20130613-NSF-PROD-WAF-V6.0-通用解決方案-V1.0

綠盟WEB應(yīng)用防火墻產(chǎn)品通用解決方案【綠盟科技】■文檔編號(hào)NSF-PROD-WAF-V6.0-產(chǎn)品通用解決方案-V1.0■密級(jí)限制分發(fā)■版本編號(hào)V1.0■日期2013-06-13撰寫(xiě)人丁倩■批準(zhǔn)人歐懷谷?DATE\@"yyyy"2013綠盟科技■版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬DOCPROPERTYCompany綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)DOCPROPERTYCompany綠盟科技的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷?！霭姹咀兏涗洉r(shí)間版本說(shuō)明修改人2013-06-13V1.0新建丁倩 綠盟DOCPROPERTYTitleWEB應(yīng)用防火墻產(chǎn)品通用解決方案綠盟科技 密級(jí)：限制分發(fā)Web安全風(fēng)險(xiǎn)分析近年來(lái)，Web應(yīng)用系統(tǒng)隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展呈現(xiàn)出爆炸式的增長(zhǎng)，隨之帶來(lái)的網(wǎng)絡(luò)安全事件也在不斷增加。如何應(yīng)對(duì)頻頻發(fā)生的Web應(yīng)用安全事件，給Web應(yīng)用系統(tǒng)維護(hù)部門(mén)及其安全監(jiān)管部門(mén)帶來(lái)了新的挑戰(zhàn)。WEB應(yīng)用安全問(wèn)題本質(zhì)上源于軟件質(zhì)量問(wèn)題，但WEB應(yīng)用相較傳統(tǒng)的軟件，具有其獨(dú)特性。WEB應(yīng)用往往是某個(gè)機(jī)構(gòu)所獨(dú)有的應(yīng)用，對(duì)其存在的漏洞，已知的通用漏洞簽名缺乏有效性；WEB需要頻繁地變更以滿足業(yè)務(wù)目標(biāo)，從而使得很難維持有序的開(kāi)發(fā)周期；需要全面考慮客戶端與服務(wù)端的復(fù)雜交互場(chǎng)景，而往往很多開(kāi)發(fā)者沒(méi)有很好地理解業(yè)務(wù)流程；人們通常認(rèn)為WEB開(kāi)發(fā)比較簡(jiǎn)單，缺乏經(jīng)驗(yàn)的開(kāi)發(fā)者也可以勝任。針對(duì)WEB應(yīng)用安全，理想情況下應(yīng)該在軟件開(kāi)發(fā)生命周期遵循安全編碼原則，并在各階段采取相應(yīng)的安全措施。然而，多數(shù)網(wǎng)站的實(shí)際情況是：大量早期開(kāi)發(fā)的WEB應(yīng)用，由于歷史原因，都存在不同程度的安全問(wèn)題。對(duì)于這些已上線、正提供生產(chǎn)的WEB應(yīng)用，由于其定制化特點(diǎn)決定了沒(méi)有通用補(bǔ)丁可用，而整改代碼因代價(jià)過(guò)大變得較難施行或者需要較長(zhǎng)的整改周期。針對(duì)上述現(xiàn)狀，專業(yè)的WEB安全防護(hù)工具是一種合理的選擇。傳統(tǒng)的安全設(shè)備，如防火墻、IPS，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì)WEB應(yīng)用攻擊完善的防御能力。針對(duì)WEB應(yīng)用攻擊，必須采用專門(mén)的機(jī)制，對(duì)其進(jìn)行有效檢測(cè)、防護(hù)。