Web应用安全解决方案资料

1、xxWeb应用安全解决方案 一、应用安全需求 针 对 Web 的 攻 击现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立内 部 的 业 务 应 用 系 统 ，都 离 不 开 W eb 应 用 。 W eb 应 用 不 仅 给 用 户 提 供 一 个 方 便 和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平 台。网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网 络 用 户 已 近 20 亿 ， 用 户 利 用 互 联 网 进 行 购 物 、 银 行 转 账 支 付 和 各 种 软 件 下 载，企业用户更是依赖于网络构建他 们的核心业务，对此 ，

2、Web安全性 已 经提高一个空前的高度。然 而 ， 随着黑客们 将注意 力从以往对网 络 服 务 器的 攻 击 逐 步 转 移 到 了 对 Web TOC o 1-5 h z 应用的攻击上，他们针对Web网站和应用的 攻 击 愈 演愈 烈 ，频频得手。根据Gartner的最新调 查，信 息安全攻击有 75% 都 是发 生 在 W eb应 用 而 非 网 络 层面上。同时，数据也显示，三分之二的Web 站点都相当脆弱，易受攻击。另外，据美国计算机安全协会（CSI ）/美国联邦调查局（FBI ）的研 究表 明 ，在接受调查的公司中，2004年有52% 的公 司 的信息系统遭受过外部攻击（包括系统入

3、侵、 滥 用Web应用系统、网 页置换、 盗取私人信息 及拒绝服务等 等 ） ，这些攻击给269家受访公司带来的经济损 失 超过1.41亿美元，但事实上他们之中有98% 的公司都装有防火墙。早在2002年，IDC就曾在报告中认为，“网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火墙内的Web端口都必须处于开放状态。”目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解，即可完成诸如更换 Web网站主页、盗取管理员密码、破坏整个网站数据等等 攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。. Web安全防范在 Web应用的各个层面，都会使用不同的

4、技术来确保安全性，如图示1所示。 为了保证用户数据传输到企业 Web服务器的传输安全，通信层通常会使用 SSL技术加密数据；企业会使用防火墙和IDS/IPS 来保证仅允许特定的访问， 所有不必要暴露的端口和非法的访问，在这里都会被阻止。防火墙IDS/IPSWeb应用注入式攻击已知Web服务器漏洞DoS攻击端口扫描网络层模式攻击应用服务器网页篡改数据库服务器Web服务器跨站脚本恶意执行图示1 Web应用的安全防护但是，即便有防火墙和IDS/IPS ,企业仍然不得不允许一部分的通讯经过防 火墙，毕竟 Web应用的目的是为用户提供服务，保护措施可以关闭不必要 暴露的端口，但是W eb应用必须的80和

5、443端口，是一定要开放的。可以 顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。而恶 意的用户则可以利用这两个端口执行各种恶意的操作，或者偷窃、或者操控、 或者破坏Web应用中的重要信息。然而我们看到的现实确是，绝大多数企业将大量的投资花费在网络和服务器 的安全上，没有从真正意义上保证 Web应用本身的安全，给黑客以可乘之 机。如图示3所示，在目前安全投资中，只有10%花在了如何防护应用安全 漏洞，而这却是75 %的攻击来源。正是这种投资的错位也是造成当前Web 站点频频被攻陷的一个重要因素。安全风险安全投资10%Web 应用75%90%25%网络服务器示 2 安全风险和投资

6、Web 漏 洞 TOC o 1-5 h z Web应用系统有着其固 有 的 开 发特 点：经常更改、设计和代码编写不彻底、没 有 经 过 严 格 的 测 试 等 ， 这 些 特 点 导 致 Web 应 用 出 现 了 很 多 的 漏 洞 。 另 外 ， 管理员对Web服务器的 配 置 不 当也 会造成很多漏洞。目前常用的针对Web服 务 器 和Web应用漏洞的攻击已经多达几百种，常见的攻击手段包括：注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地 存储、非法执行脚本和 系 统 命 令、 源代 码泄漏、URL访问限制失效等。攻击目 的 包 括 ：非 法 篡 改 网 页 、非 法 篡 改 数 据

