安恒信息明御WEB應(yīng)用防火墻產(chǎn)品白皮書

1、安恒信息明御WE磁用防火墻產(chǎn)品白皮書摘要：本文檔描述了杭州安恒信息技術(shù)有限公司W(wǎng)eb應(yīng)用防火墻的主要功能及特點關(guān)鍵詞：Web應(yīng)用防火墻，Web安全，安恒信息1. 概述Web網(wǎng)站是企業(yè)和用戶、合作伙伴及員工的快速、高效的交流平臺。Web網(wǎng)站也容易成為黑客或惡意程序的攻擊目標，造成數(shù)據(jù)損失，網(wǎng)站篡改或其他安全威脅。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/C)的工作報告顯示：目前中國的互聯(lián)網(wǎng)安全實際狀況仍不容樂觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加。對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式，以達到泄憤和炫耀的目的，也不排除放置惡意代碼的可能， 導(dǎo)致政府類網(wǎng)站存

2、在安全隱患。 對中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用注入攻擊、跨站攻擊以及 應(yīng)用層拒絕服務(wù)攻擊(Den iaIOfService )等，影響業(yè)務(wù)的正常幵展。2007年到2009年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上 升趨勢。1.1.常見攻擊手法目前已知的應(yīng)用層和網(wǎng)絡(luò)層攻擊方法很多，這些攻擊被分為若干類。下表列 出了這些最常見的攻擊技術(shù)， 其中最后一列描述了安恒 WAF如何對該攻擊進行防表:對不同攻擊的防御方法攻擊方式描述安恒WAF的防護方法跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻 擊那些訪問該站點的用戶，常見 目的是竊取該站點訪問者相關(guān) 的用戶登陸或認證信息。通過檢查應(yīng)用流

3、量，阻 止各種惡意的腳本插 入到 URL,header 及 form 中。SQL注入攻擊者通過輸入一段數(shù)據(jù)庫查 詢代碼竊取或修改數(shù)據(jù)庫中的 數(shù)據(jù)。通過檢查應(yīng)用流量，偵測是否有危險的數(shù)據(jù)庫命令或查詢語句被插入到URL,header及 form 中。命令注入攻擊者利用網(wǎng)頁漏洞將含有操 作系統(tǒng)或軟件平臺命令注入到 網(wǎng)頁訪問語句中以盜取數(shù)據(jù)或 后端服務(wù)器的控制權(quán)。通過檢查應(yīng)用流量，檢 測并阻止危險的系統(tǒng) 或軟件平臺命令被插 入到 URL,header 及 form 中。cookie/seesi on劫持Cookie/seesi on 通常用于用戶 身份認證，并且可能攜帶用戶敏 感的登陸信息。攻擊者可能

4、被修 改Cookie/seesion 提高訪問權(quán) 限，或偽裝成他人的身份登陸。通過檢查應(yīng)用流量，拒絕偽造身份登錄的會 話訪問。參數(shù)（或表單）篡改通過修改對 URL header和form中對用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服務(wù)器。利用參數(shù)配置文檔檢 測應(yīng)用中的參數(shù)，僅允 許合法的參數(shù)通過，防 止參數(shù)篡改發(fā)生。緩沖溢出攻擊由于缺之數(shù)據(jù)輸入的邊界條件 限制，攻擊者通過向程序緩沖區(qū) 寫入超出其長度的內(nèi)容，造成緩 沖區(qū)的溢出，從而破壞程序的堆 棧，使程序轉(zhuǎn)而執(zhí)行其它指令。 如獲取系統(tǒng)管理員的權(quán)限。用戶可以根據(jù)應(yīng)用需求設(shè)定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。日志篡改黑客篡改刪除日志以掩蓋其攻

5、 擊痕跡或改變 web處理日志。.通過檢查應(yīng)用流量，防止帶有日志篡改的應(yīng)用訪問。應(yīng)用平臺漏洞攻擊黑客通過獲悉應(yīng)用平臺后，可以 利用該平臺的已知漏洞進行攻 擊。當應(yīng)用平臺出現(xiàn)漏洞，且沒 有官方補丁時，同樣面臨被攻擊 的風(fēng)險。安恒WA將阻止已知的 攻擊，并提供安全策略 規(guī)則升級服務(wù)，用戶可 以按計劃進行安全應(yīng) 用策略升級。同時，對 于高級用戶，安恒WAF 提供自定義規(guī)則庫的 添加，可以針對某些關(guān) 鍵字，特殊應(yīng)用做特殊 安全處理。DOS攻 擊通過DOS攻擊請求，以達到消耗 應(yīng)用平臺資源異常消耗的一種 攻擊，最終造成應(yīng)用平臺拒絕服 務(wù)?？梢苑雷o所有的網(wǎng)絡(luò)層的DoS包括防止SYNcookie,應(yīng)用層 D

