安恒信息明御WEB應(yīng)用防火墻產(chǎn)品白皮書

精心整理精心整理精心整理安恒信息明御WEB應(yīng)用防火墻產(chǎn)品白皮書概述根據(jù)計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）的工作報告顯示：目前中國的互聯(lián)網(wǎng)安全實際狀況仍不容樂觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加。對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式，以達(dá)到泄憤和炫耀的目的，也不排除放置惡意代碼的可能，導(dǎo)致政府類網(wǎng)站存在安全隱患。對中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用注入攻擊、跨站攻擊以及應(yīng)用層拒絕服務(wù)攻擊（DenialOfService）等，影響業(yè)務(wù)的正常開展。2007年到2009年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢。常見攻擊手法攻擊方式描述安恒WAF的防護方法跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問該站點的用戶，常見目的是竊取該站點訪問者相關(guān)的用戶登陸或認(rèn)證信息。通過檢查應(yīng)用流量，阻止各種惡意的腳本插入到URL,header及form中。SQL注入攻擊者通過輸入一段數(shù)據(jù)庫查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)。通過檢查應(yīng)用流量，偵測是否有危險的數(shù)據(jù)庫命令或查詢語句被插入到URL,header及form中。命令注入攻擊者利用網(wǎng)頁漏洞將含有操作系統(tǒng)或軟件平臺命令注入到網(wǎng)頁訪問語句中以盜取數(shù)據(jù)或后端服務(wù)器的控制權(quán)。通過檢查應(yīng)用流量，檢測并阻止危險的系統(tǒng)或軟件平臺命令被插入到URL,header及form中。cookie/seesion劫持Cookie/seesion通常用于用戶身份認(rèn)證，并且可能攜帶用戶敏感的登陸信息。攻擊者可能被修改Cookie/seesion提高訪問權(quán)限，或偽裝成他人的身份登陸。通過檢查應(yīng)用流量，拒絕偽造身份登錄的會話訪問。參數(shù)（或表單）篡改通過修改對URL、header和form中對用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服務(wù)器。利用參數(shù)配置文檔檢測應(yīng)用中的參數(shù)，僅允許合法的參數(shù)通過，防止參數(shù)篡改發(fā)生。緩沖溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲取系統(tǒng)管理員的權(quán)限。用戶可以根據(jù)應(yīng)用需求設(shè)定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。日志篡改黑客篡改刪除日志以掩蓋其攻擊痕跡或改變web處理日志。.通過檢查應(yīng)用流量，防止帶有日志篡改的應(yīng)用訪問。應(yīng)用平臺漏洞攻擊黑客通過獲悉應(yīng)用平臺后，可以利用該平臺的已知漏洞進行攻擊。當(dāng)應(yīng)用平臺出現(xiàn)漏洞，且沒有官方補丁時，同樣面臨被攻擊的風(fēng)險。安恒WAF將阻止已知的攻擊，并提供安全策略規(guī)則升級服務(wù)，用戶可以按計劃進行安全應(yīng)用策略升級。同時，對于高級用戶，安恒WAF提供自定義規(guī)則庫的添加，可以針對某些關(guān)鍵字，特殊應(yīng)用做特殊安全處理。DOS攻擊通過DOS攻擊請求，以達(dá)到消耗應(yīng)用平臺資源異常消耗的一種攻擊，最終造成應(yīng)用平臺拒絕服務(wù)?？