iWall應(yīng)用防火墻

1、iWall應(yīng)用防火墻技術(shù)白皮書上歯天存信層技朮有陽公司Shanghai Tercel Info Tech. Co.,Ltd tcxa 致力w巳b平安 FOCUS Wct> ScjiXity目錄第i章應(yīng)用平安需求i1.1來自WEB的攻擊11.2網(wǎng)絡(luò)平安設(shè)備 31.3應(yīng)用平安防護(hù)系統(tǒng) 4第2章產(chǎn)品原理和功能 52.1 IWALL 概述52.2 IWALL工作原理52.3 IWALL 功能7第3章產(chǎn)品特點(diǎn)93.1平安性93.2高效性93.3靈活性93.4穩(wěn)定性93.5廣泛性103.6低本錢103.7可擴(kuò)充10第4章產(chǎn)品組成和型號(hào) 114.1產(chǎn)品組成和部署 114.2平臺(tái)支持124.3產(chǎn)品型號(hào)1

2、2第5章常見應(yīng)用層攻擊簡介 135.1 SQL數(shù)據(jù)庫注入式攻擊 135.2腳根源代碼泄露 135.3非法執(zhí)行系統(tǒng)命令 135.4非法執(zhí)行腳本 135.5上傳假冒文件 145.6跨站腳本漏洞 145.7網(wǎng)站資源盜鏈 145.8不平安的本地存儲(chǔ) 14圖示目錄圖示2-1 WEB效勞器的體系結(jié)構(gòu) 5圖示2-2 WEB系統(tǒng)核心內(nèi)嵌模塊的位置 6圖示2-3應(yīng)用防護(hù)模塊 6圖示4-1 部署示意圖 11表格目錄表格4-1產(chǎn)品型號(hào)12第1章應(yīng)用平安需求1.1來自Web的攻擊危險(xiǎn)的Web系統(tǒng)現(xiàn)代的信息系統(tǒng)，無論是建立對(duì)外的信息發(fā)布平臺(tái)，還是建立內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，都離不開 Web網(wǎng)站和 Web應(yīng)用。Web方式不僅

3、給用戶提供一個(gè)方便和易用的交互手段，也給 信息和效勞提供者構(gòu)建一個(gè)標(biāo)準(zhǔn)技術(shù)開發(fā)和應(yīng)用平臺(tái)，可以預(yù)計(jì)在相當(dāng)長的一段時(shí)間內(nèi)， Web方式是網(wǎng)絡(luò)應(yīng)用的最主要方式之一。但是，隨著網(wǎng)絡(luò)技術(shù)的普及和開展，Web應(yīng)用越來越多，使用對(duì)象越來越廣泛，系統(tǒng)功能越來越復(fù)雜，而與此同時(shí)，針對(duì)Web網(wǎng)站和應(yīng)用的攻擊越來越多。僅從公開的媒體報(bào)導(dǎo)我們就能知道，以下針對(duì) Web網(wǎng)站和應(yīng)用的平安事件全世界每天都在發(fā)生著：非法上傳網(wǎng)頁；篡改網(wǎng)頁；篡改數(shù)據(jù)庫；非法執(zhí)行命令；竊取腳根源程序；竊取系統(tǒng)信息；竊取用戶信息；繞過身份認(rèn)證；跨站提交虛假信息；網(wǎng)站資源盜鏈；拒絕效勞攻擊。這些攻擊行為極大地影響了信息系統(tǒng)的正常運(yùn)行，如果是惡意攻

