1、1. 概述Web 网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web 网站也容易成为黑客或恶意程序的攻击目标,造成数据损失,网站篡改或其他安全威胁。根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)的工作报告显示:目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,以达到泄愤和炫耀的目的,也不排除放置恶意代码的可能,导致政府类网站存在安全隐患。对中小企业,尤其是以网络为核心业务的企业,采用注入攻击、跨站攻击以及应用层拒绝服务攻击(Denial Of Service)等,影响业务的
2、正常开展。2007 年到 2009 年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势。1.1 常见攻击手法目前已知的应用层和网络层攻击方法很多,这些攻击被分为若干类。下表列出了这些最常见的攻击技术,其中最后一列描述了安恒 WAF 如何对该攻击进行防护。表 1.1:对不同攻击的防御方法攻击方式 描述 安恒 WAF 的防护方法跨站脚本攻击 跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。通过检查应用流量,阻止各种恶意的脚本插入到 URL, header 及 form 中。SQL 注入 攻击者通过输入一段数据库查询代码窃取或修改数据库中
3、的数据。通过检查应用流量,侦测是否有危险的数据库命令或查询语句被插入到 URL, header及 form 中。命令注入 攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。通过检查应用流量,检测并阻止危险的系统或软件平台命令被插入到 URL, header 及form 中。cookie/seesion 劫持Cookie/seesion 通常用于用户身份认证,并且可能携带用户敏感的登陆信息。攻击者可能被修改 Cookie/seesion 提高访问权限,或伪装成他人的身份登陆。通过检查应用流量,拒绝伪造身份登录的会话访问。参数(或表单)篡改通过修改对
4、 URL、header 和 form 中对用户输入数据的安全性判断,并且提交到服务器。利用参数配置文档检测应用中的参数,仅允许合法的参数通过,防止参数篡改发生。缓冲溢出攻击 由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。如获取系统管理员的权限。用户可以根据应用需求设定和限制数据边界条件,确保不危及脆弱的服务器。日志篡改 黑客篡改删除日志以掩盖其攻击痕迹或改变 web 处理日志。.通过检查应用流量,防止带有日志篡改的应用访问。应用平台漏洞攻击 黑客通过获悉应用平台后,可以利用该平台的已知漏洞进行攻击。当应
5、用平台出现漏洞,且没有官方补丁时,同样面临被攻击的风险。安恒 WAF 将阻止已知的攻击,并提供安全策略规则升级服务,用户可以按计划进行安全应用策略升级。同时,对于高级用户,安恒 WAF 提供自定义规则库的添加,可以针对某些关键字,特殊应用做特殊安全处理。DOS 攻击 通过 DOS 攻击请求,以达到消耗应用平台资源异常消耗的一种攻击,最终造成应用平台拒绝服务。可以防护所有的网络层的DoS。包括防止 SYN cookie ,应用层 DOS 攻击和对客户端连接速率进行限制。HTTPS 类攻击 一些狡猾的黑客通过 HTTPS 进行 HTTPS类的攻击,由于 SSL 加密数据包无法进行有效的检测,导致通
6、用的网络防火墙和普通 WEB 应用防火墙无能为力。支持用户上传 HTTPS 证书,在 WAF 进行第一轮认证,并对应用流量进行解密和侦测,对 HTTPS 类的所有攻击进行有效的拦截和防御。2. 现有的防御技术目前,很多企业采用网络安全防御技术对 Web 应用进行防护,如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施,然而这些方法难以有效的阻止 Web 攻击,且对于HTTPS 类的攻击手段,更是显得束手无策。2.1. 传统网络防火墙第一代网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙
7、无法阻止 Web 攻击,不论这些攻击来自防火墙内部的还是外部,因为它们无法检测、阻断、修订、删除或重写 HTTP 应用的请求或应答内容。为了保障对 web 应用的访问,防火墙会开放 Web 应用的 80 端口,这意味着 Internet 上的任意 IP 都能直接访问 Web 应用,因此web 及其应用服务器事实上是无安全检测和防范的。状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的 ACLs 基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。它能根据 TCP 会话异常及
