梭子魚WEB應(yīng)用防火墻高校網(wǎng)應(yīng)用分析

梭子魚WEB應(yīng)用防火墻高校網(wǎng)應(yīng)用分析

為了響應(yīng)2010年上海世博會網(wǎng)絡(luò)安全工作的號召，上海各高校都積極深入發(fā)展門戶網(wǎng)站的安全建設(shè)，推行信息公開，提高高校工作的透明度，充分發(fā)揮高校信息平臺對學(xué)生的學(xué)習(xí)和生活等各方面的幫助。其門戶網(wǎng)站()是該校電子門戶及辦公系統(tǒng)建設(shè)的重要組成部分，作為該校面向社會的窗口，發(fā)布學(xué)生信息，提供“網(wǎng)上辦公”、“在線通告”等業(yè)務(wù)，為老師和學(xué)生提供方便。來自Web的安全挑戰(zhàn)：隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務(wù)。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機(jī)構(gòu)的重要信息暴露在越來越多的威脅中。根據(jù)了解該校門戶網(wǎng)站承載了各2級學(xué)院的網(wǎng)上業(yè)務(wù)，網(wǎng)頁以動態(tài)內(nèi)容居多。去年，該研究生院網(wǎng)站遭遇SQL群注(MassSQLInjection)攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，“HaCkeDBy:Skz0r_l337-Underground-Security”(意為：由Skz0r_l337-Underground-Security入侵)，各級頁面不再具有正常的觀感。訪問網(wǎng)站時還發(fā)現(xiàn)，該網(wǎng)站已被Google列為含有惡意代碼的網(wǎng)站。最為棘手的是：期間持續(xù)發(fā)生“網(wǎng)頁被篡改-恢復(fù)-再次被篡改-再次恢復(fù)…”的現(xiàn)象。間歇還伴隨有針對WEB服務(wù)器的DDoS攻擊，網(wǎng)站訪問峰值嚴(yán)重超過服務(wù)器正常所能處理的最大負(fù)荷。在提供解決方案之前，我們幫助用戶理清了一些應(yīng)用層防火墻的基本概念：1.何謂應(yīng)用層防火墻;2.梭子魚的應(yīng)用層防火墻與傳統(tǒng)入侵檢測產(chǎn)品的區(qū)別;3.梭子魚Web應(yīng)用防火墻WAF產(chǎn)品的防御攻擊特性;其次在該高校網(wǎng)站遭遇多重攻擊，網(wǎng)站陷入困境的時候梭子魚所提供的解決方案：1.能應(yīng)對當(dāng)前攻擊，且具備持續(xù)防護(hù)能力，對業(yè)務(wù)影響盡可能小，管理簡單;2.針對多臺核心WEB服務(wù)器提供防護(hù);3.自動學(xué)習(xí)網(wǎng)頁應(yīng)用結(jié)構(gòu);4.自動調(diào)整用戶習(xí)慣4.主動模式來過濾所有的WEB請求;5.提供簡明維護(hù)的平臺;解決方案：基于對梭子魚公司的信任，2010年在售前過程中，我們有幸對該學(xué)校負(fù)責(zé)人進(jìn)行了一次長時間的技術(shù)溝通。我們首先解釋了幾項用戶關(guān)心的問題：1.何謂應(yīng)用層防火墻梭子魚應(yīng)用層防火墻(全稱，梭子魚WEB應(yīng)用防火墻，即WAF)通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，它專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來說相當(dāng)于給原網(wǎng)站加上了一個安全的絕緣外殼。2.應(yīng)用層防火墻與傳統(tǒng)的入侵檢測設(shè)備之間具有本質(zhì)上的區(qū)別在TCP/IP模型中網(wǎng)絡(luò)流量從物理層到應(yīng)用層是逐層遞交，入侵檢測設(shè)備(IPS)主要定位在分析傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)，而再往上則是復(fù)雜的各種應(yīng)用層協(xié)議報文，而應(yīng)用層防火墻(WAF)則僅提供對Web應(yīng)用流量全部層面的監(jiān)管。IPS需要處理網(wǎng)絡(luò)中所有的流量，而WAF僅處理與Web應(yīng)用相關(guān)的協(xié)議，其他的則給予轉(zhuǎn)發(fā)。3.梭子魚WEB應(yīng)用防火墻可以防御的攻擊類型：1)SQL注入：一些應(yīng)用程序通過復(fù)制Web客戶端輸入來創(chuàng)建數(shù)據(jù)庫查詢。黑客通過構(gòu)造一些應(yīng)用程序沒有仔細(xì)檢查和會被拒絕的字符串，來獲取返回的機(jī)密數(shù)據(jù)。2)跨站點腳本：黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字符串，導(dǎo)致Web服務(wù)器泄漏用戶名和密碼等信息。3)操作系統(tǒng)命令注入：一些應(yīng)用程序從web輸入來創(chuàng)建操作系統(tǒng)命令，就像訪問一個文件和顯示文件內(nèi)容。如果輸入的字符串沒有仔細(xì)檢查機(jī)制，黑客就可以創(chuàng)建輸入來顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。