7、 库 、非 法 执 行 命 令 、跨 站 提 交 信 息 、 网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。二、产品概况 iGuard 网 页 防 篡 改 系 统iGuard 网 页 防 篡 改 系 统 采 用 先 进 的 W eb 服 务 器 核 心 内 嵌 技 术 ， 将 篡 改 检 测 模 块（ 数 字 水 印 技 术 ）和 应 用 防 护 模 块（ 防 注 入 攻 击 ）内 嵌 于 W eb 服 务 器 内 部 ， 并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检 测 和 恢 复 ， 更 可 以 保 护 数 据 库 中 的 动 态 内 容 免 受 来 自

8、 于 W eb 的 攻 击 和 篡 改 ， 彻底解决网页防篡改问题。iGuard的 篡 改 检 测 模 块 使 用 密 码 技 术 ， 为网页 对 象计算出 唯 一 性的 数 字 水 印 。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被 非 法 修改 ，即 进 行 自 动 恢 复 ，保 证 非 法 网页内 容 不被公众 浏 览 。同 时 ， iGuard应 用 防 护 模 块 也 对 用 户 输 入 的 URL 地 址 和 提 交 的 表 单 内 容 进 行 检 查 ，任 何 对数据库的注入式攻击都能够被实时阻断。iGuard以国家863项 目 技术为 基 础， 全 面 保

9、护网 站的静 态 网 页和 动 态网页 。iGuard支持网页 的自 动 发布、 篡 改检 测 、 应用保 护、警 告 和 自动 恢 复，保 证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全， 完全 实 时地 杜 绝 篡 改 后 的网页 被 访 问 的 可 能 性，也 杜 绝 任 何使用 W eb 方 式 对后台数据库的篡改。iGuard 支持 所 有 主 流 的 操 作 系 统，包 括 ：Windows、 Linux、 FreeBSD、Unix TOC o 1-5 h z （Solaris、 HP-UX 、 AIX ）；支 持 常 用 的 W eb 服务器 软 件 ， 包括

10、：IIS 、 Apache、SunONE、 W eblogic、 W ebSphere 等 ； 保护 所 有 常用 的 数据 库 系 统 ，包括 ：SQL Server 、 Oracle 、 MySQL 、 Access 等 。iWall 应 用 防 火 墙iW all 应用防火墙（ Web应 用 防 护系 统 ）是 一 款 保护 Web站 点 和 应 用 免 受 来自于应用层攻击的Web防护 系统。iW all 应用防火墙实 现 了对 W eb 站点 特 别是 Web应 用 的 保护 。它 内 置 于 Web服务器软件中，通过分 析应 用 层 的用户 请 求 数 据（如URL 、 参 数 、

11、 链 接 、Cookie等），区分正常用户访 问W eb和攻击 者 的 恶 意行为，对 攻 击 行 为 进 行实 时 阻断和报警。这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命 令攻击等，黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全的目的。iW all 应 用 防 火 墙 对 常 见 的 注 入 式 攻 击 、跨 站 攻 击 、上 传 假 冒 文 件 、不 安 全 本 地 存 储、非法 执 行脚本、非法执行 系 统 命 令 、 资 源 盗 链 、源 代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。i

12、W all应用防火 墙为软件实现，适用 于 所 有 的 操 作 系 统 和Web服务器软件 ，并 且 完全对W eb应用系统透明。应用防火墙是现代网络安全架构的一个重要组成部分，它着重进行应用层的 内 容 检 查 和 安 全 防 御 ，与 传 统 安 全 设 备 共 同 构 成 全 面 和 有 效 的 安 全 防 护 体 系 。产 品 特 性篡 改 检 测 和 恢 复iGuard 支 持 以 下 篡 改 检 测 和 恢 复 功 能 ：支持安全散列检测方法；可 检 测 静 态 页 面 /动 态 脚 本 /二 进 制 实 体 ；支持对注入式攻击的防护；网页发布同时自动更新水印值；网页发送时比较网页