梢苑雷o所有的網(wǎng)絡(luò)層的DoS。包括防止SYNcookie，應(yīng)用層DOS攻擊和對客戶端連接速率進行限制。HTTPS類攻擊一些狡猾的黑客通過HTTPS進行HTTPS類的攻擊，由于SSL加密數(shù)據(jù)包無法進行有效的檢測，導(dǎo)致通用的網(wǎng)絡(luò)防火墻和普通WEB應(yīng)用防火墻無能為力。支持用戶上傳HTTPS證書，在WAF進行第一輪認(rèn)證，并對應(yīng)用流量進行解密和偵測，對HTTPS類的所有攻擊進行有效的攔截和防御?，F(xiàn)有的防御技術(shù)傳統(tǒng)網(wǎng)絡(luò)防火墻入侵檢測系統(tǒng)（IDS）Web安全需求·對現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無影響；·方便管理，無需進行復(fù)雜的配置；·對現(xiàn)有WEB服務(wù)器的訪問速率不能造成太大的影響；·對正常業(yè)務(wù)訪問不能進行錯誤的攔截阻斷。Web應(yīng)用防火墻安恒WAF的特點安恒WAF提供高效的Web應(yīng)用安全邊界檢查功能。安恒WAF整合了Web安全深度防御及站點隱藏等功能，能全方位的保護用戶的Web數(shù)據(jù)中心。通過對對所有Web流量（包括客戶端請求流量和服務(wù)器返回的數(shù)據(jù)流量）進行深度檢測，提供了實時有效的入侵防護功能。安恒WAF充分考慮用戶已有環(huán)境的差異性，對環(huán)境兼容性、應(yīng)用多樣性進行了深入的分析和總結(jié)。領(lǐng)先的透明代理模式WEB應(yīng)用防火墻技術(shù)經(jīng)過不斷的發(fā)展已經(jīng)日益成熟，安恒WAF采用業(yè)界領(lǐng)先的代理技術(shù)實現(xiàn)WEB應(yīng)用深度分析和防御?；诖淼姆阑饓夹g(shù)在防護深度及細(xì)粒度方面有著包過濾防火墻無法比擬的優(yōu)勢，但是如果代理模式處理不當(dāng)也會對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)產(chǎn)生影響，最為明顯的影響是對網(wǎng)絡(luò)數(shù)據(jù)包文頭的改變，導(dǎo)致服務(wù)器識別到的源地址是代理設(shè)備IP地址，無法識別真話的訪問者。而且還會對HTTP應(yīng)用數(shù)據(jù)流頭部的影響，如增加X-Forwarded相關(guān)的字段或影響已有的代理環(huán)境，影響WEB業(yè)務(wù)的正常使用，以及致使WEB服務(wù)器訪問日志失效。安恒WAF憑著對網(wǎng)絡(luò)及應(yīng)用的深入解理，以及多年的研發(fā)經(jīng)驗，研發(fā)的WAF產(chǎn)品繼承了代理防火墻技術(shù)深度防御的特性，同時也吸納了網(wǎng)絡(luò)防火墻對網(wǎng)絡(luò)及應(yīng)用透明的優(yōu)點。安恒是國內(nèi)首家發(fā)布全透明代理的模式的WEB應(yīng)用防火墻廠家，安恒WAF的部署不會對網(wǎng)絡(luò)及應(yīng)用產(chǎn)生任何的影響，甚至安恒WAF的工作口不需要配置任何的IP即可正常工作。獨創(chuàng)的鏡像監(jiān)控模式WEB應(yīng)用系統(tǒng)隨著應(yīng)用需求不同而千變?nèi)f化，對應(yīng)用的防護和安全識別提出了高的要求，因此應(yīng)用環(huán)境中對WEB應(yīng)用防火墻的接入需要經(jīng)過深入的分析和調(diào)研才能實現(xiàn)。針對一些大型的業(yè)務(wù)系統(tǒng)，特別是對業(yè)務(wù)連續(xù)性有較高要求的行為如電信運營、金融證券、社會保障等需要不中斷對外服務(wù)的應(yīng)用系統(tǒng)對部署WAF產(chǎn)品是一個極大的挑戰(zhàn)。如果實現(xiàn)部署WAF前期的準(zhǔn)備或者讓W(xué)AF工作在監(jiān)測模式下而不影響正常的業(yè)務(wù)是大型應(yīng)用系統(tǒng)的一個鋼性需求。