安恒信息明御WEB应用防火墙产品白皮书

1、安恒信息明御WE磁用防火墙产品白皮书摘要：本文档描述了杭州安恒信息技术有限公司Web应用防火墙的主要功能及特点关键词：Web应用防火墙，Web安全，安恒信息1. 概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。根据国家计算机网络应急技术处理协调中心(简称CNCERT/C)的工作报告显示：目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能， 导致政府类网站存

2、在安全隐患。 对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及 应用层拒绝服务攻击(Den iaIOfService )等，影响业务的正常幵展。2007年到2009年上半年，中国大陆被篡改网站的数量相比往年处于明显上 升趋势。1.1.常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列 出了这些最常见的攻击技术， 其中最后一列描述了安恒 WAF如何对该攻击进行防表:对不同攻击的防御方法攻击方式描述安恒WAF的防护方法跨站脚本攻击跨站脚本攻击利用网站漏洞攻 击那些访问该站点的用户，常见 目的是窃取该站点访问者相关 的用户登陆或认证信息。通过检查应用流

3、量，阻 止各种恶意的脚本插 入到 URL,header 及 form 中。SQL注入攻击者通过输入一段数据库查 询代码窃取或修改数据库中的 数据。通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL,header及 form 中。命令注入攻击者利用网页漏洞将含有操 作系统或软件平台命令注入到 网页访问语句中以盗取数据或 后端服务器的控制权。通过检查应用流量，检 测并阻止危险的系统 或软件平台命令被插 入到 URL,header 及 form 中。cookie/seesi on劫持Cookie/seesi on 通常用于用户 身份认证，并且可能携带用户敏 感的登陆信息。攻击者可能

4、被修 改Cookie/seesion 提高访问权 限，或伪装成他人的身份登陆。通过检查应用流量，拒绝伪造身份登录的会 话访问。参数（或表单）篡改通过修改对 URL header和form中对用户输入数据的安全性判断，并且提交到服务器。利用参数配置文档检 测应用中的参数，仅允 许合法的参数通过，防 止参数篡改发生。缓冲溢出攻击由于缺之数据输入的边界条件 限制，攻击者通过向程序缓冲区 写入超出其长度的内容，造成缓 冲区的溢出，从而破坏程序的堆 栈，使程序转而执行其它指令。 如获取系统管理员的权限。用户可以根据应用需求设定和限制数据边界条件，确保不危及脆弱的服务器。日志篡改黑客篡改删除日志以掩盖其攻

5、 击痕迹或改变 web处理日志。.通过检查应用流量，防止带有日志篡改的应用访问。应用平台漏洞攻击黑客通过获悉应用平台后，可以 利用该平台的已知漏洞进行攻 击。当应用平台出现漏洞，且没 有官方补丁时，同样面临被攻击 的风险。安恒WA将阻止已知的 攻击，并提供安全策略 规则升级服务，用户可 以按计划进行安全应 用策略升级。同时，对 于高级用户，安恒WAF 提供自定义规则库的 添加，可以针对某些关 键字，特殊应用做特殊 安全处理。DOS攻 击通过DOS攻击请求，以达到消耗 应用平台资源异常消耗的一种 攻击，最终造成应用平台拒绝服 务。可以防护所有的网络层的DoS包括防止SYNcookie,应用层 D

6、OS攻击和对客户端连接速率进行限制。HTTPS类攻击一些狡猾的黑客通过HTTPSt行HTTPS类的攻击，由于SSL加密 数据包无法进行有效的检测，导 致通用的网络防火墙和普通 WEB支持用户上传HTTPSE 书，在WAF行第一轮 认证，并对应用流量进 行解密和侦测，对应用防火墙无能为力。HTTPS类的所有攻击进行有效的拦截和防御。2. 现有的防御技术目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻 止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。2.1.传统网络防火墙第一代网络防火墙可以控

7、制对网络的访问，管理员可以创建网络访问控制列表（ACLs）允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流 量。传统的防火墙无法阻止 Web攻击，不论这些攻击来自防火墙内部的还是外部， 因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对web应用的访问，防火墙会幵放 Web应用的80端口，这意味着In ternet 上的任意IP都能直接访问 Web应用，因此web及其应用服务器事实上是无安全 检测和防范的。状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时

8、刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而，状态 防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器；同样，如果某个攻击进行了加密或编码该防火 墙也不能检测2.2.入侵检测系统（ IDS） 入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。 其工作模式是 被动的， 它不能阻止攻击， 也不能对未知的攻击进行报警。 目前大多数攻击特征 数据库都是网络层的攻击，此外，可以通过加密，TCP碎片攻击以及

9、其他方式绕过入侵检测系统的防御。3. Web安全需求企业对 Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：对现有网络拓扑结构尽量无影响；方便管理，无需进行复杂的配置；对现有WEB服务器的访问速率不能造成太大的影响；对正常业务访问不能进行错误的拦截阻断。3.1.Web应用防火墙Web应用防火墙的两个关键功能是，深入理解HTTP/HTTPS协议，可监测往返流量，能对 web流量进行安全控制。 Web数据中心是经常变化的，包括新的应 用程序、 新的软件模块， 不断更新的软件补丁等。 专业的安全工具和方法应能适 应这种动态环境， 应用配置的升级更新和对监测数据