4、擊還會(huì)導(dǎo)致數(shù)據(jù)泄密、 效勞停止和公眾信息的混亂，后果極為嚴(yán)重。1.1.2 Web應(yīng)用層攻擊傳統(tǒng)的網(wǎng)絡(luò)攻擊是掃描攻擊對(duì)象的網(wǎng)絡(luò)地址和端口， 針對(duì)某些未屏蔽和未加固的端口的 缺陷進(jìn)行攻擊。隨著近年來大家對(duì)信息管理的重視， 以及防火墻和入侵檢測系統(tǒng)等平安產(chǎn)品 的大量運(yùn)用，這種方式漸漸失去了攻擊的效果。但是，對(duì)于 Web網(wǎng)站和應(yīng)用來說，有一個(gè)地址永遠(yuǎn)是開放的：網(wǎng)站或應(yīng)用地址；有一個(gè)端口也永遠(yuǎn)是開放的： 端口。而大量的攻擊者正是利用了這個(gè)地址和這個(gè)端口。據(jù)Gartner調(diào)查顯示，現(xiàn)在的網(wǎng)絡(luò)攻擊有 75%都是針對(duì) Web應(yīng)用層發(fā)起的。另外，據(jù)美國計(jì)算機(jī)平安協(xié)會(huì)CSI /美國聯(lián)邦調(diào)查局FBI的研究說明，在接

5、受調(diào)查的公司中，2004年有52%的公司的信息系統(tǒng)遭受過外部攻擊包括系統(tǒng)入侵、濫用Web應(yīng)用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕效勞等等，這些攻擊給269家受訪公司帶來的經(jīng)濟(jì)損失超過1.41億美元，但事實(shí)上他們之中有98%的公司都裝有防火墻。早在2002年，IDC就曾在報(bào)告中認(rèn)為，“網(wǎng)絡(luò)防火墻對(duì)應(yīng)用層的平安已起不到什么作用了，因?yàn)闉榱舜_保 通信，網(wǎng)絡(luò)防火墻內(nèi)的端口都必須處于開放狀態(tài)。目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議深厚理解，即可完成諸如更換 Web網(wǎng)站主頁、盜取管理員密碼、破壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中 產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。1.1.3 W

6、eb 漏洞Web應(yīng)用層漏洞只有小局部可以通過系統(tǒng)管理員給Web效勞器打補(bǔ)丁來防范，而其余大局部都是Web應(yīng)用程序本身編寫不當(dāng)而帶來的漏洞。下面是局部常見的 Web應(yīng)用層漏洞或攻擊方法：SQL數(shù)據(jù)庫注入漏洞；腳根源代碼泄露漏洞；非法執(zhí)行命令非法執(zhí)行腳本；上傳假冒文件；跨站腳本漏洞；不平安的本地存儲(chǔ)；網(wǎng)站資源盜鏈。在實(shí)際情形中，不可能讓所有程序員在編寫所有Web應(yīng)用程序時(shí)都注意防范這些漏洞，況且局部漏洞是應(yīng)用程序無法防范的。而對(duì)于一個(gè)網(wǎng)站而言， 僅僅一個(gè)應(yīng)用系統(tǒng)的一個(gè)代碼編寫者造成了一個(gè)漏洞就可能導(dǎo)致整個(gè)網(wǎng)站甚至整個(gè)信息系統(tǒng)的不平安，因此，Web網(wǎng)站和應(yīng)用系統(tǒng)的平安必須要有專門的平安產(chǎn)品來保障。1

7、.2網(wǎng)絡(luò)平安設(shè)備防火墻網(wǎng)絡(luò)防火墻提供網(wǎng)絡(luò)層訪問控制和攻擊保護(hù)效勞。它們統(tǒng)一部署在網(wǎng)絡(luò)邊界和企業(yè)內(nèi)部重要資源例如 Web應(yīng)用的前端。網(wǎng)絡(luò)防火墻是整個(gè) Web應(yīng)用平安體系結(jié)構(gòu)的一個(gè)組件， 它可提供必要的保護(hù)以防御網(wǎng)絡(luò)層黑客攻擊網(wǎng)絡(luò)掃描、telnet等。網(wǎng)絡(luò)防火墻還可形成一道屏障，以阻止蠕蟲通過一些不需要的端口和協(xié)議從企業(yè)桌面網(wǎng)絡(luò)傳播到Web應(yīng)用。但是，網(wǎng)絡(luò)防火墻規(guī)那么集必須允許重要協(xié)議如 / S 不受限制地訪問 Web應(yīng)用，即完全向外部網(wǎng)絡(luò)開放 / S應(yīng)用端口。如果攻擊代碼被嵌入到 Web通信中， 那么從協(xié)議角度來看這些通信是完全合法的，而此時(shí)網(wǎng)絡(luò)防火墻對(duì)此類攻擊沒有任何的保護(hù)作用。例如，紅色代碼