6、OS攻擊和對客戶端連接速率進行限制。HTTPS類攻擊一些狡猾的黑客通過HTTPSt行HTTPS類的攻擊，由于SSL加密 數(shù)據(jù)包無法進行有效的檢測，導(dǎo) 致通用的網(wǎng)絡(luò)防火墻和普通 WEB支持用戶上傳HTTPSE 書，在WAF行第一輪 認證，并對應(yīng)用流量進 行解密和偵測，對應(yīng)用防火墻無能為力。HTTPS類的所有攻擊進行有效的攔截和防御。2. 現(xiàn)有的防御技術(shù)目前，很多企業(yè)采用網(wǎng)絡(luò)安全防御技術(shù)對Web應(yīng)用進行防護，如綜合采用網(wǎng)絡(luò)防火墻、IDS、補丁安全管理、升級軟件等措施，然而這些方法難以有效的阻 止Web攻擊，且對于HTTPS類的攻擊手段，更是顯得束手無策。2.1.傳統(tǒng)網(wǎng)絡(luò)防火墻第一代網(wǎng)絡(luò)防火墻可以控

7、制對網(wǎng)絡(luò)的訪問，管理員可以創(chuàng)建網(wǎng)絡(luò)訪問控制列表（ACLs）允許或阻止來自某個源地址或發(fā)往某個目的地址及相關(guān)端口的訪問流 量。傳統(tǒng)的防火墻無法阻止 Web攻擊，不論這些攻擊來自防火墻內(nèi)部的還是外部， 因為它們無法檢測、阻斷、修訂、刪除或重寫HTTP應(yīng)用的請求或應(yīng)答內(nèi)容。為了保障對web應(yīng)用的訪問，防火墻會幵放 Web應(yīng)用的80端口，這意味著In ternet 上的任意IP都能直接訪問 Web應(yīng)用，因此web及其應(yīng)用服務(wù)器事實上是無安全 檢測和防范的。狀態(tài)檢測防火墻是防火墻技術(shù)的重大進步，這種防火墻在網(wǎng)絡(luò)層的ACLs基礎(chǔ)上增加了狀態(tài)檢測方式，它監(jiān)視每一個連接狀態(tài)，并且將當前數(shù)據(jù)包和狀態(tài)信息與前一時

8、刻的數(shù)據(jù)包和狀態(tài)信息進行比較，從而得到該數(shù)據(jù)包的控制信息，來達到保護網(wǎng)絡(luò)安全的目的。它能根據(jù)TCP會話異常及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中。然而，狀態(tài) 防火墻無法偵測很多應(yīng)用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通過防火墻到達應(yīng)用服務(wù)器；同樣，如果某個攻擊進行了加密或編碼該防火 墻也不能檢測2.2.入侵檢測系統(tǒng)（ IDS） 入侵檢測系統(tǒng)使用特征識別技術(shù)記錄并報警潛在的安全威脅。 其工作模式是 被動的， 它不能阻止攻擊， 也不能對未知的攻擊進行報警。 目前大多數(shù)攻擊特征 數(shù)據(jù)庫都是網(wǎng)絡(luò)層的攻擊，此外，可以通過加密，TCP碎片攻擊以及

9、其他方式繞過入侵檢測系統(tǒng)的防御。3. Web安全需求企業(yè)對 Web應(yīng)用的安全防護主要包括如下需求：部署簡便，管理集中，操作簡潔，性能影響甚微。包括：對現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)盡量無影響；方便管理，無需進行復(fù)雜的配置；對現(xiàn)有WEB服務(wù)器的訪問速率不能造成太大的影響；對正常業(yè)務(wù)訪問不能進行錯誤的攔截阻斷。3.1.Web應(yīng)用防火墻Web應(yīng)用防火墻的兩個關(guān)鍵功能是，深入理解HTTP/HTTPS協(xié)議，可監(jiān)測往返流量，能對 web流量進行安全控制。 Web數(shù)據(jù)中心是經(jīng)常變化的，包括新的應(yīng) 用程序、 新的軟件模塊， 不斷更新的軟件補丁等。 專業(yè)的安全工具和方法應(yīng)能適 應(yīng)這種動態(tài)環(huán)境， 應(yīng)用配置的升級更新和對監(jiān)測數(shù)據(jù)

