Web應(yīng)用安全產(chǎn)品簡介及主流品牌產(chǎn)品對比講義

深圳市信息網(wǎng)絡(luò)中心內(nèi)網(wǎng)加固研討深圳市能士信息安全有限公司2011.3目錄背景12網(wǎng)頁防篡改3Web應(yīng)用防火墻4結(jié)束Web安全威脅成為政府機關(guān)及企業(yè)最猛烈的攻擊之一在Internet大眾化及Web技術(shù)飛速演變的今天，在線安全所面臨的挑戰(zhàn)日益嚴峻；Web架構(gòu)在成本與應(yīng)用能力方面的優(yōu)勢，使得越來越多的企業(yè)和機構(gòu)將應(yīng)用遷移到基于Web的基礎(chǔ)架構(gòu)；政府單位web應(yīng)用作為信息公開的窗口，需要提供優(yōu)質(zhì)服務(wù)、整合政府資源、增強政府與公眾的互動以及增加親和貼身的服務(wù)形式；伴隨著在線信息和服務(wù)可用性的提升，以及基于Web的攻擊和破壞的增長，安全風(fēng)險達到了前所未有的高度；Web威脅所具備的滲透性和利益驅(qū)動性，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)中增長最快的風(fēng)險因素；Web安全威脅已經(jīng)成為對政府機關(guān)及企業(yè)來說最為猛烈的攻擊之一。Web安全都涉及哪些方面的內(nèi)容？廣義上，Web安全包括Web服務(wù)器安全、Web客戶端（即瀏覽器）安全；一般情況下，談到的Web安全主要指Web服務(wù)器安全。Web服務(wù)器可以分三層，底層是操作系統(tǒng)，中間層是Web服務(wù)程序、數(shù)據(jù)庫服務(wù)、其他通用組件（如ASP、PHP等）、上層是實現(xiàn)特定應(yīng)用的網(wǎng)頁程序。根據(jù)Web服務(wù)器的層次架構(gòu)，Web服務(wù)器安全包括了底層操作系統(tǒng)安全、中間層通用組件的安全、上層網(wǎng)頁程序的安全。Web安全主要面臨的威脅網(wǎng)頁篡改（Web服務(wù)器層次架構(gòu)的任何一層出現(xiàn)安全問題都可能導(dǎo)致“網(wǎng)頁篡改”，底層操作系統(tǒng)的漏洞可能會導(dǎo)致整臺Web服務(wù)器都被黑客非法控制，從而篡改任意網(wǎng)頁；中間層通用組件的安全問題會導(dǎo)致Web業(yè)務(wù)相關(guān)的權(quán)限被黑客非法獲取，從而被上傳惡意網(wǎng)頁；上層網(wǎng)頁程序相關(guān)的安全漏洞有SQL注入漏洞、跨站腳本漏洞等，攻擊者可以利用這些漏洞造成“網(wǎng)頁篡改”。）SQL注入攻擊（利用Web網(wǎng)頁程序?qū)τ脩舻木W(wǎng)頁輸入數(shù)據(jù)缺少必要的合法性判斷的程序設(shè)計漏洞，攻擊者將惡意的SQL命令注入到后臺數(shù)據(jù)庫的攻擊方式；SQL注入對Web網(wǎng)站的攻擊后果：非法獲得網(wǎng)站權(quán)限、網(wǎng)頁篡改、網(wǎng)頁掛馬、竊取網(wǎng)站數(shù)據(jù)等。）DDOS攻擊(分布式拒絕服務(wù)攻擊)“網(wǎng)頁篡改”只是暴露Web安全問題的一種形式，事實上，存在著比“網(wǎng)頁篡改”更嚴重的Web安全問題，如網(wǎng)頁掛馬、敏感信息失竊、數(shù)據(jù)破壞、網(wǎng)站成為傀儡機等。被篡改網(wǎng)站統(tǒng)計WEB應(yīng)用價值的破壞與損失信息泄露拒絕服務(wù)監(jiān)管部門投訴網(wǎng)頁篡改非法入侵網(wǎng)站訪問者服務(wù)提供者+基礎(chǔ)網(wǎng)絡(luò)提供者社會公信力下降名譽受損用戶流失經(jīng)濟損失追責(zé)網(wǎng)頁被篡改非法內(nèi)容用戶信息泄露個人信息丟失個人信息被篡改惡意程序下載網(wǎng)站無法訪問Web安全防范網(wǎng)頁防篡改系統(tǒng)（通過WEB防護、實時阻斷、流出檢測等方式進行網(wǎng)頁保護，可以有效地防止WEB非法訪問，SQL注入攻擊，網(wǎng)頁文件篡改等操作。）Web應(yīng)用防火墻（WAF）

（Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。）目錄背景12網(wǎng)頁防篡改3Web應(yīng)用防火墻4結(jié)束目錄2網(wǎng)頁防篡改1網(wǎng)頁防篡改技術(shù)介紹2主流產(chǎn)品品牌和技術(shù)路線3InforGuard與iGuard對比網(wǎng)頁防篡改改系統(tǒng)功能能功能簡述：：實時監(jiān)控網(wǎng)網(wǎng)站狀態(tài)，，自動快速速恢復(fù)網(wǎng)站站應(yīng)用保障網(wǎng)站系系統(tǒng)持續(xù)可可用網(wǎng)頁防篡改改工作流程程目錄2網(wǎng)頁防篡改改1網(wǎng)頁防篡改改技術(shù)介紹紹2主流產(chǎn)品品品牌和技術(shù)術(shù)路線3InforGuard與iGuard對比網(wǎng)頁防篡改改系統(tǒng)主流流產(chǎn)品品牌牌及技術(shù)路路線UnisGuard1、UnisGuard產(chǎn)品概述UnisGuard網(wǎng)頁防篡改改系統(tǒng)是一款網(wǎng)站站頁面級防防護產(chǎn)品。。UnisGuard的主要功能能是通過文文件底層驅(qū)驅(qū)動技術(shù)對對Web站點目錄提提供全方位位的保護，，防止入侵侵者或病毒毒等對目錄錄中的網(wǎng)頁頁、電子文文檔、圖片片、數(shù)據(jù)庫庫等任何類類型的文件件進行非法法篡改和破破壞。UnisGuard保護網(wǎng)站安安全運行，，維護政府府和企業(yè)形形象，保障障互聯(lián)網(wǎng)業(yè)業(yè)務(wù)的正常常運營，徹徹底解決了了網(wǎng)站的非非法修改的的問題，是是高效、安安全、易用用的新一代代網(wǎng)頁防篡篡改系統(tǒng)。。2、iGuard產(chǎn)品概述iGuard網(wǎng)頁防篡改改系統(tǒng)是目前國內(nèi)內(nèi)能夠完全全保護網(wǎng)站站不發(fā)送被被篡改的頁頁面內(nèi)容的的Web頁面保護軟軟件。iGuard以國家863項目先進技技術(shù)為基礎(chǔ)礎(chǔ)，使得其其性能和安安全性大大大優(yōu)于同類類產(chǎn)品。iGuard支持網(wǎng)頁的的自動發(fā)布布、篡改檢檢測、警告告和自動恢恢復(fù)，保證證傳輸、鑒鑒別、審計計等各個環(huán)環(huán)節(jié)的安全全。iGuard使用了先進進和可靠的的Web服務(wù)器核心心內(nèi)嵌技術(shù)術(shù)，在部分分操作系統(tǒng)統(tǒng)上輔助以以事件觸發(fā)發(fā)式技術(shù)，，從而完全全實時地杜杜絕篡改后后的網(wǎng)頁被被訪問的可可能性。支支持Windows、Linux和Solaris、HP-UX、AIX等多種Unix操作系統(tǒng)，，支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服務(wù)器軟件件。網(wǎng)頁防篡改改系統(tǒng)主流流產(chǎn)品品牌牌及技術(shù)路路線iGuard3、InforGuard產(chǎn)品概述InforGuard網(wǎng)頁防篡改改系統(tǒng)是目前國內(nèi)內(nèi)采用四重重防護技術(shù)術(shù)、既完全全保護網(wǎng)站站不發(fā)送被被篡改的頁頁面內(nèi)容又又保證網(wǎng)站站內(nèi)無被篡篡改頁面滯滯留的Web頁面保護軟軟件。InforGuard的主要功能能是實時監(jiān)監(jiān)控用戶的的Web站點，洞察察黑客、病病毒等對網(wǎng)網(wǎng)站的網(wǎng)頁頁、電子文文檔、圖片片等文件進進行破壞或或非法修改改。一旦文文件遭到破破壞，系統(tǒng)統(tǒng)會立即恢恢復(fù)被破壞壞的文件，，并向管理理人員報警警。InforGuard的四重防護護技術(shù)使其其在防篡改改理念、安安全性及性性能等諸多多方面遠遠遠領(lǐng)先于同同類產(chǎn)品。。