8、和尼姆達(dá)等Web應(yīng)用蠕蟲可以通過符合協(xié)議的Web通信輕松地穿透網(wǎng)絡(luò)防火墻。與此相似，SQL注入和跨站點(diǎn)腳本這兩種有針對(duì)性的Web應(yīng)用攻擊也是借助符合協(xié)議的Web通信來實(shí)現(xiàn)的，它們都可以完全不被發(fā)現(xiàn)地穿過網(wǎng)絡(luò)防火墻?；诰W(wǎng)絡(luò)防火墻的工作原理，只要攻擊是通過普遍許可的應(yīng)用程序協(xié)議進(jìn)行的，那么網(wǎng)絡(luò)防火墻就不起任何作用了。入侵檢測系統(tǒng)目前最成熟的入侵檢測技術(shù)就是攻擊特征檢測。入侵檢測系統(tǒng)首先建立一個(gè)包含目前大多攻擊特征的數(shù)據(jù)庫，然后檢測網(wǎng)絡(luò)數(shù)據(jù)中的每一個(gè)報(bào)文，判斷是否含有數(shù)據(jù)庫中的任何一個(gè)攻擊特征，如果有，那么認(rèn)為發(fā)生的響應(yīng)是攻擊，否那么認(rèn)為是合法的數(shù)據(jù)。入侵檢測系統(tǒng)作為防火墻的有利補(bǔ)充，加強(qiáng)了網(wǎng)絡(luò)的

9、平安防御能力。入侵檢測技術(shù)同樣工作在網(wǎng)絡(luò)層上，對(duì)應(yīng)用協(xié)議的理解和作用存在相當(dāng)?shù)木窒扌裕瑢?duì)于復(fù)雜的 會(huì)話和協(xié)議更是不能完整處理。另外就是其技術(shù)實(shí)現(xiàn)的矛盾，如果需要防御更多的攻擊，那么就需要很 多的規(guī)那么，但是隨著規(guī)那么的增多，系統(tǒng)出現(xiàn)的虛假報(bào)告對(duì)于入侵防御系統(tǒng)來說，會(huì)產(chǎn)生中 斷正常連接的問題率會(huì)上升，同時(shí)，系統(tǒng)的效率會(huì)降低。1.3應(yīng)用平安防護(hù)系統(tǒng)由前面的描述可以看出，傳統(tǒng)平安設(shè)備僅僅工作在網(wǎng)絡(luò)層上，并不能精確理解應(yīng)用層數(shù)據(jù)，更無法結(jié)合 Web系統(tǒng)對(duì)請(qǐng)求進(jìn)行深入分析，因而無法防止黑客針對(duì)Web應(yīng)用漏洞進(jìn)行的攻擊。在大量而廣泛的 Web網(wǎng)站和 Web應(yīng)用中，需要采用專門的 Web平安防護(hù)系統(tǒng)來保護(hù)