10、的分析使得應(yīng)用防火墻總能 適應(yīng)新的安全需求4. 安恒WAF的特點安恒WAF提供高效的 Web應(yīng)用安全邊界檢查功能。 安恒WAF整合了 Web 安全深度防御及站點隱藏等功能，能全方位的保護用戶的Web數(shù)據(jù)中心。通過對對所有 Web流量（包括客戶端請求流量和服務(wù)器返回的數(shù)據(jù)流量） 進行深度檢測，提供了實時有效的入侵防護功能。安恒WAF充分考慮用戶已有環(huán)境的差異性， 對環(huán)境兼容性、 應(yīng)用多樣性進行了深入的分析和總結(jié)。4.1.領(lǐng)先的透明代理模式WEE應(yīng)用防火墻技術(shù)經(jīng)過不斷的發(fā)展已經(jīng)日益成熟，安恒WAF采用業(yè)界領(lǐng)先的代理技術(shù)實現(xiàn) WEB應(yīng)用深度分析和防御?；诖淼姆阑饓夹g(shù)在防護 深度及細粒度方面有著

11、包過濾防火墻無法比擬的優(yōu)勢，但是如果代理模式處 理不當也會對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)產(chǎn)生影響，最為明顯的影響是對網(wǎng)絡(luò)數(shù)據(jù)包文 頭的改變，導(dǎo)致服務(wù)器識別到的源地址是代理設(shè)備 IP 地址， 無法識別真話的 訪問者。而且還會對HTTP應(yīng)用數(shù)據(jù)流頭部的影響， 如增加X-Forwarded相關(guān) 的字段或影響已有的代理環(huán)境，影響WEB業(yè)務(wù)的正常使用，以及致使 WEB服務(wù)器訪問日志失效。安恒 WAF憑著對網(wǎng)絡(luò)及應(yīng)用的深入解理，以及多年的研發(fā)經(jīng)驗，研發(fā)的 WAF產(chǎn)品繼承了代理防火墻技術(shù)深度防御的特性，同時也吸納了網(wǎng)絡(luò)防火墻對網(wǎng)絡(luò)及應(yīng)用透明的優(yōu)點。安恒是國內(nèi)首家發(fā)布全透明代理的模式的WEB應(yīng)用防火墻廠家，安恒 WAF的部

12、署不會對網(wǎng)絡(luò)及應(yīng)用產(chǎn)生任何的影響，甚至安恒 WAF的工作口不需要配置任何的 IP即可正常工作。4.2.獨創(chuàng)的鏡像監(jiān)控模式WEB應(yīng)用系統(tǒng)隨著應(yīng)用需求不同而千變?nèi)f化， 對應(yīng)用的防護和安全識別提出了高的要求，因此應(yīng)用環(huán)境中對WEB應(yīng)用防火墻的接入需要經(jīng)過深入的分析和調(diào)研才能實現(xiàn)。針對一些大型的業(yè)務(wù)系統(tǒng)，特別是對業(yè)務(wù)連續(xù)性有較高 要求的行為如電信運營、金融證券、社會保障等需要不中斷對外服務(wù)的應(yīng)用 系統(tǒng)對部署WA產(chǎn)品是一個極大的挑戰(zhàn)。如果實現(xiàn)部署WAF前期的準備或者讓W(xué)AF工作在監(jiān)測模式下而不影響正 常的業(yè)務(wù)是大型應(yīng)用系統(tǒng)的一個鋼性需求。安恒WAF產(chǎn)品獨創(chuàng)的鏡像監(jiān)控模式徹底解決這個難題，安恒 WAF產(chǎn)品

13、支持端口鏡像和串接鏡像兩種方式實現(xiàn) 對數(shù)據(jù)包的分布， 對安全的監(jiān)測， 端口鏡像模式下僅需將監(jiān)測流量鏡像至 WAF 即可，而不會影響網(wǎng)絡(luò)和應(yīng)用系統(tǒng)；串接鏡像時將WAF串接入需要監(jiān)測的環(huán)境，此時 WAF會自動復(fù)制一份數(shù)據(jù)包進行監(jiān)測，也不會影響原有的網(wǎng)絡(luò)及應(yīng) 用。4.3.雙向 SSL 的支持WEB應(yīng)用防火墻技術(shù)可以完美的防護 HTTP應(yīng)用系統(tǒng)，然而針對于 HTTPS 的應(yīng)用系統(tǒng)則是當前 WEB應(yīng)用防火墻技術(shù)的難點。基于 HTTPS的應(yīng)用系統(tǒng)， 在網(wǎng)絡(luò)環(huán)境常規(guī)的設(shè)備無法識別傳輸?shù)膽?yīng)用數(shù)據(jù)，更無法識別來自應(yīng)用層的 攻擊。要對HTTPS應(yīng)用進行應(yīng)用防護，必須要求 WAF能良好的支持 HTTPS協(xié) 議并能對

