Web應(yīng)用安全產(chǎn)品簡介及主流品牌產(chǎn)品對(duì)比講義

深圳市信息網(wǎng)絡(luò)中心內(nèi)網(wǎng)加固研討深圳市能士信息安全有限公司2024.3目錄背景12網(wǎng)頁防篡改3Web應(yīng)用防火墻4結(jié)束Web平安威脅成為政府機(jī)關(guān)及企業(yè)最猛烈的攻擊之一在Internet群眾化及Web技術(shù)飛速演變的今天，在線平安所面臨的挑戰(zhàn)日益嚴(yán)峻；Web架構(gòu)在本錢與應(yīng)用能力方面的優(yōu)勢，使得越來越多的企業(yè)和機(jī)構(gòu)將應(yīng)用遷移到基于Web的根底架構(gòu)；政府單位web應(yīng)用作為信息公開的窗口，需要提供優(yōu)質(zhì)效勞、整合政府資源、增強(qiáng)政府與公眾的互動(dòng)以及增加親和貼身的效勞形式；伴隨著在線信息和效勞可用性的提升，以及基于Web的攻擊和破壞的增長，平安風(fēng)險(xiǎn)到達(dá)了前所未有的高度；Web威脅所具備的滲透性和利益驅(qū)動(dòng)性，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)中增長最快的風(fēng)險(xiǎn)因素；Web平安威脅已經(jīng)成為對(duì)政府機(jī)關(guān)及企業(yè)來說最為猛烈的攻擊之一。Web平安都涉及哪些方面的內(nèi)容？廣義上，Web平安包括Web效勞器平安、Web客戶端〔即瀏覽器〕平安；一般情況下，談到的Web平安主要指Web效勞器平安。Web效勞器可以分三層，底層是操作系統(tǒng)，中間層是Web效勞程序、數(shù)據(jù)庫效勞、其他通用組件〔如ASP、PHP等〕、上層是實(shí)現(xiàn)特定應(yīng)用的網(wǎng)頁程序。根據(jù)Web效勞器的層次架構(gòu)，Web效勞器平安包括了底層操作系統(tǒng)平安、中間層通用組件的平安、上層網(wǎng)頁程序的平安。Web平安主要面臨的威脅網(wǎng)頁篡改〔Web效勞器層次架構(gòu)的任何一層出現(xiàn)平安問題都可能導(dǎo)致“網(wǎng)頁篡改〞，底層操作系統(tǒng)的漏洞可能會(huì)導(dǎo)致整臺(tái)Web效勞器都被黑客非法控制，從而篡改任意網(wǎng)頁；中間層通用組件的平安問題會(huì)導(dǎo)致Web業(yè)務(wù)相關(guān)的權(quán)限被黑客非法獲取，從而被上傳惡意網(wǎng)頁；上層網(wǎng)頁程序相關(guān)的平安漏洞有SQL注入漏洞、跨站腳本漏洞等，攻擊者可以利用這些漏洞造成“網(wǎng)頁篡改〞?！砈QL注入攻擊〔利用Web網(wǎng)頁程序?qū)τ脩舻木W(wǎng)頁輸入數(shù)據(jù)缺少必要的合法性判斷的程序設(shè)計(jì)漏洞，攻擊者將惡意的SQL命令注入到后臺(tái)數(shù)據(jù)庫的攻擊方式；SQL注入對(duì)Web網(wǎng)站的攻擊后果：非法獲得網(wǎng)站權(quán)限、網(wǎng)頁篡改、網(wǎng)頁掛馬、竊取網(wǎng)站數(shù)據(jù)等。〕DDOS攻擊(分布式拒絕效勞攻擊)“網(wǎng)頁篡改〞只是暴露Web平安問題的一種形式，事實(shí)上，存在著比“網(wǎng)頁篡改〞更嚴(yán)重的Web平安問題，如網(wǎng)頁掛馬、敏感信息失竊、數(shù)據(jù)破壞、網(wǎng)站成為傀儡機(jī)等。被篡改網(wǎng)站統(tǒng)計(jì)WEB應(yīng)用價(jià)值的破壞與損失信息泄露拒絕服務(wù)監(jiān)管部門投訴網(wǎng)頁篡改非法入侵網(wǎng)站訪問者效勞提供者+根底網(wǎng)絡(luò)提供者社會(huì)公信力下降名譽(yù)受損用戶流失經(jīng)濟(jì)損失追責(zé)網(wǎng)頁被篡改非法內(nèi)容用戶信息泄露個(gè)人信息喪失個(gè)人信息被篡改惡意程序下載網(wǎng)站無法訪問Web平安防范網(wǎng)頁防篡改系統(tǒng)〔通過WEB防護(hù)、實(shí)時(shí)阻斷、流出檢測等方式進(jìn)行網(wǎng)頁保護(hù)，可以有效地防止WEB非法訪問，SQL注入攻擊，網(wǎng)頁文件篡改等操作?！