10、的分析使得应用防火墙总能 适应新的安全需求4. 安恒WAF的特点安恒WAF提供高效的 Web应用安全边界检查功能。 安恒WAF整合了 Web 安全深度防御及站点隐藏等功能，能全方位的保护用户的Web数据中心。通过对对所有 Web流量（包括客户端请求流量和服务器返回的数据流量） 进行深度检测，提供了实时有效的入侵防护功能。安恒WAF充分考虑用户已有环境的差异性， 对环境兼容性、 应用多样性进行了深入的分析和总结。4.1.领先的透明代理模式WEE应用防火墙技术经过不断的发展已经日益成熟，安恒WAF采用业界领先的代理技术实现 WEB应用深度分析和防御。基于代理的防火墙技术在防护 深度及细粒度方面有着

11、包过滤防火墙无法比拟的优势，但是如果代理模式处 理不当也会对网络及应用系统产生影响，最为明显的影响是对网络数据包文 头的改变，导致服务器识别到的源地址是代理设备 IP 地址， 无法识别真话的 访问者。而且还会对HTTP应用数据流头部的影响， 如增加X-Forwarded相关 的字段或影响已有的代理环境，影响WEB业务的正常使用，以及致使 WEB服务器访问日志失效。安恒 WAF凭着对网络及应用的深入解理，以及多年的研发经验，研发的 WAF产品继承了代理防火墙技术深度防御的特性，同时也吸纳了网络防火墙对网络及应用透明的优点。安恒是国内首家发布全透明代理的模式的WEB应用防火墙厂家，安恒 WAF的部

12、署不会对网络及应用产生任何的影响，甚至安恒 WAF的工作口不需要配置任何的 IP即可正常工作。4.2.独创的镜像监控模式WEB应用系统随着应用需求不同而千变万化， 对应用的防护和安全识别提出了高的要求，因此应用环境中对WEB应用防火墙的接入需要经过深入的分析和调研才能实现。针对一些大型的业务系统，特别是对业务连续性有较高 要求的行为如电信运营、金融证券、社会保障等需要不中断对外服务的应用 系统对部署WA产品是一个极大的挑战。如果实现部署WAF前期的准备或者让WAF工作在监测模式下而不影响正 常的业务是大型应用系统的一个钢性需求。安恒WAF产品独创的镜像监控模式彻底解决这个难题，安恒 WAF产品

13、支持端口镜像和串接镜像两种方式实现 对数据包的分布， 对安全的监测， 端口镜像模式下仅需将监测流量镜像至 WAF 即可，而不会影响网络和应用系统；串接镜像时将WAF串接入需要监测的环境，此时 WAF会自动复制一份数据包进行监测，也不会影响原有的网络及应 用。4.3.双向 SSL 的支持WEB应用防火墙技术可以完美的防护 HTTP应用系统，然而针对于 HTTPS 的应用系统则是当前 WEB应用防火墙技术的难点。基于 HTTPS的应用系统， 在网络环境常规的设备无法识别传输的应用数据，更无法识别来自应用层的 攻击。要对HTTPS应用进行应用防护，必须要求 WAF能良好的支持 HTTPS协 议并能对

14、SSL数据流进行中继。由于 SSL需要大量的数据运算对设备性能要 求高，以及需要对用户端和服务器端双向的SSL支持这些技术难点，导致很多WEB应用防火墙无法实现对 HTTPS的支持。安恒WAF支持双向的SSL环境，能对原有的HTTPS应用系统良好的适应， 无勿需改变原有环境，对 HTTPS应用系统仍可透明部署和全面防御。安恒通 过对HTTPS的支持从而实现了对 HTTP HTTPS的全面防护，解决了 WEB防火 墙无法防御HTTPS应用的短板。5. 安恒WAF的功能安恒WAF提供下列功能：深度防护WetWet站点隐藏策略设置向导安全策略检测和阻断模式 硬件旁路模式HTTPS/SSHTTPS/S

15、S啲完全支持网页防篡改日志和报表 高可操作性5.1.深度防护安恒WAF通过对Web流量进行深度检测对 Web应用进行深度防护， 提供了全面的入侵防御能力。安恒WAF能在攻击到达Web服务器之前进行阻断，防止恶意的请求 或内置非法程序的请求访问目标应用。安恒WAF能解码所有进入的请求，检查这些请求是否合法或合乎规定；仅允许正确的格式或 RFC遵从的请求通过。已知的恶意请求将被阻断，非法植入到Header、 Form 和URL中的脚本将被阻止。 Web应用防火墙还能进行 Web地址翻译、请求限制、URL格式定义及Cookie安全安恒WAF能阻止一系列的攻击， 无论是已知的或未知的。 能够阻止 那些