13、和水印值；支 持 断 线 /连 线 状 态 下 篡 改 检 测 ；支持连线状态下网页恢复；网页篡改时多种方式报警；网页篡改时可执行外部程序或命令；可以按不同容器选择待检测的网页；支持增强型事件触发检测技术；加密存放水印值数据库；支持各种私钥的硬件存储；支持使用外接安全密码算法。 TOC o 1-5 h z 自动 发 布和同步iGuard支 持 以下自动发 布 和 同 步 功 能 ：自动检测发布服务器上文件系统任何变化； 文件变化自动同步到多 个W eb服 务器 ；支持文件/目录的增加/删 除/修 改/更名 ；支持任何内容管理系统；支持虚拟目录/虚拟主机 ；支持页面包含文件；支持双机方式的冗余部

14、署；断线后自动重联；上传失败后自动重试；使 用 SSL 安 全 协 议 进 行 通 信 ；保证通信过程不被篡改和不被窃听；通信实体使用数字证书进行身份鉴别； 所有过程有详细的审计。应 用 安 全 防 护 特 性 TOC o 1-5 h z 请 求 特性限制iW all 可 以 对 HTTP 请 求 的 特 性 进 行 以 下 过 滤 和 限 制 ：请求头检查：对HTTP报文 中 请 求头的名字和长度进 行 检 查 。请求方法过滤：限制对指定HTTP请求方法的访问。请求地址过滤：限制对指定HTTP请求地址的访问。请求开始路径过滤：限 制HTTP请 求 中 的 对 指 定 开 始 路 径 地 址

15、的 访问。请求文件过滤：限制HTTP请 求中 的 对 指 定 文 件 的 访 问 。请求文件类型过滤：限制HTTP 请求中的对指定文件类型的访问。请求版本过滤：限制对指定HTTP版本的访问及完整性检查。请求客户端过滤：限制对指定HTTP客户端的访问及完整性检查。请求链接过滤：限制链接字段中含有的字符及完整性检查。鉴别类型过滤：限制对指定HTTP鉴别类型的访问。鉴别帐号过滤：限制对指定HTTP鉴别帐号的访问。内容长度过滤：限制对指定HTTP请求内容长度的访问。内容类型过滤：限制对指定HTTP请求内容类型的访问。这 些 规则 需 要 可 以 根 据 W eb 系统的实际情况进行配置和 分 站 点

16、应 用 。请 求 内容限制iW all 可以 对 HTTP请 求 的 内 容进行以下过滤和限制：URL 过 滤 ： 对 提 交 的 URL 请 求 中 的 字 符 进 行 限 制 。请 求 参数过滤： 对GET方法提交的参数进 行 检 查 （包括注入式攻 击和代码攻击）。请 求 数据过滤：对POST方法提交的数据进 行 检 查（包括注入式攻 击和代码攻击）。Cookie过滤：对Cookie内容进行检查。盗链检查：对指定的文件类型进行参考域的检查。跨站脚本攻击检查：对指定的文件类型进行参考开始路径的检查。这 些 规则 需 要 可 以 根 据 W eb 系统的实际情况进行配置和分站点 应 用 。指

17、 定 站 点 规 则iW all 可以 分 别 为 一 台 服 务 器 上不同的站点制定不同的规则，站 点 区 分 的 方 法包括：不同的端口。不 同 的 IP 地 址 。不同的主机头名（即域名）。可防范 的攻击iW all组合 以上限制 特 性 ， 可 针 对 以 下 应 用 攻 击 进 行 有 效 防 御 ：SQL数据库 注 入 式 攻 击 。脚本源代码泄露。非法执行系统命令。非法执行脚本。上传假冒文件。跨站脚本漏洞。不安全的本地存储。网站资源盗链。应用层拒绝服务攻击。对这些攻击更详细的描述见本文档第6章：常见应用层攻击简介。4. iGuard 标准部署1）两台服务器部署iGuard 至少

18、需要两台服务器：发布服务器：位于内网中，本身处在相对安全的环境中，其上部署iGuard 的发布服务器软件。Web服务器：位于公网/DMZ中，本身处在不安全的环境中，其上部署iGuard 的 Web服务器端软件。它们之间的关系如图示1所示。DMZIntranetInternet1 iGuard 两台服务器Interne） 发 布 服 务 器 TOC o 1-5 h z 发布服务器上运行 iGuard的“发布服务器软件”（Staging Server）。所有网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行。发布服务器上具有与 Web服务器上的网页文件完全相 同 的 目 录 结 构