砏eb應(yīng)用防火墻〔WAF〕〔Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的平安策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品?！衬夸洷尘?2網(wǎng)頁防篡改3Web應(yīng)用防火墻4結(jié)束目錄2網(wǎng)頁防篡改1網(wǎng)頁防篡改技術(shù)介紹2主流產(chǎn)品品牌和技術(shù)路線3InforGuard與iGuard比照網(wǎng)頁防篡改系統(tǒng)功能功能簡述：實(shí)時(shí)監(jiān)控網(wǎng)站狀態(tài)，自動(dòng)快速恢復(fù)網(wǎng)站應(yīng)用保障網(wǎng)站系統(tǒng)持續(xù)可用網(wǎng)頁防篡改工作流程目錄2網(wǎng)頁防篡改1網(wǎng)頁防篡改技術(shù)介紹2主流產(chǎn)品品牌和技術(shù)路線3InforGuard與iGuard比照網(wǎng)頁防篡改系統(tǒng)主流產(chǎn)品品牌及技術(shù)路線UnisGuard1、UnisGuard產(chǎn)品概述UnisGuard網(wǎng)頁防篡改系統(tǒng)是一款網(wǎng)站頁面級(jí)防護(hù)產(chǎn)品。UnisGuard的主要功能是通過文件底層驅(qū)動(dòng)技術(shù)對(duì)Web站點(diǎn)目錄提供全方位的保護(hù)，防止入侵者或病毒等對(duì)目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件進(jìn)行非法篡改和破壞。UnisGuard保護(hù)網(wǎng)站平安運(yùn)行，維護(hù)政府和企業(yè)形象，保障互聯(lián)網(wǎng)業(yè)務(wù)的正常運(yùn)營，徹底解決了網(wǎng)站的非法修改的問題，是高效、平安、易用的新一代網(wǎng)頁防篡改系統(tǒng)。

2、iGuard產(chǎn)品概述iGuard網(wǎng)頁防篡改系統(tǒng)是目前國內(nèi)能夠完全保護(hù)網(wǎng)站不發(fā)送被篡改的頁面內(nèi)容的Web頁面保護(hù)軟件。iGuard以國家863工程先進(jìn)技術(shù)為根底，使得其性能和平安性大大優(yōu)于同類產(chǎn)品。iGuard支持網(wǎng)頁的自動(dòng)發(fā)布、篡改檢測、警告和自動(dòng)恢復(fù)，保證傳輸、鑒別、審計(jì)等各個(gè)環(huán)節(jié)的平安。iGuard使用了先進(jìn)和可靠的Web效勞器核心內(nèi)嵌技術(shù)，在局部操作系統(tǒng)上輔助以事件觸發(fā)式技術(shù)，從而完全實(shí)時(shí)地杜絕篡改后的網(wǎng)頁被訪問的可能性。支持Windows、Linux和Solaris、HP-UX、AIX等多種Unix操作系統(tǒng)，支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web效勞器軟件。網(wǎng)頁防篡改系統(tǒng)主流產(chǎn)品品牌及技術(shù)路線iGuard3、InforGuard產(chǎn)品概述InforGuard網(wǎng)頁防篡改系統(tǒng)是目前國內(nèi)采用四重防護(hù)技術(shù)、既完全保護(hù)網(wǎng)站不發(fā)送被篡改的頁面內(nèi)容又保證網(wǎng)站內(nèi)無被篡改頁面滯留的Web頁面保護(hù)軟件。InforGuard的主要功能是實(shí)時(shí)監(jiān)控用戶的Web站點(diǎn)，洞察黑客、病毒等對(duì)網(wǎng)站的網(wǎng)頁、電子文檔、圖片等文件進(jìn)行破壞或非法修改。一旦文件遭到破壞，系統(tǒng)會(huì)立即恢復(fù)被破壞的文件，并向管理人員報(bào)警。