支持Windows、Linux和Solaris、HP-UX、AIX等多種Unix操作系統(tǒng)，，支持IIS、Apache、Weblogic、WebSphere等主主流流的的Web服務(wù)務(wù)器器軟軟件件。。網(wǎng)頁頁防防篡篡改改系系統(tǒng)統(tǒng)主主流流產(chǎn)產(chǎn)品品品品牌牌及及技技術(shù)術(shù)路路線線InforGuard目錄錄2網(wǎng)頁頁防防篡篡改改1網(wǎng)頁頁防防篡篡改改技技術(shù)術(shù)介介紹紹2主流流產(chǎn)產(chǎn)品品品品牌牌和和技技術(shù)術(shù)路路線線3InforGuard與iGuard對比比InforGuard與iGuard對比比-防篡篡改改機機制制防篡篡改改機機制制對對比比InforGuard采用用了了獨獨特特的的四重重防防護護技技術(shù)術(shù)。第第一一重重防防護護———采用用實實時時阻阻斷斷技技術(shù)術(shù)，，實實現(xiàn)現(xiàn)進進程程式式篡篡改改檢檢測測引引擎擎，，阻阻斷斷非非法法進進程程對對網(wǎng)網(wǎng)站站的的篡篡改改；；第第二二重重防防護護———采用用事事件件觸觸發(fā)發(fā)技技術(shù)術(shù)，，實實現(xiàn)現(xiàn)觸觸發(fā)發(fā)式式篡篡改改檢檢測測引引擎擎，，瞬瞬間間清清除除被被非非法法篡篡改改的的網(wǎng)網(wǎng)頁頁，，并并實實時時恢恢復(fù)復(fù)；；第第三三重重防防護護———采用用核核心心內(nèi)內(nèi)嵌嵌技技術(shù)術(shù)，，實實現(xiàn)現(xiàn)內(nèi)內(nèi)嵌嵌服服務(wù)務(wù)器器式式篡篡改改檢檢測測引引擎擎，，實實時時確確保保每每個個對對外外發(fā)發(fā)送送的的網(wǎng)網(wǎng)頁頁的的正正確確性性；；第第四四重重防防護護———結(jié)合合事事件件觸觸發(fā)發(fā)技技術(shù)術(shù)，，實實現(xiàn)現(xiàn)災(zāi)災(zāi)難難型型篡篡改改檢檢測測引引擎擎，，與與服服務(wù)務(wù)器器聯(lián)聯(lián)動動，，應(yīng)應(yīng)對對災(zāi)災(zāi)難難式式網(wǎng)網(wǎng)絡(luò)絡(luò)攻攻擊擊事事件件。。iGuard采用用雙引引擎擎防防護護技技術(shù)術(shù)。引擎擎1————實時時阻阻斷斷，，使使用用增增強強型型事事件件觸觸發(fā)發(fā)式式技技術(shù)術(shù)，，截截獲獲所所有有寫寫文文件件調(diào)調(diào)用用，，對對于于其其中中的的非非法法寫寫行行為為實實施施了了實實時時阻阻斷斷，，讓讓常常規(guī)規(guī)黑黑客客的的篡篡改改行行為為即即時時落落空空，，同同時時發(fā)發(fā)出出報報警警。。引引擎擎2————核心心內(nèi)內(nèi)嵌嵌，，將將篡篡改改檢檢測測的的核核心心內(nèi)內(nèi)嵌嵌到到Web服務(wù)務(wù)器器中中，，僅僅在在網(wǎng)網(wǎng)頁頁信信息息流流出出Web服務(wù)務(wù)器器時時進進行行檢檢測測。。InforGuard與iGuard對比比-功能能比比較較監(jiān)控控與與恢恢復(fù)復(fù)1功能列表InforGuardiGuard篡改檢測與恢復(fù)機制四重防護雙引擎防護保護文件類型所有所有斷線狀態(tài)下的自動監(jiān)控與保護支持（但是僅清除篡改文件，不恢復(fù)）支持（但不清除和恢復(fù)篡改文件）支持網(wǎng)頁發(fā)送時的水印比較，確保網(wǎng)頁的合法性支持支持支持多Web/應(yīng)用服務(wù)器的并發(fā)驗證支持支持Web服務(wù)器負載低低帶寬占用無無檢測時間實時或者接近實時接近實時InforGuard與iGuard對比比-功能能比比較較監(jiān)控控與與恢恢復(fù)復(fù)2功能列表InforGuardiGuard繞過檢測機制不可能不可能防范連續(xù)篡改攻擊能（一定程度上）能保護所有網(wǎng)頁能能動態(tài)網(wǎng)頁腳本支持支持適用操