wù)器或安管平臺，結(jié)合安管產(chǎn)品可關(guān)聯(lián)分析黑客的整個攻擊過程，日志中包含攻擊時間、攻擊 IP、攻擊行為、URL 地址、攻擊特征、攻擊工具等信息。郵件與短信告警接口華為WAF 內(nèi)置郵件與短信告警接口，檢測到入侵攻擊行為時可自動將告警信息發(fā)送到管理員郵箱

31、或管理員手機(jī)中。WebService 接口安全管理員面對的安全產(chǎn)品越來越多，需要配置和管理的任務(wù)越來越重，因此新引入的安全產(chǎn)品能否接入到統(tǒng)一安全管理平臺是衡量一款安全產(chǎn)品可管理性的重要指標(biāo)。華為WAF 針對用戶的這種需要開放了 WebService 接口，可將WAF 接入到統(tǒng)一的安全管理平臺中，便于日常維護(hù)。華為 WAF5000 系列 Web 應(yīng)用防火墻技術(shù)白皮書4 功能特點 4功能特點華為WAF 具有使網(wǎng)站更安全、使訪問更快速、使運(yùn)維更簡單三大功能特點。使網(wǎng)站更安全雙模式安全引擎采用白名單與黑名單相結(jié)合的方式實現(xiàn)安全引擎，白名單可以快速識別安全的請求提升了訪問性能，黑名單基于特征匹配技術(shù)的深

32、入識別，可以將緩存繞過白名單檢測的攻擊行為。黑名單安全技術(shù)華為WAF 提供默認(rèn)的安全策略，對 Web 網(wǎng)站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。這些安全規(guī)則來自于 Snort、CWE、OWASP 組織，以及華為安全研究院對國內(nèi)典型應(yīng)用的深入研究成果。華為 WAF 內(nèi)置了 30 余類的通用 Web 攻擊特征，集成了 580 多個類別的攻擊特征， 全面覆蓋了 Web 應(yīng)用安全存在的主要安全威脅，通過規(guī)則庫匹配技術(shù)實現(xiàn)各類 SQL 注入、跨站、掛馬、CC、掃描器等攻擊的安全防護(hù)，同時低誤報率、低漏報率。同時， 華為WAF 支持自定義規(guī)則。白名單安全技術(shù)華為WAF 白名單安全技術(shù)通過對正常訪問行為的分析與總結(jié)規(guī)律，從

33、而實現(xiàn)了假定安全的檢測邏輯。由于不同網(wǎng)站有著各自獨(dú)立的特性與訪問規(guī)律，因此華為 WAF 的白名單安全特征采用了自學(xué)習(xí)建模技術(shù)，針對所防護(hù)的網(wǎng)站進(jìn)行流量學(xué)習(xí)，在概率統(tǒng)計學(xué)為基礎(chǔ)不斷的安全分析與收斂，最終形成一套針對網(wǎng)站特性的安全白名單規(guī)則。華為WAF 通過白名單安全技術(shù)有效防護(hù) 0day 等攻擊，誤報率低。同時，大大提高了網(wǎng)站訪問性能，避免特征庫黑名單技術(shù)帶來的局限性，如規(guī)則庫的龐大及復(fù)雜，對管理員的安全技術(shù)水平要求高等。IP 信譽(yù)庫華為 WAF 內(nèi)置 IP 信譽(yù)庫，IP 信譽(yù)庫中包含惡意的 IP 地址，如果有惡意的 IP 地址訪問網(wǎng)站，WAF 就會進(jìn)行告警或阻斷。區(qū)域訪問控制華為 WAF 內(nèi)置

34、 IP 地址庫（中國+全球國家），可以有效對某區(qū)域的 IP 進(jìn)行控制。智能防護(hù)華為 WAF 自動跟蹤攻擊者的行為，對于攻擊者 IP 自動進(jìn)行鎖定，降低網(wǎng)站被入侵的風(fēng)險。CC 精準(zhǔn)防護(hù)華為 WAF 采用獨(dú)創(chuàng)的檢測算法對 CC 攻擊進(jìn)行防護(hù)。支持多重檢測算法，獨(dú)創(chuàng)的集中度和速率雙重檢查算法，減小誤判實現(xiàn)精準(zhǔn)防護(hù)，可基于 URL、請求頭字段、目標(biāo) IP、請求方法等多種組合條件進(jìn)行檢測，檢測對象支持 IP 或 IP+URL 或者 IP+User-agent 算法，IP 可支持NAT 前的地址解析；支持挑戰(zhàn)模式，客戶端訪問時 WAF 發(fā)起 JS 挑戰(zhàn)驗證是真實客戶還是CC 工具發(fā)起的訪問；支持根據(jù)流量模

35、型監(jiān)控流量是否異常，按需開啟 CC 防護(hù)策略；支持基于地理位置的識別，可設(shè)置不同地理區(qū)域的防護(hù)單元；支持 CC 慢攻擊的防護(hù)；支持 CC 規(guī)則的 IP 白名單功能。虛擬補(bǔ)丁華為 WAF 支持將第三方掃描工具的掃描結(jié)果導(dǎo)入 WAF 并生成策略規(guī)則。使訪問更快速服務(wù)優(yōu)先原則的高性能算法WAF 產(chǎn)品產(chǎn)生延時的最主要環(huán)節(jié)是特征匹配階段，特征匹配范圍越廣、算法越復(fù)雜、特征數(shù)量越多其防護(hù)能力理論上將會越好，同時造成的業(yè)務(wù)延時也將最大。而且基于黑名單簽名技術(shù)的 WAF 產(chǎn)品正常請求者的延時影響最大。華為 WAF 產(chǎn)品采用了白名單簽名技術(shù)，對正常的請求只需要進(jìn)行一次特征匹配即可實現(xiàn)快速轉(zhuǎn)發(fā)，從而極大的降低了黑名單匹配數(shù)百條甚至上萬條特征匹配帶來的業(yè)務(wù)延時。多種加速方案除安全檢測方面的性能優(yōu)化之外，華為 WAF 產(chǎn)品還提供了多種加速方案，從而使部署WAF 后的整體效果不是訪問延時增加了，反而具有減小訪問延時的明顯差異。高速緩存華為 WAF 支持將 jgp、html、txt 等靜態(tài)文件進(jìn)行緩存，用戶訪問這些靜態(tài)文件時，WAF 可以直接將本地的靜態(tài)文件返回給客戶端。使運(yùn)維更簡單WAF 產(chǎn)品屬應(yīng)用層安全產(chǎn)品，國外也稱為程序防火墻，因此需要管理人員對程序代理有一定理解，對各常見 Web 開發(fā)語言非常熟悉才能用好產(chǎn)品。這無形中增加了運(yùn)維人員的技術(shù)要求和人員資源本成。華為 WAF 產(chǎn)