19、，发布服务器上的任何文件/目 录 的变化都会自动和立即地反映 到 Web 服 务器的相应位 置 上 ，文 件 /目 录 变 更 的 方 法 可 以 是 任 意 方 式 的（ 例 如 ： FTP 、 SFTP 、 RCP 、 NFS 、 文 件 共 享 等 ） 。 网 页 变 更 后 ， “ 发 布 服 务 器 软 件 ” 将 其 同 步 到 Web 服 务器上。发布服务器是部署iGuard 时 新 增 添 的 机 器 ，原则需要一台独立的服务器；对于网页更新不太频繁 的 网站 ， 也 可 以 用 普 通PC机或者与担任其他工作的服务器共用。发布服务器为PC服 务 器， 其 本 身 的 硬 件

20、配置 无特定要求，操作系统可选择Windows（一般网站）或Linux（大 型网站，需 选加Linux 企业发 布 模块）。） Web 服 务 器Web 服 务器上除了原本运行的Web 服务器软件（如IIS 、 Apache 、 SunONE、Weblogic、W ebsphere等）外，还运行有iGuard的“ Web 服 务 器 端 软件”，“ W eb 服务器端软件”由“同步服务器”（SyncServer ） 和“防 篡 改模块”（ AntiTamper ） 组 成 。iGuard 同 步 服 务 器负 责 与 iGuard 发 布 服 务 器 通 信 ， 将 发 布 服 务 器 上 的

21、 所有网页文件变更同步到 Web服务器本地； iGuard 防篡改模块”作为 Web服务器软件的一个插件运行，负责对 Web请求进行检查和对网页进行完整性检查，需要对 Web服务器软件作适当配置，以使其生效。Web服务器是用户网站原有的机器，iGuard 可适应于任何硬件和操作系统。4）内容管理系统目前，大部分网站都使用了内容管理系统（CMS ）来管理网页产生的全过程， 包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中，发布服务器 部署在原有的内容管理系统和 Web服务器之间，图示2表明了三者之间的关 系。图示2标准部署图为一个已有的Web站点部署iGuard 时，Web服务器和内容管理

22、系统都沿用 原来的机器，而需要在其间增加一台发布服务器。iGuard 的自动同步机制完 全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管 理系统本身无须作任何变动。发布服务器上具有与 Web服务器上的网站文件完全相同的目录结构，任何文件/目录的变化都会自动映射到 Web服务器的相应位置上。 TOC o 1-5 h z 网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行， 变更的手段可以是任意方式的（例如：FTP 、SFTP、RCP、NFS、文件共享等 ）。网 页 变 更 后 ，发 布 服 务 器 将 其 同 步 到 Web 服 务 器 上 。无 论 什 么 情

23、 况 下 ， 不允许直接变更Web 服 务 器 上 的 页 面文 件 。iGuard一般情况下与内容管理系统分开部 署，当然它也可以与内容管理系统部署在一台机器上，在这种情形下，iGuard还可以提供接口，与内容管理系统进行互相的功能调用，以实现整合性更强的功能。集 群 和 冗 余 部 署Web 站点运 行的 稳 定 性 是最 关 键 的 。 iGuard支持 所有部件的 多 机 工 作 和 热 备 ：可 以 有多台 安装 了 iGuard 防 篡 改 模 块 和 同步服 务软件的W eb服 务 器 ， 也 可以 有 两 台 安 装 了 iGuard 发 布 服 务 软 件 的 发 布 服 务

24、 器 ，如 图 示 4 所 示 。它 实 现 了 2Xn 的 同 步 机 制 （ 2 为 发 布 服 务 器 ， n 为 Web 服 务 器 ） ， 当 2 或 n 的 单 点 失效完全不影响系统的正常运行，且在修复后自动工作。Web服务器1iGuardWeb服务器n发布服务器（备）DMZIntranet图示3集群和双机部署示意图Web服务器多机和集群iGuard 发布服务器支持1对多达64台 Web服务器的内容同步，这些 Web服务器的操作系统、Web服务器系统软件、应用脚本及网页内容既可以相同也可以不同。iGuard 实现了异种系统架构下对不同内容的统一管理。当多台Web服务器作镜像集群时

