梭子魚WEB應用防火墻高校網應用分析

梭子魚WEB應用防火墻高校網應用分析

為了響應2010年上海世博會網絡安全工作的號召，上海各高校都積極深入發(fā)展門戶網站的安全建設，推行信息公開，提高高校工作的透明度，充分發(fā)揮高校信息平臺對學生的學習和生活等各方面的幫助。其門戶網站()是該校電子門戶及辦公系統(tǒng)建設的重要組成部分，作為該校面向社會的窗口，發(fā)布學生信息，提供“網上辦公”、“在線通告”等業(yè)務，為老師和學生提供方便。來自Web的安全挑戰(zhàn)：隨著高校業(yè)務資源逐漸向數據中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構的重要信息暴露在越來越多的威脅中。根據了解該校門戶網站承載了各2級學院的網上業(yè)務，網頁以動態(tài)內容居多。去年，該研究生院網站遭遇SQL群注(MassSQLInjection)攻擊，網站發(fā)布的重要信息被篡改成為大量簽名，“HaCkeDBy:Skz0r_l337-Underground-Security”(意為：由Skz0r_l337-Underground-Security入侵)，各級頁面不再具有正常的觀感。訪問網站時還發(fā)現，該網站已被Google列為含有惡意代碼的網站。最為棘手的是：期間持續(xù)發(fā)生“網頁被篡改-恢復-再次被篡改-再次恢復…”的現象。間歇還伴隨有針對WEB服務器的DDoS攻擊，網站訪問峰值嚴重超過服務器正常所能處理的最大負荷。在提供解決方案之前，我們幫助用戶理清了一些應用層防火墻的基本概念：1.何謂應用層防火墻;2.梭子魚的應用層防火墻與傳統(tǒng)入侵檢測產品的區(qū)別;3.梭子魚Web應用防火墻WAF產品的防御攻擊特性;其次在該高校網站遭遇多重攻擊，網站陷入困境的時候梭子魚所提供的解決方案：1.能應對當前攻擊，且具備持續(xù)防護能力，對業(yè)務影響盡可能小，管理簡單;2.針對多臺核心WEB服務器提供防護;3.自動學習網頁應用結構;4.自動調整用戶習慣4.主動模式來過濾所有的WEB請求;5.提供簡明維護的平臺;解決方案：基于對梭子魚公司的信任，2010年在售前過程中，我們有幸對該學校負責人進行了一次長時間的技術溝通。我們首先解釋了幾項用戶關心的問題：1.何謂應用層防火墻梭子魚應用層防火墻(全稱，梭子魚WEB應用防火墻，即WAF)通過執(zhí)行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協(xié)議或應用程序漏洞發(fā)動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊，強大的應用防火墻甚至能夠模擬代理成為網站服務器接受應用交付，形象的來說相當于給原網站加上了一個安全的絕緣外殼。2.應用層防火墻與傳統(tǒng)的入侵檢測設備之間具有本質上的區(qū)別在TCP/IP模型中網絡流量從物理層到應用層是逐層遞交，入侵檢測設備(IPS)主要定位在分析傳輸層和網絡層的數據，而再往上則是復雜的各種應用層協(xié)議報文，而應用層防火墻(WAF)則僅提供對Web應用流量全部層面的監(jiān)管。IPS需要處理網絡中所有的流量，而WAF僅處理與Web應用相關的協(xié)議，其他的則給予轉發(fā)。3.梭子魚WEB應用防火墻可以防御的攻擊類型：1)SQL注入：一些應用程序通過復制Web客戶端輸入來創(chuàng)建數據庫查詢。黑客通過構造一些應用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數據。2)跨站點腳本：黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字符串，導致Web服務器泄漏用戶名和密碼等信息。