14、SSL數(shù)據(jù)流進行中繼。由于 SSL需要大量的數(shù)據(jù)運算對設(shè)備性能要 求高，以及需要對用戶端和服務(wù)器端雙向的SSL支持這些技術(shù)難點，導(dǎo)致很多WEB應(yīng)用防火墻無法實現(xiàn)對 HTTPS的支持。安恒WAF支持雙向的SSL環(huán)境，能對原有的HTTPS應(yīng)用系統(tǒng)良好的適應(yīng)， 無勿需改變原有環(huán)境，對 HTTPS應(yīng)用系統(tǒng)仍可透明部署和全面防御。安恒通 過對HTTPS的支持從而實現(xiàn)了對 HTTP HTTPS的全面防護，解決了 WEB防火 墻無法防御HTTPS應(yīng)用的短板。5. 安恒WAF的功能安恒WAF提供下列功能：深度防護WetWet站點隱藏策略設(shè)置向?qū)О踩呗詸z測和阻斷模式 硬件旁路模式HTTPS/SSHTTPS/S

15、S啲完全支持網(wǎng)頁防篡改日志和報表 高可操作性5.1.深度防護安恒WAF通過對Web流量進行深度檢測對 Web應(yīng)用進行深度防護， 提供了全面的入侵防御能力。安恒WAF能在攻擊到達Web服務(wù)器之前進行阻斷，防止惡意的請求 或內(nèi)置非法程序的請求訪問目標應(yīng)用。安恒WAF能解碼所有進入的請求，檢查這些請求是否合法或合乎規(guī)定；僅允許正確的格式或 RFC遵從的請求通過。已知的惡意請求將被阻斷，非法植入到Header、 Form 和URL中的腳本將被阻止。 Web應(yīng)用防火墻還能進行 Web地址翻譯、請求限制、URL格式定義及Cookie安全安恒WAF能阻止一系列的攻擊， 無論是已知的或未知的。 能夠阻止 那些

16、最常見的攻擊如跨站點腳本攻擊、 緩沖區(qū)溢出攻擊、 惡意瀏覽、 SQL 注入等。52 Web站點隱藏成功的Web攻擊往往由探測網(wǎng)絡(luò)漏洞幵始，在網(wǎng)絡(luò)上很容易找到漏洞掃描工具對一個網(wǎng)站的應(yīng)用程序、服務(wù)器、URL等進行掃描。安恒WAF提供站點隱藏功能，黑客將無法查看web的源信息，安恒 WAFUR返回碼，HTTP頭信息以及終端服務(wù)器的IP o安恒WAF能完全的中止所有的會話，因此用戶無法直接連接到Web服務(wù)器上，無法直接訪問服務(wù)器、操作系統(tǒng)或補丁程序。訪問出錯信息 也將由安恒 WAF提供，后端服務(wù)器的出錯信息不會直接返回給用戶。這樣， 避免了服務(wù)器敏感信息泄露， 也同時讓一些高明的黑客就無法通過 出錯

17、信息發(fā)動攻擊。5.3.網(wǎng)頁篡改監(jiān)測安恒WAF實時監(jiān)測網(wǎng)站服務(wù)器的相關(guān)是否給非法更改，一旦發(fā)現(xiàn)被改則第一時間通知管理員，并形成詳細的日志信息。與此同時，WAF系統(tǒng)將對外顯示之前的正確頁面，防止被篡改的內(nèi)容被訪問到。WAF通過內(nèi)置自學(xué)習(xí)功能獲取 WEB站點的頁面信息，對整個站點進 行爬行， 爬行后根據(jù)設(shè)置的文件類型 （如 html 、 css、 xml、 jpeg 、 png、 gif 、 pdf 、 word、 flash 、 excel 、 zip 等類型）進行緩存，并生成唯一 的數(shù)字水印， 然后進入保護模式提供防篡改保護， 當客戶端請求頁面與WAF自學(xué)習(xí)保護的頁面進行比較，女口 檢測到網(wǎng)頁被