4)會話劫持：黑客通過猜測基于令牌格式知識的會話令牌的內(nèi)容來獲得登錄會話的權(quán)利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。5)篡改參數(shù)或URL：web應(yīng)用程序通常在返回的的web頁面中嵌入?yún)?shù)和URL，或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存，使Web服務(wù)器返回不應(yīng)泄漏的信息。6)緩沖區(qū)溢出：應(yīng)用程序代碼應(yīng)該檢查輸入數(shù)據(jù)的長度，以確保輸入數(shù)據(jù)不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現(xiàn)應(yīng)用程序不檢查溢出，并創(chuàng)建輸入來導(dǎo)致溢出。在部署過程中，針對高校網(wǎng)站的特性，梭子魚WAF提供了以下解決方案：1.WAF透明部署在防火墻和WEB服務(wù)器群及應(yīng)用服務(wù)器之間(如下圖所示)，在網(wǎng)絡(luò)中即插即用，不改變網(wǎng)絡(luò)拓?fù)浜途W(wǎng)站業(yè)務(wù)流程，管理簡單;▲圖1：WAF部署方案2.WAF提供了針對核心WEB服務(wù)器群的防護(hù);根據(jù)高校的網(wǎng)站部署的特點，一般大學(xué)站點都具有數(shù)十個主站點，同一臺服務(wù)器會同時具有幾個站點的特色，我們會區(qū)分各站點之間的不同屬性進(jìn)行分類管理，例如：普通學(xué)生登陸的站點都是HTTP協(xié)議，而教師員工登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議，因此我們會設(shè)計一套HTTP協(xié)議的基本防御模版，而HTTPS協(xié)議我們會在基本保護(hù)的策略框架下，再啟用SSL加速的功能，來幫助提升用戶的訪問速度。3.WAF自動掃描網(wǎng)站結(jié)構(gòu);梭子魚WAF主動掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護(hù)規(guī)則，分析整個Web站點，并建立正常狀態(tài)模型。根據(jù)高校的網(wǎng)站設(shè)計的特點，一般高校網(wǎng)站中各學(xué)院站點的設(shè)計模版都比較固定化，梭子魚會主動尋找每一個小站點的樹型目錄和文件結(jié)構(gòu)，幫助防御不必要外網(wǎng)“窮舉型”的攻擊。4.WAF自動學(xué)習(xí)用戶習(xí)慣;WAF會自動調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習(xí)慣，例如在某個學(xué)院站點的通告欄上的發(fā)貼字?jǐn)?shù)長度，會隨著用戶習(xí)慣逐漸增多。5.WAF調(diào)整主動模式來過濾所有的WEB請求;根據(jù)高校的網(wǎng)站防御的特點，一般高校的門戶網(wǎng)站都具有前端學(xué)生登陸信息平臺查看信息，后端管理人員發(fā)布學(xué)校最新動態(tài)、管理學(xué)生檔案、處理學(xué)生業(yè)務(wù)等等工作流。所以在網(wǎng)站前端我們過濾的總體策略都是過濾常規(guī)攻擊方式，并且對進(jìn)入網(wǎng)站之后所有提交的數(shù)據(jù)和語句做限定，在網(wǎng)站后端管理平臺，一方面我們將限定指定的管理人員登陸，另一方面我們適當(dāng)調(diào)整管理者登陸系統(tǒng)之后的限定權(quán)限，以免發(fā)生網(wǎng)站后端被攻擊的事件?；趯W(xué)習(xí)的主動模式目的是為了建立一個安全防護(hù)模型，一旦行為有差異則可以發(fā)現(xiàn)，比如隱藏的表單、限制型的Listbox值是否被篡改、輸入的參數(shù)類型不合法等，這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護(hù)模型動態(tài)調(diào)整防護(hù)策略。6.梭子魚提供簡明維護(hù)的平臺;經(jīng)過長期的了解和溝通，高校的網(wǎng)絡(luò)管理者非常青睞于梭子魚簡明的維護(hù)平臺和日志系統(tǒng)。一般經(jīng)過簡單的培訓(xùn)，他們便可以輕松的查看網(wǎng)站的安全隱患和輕松的進(jìn)行安全加固。效果及用戶評價：作為國內(nèi)權(quán)威專業(yè)電子商務(wù)研究機(jī)構(gòu)，包括B2B領(lǐng)域的阿里巴巴、網(wǎng)盛生意寶、中國制造網(wǎng)、慧聰網(wǎng)、環(huán)球資源、金銀島、一達(dá)通、敦煌網(wǎng)等企業(yè)；B2C領(lǐng)域的京東商城、當(dāng)當(dāng)網(wǎng)、卓越亞馬遜、新蛋中國、紅孩子、凡客誠品(VANCL)、麥考林(麥網(wǎng))、庫巴購物網(wǎng)、蘇寧易購、淘寶網(wǎng)、拍拍網(wǎng)、eBay易趣網(wǎng)、樂酷天、百度有啊、樂淘網(wǎng)、銀泰網(wǎng)、珂蘭鉆石網(wǎng)等；支付領(lǐng)域的支付寶、財付通、環(huán)迅支付、百付寶、