10、Web應(yīng)用層面的平安，上海天存信息技術(shù)研制和生產(chǎn)的iWall應(yīng)用防火墻就是這樣一款Web應(yīng)用防護(hù)產(chǎn)品。第2章產(chǎn)品原理和功能2.1 iWall 概述iWall應(yīng)用防火墻是一款保護(hù) Web站點(diǎn)和應(yīng)用免受來自于應(yīng)用層攻擊的Web防護(hù)系統(tǒng)。iWall應(yīng)用防火墻實(shí)現(xiàn)了對(duì) Web站點(diǎn)特別是 Web應(yīng)用的保護(hù)。它內(nèi)置于 Web效勞器軟 件中，通過分析應(yīng)用層的用戶請(qǐng)求數(shù)據(jù)如URL、參數(shù)、鏈接、Cookie等，區(qū)分正常用戶訪問Web和攻擊者的惡意行為，對(duì)攻擊行為進(jìn)行實(shí)時(shí)阻斷和報(bào)警。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法執(zhí)行程序或腳本的命令攻擊等，黑客通過這些攻擊手段可以到達(dá)篡改數(shù)據(jù)庫和網(wǎng)頁、繞

11、過身份認(rèn)證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴(yán)重危害網(wǎng)站內(nèi)容平安的目的。應(yīng)用防火墻是現(xiàn)代網(wǎng)絡(luò)平安架構(gòu)的一個(gè)重要組成局部，它著重進(jìn)行應(yīng)用層的內(nèi)容檢查和平安防御，與傳統(tǒng)平安設(shè)備共同構(gòu)成全面和有效的平安防護(hù)體系。2.2 iWall工作原理2.2.1 Web系統(tǒng)核心內(nèi)嵌技術(shù)iWall使用了 Web系統(tǒng)核心內(nèi)嵌技術(shù)來對(duì)所有用戶請(qǐng)求數(shù)據(jù)進(jìn)行檢查，在請(qǐng)求數(shù)據(jù)尚未 被Web效勞器軟件處理之前更在應(yīng)用處理之前即進(jìn)行檢查，確保所有攻擊行為被拒之 門外。一個(gè)標(biāo)準(zhǔn)的Web效勞器的體系結(jié)構(gòu)如圖示 2-1所示：Web系統(tǒng)(IIS/Apache/Weblogic/Websphere/Resin/Tomcat)操作系統(tǒng)(Win

12、dows/Linux/FreeBSD/Solaris/AIX/HP-UX)硬件平臺(tái)(X86/sparc/ltaniumll/PowerPC/PA-RISC)圖示2-1 Web效勞器的體系結(jié)構(gòu)Web系統(tǒng)核心內(nèi)嵌技術(shù)以下簡稱核心內(nèi)嵌技術(shù)是指將平安模塊內(nèi)嵌在Web系統(tǒng)軟TER&EL天詐息件IIS/Apache/Weblogic/Websphere/中，這個(gè)模塊針對(duì)不同的Web系統(tǒng)使用相應(yīng)的核心內(nèi)嵌技術(shù)實(shí)現(xiàn)，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如圖示 2-2所示。Web系統(tǒng)核心內(nèi)嵌模塊(ISAPI/Apache-module/NSAPI/JAVA

13、-filter)操作系統(tǒng)(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX)硬件平臺(tái)(X86/sparc/ltaniumll/PowerPC/PA-RISC)圖示2-2 Web系統(tǒng)核心內(nèi)嵌模塊的位置平安模塊內(nèi)嵌于Web系統(tǒng)即與Web系統(tǒng)完全整合，其優(yōu)點(diǎn)在于：不存在獨(dú)立的平安模塊運(yùn)行進(jìn)程，入侵者無法找到和中止平安模塊的運(yùn)行。 精準(zhǔn)理解和分析Web效勞傳入和傳出的數(shù)據(jù)，進(jìn)行充分可靠的平安檢查。完全與 Web效勞的運(yùn)行進(jìn)程融合，處理效率高，穩(wěn)定性和兼容性強(qiáng)。與操作系統(tǒng)及硬件無關(guān)，全面控制Web系統(tǒng)軟件和效勞。應(yīng)用防護(hù)模塊iWall應(yīng)用防護(hù)模塊即采用可上述的Web系統(tǒng)核心