18、篡改，第一時間對管 理員進行實時告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網(wǎng)站。事后可對原始文件及篡改后的文件進行本地下載比較，查看篡改記 錄。也可設(shè)置僅檢測模式，只對篡改進行告警，不提供防護功能。54 WE阪用加速安恒WAF為了提高被保護系統(tǒng)的訪問速度同時消除WAF過濾分析過程中帶來的延時，定制提供了應(yīng)用加速功能，通過高速緩存和相關(guān)算法 鏡像及管理相關(guān)的靜態(tài)內(nèi)容，一旦有用戶訪問，客戶端直接通過 WAF緩存中獲取，避免了用戶重復(fù)通過 Web 服務(wù)器并進行協(xié)議解析等相關(guān)操 作，從而加快了訪問速度，減輕了WEE服務(wù)器的負擔(dān)。5.5.安全策略安恒WAF提供默認的安全策略對 Web網(wǎng)站或應(yīng)用進行

19、嚴格的保護。除了默認的策略外， 用戶還可以創(chuàng)建客戶化的策略。 每個策略下分為若干子策略：HTTP協(xié)議合規(guī)性SQL注入阻斷跨站點腳本攻擊防護表單 /cookie 篡改防護DoS攻擊防護請求包大小限制限制HTTP請求Head大小避免惡意代碼通過， 超過規(guī)定大小的請求將被丟棄。正確配置請求限制還能減輕Dos攻擊、緩沖區(qū)攻擊。HTTP/HTTPS青求方法限制限制HTTP/HTTPS各種方法的訪問，包括：GET POST DELETE,HEAD， CONNECTTRACE，PUT。HTTP/HTTPS青求方法限制支持黑白名單的配置，可以設(shè)定可信的訪問客戶端IP （白名單）而不受安全策略規(guī)則的檢測；設(shè)定非

20、法的訪問客戶端（黑名單） ，直接 禁止其任何對 WEB服務(wù)器的訪問。用戶自定義規(guī)則庫支持用戶自定義規(guī)則庫， 用戶可以根據(jù)業(yè)務(wù)需求， 針對某些關(guān)鍵字，數(shù)據(jù)段長度等相關(guān)信息，自定義安全過濾規(guī)則。5.6.人性化運維管理安恒WAF提供了豐富的人性化運維管理數(shù)據(jù)，包括WAF自身的硬件運行狀況，相關(guān)工作口的實時流量情況，各個硬件部件歷史占用情況，各 個工作口的歷史流量情況，系統(tǒng)提供了圖形化的直觀的統(tǒng)計分析界面，讓 維護管理員快速掌握整體的情況。5.7.檢測和阻斷模式架設(shè)web應(yīng)用防火墻可能意外的現(xiàn)象，應(yīng)用某個不當?shù)囊?guī)則可能影響當前應(yīng)用的正常使用， 因此不少管理員都在猶豫要不要使用最高安全 等級的過濾策略。

21、 保守監(jiān)控功能可以幫助用戶解決這個擔(dān)憂， 利用這個 功能用戶可以在不影響使用的前提下進行策略配置。安恒WAF支持檢測和阻斷模式功能， 在檢測模式下，所有安全策略 規(guī)則都只是對應(yīng)用流量數(shù)據(jù)包進行檢測， 并告警，而不做任何阻斷功能； 在阻斷模式下， 所有的安全策略規(guī)則同時可以提供用戶對單條規(guī)則的配 置：阻斷（默認）或者僅檢測。因此，管理員可以根據(jù)監(jiān)控情況，實時 進行調(diào)整。5.8.硬件旁路模式硬件旁路：當設(shè)備出現(xiàn)故障或者關(guān)機時，WAF設(shè)備可以切換到硬件旁路模式，對既有的網(wǎng)絡(luò)連接狀況不會造成中斷影響。5.9.HTTPS/SSL的完全支持安全套接字層 （SSL） 能提供一個加密的（公鑰私鑰配對）可靠的連接。許多商業(yè)網(wǎng)站采用 SSL傳輸以保障數(shù)據(jù)安全， 不過SSL的加密通常 費時費力。安恒WAF支持對HTTPS訪問的完全監(jiān)控和阻斷能力，支持 Openssl 類加密的證書格式。 支持用戶上傳 WEB服務(wù)器的證書，在訪問WE戌艮務(wù) 器之前進行第一輪認證， 并對訪問應(yīng)用流量進行徹底檢查， 防止各類攻 擊訪問。5.10. 日志和報表安恒WAF記錄了重要事件的日志信息， 日志信息非常全面涵蓋了一 次訪問的主要信息參數(shù)， 支持多種搜索方式， 這些日志信息可以幫助用 戶搜索并分析可以流量，進而優(yōu)化安全策略。安恒 WAF的報表功能十分強