8、攻击特征阻止网络层的攻击,通过 IP 分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器;同样,如果某个攻击进行了加密或编码该防火墙也不能检测。2.2. 入侵检测系统(IDS)入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的,它不能阻止攻击,也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击,此外,可以通过加密,TCP 碎片攻击以及其他方式绕过入侵检测系统的防御。3. Web 安全需求企业 对 Web 应用的安全防护主要包括如下需求:部署简便,管理
9、集中,操作简洁,性能影响甚微。包括:对现有网络拓扑结构尽量无影响;方便管理,无需进行复杂的配置;对现有 WEB 服务器的访问速率不能造成太大的影响;对正常业务访问不能进行错误的拦截阻断。3.1. Web 应用防火墙Web 应用防火墙的两个关键功能是,深入理解 HTTP/HTTPS 协议,可监测往返流量,能对 web 流量进行安全控制。 Web 数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境,应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求.4. 安恒 WAF 的特点安恒 WAF 提供高效的 Web 应用
10、安全边界检查功能。安恒 WAF 整合了所有的 Web 安全防御功能,能全方位的保护用户的 Web 数据中心。安恒 WAF 对所有 Web 流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测,在网络层和应用层两方面提供了广泛的入侵防护功能。安恒 WAF 提供多种部署模式,典型的部署模式有:透明直连模式和单臂镜像监控模式。透明直连模式提供完全透明的部署方式,即对原有网络拓扑结构不造成任何影响,安恒 WAF 自身也不占用 IP 地址,从而不仅保护了 Web 服务器,也提高了自身的安全等级(针对安恒 WAF 的攻击将显得无能为力) 。安恒 WAF 的透明直连部署如下图所示:上图为透明直连部署
11、方式,在该部署模式下,安恒 WAF 提供直连检测防御和旁路检测两种模式。直连检测防御模式:对 Web 流量进行安全检测,并且可以采取防御阻断措施,防止非法入侵访问和 Web 服务器敏感信息等流量通过;旁路检测模式:对 Web 流量进行镜像检测,并不采取阻断,从而既实现了监控又达到了对网路性能零损耗的目的。我们推荐在部署初期采用旁路检测模式,对既有网络环境和 Web 服务不会产生任何负面影响,并可及时针对相关告警信息以及客户实际业务需求,做适量调整后切换到直连检测防御模式,达到既安全又保险的目的。另外我们还提供单臂镜像的监控模式:即通过网络交换机镜像口,将保护对象(Web服务器)相关的流量镜像到
12、安恒 WAF 设备,实现镜像的监控模式。安恒 WAF 具备独立的安全策略规则库,可以对应用层数据流量进行双向检测,并对非法访问记录相关日志,用户可以实时查看 WEB 服务器的当前安全状况。安恒 WAF 提供多个保护站点的功能,WAF 设备面板具备多个 IN 和 OUT 口,IN 口为访问数据流入口,OUT 为 WAF 与 WEB 服务器的接口。多个 IN 和 OUT 口支持对多台主机的保护,用户同时也可以在 OUT 口接一台交换机,后端保护多台 WEB 服务器。安恒 WAF 提供一个管理口,用户可以通过管理口对 WAF 进行相关的配置和当前状况的查看。安恒 WAF 提供对 HTTPS 的完全防
13、护,访问数据在 WAF 进行第一轮认证,并对后续访问流量进行安全检查,充分防止 HTTPS 类型的各种攻击方式。5. 安恒 WAF 的功能安恒 WAF 提供下列功能:深度防护Web 站点隐藏策略设置向导安全策略检测和阻断模式硬件旁路模式HTTPS/SSL 的完全支持网页防篡改日志和报表高可操作性5.1.web 防火墙安恒 WAF 通过对 Web 流量进行深度检测对 Web 应用进行深度防护,提供了全面的入侵防御能力。安恒 WAF 能在攻击到达 Web 服务器之前进行阻断,防止恶意的请求或内置非法程序的请求访问目标应用。安恒 WAF 能解码所有进入的请求,检查这些请求是否合法或合乎规定; 仅允许
14、正确的格式或 RFC 遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、 Form 和 URL 中的脚本将被阻止。Web 应用防火墙还能进行 Web 地址翻译、请求限制、URL 格式定义及 Cookie 安全。安恒 WAF 能阻止一系列的攻击,无论是已知的或未知的。能够阻止那些最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL 注入等。5.2. Web 站点隐藏成功的 Web 攻击往往由探测网络漏洞开始,在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL 等进行扫描。安恒 WAF 提供站点隐藏功能,黑客将无法查看 web 的源信息,安恒 WAF URL