3)操作系統(tǒng)命令注入：一些應用程序從web輸入來創(chuàng)建操作系統(tǒng)命令，就像訪問一個文件和顯示文件內容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創(chuàng)建輸入來顯示未經授權的數據、修改文件或系統(tǒng)參數。4)會話劫持：黑客通過猜測基于令牌格式知識的會話令牌的內容來獲得登錄會話的權利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。5)篡改參數或URL：web應用程序通常在返回的的web頁面中嵌入參數和URL，或者用授權的參數更新緩存。黑客可以修改這些參數、URL或緩存，使Web服務器返回不應泄漏的信息。6)緩沖區(qū)溢出：應用程序代碼應該檢查輸入數據的長度，以確保輸入數據不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現應用程序不檢查溢出，并創(chuàng)建輸入來導致溢出。在部署過程中，針對高校網站的特性，梭子魚WAF提供了以下解決方案：1.WAF透明部署在防火墻和WEB服務器群及應用服務器之間(如下圖所示)，在網絡中即插即用，不改變網絡拓撲和網站業(yè)務流程，管理簡單;▲圖1：WAF部署方案2.WAF提供了針對核心WEB服務器群的防護;根據高校的網站部署的特點，一般大學站點都具有數十個主站點，同一臺服務器會同時具有幾個站點的特色，我們會區(qū)分各站點之間的不同屬性進行分類管理，例如：普通學生登陸的站點都是HTTP協(xié)議，而教師員工登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議，因此我們會設計一套HTTP協(xié)議的基本防御模版，而HTTPS協(xié)議我們會在基本保護的策略框架下，再啟用SSL加速的功能，來幫助提升用戶的訪問速度。3.WAF自動掃描網站結構;梭子魚WAF主動掃描網站結構并根據結果生成防護規(guī)則，分析整個Web站點，并建立正常狀態(tài)模型。根據高校的網站設計的特點，一般高校網站中各學院站點的設計模版都比較固定化，梭子魚會主動尋找每一個小站點的樹型目錄和文件結構，幫助防御不必要外網“窮舉型”的攻擊。4.WAF自動學習用戶習慣;WAF會自動調整外網用戶登陸網站后的使用習慣，例如在某個學院站點的通告欄上的發(fā)貼字數長度，會隨著用戶習慣逐漸增多。5.WAF調整主動模式來過濾所有的WEB請求;根據高校的網站防御的特點，一般高校的門戶網站都具有前端學生登陸信息平臺查看信息，后端管理人員發(fā)布學校最新動態(tài)、管理學生檔案、處理學生業(yè)務等等工作流。所以在網站前端我們過濾的總體策略都是過濾常規(guī)攻擊方式，并且對進入網站之后所有提交的數據和語句做限定，在網站后端管理平臺，一方面我們將限定指定的管理人員登陸，另一方面我們適當調整管理者登陸系統(tǒng)之后的限定權限，以免發(fā)生網站后端被攻擊的事件?；趯W習的主動模式目的是為了建立一個安全防護模型，一旦行為有差異則可以發(fā)現，比如隱藏的表單、限制型的Listbox值是否被篡改、輸入的參數類型不合法等，這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護模型動態(tài)調整防護策略。6.梭子魚提供簡明維護的平臺;經過長期的了解和溝通，高校的網絡管理者非常青睞于梭子魚簡明的維護平臺和日志系統(tǒng)。一般經過簡單的培訓，他們便可以輕松的查看網站的安全隱患和輕松的進行安全加固。效果及用戶評價：作為國內權威專業(yè)電子商務研究機構，包括B2B領域的阿里巴巴、網盛生意寶、中國制造網、慧聰網、環(huán)球資源、金銀島、一達通、敦煌網等企業(yè)；B2C領域的京東商城、當當網、卓越亞馬遜、新蛋中國、紅孩子、凡客誠品(VANCL)、麥考林(麥網)、庫巴購物網、蘇寧易購、淘寶網、拍拍網、eBay易趣網、樂酷天、百度有啊、樂淘網、銀泰網、珂蘭鉆石網等；支付領域的支付寶、財付通、環(huán)迅支付、百付寶、