綠盟WAF解決方案綠盟Web應(yīng)用防火墻（簡(jiǎn)稱WAF），專注于保護(hù)Web應(yīng)用和Web服務(wù)，并將成熟的DDoS攻擊抵御機(jī)制整合在一起，綠盟WAF提供針對(duì)OWASPTop10、LOIC、HOIC的全面防御，為Web安全保駕護(hù)航。產(chǎn)品部署NSFOCUSWAF采用獨(dú)立的硬件設(shè)備，B/S結(jié)構(gòu)設(shè)計(jì)，提供多種靈活的部署方式，包括串聯(lián)部署（透明部署模式/反向代理模式）和旁路模式。部署示意圖串聯(lián)部署模式下，綠盟WAF在內(nèi)核模塊實(shí)現(xiàn)從TCP/IP協(xié)議棧的透明代理（用Web服務(wù)器的IP地址作為VIP，犧牲了一部分功能（如SSL功能）），極大地提高網(wǎng)絡(luò)適應(yīng)能力、確保產(chǎn)品在網(wǎng)絡(luò)中即插即用而無(wú)需修改網(wǎng)絡(luò)及服務(wù)器配置，降低了部署、維護(hù)開(kāi)銷。而反向代理模式，需要改動(dòng)服務(wù)器IP地址以及DNS解析，此模式相對(duì)透明代理模式安全性更高。在部署了多業(yè)務(wù)網(wǎng)段服務(wù)器的網(wǎng)絡(luò)環(huán)境中，WAF設(shè)備也可以采用旁路方式部署，提供一種邏輯在線防護(hù)機(jī)制。該種部署靈活性較好，可以實(shí)現(xiàn)業(yè)務(wù)分流，對(duì)核心系統(tǒng)影響較小。旁路方式部署的技術(shù)原理如下：流量牽引：通過(guò)路由方式，將原來(lái)去往目標(biāo)網(wǎng)站IP的流量牽引至WAF設(shè)備。被牽引的流量為攻擊流量與正常流量混雜的HTTP流量；流量檢測(cè)和過(guò)濾：WAF設(shè)備通過(guò)多層的攻擊流量識(shí)別與凈化功能，將Web攻擊流量從混合流量中過(guò)濾；流量注入：經(jīng)過(guò)WAF過(guò)濾之后的合法流量被重新注入回網(wǎng)絡(luò)，最終到達(dá)目的網(wǎng)站。對(duì)返回流量檢測(cè)：網(wǎng)站響應(yīng)的HTTP流量在返回給客戶端之前，仍然需要流經(jīng)WAF設(shè)備，WAF可提供安全檢測(cè)，經(jīng)WAF檢測(cè)后的流量最終返回給客戶端。WAF管理模式NSFOCUSWAF支持2種管理模式：普通管理模式、集中管理模式，滿足不同應(yīng)用環(huán)境不同管理需求。普通管理模式：管理員直接通過(guò)普通PC主機(jī)登錄WAF自帶的B/S平臺(tái)進(jìn)行管理，適用于WAF設(shè)備較少的應(yīng)用場(chǎng)景。集中管理模式：通過(guò)綠盟科技的安全中心，可以實(shí)現(xiàn)對(duì)多臺(tái)WAF設(shè)備進(jìn)行管理。安全中心對(duì)WAF設(shè)備日志的集中管理，包括對(duì)日志集中收集、日志集中告警以及日志集中審計(jì)，可以通過(guò)監(jiān)控界面、郵件、短信等方式實(shí)時(shí)對(duì)Web安全事件進(jìn)行告警。產(chǎn)品典型應(yīng)用網(wǎng)站訪問(wèn)控制針對(duì)某些Web網(wǎng)站的部分路徑只允許某些IP訪問(wèn)，某些路徑不受訪問(wèn)IP限制的用戶場(chǎng)景，綠盟WAF在串聯(lián)部署、旁路部署和反向代理部署時(shí)均提供了HTTP訪問(wèn)控制功能。用戶通過(guò)使用HTTP訪問(wèn)控制，不僅可以達(dá)到權(quán)限控制的效果，還可以做到誤報(bào)糾正。