14、內(nèi)嵌模塊技術(shù)，對(duì)來自于客戶的 Web檢查點(diǎn)為：用戶提交的 請(qǐng)求request到達(dá) Web效勞器，尚未進(jìn)行其他處理時(shí)。檢查對(duì)象為：原始請(qǐng)求數(shù)據(jù)GET/POST等各種方法及其數(shù)據(jù)2.3 iWall 功能請(qǐng)求特性限制iWall可以對(duì) 請(qǐng)求的特性進(jìn)行以下過濾和限制：請(qǐng)求頭檢查：對(duì) 報(bào)文中請(qǐng)求頭的名字和長度進(jìn)行檢查。請(qǐng)求方法過濾：限制對(duì)指定 請(qǐng)求方法的訪問。請(qǐng)求地址過濾：限制對(duì)指定 請(qǐng)求地址的訪問。請(qǐng)求開始路徑過濾：限制 請(qǐng)求中的對(duì)指定開始路徑地址的訪問。請(qǐng)求文件過濾：限制 請(qǐng)求中的對(duì)指定文件的訪問。請(qǐng)求文件類型過濾：限制 請(qǐng)求中的對(duì)指定文件類型的訪問。請(qǐng)求版本過濾：限制對(duì)指定 版本的訪問及完整性檢查。

15、請(qǐng)求客戶端過濾：限制對(duì)指定 客戶端的訪問及完整性檢查。請(qǐng)求鏈接過濾：限制鏈接字段中含有的字符及完整性檢查。鑒別類型過濾：限制對(duì)指定 鑒別類型的訪問。鑒別帳號(hào)過濾：限制對(duì)指定 鑒別帳號(hào)的訪問。內(nèi)容長度過濾：限制對(duì)指定 請(qǐng)求內(nèi)容長度的訪問。內(nèi)容類型過濾：限制對(duì)指疋 請(qǐng)求內(nèi)容類型的訪冋。這些規(guī)那么需要可以根據(jù) Web系統(tǒng)的實(shí)際情況進(jìn)行配置和分站點(diǎn)應(yīng)用。請(qǐng)求內(nèi)容限制iWall可以對(duì) 請(qǐng)求的內(nèi)容進(jìn)行以下過濾和限制：URL過濾：對(duì)提交的 URL請(qǐng)求中的字符進(jìn)行限制。請(qǐng)求參數(shù)過濾：對(duì) GET方法提交的參數(shù)進(jìn)行檢查包括注入式攻擊和代碼攻擊請(qǐng)求數(shù)據(jù)過濾：對(duì)POST方法提交的數(shù)據(jù)進(jìn)行檢查包括注入式攻擊和代碼攻擊C

16、ookie過濾：對(duì)Cookie內(nèi)容進(jìn)行檢查。盜鏈檢查：對(duì)指定的文件類型進(jìn)行指定域的檢查?？缯竟魴z查：對(duì)指定的文件類型進(jìn)行開始路徑的檢查。這些規(guī)那么需要可以根據(jù) Web系統(tǒng)的實(shí)際情況進(jìn)行配置和分站點(diǎn)應(yīng)用。指定站點(diǎn)規(guī)那么iWall可以分別為一臺(tái)效勞器上不同的站點(diǎn)制定不同的規(guī)那么，站點(diǎn)區(qū)分的方法包括:不同的端口。不同的IP地址。不同的主機(jī)頭名即域名?？煞婪兜墓鬷Wall組合以上限制特性，可針對(duì)以下應(yīng)用攻擊進(jìn)行有效防御：SQL數(shù)據(jù)庫注入式攻擊。腳根源代碼泄露。非法執(zhí)行系統(tǒng)命令。非法執(zhí)行腳本。上傳假冒文件。跨站腳本漏洞。不平安的本地存儲(chǔ)。網(wǎng)站資源盜鏈。應(yīng)用層拒絕效勞攻擊。對(duì)這些攻擊更詳細(xì)的描述見本文