安恒WAF產(chǎn)品獨創(chuàng)的鏡像監(jiān)控模式徹底解決這個難題，安恒WAF產(chǎn)品支持端口鏡像和串接鏡像兩種方式實現(xiàn)對數(shù)據(jù)包的分布，對安全的監(jiān)測，端口鏡像模式下僅需將監(jiān)測流量鏡像至WAF即可，而不會影響網(wǎng)絡(luò)和應(yīng)用系統(tǒng)；串接鏡像時將WAF串接入需要監(jiān)測的環(huán)境，此時WAF會自動復(fù)制一份數(shù)據(jù)包進行監(jiān)測，也不會影響原有的網(wǎng)絡(luò)及應(yīng)用。雙向SSL的支持WEB應(yīng)用防火墻技術(shù)可以完美的防護HTTP應(yīng)用系統(tǒng)，然而針對于HTTPS的應(yīng)用系統(tǒng)則是當(dāng)前WEB應(yīng)用防火墻技術(shù)的難點?；贖TTPS的應(yīng)用系統(tǒng)，在網(wǎng)絡(luò)環(huán)境常規(guī)的設(shè)備無法識別傳輸?shù)膽?yīng)用數(shù)據(jù)，更無法識別來自應(yīng)用層的攻擊。要對HTTPS應(yīng)用進行應(yīng)用防護，必須要求WAF能良好的支持HTTPS協(xié)議并能對SSL數(shù)據(jù)流進行中繼。由于SSL需要大量的數(shù)據(jù)運算對設(shè)備性能要求高，以及需要對用戶端和服務(wù)器端雙向的SSL支持這些技術(shù)難點，導(dǎo)致很多WEB應(yīng)用防火墻無法實現(xiàn)對HTTPS的支持。安恒WAF支持雙向的SSL環(huán)境，能對原有的HTTPS應(yīng)用系統(tǒng)良好的適應(yīng)，無勿需改變原有環(huán)境，對HTTPS應(yīng)用系統(tǒng)仍可透明部署和全面防御。安恒通過對HTTPS的支持從而實現(xiàn)了對HTTP、HTTPS的全面防護，解決了WEB防火墻無法防御HTTPS應(yīng)用的短板。安恒WAF的功能···策略設(shè)置向?qū)Аぐ踩呗浴z測和阻斷模式···網(wǎng)頁防篡改·日志和報表·高可操作性深度防護Web站點隱藏網(wǎng)頁篡改監(jiān)測檢測到網(wǎng)頁被篡改，第一時間對管理員進行實時告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網(wǎng)站。事后可對原始文件及篡改后的文件進行本地下載比較，查看篡改記錄。也可設(shè)置僅檢測模式，只對篡改進行告警，不提供防護功能。WEB應(yīng)用加速安恒WAF為了提高被保護系統(tǒng)的訪問速度同時消除WAF過濾分析過程中帶來的延時，定制提供了應(yīng)用加速功能，通過高速緩存和相關(guān)算法鏡像及管理相關(guān)的靜態(tài)內(nèi)容，一旦有用戶訪問，。安全策略·HTTP協(xié)議合規(guī)性·SQL注入阻斷·跨站點腳本攻擊防護·表單/cookie篡改防護·DoS攻擊防護人性化運維管理安恒WAF提供了豐富的人性化運維管理數(shù)據(jù)，包括WAF自身的硬件運行狀況，相關(guān)工作口的實時流量情況，各個硬件部件歷史占用情況，各個工作口的歷史流量情況，系統(tǒng)提供了圖形化的直觀的統(tǒng)計分析界面，讓維護管理員快速掌握整體的情況。檢測和阻斷模式硬件旁路模式HTTPS/SSL的完全支持日志和報表高可操作性結(jié)論杭州安恒信息技術(shù)有限公司的核心團隊擁有多年互聯(lián)網(wǎng)應(yīng)用安全防衛(wèi)、網(wǎng)絡(luò)安全審計、數(shù)據(jù)庫安全審計的深厚技術(shù)背景，擁有全球領(lǐng)先的具有完全知識產(chǎn)權(quán)的安全技術(shù)；為明御WEB應(yīng)用防火墻（WAF）的成功推出奠定了有力的基礎(chǔ)。安恒WAF由資深安全專家經(jīng)歷數(shù)年的時間研發(fā)而成，它能夠輕松應(yīng)對各種復(fù)雜的WEB應(yīng)用，全面深入針對WEB應(yīng)用中存在的安全弱點攻擊防御。安恒WAF旨在降低WEB應(yīng)用的風(fēng)險，降低國家利益