15、 返回码,HTTP 头信息以及终端服务器的 IP。安恒 WAF 能完全的中止所有的会话,因此用户无法直接连接到 Web 服务器上,无法直接访问服务器、操作系统或补丁程序。访问出错信息也将由安恒 WAF 提供,后端服务器的出错信息不会直接返回给用户。这样,避免了服务器敏感信息泄露,也同时让一些高明的黑客就无法通过出错信息发动攻击。5.3. 安全策略安恒 WAF 提供默认的安全策略对 Web 网站或应用进行严格的保护。除了默认的策略外,用户还可以创建客户化的策略。每个策略下分为若干子策略:HTTP 协议合规性SQL 注入阻断跨站点脚本攻击防护表单/cookie 篡改防护DoS 攻击防护请求包大小限
16、制限制 HTTP 请求 Head 大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻 Dos 攻击、缓冲区攻击。HTTP/HTTPS 请求方法限制限制 HTTP/HTTPS 各种方法的访问,包括: GET, POST, DELETE,,HEAD,CONNECT , TRACE,PUT。HTTP/HTTPS 请求方法限制支持黑白名单的配置,可以设定可信的访问客户端 IP(白名单)而不受安全策略规则的检测; 设定非法的访问客户端( 黑名单) ,直接禁止其任何对 WEB 服务器的访问。用户自定义规则库支持用户自定义规则库,用户可以根据业务需求,针对某些关键字,数据段长度等相关
17、信息,自定义安全过滤规则。5.4. 检测和阻断模式架设 web 应用防火墙可能意外的现象,应用某个不当的规则可能影响当前应用的正常使用,因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。保守监控功能可以帮助用户解决这个担忧,利用这个功能用户可以在不影响使用的前提下进行策略配置。安恒 WAF 支持检测和阻断模式功能,在检测模式下,所有安全策略规则都只是对应用流量数据包进行检测,并告警,而不做任何阻断功能;在阻断模式下,所有的安全策略规则同时可以提供用户对单条规则的配置:阻断(默认) 或者仅检测。因此,管理员可以根据监控情况,实时进行调整。5.6 硬件旁路模式硬件旁路:当设备出现故障或者关机
18、时,WAF 设备可以切换到硬件旁路模式,对既有的网络连接状况不会造成中断影响。HTTPS/SSL 的完全支持安全套接字层 (SSL)能提供一个加密的(公钥私钥配对) 可靠的连接。许多商业网站采用SSL 传输以保障数据安全,不过 SSL 的加密通常费时费力。安恒 WAF 支持对 HTTPS 访问的完全监控和阻断能力,支持 Openssl 类加密的证书格式。支持用户上传 WEB 服务器的证书,在访问 WEB 服务器之前进行第一轮认证,并对访问应用流量进行彻底检查,防止各类攻击访问。5.7 日志和报表安恒 WAF 记录了重要事件的日志信息,日志信息非常全面涵盖了一次访问的主要信息参数,支持多种搜索方
19、式,这些日志信息可以帮助用户搜索并分析可以流量,进而优化安全策略。安恒 WAF 的报表功能十分强大,在日志的基础上可以生成各种报表,还提供报表模板,大大方便了管理员的数据分析,增强了系统的易用性。5.8 高可操作性安恒 WAF 采用图形(GUI)管理和配置界面,直观且支持多任务,跟用户平时的使用习惯一致,可用性高。5.9WEB 加速功能 安恒 WAF 为了提高被保护系统的访问速度同时消除 WAF 过滤分析过程中带来的延时,定制提供了应用加速功能,通过高速缓存和相关算法镜像及管理相关的静态内容,一旦有用户访问,客户端直接通过 WAF 缓存中获取,避免了用户重复通过 Web 服务器并进行协议解析等
20、相关操作,从而加快了访问速度,减轻了 WEB 服务器的负担6. 结论杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全防卫、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术;为明御WEB 应用防火墙(WAF)的成功推出奠定了有力的基础。安恒 WAF 由资深安全专家经历数年的时间研发而成,它能够轻松应对各种复杂的 WEB 应用,全面深入针对 WEB 应用中存在的安全弱点攻击防御。安恒 WAF 旨在降低 WEB 应用的风险,降低国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“政府、电信、金融、证券、公安、教育、税务、电力、电子商务”等等所有涉及 WEB 应用的各个领域。安恒 WAF 现有的客户涵盖公安、运营商、政府、地税、金融等各个行业,许多企业都使用安恒 WAF 提升企业 WEB 应用的整体安全性。