17、檔第5章：常見應(yīng)用層攻擊簡介。攻擊日志iWall對(duì)于所有攻擊都有詳細(xì)日志，包括:攻擊時(shí)間。攻擊者IP地址。主機(jī)名。URL。攻擊部位。攻擊內(nèi)容。觸發(fā)規(guī)那么。特征庫升級(jí)iWall的特征庫包括危險(xiǎn)的頭、危險(xiǎn)的文件類型、注入式攻擊模式等8個(gè)類別。天存公司對(duì)攻擊特征庫持續(xù)升級(jí)，以對(duì)未來出現(xiàn)的攻擊模式或新的操作系統(tǒng)/Web效勞器系統(tǒng)進(jìn)行防范。鑒于Web效勞器的特殊平安性，特征庫不采用自動(dòng)在線升級(jí)方式。第3章產(chǎn)品特點(diǎn)3.1平安性iWall應(yīng)用防火墻的防護(hù)引擎內(nèi)嵌于Web效勞器軟件里，與Web效勞器協(xié)同工作，有效處理來自每一個(gè)瀏覽器的每次訪問請(qǐng)求。它的部署位置決定了它完全能理解應(yīng)用層數(shù)據(jù)，每個(gè) 請(qǐng)求在實(shí)際交給

18、 Web效勞器處理之前，防護(hù)引擎都能結(jié)合Web效勞器會(huì)話環(huán)境對(duì)其進(jìn)行平安性分析，確保應(yīng)用層上的萬無一失。3.2高效性iWall應(yīng)用防火墻的防護(hù)引擎以Web效勞器軟件插件的形式工作即Web效勞器核心內(nèi)嵌，完全與 Web效勞器合為一體。因此它在做平安檢查和分析時(shí)，沒有任何的網(wǎng)絡(luò)通信、 進(jìn)程切換、線程創(chuàng)立和文件讀寫等動(dòng)作，防止了不同系統(tǒng)交換信息所帶來的資源消耗和延遲， 最大限度保證了 Web效勞的效率。3.3靈活性iWall應(yīng)用防火墻的各項(xiàng)參數(shù)和設(shè)置都可以靈活地加以配置，特別是可以給同一網(wǎng)站的 不同的 Web效勞器及一臺(tái) Web效勞器上不同的虛擬主機(jī)站點(diǎn)應(yīng)用不同的規(guī)那么。例如： 可以給公眾瀏覽站點(diǎn)和

19、管理站點(diǎn)設(shè)置不同的規(guī)那么，給不同Web系統(tǒng)的應(yīng)用設(shè)置不同的規(guī)那么等，最大程度滿足平安性和靈活性的平衡。3.4穩(wěn)定性iWall應(yīng)用防火墻的防護(hù)引擎使用了天存公司可靠的Web效勞器內(nèi)嵌模塊。該模塊嚴(yán)格按照7*24小時(shí)運(yùn)行標(biāo)準(zhǔn)設(shè)計(jì)，在內(nèi)存處理、多線程處理、文件I/O處理方面有著穩(wěn)健的實(shí)現(xiàn)。該模塊已有4年的穩(wěn)定使用歷史，目前在全國500多臺(tái)高訪問量網(wǎng)站上運(yùn)行，處理的日累計(jì)訪問量到達(dá) 80,000,000次。3.5廣泛性Wall應(yīng)用防火墻支持所有的主流操作系統(tǒng)，包括：Windows、Linux、FreeBSD、Solaris、AIX、HP-UX ；支持所有的主流 Web 效勞器軟件，包括：IIS、Apa