事實(shí)上，多數(shù)有訪問(wèn)控制需求的Web服務(wù)器都已經(jīng)配置了一定的安全策略，但大多數(shù)安全策略可能會(huì)忽略對(duì)主機(jī)名的嚴(yán)格檢測(cè)，從而存在安全防護(hù)策略被繞過(guò)的隱患。綠盟WAF通過(guò)顯式配置只允許指定的主機(jī)名訪問(wèn)，從安全策略配置層面避免了這一隱患引發(fā)的權(quán)限濫用，訪問(wèn)控制更加嚴(yán)格。網(wǎng)頁(yè)篡改在線防護(hù)按照網(wǎng)頁(yè)篡改事件發(fā)生的時(shí)序，綠盟WAF提供事中防護(hù)以及事后補(bǔ)償?shù)脑诰€防護(hù)解決方案。事中，實(shí)時(shí)過(guò)濾HTTP請(qǐng)求中混雜的網(wǎng)頁(yè)篡改攻擊流量（如SQL注入、XSS等）。事后，自動(dòng)監(jiān)控網(wǎng)站所有需保護(hù)頁(yè)面的完整性，檢測(cè)到網(wǎng)頁(yè)被篡改，第一時(shí)間對(duì)管理員進(jìn)行短信告警，對(duì)外仍顯示篡改前的正常頁(yè)面，用戶可正常訪問(wèn)網(wǎng)站。網(wǎng)頁(yè)掛馬在線防護(hù)網(wǎng)頁(yè)掛馬為一種相對(duì)比較隱蔽的網(wǎng)頁(yè)篡改方式，本質(zhì)上這種方式也破壞了網(wǎng)頁(yè)的完整性。網(wǎng)頁(yè)掛馬攻擊目標(biāo)為各類網(wǎng)站的最終用戶，網(wǎng)站作為傳播網(wǎng)頁(yè)木馬的“傀儡幫兇”，嚴(yán)重影響網(wǎng)站的公信度。當(dāng)用戶請(qǐng)求訪問(wèn)某一個(gè)頁(yè)面時(shí)，綠盟WAF會(huì)對(duì)服務(wù)器側(cè)響應(yīng)的網(wǎng)頁(yè)內(nèi)容進(jìn)行在線檢測(cè)，判斷是否被植入惡意代碼，并對(duì)惡意代碼進(jìn)行自動(dòng)過(guò)濾。敏感信息泄漏防護(hù)綠盟WAF可以識(shí)別并更正Web應(yīng)用錯(cuò)誤的業(yè)務(wù)流程，識(shí)別并防護(hù)敏感數(shù)據(jù)泄漏，滿足合規(guī)與審計(jì)要求，具體如下：可自定義非法敏感關(guān)鍵字，對(duì)其進(jìn)行自動(dòng)過(guò)濾，防止非法內(nèi)容發(fā)布為公眾瀏覽。Web站點(diǎn)可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹(shù)內(nèi)的URL鏈接，比如一些網(wǎng)站擁有者不想被公開(kāi)訪問(wèn)的目錄、網(wǎng)站的WEB管理界面入口及以前曾經(jīng)公開(kāi)過(guò)但后來(lái)被隱藏的鏈接。WAF提供細(xì)粒度的HTTP訪問(wèn)控制，防止對(duì)這些鏈接的非授權(quán)訪問(wèn)。網(wǎng)站隱身：過(guò)濾服務(wù)器側(cè)出錯(cuò)信息，如錯(cuò)誤類型、出現(xiàn)錯(cuò)誤腳本的絕對(duì)路徑、網(wǎng)頁(yè)主目錄的絕對(duì)路徑、出現(xiàn)錯(cuò)誤的SQL語(yǔ)句及參數(shù)、軟件的版本、系統(tǒng)的配置信息等，避免這些敏感信息為攻擊者利用、提升入侵的概率。對(duì)數(shù)據(jù)泄密具備監(jiān)管能力。能過(guò)濾服務(wù)器側(cè)響應(yīng)內(nèi)容中含有的敏感信息，如身份證號(hào)、信用卡號(hào)等。