25、，iGuard 对于能够严格保证多台Web服务器内容相同。当单台 Web服务器失效时，由于 Web服务器集群前端通常有负载均衡设备，因此，它并不影响公众访问网站。同时，它的失效也不影响 iGuard 发 布 服 务 器 向 其 他 正 常 工 作 的 Web 服 务 器 提 供 内 容 同 步 。 在 失 效 期间， iGuard 发 布 服 务 器 会 尝 试 连 接 这 台 W eb 服务器，一 旦 它 修 复 后 重 新 工 作 ，即可自动进行连接，并自动进行内容同步。因此 ， W eb服 务 器 的 单 点 失 效 不 影 响 系 统 的 完整性， 并 且 在 系 统 恢 复 时 不

26、需要对其余机器作任何手工操作。发 布 服 务 器 双 机 TOC o 1-5 h z iGuard 支 持 发布 服 务 器 双 机 协 同 工 作，即 一 台 主 发布服务器和一台热备发布服 务 器 。 在 这种 部 署 情 形 下 ， 内 容 管理系统 （ CMS）需要将内容同时发布到两 台 iGuard服 务 器 上 。 在 正 常 状 态下，iGuard 主发布服务器工作，由它对所 有 W eb 服 务 器 进 行 内 容 同 步 。 显 然 ， 热 备 发 布 服 务 器 失 效 不 影 响 系 统 运 作 ， 一旦在它修复后可以从主发布服务器恢复数据，进入正常热备状态。主发布 服务

27、器如果失效（即不发心跳信号），热备发布服务器会接管工作，由它对 所 有 W eb 服 务 器 进 行 内 容 同 步 。当 主 发 布 服 务 器 修 复 后 ，两 机 同 时 工 作 ，经 过一段时间的数据交接时间，热备发布服务器重新进入热备状态。因 此 ， iGuard 发 布 服 务 器 的 单 点 失 效 也 不 影 响 系 统 的 完 整 性 ， 并 且 在 系 统 恢 复时不需要对其余机器作任何手工操作。5 iWall 标 准 部 署iW all 由以下两个模块组成 ：应用防护模块。iW all的核 心防护模块 ，内 嵌 于 Web 系 统（ Web 服 务器软件）中，与Web服务

28、 器一起运行 。配置管理模块。iW all的配置生成程序，在独立管理员机器上运行，仅在系统管理员需要改变iW all配置时才使用。两者之间没有通信连接。仅通过一个配置文件交换数据，即：配置管理模块 生成一个配置文件，将它复制到Web服务器上供应用防护模块使用。它们的关系如图示5-1所示。I 口配置文件HTTP图示二-4部署示意图采取这种配置方式的优点在于：避免直接在Web服务器上修改配置，不给黑客可乘之机。避免在 Web上新开管理网络端口，不增加新的安全隐患。在多个 Web服务器镜像时，可以快速生成统一配置。三、“上海XX” Web应用安全部署方案1 .系统现状1）拓扑图“上海X X ”网站目

29、前的网络拓扑图如图示4所示。图示5系统现状拓扑图2）要点Web网站内容既有全静态站点，也有动态应用站点；Web服务器的操作系统为Sun Salaris ;3）安全隐患目前这个系统在网页内容方面存在如下安全隐患：网页篡改：没有部署网页防篡改系统，静态网页一旦被黑客篡改，没有检查、报警和恢复机制。应用防护：没有应用防护机制，容易遭受各类web攻击，例如注入 式、跨站、上传假冒文件、不 安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等。.部署实施1）拓扑图“上海x x ”网站部署 Web应用安全产品的网络拓扑图如图示5所示。Web服务器双机iGuard Web端软件iWall应用防护模块iGuard发布服务器（主）cmsiWall配置管理模块内容管理系统发布服务器（备）DMZ Intranet图示6部署拓扑图2）要点增加：新增一台PC服务器（iGuard 发布服务器），其