20、che、Weblogic、Websphere、 ReSin、Tomcat 等；支持所有的主流硬件 /CPU 架構(gòu)，包括：x86、spare、PowerPC、Itanium II、PA-RISC。3.6低本錢iWall應(yīng)用防火墻的低本錢表達(dá)在兩方面：零硬件需求和零管理需求。iWall核心是 Web系統(tǒng)的一個(gè)插件直接運(yùn)行在用戶原有的Web效勞器上，無須新增任何硬件設(shè)備，也無須對(duì)原有硬件進(jìn)行升級(jí)。另外，iWall與網(wǎng)站的應(yīng)用以及發(fā)布和管理方式完全無關(guān)，無須改變?nèi)?何系統(tǒng)管理和業(yè)務(wù)流程，該系統(tǒng)的部署對(duì)網(wǎng)站相關(guān)的絕大局部人員都是透明的。3.7可擴(kuò)充iWall應(yīng)用防火墻的防護(hù)引擎與攻擊特征庫是別離的，可以

21、獨(dú)立升級(jí)。防護(hù)引擎相對(duì)穩(wěn) 定保證了 Web應(yīng)用系統(tǒng)/網(wǎng)站的穩(wěn)定性；攻擊特征庫會(huì)依據(jù)最新的平安狀況作及時(shí)更新，包 括：發(fā)現(xiàn)新的黑客攻擊模式、發(fā)現(xiàn)新的Web效勞器或操作系統(tǒng)漏洞、發(fā)布新的Web效勞器軟件或新的操作系統(tǒng)。第4章產(chǎn)品組成和型號(hào)4.1產(chǎn)品組成和部署Wall由以下兩個(gè)模塊組成：應(yīng)用防護(hù)模塊。iWall的核心防護(hù)模塊，內(nèi)嵌于 Web系統(tǒng)Web效勞器軟件中, 與Web效勞器一起運(yùn)行。配置管理模塊。iWall的配置生成程序，在獨(dú)立管理員機(jī)器上運(yùn)行，僅在系統(tǒng)管理 員需要改變iWall配置時(shí)才使用。兩者之間沒有通信連接。僅通過一個(gè)配置文件交換數(shù)據(jù)，即:配置管理模塊生成一個(gè)配置文件，將它復(fù)制到 Web

22、效勞器上供給用防護(hù)模塊使用。它們的關(guān)系如圖示 4-1所示。IntranetDMZInternet圖示4-1部署示意圖采取這種配置方式的優(yōu)點(diǎn)在于：1防止直接在 Web效勞器上修改配置，不給黑客可乘之機(jī)。2防止在 Web上新開管理網(wǎng)絡(luò)端口，不增加新的平安隱患。3在多個(gè)Web效勞器鏡像時(shí)，可以快速生成統(tǒng)一配置。4.2平臺(tái)支持iWall支持以下操作系統(tǒng)：Microsoft/Wi ndows NT/2000/XP/2003LinuxFreeBSDSolarisHP-UXAIXiWall支持以下Web效勞器：IISApacheiPla netSunONEWeblogicWebSphereresi ntom

23、catHP-AS4.3產(chǎn)品型號(hào)iWall分為根底版、標(biāo)準(zhǔn)版和企業(yè)版，所有版本使用了完全相同的平安技術(shù)，版本差異 主要由Web效勞器的CPU類型及數(shù)量決定，另外根底版不支持Unix操作系統(tǒng)。表格4-1列出了它們的適用范圍和特性:型號(hào)名稱根底版標(biāo)準(zhǔn)版企業(yè)版Web效勞器操作系統(tǒng)Windows/LinuxWindows/Linux/UnixWindows/Linux/UnixWeb效勞器CPU類型及數(shù)量X86 * 1X86 * 2 或 RISC * 1X86 * 4 或 RISC * 2支持虛擬站點(diǎn)的多規(guī)那么不支持支持支持* X86 CPU 包括：Intel、AMD、Cyrix，RISC CPU 包括