InforGuard的四重防護(hù)技術(shù)使其在防篡改理念、平安性及性能等諸多方面遠(yuǎn)遠(yuǎn)領(lǐng)先于同類產(chǎn)品。支持Windows、Linux和Solaris、HP-UX、AIX等多種Unix操作系統(tǒng)，支持IIS、Apache、Weblogic、WebSphere等主流的Web效勞器軟件。網(wǎng)頁防篡改系統(tǒng)主流產(chǎn)品品牌及技術(shù)路線InforGuard目錄2網(wǎng)頁防篡改1網(wǎng)頁防篡改技術(shù)介紹2主流產(chǎn)品品牌和技術(shù)路線3InforGuard與iGuard比照InforGuard與iGuard比照-防篡改機(jī)制防篡改機(jī)制比照InforGuard采用了獨(dú)特的四重防護(hù)技術(shù)。第一重防護(hù)——采用實(shí)時(shí)阻斷技術(shù)，實(shí)現(xiàn)進(jìn)程式篡改檢測引擎，阻斷非法進(jìn)程對(duì)網(wǎng)站的篡改；第二重防護(hù)——采用事件觸發(fā)技術(shù)，實(shí)現(xiàn)觸發(fā)式篡改檢測引擎，瞬間去除被非法篡改的網(wǎng)頁，并實(shí)時(shí)恢復(fù)；第三重防護(hù)——采用核心內(nèi)嵌技術(shù)，實(shí)現(xiàn)內(nèi)嵌效勞器式篡改檢測引擎，實(shí)時(shí)確保每個(gè)對(duì)外發(fā)送的網(wǎng)頁的正確性；第四重防護(hù)——結(jié)合事件觸發(fā)技術(shù)，實(shí)現(xiàn)災(zāi)難型篡改檢測引擎，與效勞器聯(lián)動(dòng)，應(yīng)對(duì)災(zāi)難式網(wǎng)絡(luò)攻擊事件。iGuard采用雙引擎防護(hù)技術(shù)。引擎1——實(shí)時(shí)阻斷，使用增強(qiáng)型事件觸發(fā)式技術(shù)，截獲所有寫文件調(diào)用，對(duì)于其中的非法寫行為實(shí)施了實(shí)時(shí)阻斷，讓常規(guī)黑客的篡改行為即時(shí)落空，同時(shí)發(fā)出報(bào)警。引擎2——核心內(nèi)嵌，將篡改檢測的核心內(nèi)嵌到Web效勞器中，僅在網(wǎng)頁信息流出Web效勞器時(shí)進(jìn)行檢測。InforGuard與iGuard比照-功能比較監(jiān)控與恢復(fù)1功能列表InforGuardiGuard篡改檢測與恢復(fù)機(jī)制四重防護(hù)雙引擎防護(hù)保護(hù)文件類型所有所有斷線狀態(tài)下的自動(dòng)監(jiān)控與保護(hù)支持（但是僅清除篡改文件，不恢復(fù)）支持（但不清除和恢復(fù)篡改文件）支持網(wǎng)頁發(fā)送時(shí)的水印比較，確保網(wǎng)頁的合法性支持支持支持多Web/應(yīng)用服務(wù)器的并發(fā)驗(yàn)證支持支持Web服務(wù)器負(fù)載低低帶寬占用無無檢測時(shí)間實(shí)時(shí)或者接近實(shí)時(shí)接近實(shí)時(shí)InforGuard與iGuard比照-功能比較監(jiān)控與恢復(fù)2功能列表InforGuardiGuard繞過檢測機(jī)制不可能不可能防范連續(xù)篡改攻擊能（一定程度上）能保護(hù)所有網(wǎng)頁能能動(dòng)態(tài)網(wǎng)頁腳本支持支持適用操作系統(tǒng)所有所有上傳時(shí)檢測能能斷線時(shí)保護(hù)能能是否可能漏過檢測不能不能InforGuard與iGuard比照-功能比較發(fā)布與同步功能功能列表InforGuardiGuard支持自動(dòng)/手動(dòng)精確同步支持支持支持自動(dòng)/手動(dòng)增量同步支持支持支持集群、多機(jī)熱備，自動(dòng)執(zhí)行多個(gè)Web/應(yīng)用服務(wù)器的同步支持支持，但沒有集群的概念支持多虛擬主機(jī)/目錄的并發(fā)同步支持支持支持各種發(fā)布工具或發(fā)布方式支持不支持支持內(nèi)容管理系統(tǒng)支持不支持支持網(wǎng)絡(luò)異常的自動(dòng)恢復(fù)支持支持支持發(fā)布失敗的自動(dòng)重新發(fā)布支持支持InforGuard與iGuard比照-功能比較效勞器聯(lián)動(dòng)功能列表InforGuardiGuard封鎖服務(wù)端口聯(lián)動(dòng)支持不支持?jǐn)嚅_網(wǎng)絡(luò)聯(lián)動(dòng)支持不支持關(guān)閉服務(wù)器聯(lián)動(dòng)支持不支持停止Web服務(wù)聯(lián)動(dòng)支持不支持自定義聯(lián)動(dòng)條件和聯(lián)動(dòng)措施支持不支持InforGuard與iGuard比照-資質(zhì)比較InforGuard所獲資質(zhì)國家公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)平安專用產(chǎn)品銷售許可證國家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測證書國家信息平安測評(píng)認(rèn)證中心頒發(fā)的信息平安產(chǎn)品認(rèn)證iGuard所獲資質(zhì)國家信息平安測評(píng)認(rèn)證中心的信息平安產(chǎn)品認(rèn)證公安部計(jì)算機(jī)信息系統(tǒng)平安專用產(chǎn)品銷售許可證目錄背景12網(wǎng)頁防篡改3Web應(yīng)用防火墻4結(jié)束目錄3Web應(yīng)用防火墻1Web應(yīng)用防火墻技術(shù)介紹23安恒與綠盟產(chǎn)品比照主流產(chǎn)品品牌和技術(shù)路線Web應(yīng)用防火墻〔WAF〕技術(shù)介紹Web應(yīng)用防火墻〔WebApplicationFirewall，簡稱WAF〕基于對(duì)HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對(duì)HTTP/HTTPS應(yīng)用中的各類平安威脅，如SQL注入、XSS、跨站請求偽造攻擊〔CSRF〕、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等平安問題，充分保障Web應(yīng)用的高可用性和可靠性。WAF不同于傳統(tǒng)防火墻傳統(tǒng)防火墻的弱點(diǎn)：工作在三四層，攻擊可以從80或443端口順利通過防火墻檢測。傳統(tǒng)防火墻需要架設(shè)在網(wǎng)關(guān)處，而Web應(yīng)用防火墻那么部署在Web客戶端和Web效勞器之間。傳統(tǒng)防火墻只是針對(duì)一些底層〔網(wǎng)絡(luò)層、傳輸層〕的信息進(jìn)行阻斷，提供IP、端口防護(hù)，對(duì)應(yīng)用層不做防護(hù)和過濾；而Web應(yīng)用防火墻那么專注在應(yīng)用核心層，對(duì)所有應(yīng)用信息進(jìn)行過濾，從而發(fā)現(xiàn)違反預(yù)先定義好的平安策略的行為。Web應(yīng)用防火墻〔WAF〕技術(shù)介紹WAF不同于IPS〔入侵防御系統(tǒng)〕IPS入侵防御的弱點(diǎn)在于它基于漏洞和攻擊行為的防護(hù)，而且不能終止和處理SSL流量。WAF能完整地解析HTTP，支持各種HTTP編碼，提供嚴(yán)格的HTTP協(xié)議驗(yàn)證，提供HTML限制，支持各類字符集編碼，具備response過濾能力。WAF提供給用層規(guī)那么：Web應(yīng)用通常是定制化的，傳統(tǒng)的針對(duì)漏洞的規(guī)那么往往不夠有效。WAF提供專用的應(yīng)用層規(guī)那么，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊。目錄3Web應(yīng)用防火墻1Web應(yīng)用防火墻技術(shù)介紹23安恒與綠盟產(chǎn)品比照主流產(chǎn)品品牌和技術(shù)路線主流WAF產(chǎn)品品牌及技術(shù)路線國內(nèi)外主流WAF廠商主要有：