作系統(tǒng)所有所有上傳時檢測能能斷線時保護能能是否可能漏過檢測不能不能InforGuard與iGuard對比比-功能能比比較較發(fā)布布與與同同步步功功能能功能列表InforGuardiGuard支持自動/手動精確同步支持支持支持自動/手動增量同步支持支持支持集群、多機熱備，自動執(zhí)行多個Web/應(yīng)用服務(wù)器的同步支持支持，但沒有集群的概念支持多虛擬主機/目錄的并發(fā)同步支持支持支持各種發(fā)布工具或發(fā)布方式支持不支持支持內(nèi)容管理系統(tǒng)支持不支持支持網(wǎng)絡(luò)異常的自動恢復(fù)支持支持支持發(fā)布失敗的自動重新發(fā)布支持支持InforGuard與iGuard對比比-功能能比比較較服務(wù)務(wù)器器聯(lián)聯(lián)動動功能列表InforGuardiGuard封鎖服務(wù)端口聯(lián)動支持不支持斷開網(wǎng)絡(luò)聯(lián)動支持不支持關(guān)閉服務(wù)器聯(lián)動支持不支持停止Web服務(wù)聯(lián)動支持不支持自定義聯(lián)動條件和聯(lián)動措施支持不支持InforGuard與iGuard對比比-資質(zhì)質(zhì)比比較較InforGuard所獲獲資資質(zhì)質(zhì)國家家公公安安部部頒頒發(fā)發(fā)的的計計算算機機信信息息系系統(tǒng)統(tǒng)安安全全專專用用產(chǎn)產(chǎn)品品銷銷售售許許可可證證國家保密密局頒發(fā)發(fā)的涉密密信息系系統(tǒng)產(chǎn)品品檢測證證書國家信息息安全測測評認證證中心頒頒發(fā)的信信息安全全產(chǎn)品認認證iGuard所獲資質(zhì)質(zhì)國家信息息安全測測評認證證中心的的信息安安全產(chǎn)品品認證公安部計計算機信信息系統(tǒng)統(tǒng)安全專專用產(chǎn)品品銷售許許可證目錄錄背景12網(wǎng)頁防篡篡改3Web應(yīng)用防火火墻4結(jié)束目錄錄3Web應(yīng)用防火火墻1Web應(yīng)用防火火墻技術(shù)術(shù)介紹23安恒與綠綠盟產(chǎn)品品對比主流產(chǎn)品品品牌和和技術(shù)路路線Web應(yīng)用防火火墻（WAF）技術(shù)介介紹Web應(yīng)用防火火墻（WebApplicationFirewall，簡稱WAF）基于對HTTP/HTTPS流量的雙雙向解碼碼和分析析，可應(yīng)應(yīng)對HTTP/HTTPS應(yīng)用中的的各類安安全威脅脅，如SQL注入、XSS、跨站請求求偽造攻擊擊（CSRF）、Cookie篡改以及應(yīng)應(yīng)用層DDoS等，能有效效解決網(wǎng)頁頁篡改、網(wǎng)網(wǎng)頁掛馬、、敏感信息息泄露等安安全問題，，充分保障障Web應(yīng)用的高可可用性和可可靠性。WAF不同于傳統(tǒng)統(tǒng)防火墻傳統(tǒng)防火墻墻的弱點：：工作在三三四層，攻攻擊可以從從80或443端口順利通通過防火墻墻檢測。傳統(tǒng)防火墻墻需要架設(shè)設(shè)在網(wǎng)關(guān)處處，而Web應(yīng)用防火墻墻則部署在在Web客戶端和Web服務(wù)器之間間。傳統(tǒng)防火墻墻只是針對對一些底層層（網(wǎng)絡(luò)層層、傳輸層層）的信息息進行阻斷斷，提供IP、端口防護護，對應(yīng)用用層不做防防護和過濾濾；而Web應(yīng)用防火墻墻則專注在在應(yīng)用核心心層，對所所有應(yīng)用信信息進行過過濾，從而而發(fā)現(xiàn)違反反預(yù)先定義義好的安全全策略的行行為。Web應(yīng)用防火墻墻（WAF）技術(shù)介紹紹WAF不同于IPS（入侵防御御系統(tǒng)）IPS入侵防御的的弱點在于于它基于已已知漏洞和和攻擊行為為的防護，，而且不能能終止和處處理SSL流量。WAF能完整地解解析HTTP，支持各種種HTTP編碼，提供供嚴格的HTTP協(xié)議驗證，，提供HTML限制，支持持各類字符符集編碼，，具備response過濾能力。。