24、：PowerPC、spare、ItaniumII 、PA-RISC表格4-1產(chǎn)品型號(hào)第5章常見應(yīng)用層攻擊簡介5.1 SQL數(shù)據(jù)庫注入式攻擊攻擊者在表單輸入或 URL參數(shù)中提交SQL語句的片斷，如果應(yīng)用程序未對(duì)輸入經(jīng)適當(dāng) 驗(yàn)證、正常化或轉(zhuǎn)義，那么這些片斷會(huì)與程序腳本一起構(gòu)成一個(gè)程序設(shè)計(jì)者預(yù)料之外的SQL語句，這條語句被數(shù)據(jù)庫系統(tǒng)執(zhí)行后將到達(dá)攻擊者期望的各種目的，包括：繞過身份鑒別、 偷取用戶資料、查看和修改數(shù)據(jù)庫、生成非法文件等。5.2腳根源代碼泄露正常情形下，用戶向 Web效勞器請(qǐng)求一個(gè)腳本文件例如 .asp或.jsp程序時(shí)，Web服 務(wù)器先執(zhí)行這些腳本，然后將執(zhí)行的結(jié)果返回給用戶的瀏覽器。而

25、在某些有漏洞的Web服務(wù)器或解析引擎中，攻擊者在腳本請(qǐng)求中輸入特殊字符后，這些腳本不是在Web效勞器上執(zhí)行，而是原樣發(fā)送到攻擊者的瀏覽器上顯示出來， 這樣，攻擊者就對(duì)程序的功能了如指掌。5.3非法執(zhí)行系統(tǒng)命令攻擊者利用 Web效勞器的一些漏洞例如早期IIS著名的Uni code漏洞和數(shù)據(jù)庫系統(tǒng) 的一些漏洞例如 SQL Server不平安的內(nèi)置存儲(chǔ)過程，通過構(gòu)造一些復(fù)雜的請(qǐng)求，可以實(shí) 現(xiàn)執(zhí)行任何操作系統(tǒng)命令的目的，包括：列目錄、篡改文件、關(guān)閉正常進(jìn)程甚至對(duì)整個(gè)硬盤 進(jìn)行格式化等。5.4非法執(zhí)行腳本每個(gè)Web效勞器和動(dòng)態(tài)引擎都帶有一些例如性質(zhì)的腳本例子程序，如果系統(tǒng)管理員未對(duì)這些腳本作適當(dāng)?shù)奶幚砝?/p>

26、如刪除或限制權(quán)限等，攻擊者就能通過訪問這些腳本獲得一些系統(tǒng)信息。更有甚者，攻擊者還可能在純靜態(tài)站點(diǎn)上執(zhí)行動(dòng)態(tài)的內(nèi)容，或者執(zhí)行本站點(diǎn)不用的腳本類型例如在 IIS/ASP上執(zhí)行jsp，從而造成更多的破壞。5.5上傳假冒文件對(duì)有文件上傳功能的站點(diǎn)例如BBS,攻擊者通過構(gòu)造請(qǐng)求，可以繞過文件類型限制例如只允許上傳圖片文件上傳生成任意文件后綴的文件。這樣不僅可能破壞頁面的顯示，更為嚴(yán)重的是，如果上傳了腳本文件并且管理員未對(duì)該目錄作有限權(quán)限控制，那么攻擊者可以直接執(zhí)行該腳本。5.6跨站腳本漏洞跨站腳本漏洞常常被稱為 XSS漏洞，它是指Web站點(diǎn)和應(yīng)用未經(jīng)適當(dāng)過濾便將用戶提 交的信息原樣顯示在頁面上，它允許攻擊者指定的任意文字內(nèi)容顯示在被害者的瀏覽器中， 甚至可以在用戶瀏覽器上執(zhí)行一個(gè)JavaScript語句，而這個(gè) JavaScript語句可以彈出窗口、獲得用戶信息等。通過社會(huì)工程，這種攻擊可以對(duì)網(wǎng)站所有者造成大規(guī)模形象破壞。5.7網(wǎng)站資源盜鏈一些小網(wǎng)站通過盜鏈的方法引用大型和正規(guī)網(wǎng)站的文字、圖片甚至視頻資源， 這些內(nèi)容不在自己效勞器上， 而通過