安恒信息(DBAPPSecurity)、綠盟(NSFOCUS)、銥訊信息、天泰、寶界、中軟華泰、金電網(wǎng)安、梭子魚(BARRACUDA)，思科(Cisco)，思杰(Citrix)，飛塔(Fortinet)、F5、Radware、Imperva、Fortiweb等其中安恒信息(DBAPPSecurity)、綠盟(NSFOCUS)、銥訊信息、天泰、寶界、中軟華泰、金電網(wǎng)安為國內(nèi)廠商WEB應(yīng)用防火墻的工作機(jī)理Web應(yīng)用防火墻主要致力于提供給用層保護(hù)，通過對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測分析，識(shí)別及阻斷各類傳統(tǒng)防火墻無法識(shí)別的WEB應(yīng)用攻擊。WEB應(yīng)用防火墻局域網(wǎng)交換機(jī)Web效勞器DB效勞器1280端口HTTP請求5/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--檢測到如下異常：類型異常長度異常值異常34防火墻5深度防御

引擎深度檢測有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊跨站點(diǎn)腳本(XSS)注入式攻擊，包括SQL注入、命令注入惡意編碼非法編碼弱點(diǎn)和錯(cuò)誤配置隱藏字段會(huì)話劫持參數(shù)篡改緩沖區(qū)溢出Cookie更改應(yīng)用層拒絕效勞輸入信息控制掃描防護(hù)爬蟲防護(hù)盜鏈防護(hù)CSRF防護(hù)……HTTPS深度解析32目錄3Web應(yīng)用防火墻1Web應(yīng)用防火墻技術(shù)介紹23安恒與綠盟產(chǎn)品比照主流產(chǎn)品品牌和技術(shù)路線安恒信息與綠盟WAF產(chǎn)品比照

核心技術(shù)與價(jià)格安恒綠盟品牌廠家情況國內(nèi)自主研發(fā)品牌國內(nèi)品牌國內(nèi)自主知識(shí)產(chǎn)權(quán)有有產(chǎn)品資質(zhì)公安部銷售許可證書、軟件著作權(quán)證書、中國國家信息安全測評(píng)認(rèn)證中心強(qiáng)制認(rèn)證證書、入圍2010中央國家機(jī)關(guān)政府采購協(xié)議供貨名單。公安部銷售許可證書、軟件著作權(quán)證書、軍用產(chǎn)品認(rèn)證部署模式網(wǎng)絡(luò)及應(yīng)用透明支持支持多路由環(huán)境支持支持Trunk支持支持支持多鏈路支持支持支持旁路審計(jì)支持不支持SSL支持支持SSL透傳僅支持SSL代理，不支持服務(wù)器為HTTPS類型的防護(hù)安恒信息與綠盟WAF產(chǎn)品比照核心技術(shù)與價(jià)格安恒綠盟應(yīng)用兼容性請求頭全透明支持支持頭部重點(diǎn)字段可控支持HTTP協(xié)議版本統(tǒng)一不支持虛擬主機(jī)支持支持主流認(rèn)證方式支持支持單點(diǎn)冗余方案雙機(jī)熱備支持支持網(wǎng)橋BYPASS支持支持物理BYPASS支持支持御功能協(xié)議規(guī)范性檢查有有請求頭字段識(shí)別能力支持支持響應(yīng)頭識(shí)別能力支持支持響應(yīng)體識(shí)別能力支持不支持基于字符特征匹配能力支持支持基于行為特征匹配能力支持支持Cookie支持支持User-Agent支持不支持POST大包支持不支持URL編碼繞過支持不支持安全引擎健壯性（禁止繞過安全引擎檢查）支持支持安恒信息與綠盟WAF產(chǎn)品比照核心技術(shù)與價(jià)格安恒SQL注入攻擊GET及POST和Cookie漏報(bào)率10%。User-Agent內(nèi)的漏報(bào)率100%GET及POST和Cookie漏報(bào)率10%。User-Agent內(nèi)的漏報(bào)率100%跨站腳本攻擊GET、POSTCookie及User-Agent內(nèi)的漏報(bào)率漏報(bào)率10%。GET及POST漏報(bào)率20%。Cookie和User-Agent內(nèi)的漏報(bào)率100%敏感信息泄露支持支持上傳攻擊支持不支持抗掃描支持支持自定義