WAF提供應(yīng)用層層規(guī)則：Web應(yīng)用通常是是定制化的的，傳統(tǒng)的的針對已知知漏洞的規(guī)規(guī)則往往不不夠有效。。WAF提供專用的的應(yīng)用層規(guī)規(guī)則，且具具備檢測變變形攻擊的的能力，如如檢測SSL加密流量中中混雜的攻攻擊。目錄3Web應(yīng)用防火墻墻1Web應(yīng)用防火墻墻技術(shù)介紹紹23安恒與綠盟盟產(chǎn)品對比比主流產(chǎn)品品品牌和技術(shù)術(shù)路線主流WAF產(chǎn)品品牌及及技術(shù)路線線國內(nèi)外主流流WAF廠商主要有有：安恒信息(DBAPPSecurity)、綠盟(NSFOCUS)、銥訊信息息、天泰、、寶界、、中軟華華泰、金金電網(wǎng)安、、梭子魚魚(BARRACUDA)，思科(Cisco)，思杰(Citrix)，飛塔(Fortinet)、F5、Radware、Imperva、Fortiweb等其中安恒信息(DBAPPSecurity)、綠盟(NSFOCUS)、銥訊信息、、天泰、寶寶界、中軟軟華泰、金金電網(wǎng)安為國國內(nèi)廠商WEB應(yīng)用防火墻的的工作機理Web應(yīng)用防火墻主主要致力于提提供應(yīng)用層保保護，通過對對HTTP/HTTPS及應(yīng)用層數(shù)據(jù)據(jù)的深度檢測測分析，識別別及阻斷各類類傳統(tǒng)防火墻墻無法識別的的WEB應(yīng)用攻擊。WEB應(yīng)用防火墻局域網(wǎng)交換機機Web服務(wù)器DB服務(wù)器1280端口HTTP請求5/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--檢測到如下異常：類型異常長度異常值異常34防火墻5深度防御引擎深度檢測測有效識別、阻阻止日益盛行行的WEB應(yīng)用黑客攻擊擊跨站點腳本(XSS)注入式攻擊，，包括SQL注入、命令注注入惡意編碼非法編碼已知弱點和錯錯誤配置隱藏字段會話劫持參數(shù)篡改緩沖區(qū)溢出Cookie更改應(yīng)用層拒絕服服務(wù)輸入信息控制制掃描防護爬蟲防護盜鏈防護CSRF防護……HTTPS深度解析32目錄3Web應(yīng)用防火墻1Web應(yīng)用防火墻技技術(shù)介紹23安恒與綠盟產(chǎn)產(chǎn)品對比主流產(chǎn)品品牌牌和技術(shù)路線線安恒信息與綠綠盟WAF產(chǎn)品對比核心技術(shù)與價格安恒綠盟品牌廠家情況國內(nèi)自主研發(fā)品牌國內(nèi)品牌國內(nèi)自主知識產(chǎn)權(quán)有有產(chǎn)品資質(zhì)公安部銷售許可證書、軟件著作權(quán)證書、中國國家信息安全測評認證中心強制認證證書、入圍2010中央國家機關(guān)政府采購協(xié)議供貨名單。公安部銷售許可證書、軟件著作權(quán)證書、軍用產(chǎn)品認證部署模式網(wǎng)絡(luò)及應(yīng)用透明支持支持多路由環(huán)境支持支持Trunk支持支持支持多鏈路支持支持支持旁路審計支持不支持SSL支持支持SSL透傳僅支持SSL代理，不支持服務(wù)器為HTTPS類型的防護安恒信息與綠綠盟WAF產(chǎn)品對比核心技術(shù)與價格安恒綠盟應(yīng)用兼容性請求頭全透明支持支持頭部重點字段可控支持HTTP協(xié)議版本統(tǒng)一不支持虛擬主機支持支持主流認證方式支持支持單點冗余方案雙機熱備支持支持網(wǎng)橋BYPASS支持支持物理BYPASS支持支持御功能協(xié)議規(guī)范性檢查有有請求頭字段識別能力支持支持響應(yīng)頭識別能力支持支持響應(yīng)體識別能力支持不支持基于字符特征匹配能力支持支持基于行為特征匹配能力支持支持Cookie支持支持User-Agent支持不支持POST大包支持不支持URL編碼繞過支持不支持安全引擎健壯性（禁止繞過安全引擎檢查）支持支持安恒信息與綠綠盟WAF產(chǎn)品對比核心技術(shù)與價格安恒SQL注入攻擊GET及POST和Cookie漏報率10%。User-Age