16、最常见的攻击如跨站点脚本攻击、 缓冲区溢出攻击、 恶意浏览、 SQL 注入等。52 Web站点隐藏成功的Web攻击往往由探测网络漏洞幵始，在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL等进行扫描。安恒WAF提供站点隐藏功能，黑客将无法查看web的源信息，安恒 WAFUR返回码，HTTP头信息以及终端服务器的IP o安恒WAF能完全的中止所有的会话，因此用户无法直接连接到Web服务器上，无法直接访问服务器、操作系统或补丁程序。访问出错信息 也将由安恒 WAF提供，后端服务器的出错信息不会直接返回给用户。这样， 避免了服务器敏感信息泄露， 也同时让一些高明的黑客就无法通过 出错

17、信息发动攻击。5.3.网页篡改监测安恒WAF实时监测网站服务器的相关是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。与此同时，WAF系统将对外显示之前的正确页面，防止被篡改的内容被访问到。WAF通过内置自学习功能获取 WEB站点的页面信息，对整个站点进 行爬行， 爬行后根据设置的文件类型 （如 html 、 css、 xml、 jpeg 、 png、 gif 、 pdf 、 word、 flash 、 excel 、 zip 等类型）进行缓存，并生成唯一 的数字水印， 然后进入保护模式提供防篡改保护， 当客户端请求页面与WAF自学习保护的页面进行比较，女口 检测到网页被

18、篡改，第一时间对管 理员进行实时告警，对外仍显示篡改前的正常页面，用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较，查看篡改记 录。也可设置仅检测模式，只对篡改进行告警，不提供防护功能。54 WE阪用加速安恒WAF为了提高被保护系统的访问速度同时消除WAF过滤分析过程中带来的延时，定制提供了应用加速功能，通过高速缓存和相关算法 镜像及管理相关的静态内容，一旦有用户访问，客户端直接通过 WAF缓存中获取，避免了用户重复通过 Web 服务器并进行协议解析等相关操 作，从而加快了访问速度，减轻了WEE服务器的负担。5.5.安全策略安恒WAF提供默认的安全策略对 Web网站或应用进行

19、严格的保护。除了默认的策略外， 用户还可以创建客户化的策略。 每个策略下分为若干子策略：HTTP协议合规性SQL注入阻断跨站点脚本攻击防护表单 /cookie 篡改防护DoS攻击防护请求包大小限制限制HTTP请求Head大小避免恶意代码通过， 超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。HTTP/HTTPS青求方法限制限制HTTP/HTTPS各种方法的访问，包括：GET POST DELETE,HEAD， CONNECTTRACE，PUT。HTTP/HTTPS青求方法限制支持黑白名单的配置，可以设定可信的访问客户端IP （白名单）而不受安全策略规则的检测；设定非

20、法的访问客户端（黑名单） ，直接 禁止其任何对 WEB服务器的访问。用户自定义规则库支持用户自定义规则库， 用户可以根据业务需求， 针对某些关键字，数据段长度等相关信息，自定义安全过滤规则。5.6.人性化运维管理安恒WAF提供了丰富的人性化运维管理数据，包括WAF自身的硬件运行状况，相关工作口的实时流量情况，各个硬件部件历史占用情况，各 个工作口的历史流量情况，系统提供了图形化的直观的统计分析界面，让 维护管理员快速掌握整体的情况。5.7.检测和阻断模式架设web应用防火墙可能意外的现象，应用某个不当的规则可能影响当前应用的正常使用， 因此不少管理员都在犹豫要不要使用最高安全 等级的过滤策略。

21、 保守监控功能可以帮助用户解决这个担忧， 利用这个 功能用户可以在不影响使用的前提下进行策略配置。安恒WAF支持检测和阻断模式功能， 在检测模式下，所有安全策略 规则都只是对应用流量数据包进行检测， 并告警，而不做任何阻断功能； 在阻断模式下， 所有的安全策略规则同时可以提供用户对单条规则的配 置：阻断（默认）或者仅检测。因此，管理员可以根据监控情况，实时 进行调整。5.8.硬件旁路模式硬件旁路：当设备出现故障或者关机时，WAF设备可以切换到硬件旁路模式，对既有的网络连接状况不会造成中断影响。5.9.HTTPS/SSL的完全支持安全套接字层 （SSL） 能提供一个加密的（公钥私钥配对）可靠的连接。许多商业网站采用 SSL传输以保障数据安全， 不过SSL的加密通常 费时费力。安恒WAF支持对HTTPS访问的完全监控和阻断能力，支持 Openssl 类加密的证书格式。 支持用户上传 WEB服务器的证书，在访问WE戌艮务 器之前进行第一轮认证， 并对访问应用流量进行彻底检查， 防止各类攻 击访问。5.10. 日志和报表安恒WAF记录了重要事件的日志信息， 日志信息非常全面涵盖了一 次访问的主要信息参数， 支持多种搜索方式， 这些日志信息可以帮助用 户搜索并分析可以流量，进而优化安全策略。安恒 WAF的报表功能十分强