DDoS防護(hù)綠盟WAF在本身提供DDoS防護(hù)功能的基礎(chǔ)上，在DDoS攻擊超過(guò)了本身防護(hù)閾值的情況下，還能與由綠盟科技的專業(yè)抗拒絕服務(wù)攻擊產(chǎn)品ADS組成的清洗中心聯(lián)動(dòng)，達(dá)到分層清洗的目的。綠盟WAF與DDoS清洗中心聯(lián)動(dòng)的應(yīng)用場(chǎng)景如下：綠盟WAF的TCPFlood防護(hù)功能對(duì)一定閾值的拒絕服務(wù)攻擊進(jìn)行防護(hù)。當(dāng)攻擊流量超過(guò)了綠盟WAF本身的防護(hù)閾值時(shí)，WAF向上游的ADS清洗中心發(fā)出通告，請(qǐng)求上游的ADS牽引并清洗到達(dá)WAF防護(hù)站點(diǎn)的攻擊流量。ADS牽引并清洗成功后，WAF退出本身的TCPFlood防護(hù)。當(dāng)WAF發(fā)現(xiàn)到達(dá)上游ADS的攻擊流量小于通告值時(shí)，申請(qǐng)取消上游ADS對(duì)流量的牽引和清洗，同時(shí)將自身的TCPFlood防護(hù)開(kāi)啟。綠盟WAF和綠盟ADS的DDoS聯(lián)合防護(hù)方案非對(duì)稱鏈路防護(hù)綠盟WAF支持的HA主-主模式（AA模式）解決了非對(duì)稱鏈路情況下，請(qǐng)求流量與響應(yīng)流量經(jīng)過(guò)不同WAF，從而導(dǎo)致網(wǎng)絡(luò)不通的現(xiàn)象。AA模式負(fù)載均衡是通過(guò)上下游路由器實(shí)現(xiàn)的，當(dāng)同一TCP會(huì)話被負(fù)載均衡到不同WAF時(shí)，WAF的主主HA功能會(huì)將流量同步到一臺(tái)WAF，保證流量暢通。產(chǎn)品主要功能降低數(shù)據(jù)泄露風(fēng)險(xiǎn)SQL注入防護(hù)HTTP協(xié)議防護(hù)Web漏洞攻擊防護(hù)信息安全防護(hù)（狀態(tài)碼過(guò)濾/偽裝）Web內(nèi)容安全防護(hù)支撐Web服務(wù)可用性HTTPFlood防護(hù)TCPFlood防護(hù)控制惡意訪問(wèn)URL訪問(wèn)控制文件非法下載/上傳防護(hù)盜鏈防護(hù)爬蟲(chóng)防護(hù)保護(hù)Web客戶端CSRF防護(hù)XSS防護(hù)Cookie安全（加密/簽名）客戶價(jià)值降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)Web承載的交互式應(yīng)用是數(shù)據(jù)庫(kù)的門(mén)戶，攻擊者經(jīng)常通過(guò)SQL注入等方法入侵?jǐn)?shù)據(jù)庫(kù)，造成數(shù)據(jù)泄露。綠盟科技WAF系統(tǒng)能檢查HTTP請(qǐng)求的各個(gè)字段，用精煉的規(guī)則對(duì)攻擊實(shí)施過(guò)濾，加上HTTP協(xié)議合規(guī)檢查、狀態(tài)碼過(guò)濾等機(jī)制，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。支撐Web服務(wù)可用性DDoS攻擊對(duì)Web服務(wù)可用性的威脅最大，綠盟科技WAF系統(tǒng)集成專業(yè)DDoS防護(hù)功能，包括多種動(dòng)態(tài)防護(hù)算法，可以在線過(guò)濾DDoS攻擊，與SQL注入防護(hù)等功能一起使用，提供從網(wǎng)絡(luò)層到應(yīng)用層的攻擊過(guò)濾，支撐Web服務(wù)可用性?？刂茞阂庠L問(wèn)自動(dòng)化攻擊工具能構(gòu)造大規(guī)模的惡意訪問(wèn)，給Web應(yīng)用穩(wěn)定性造成