安恒信息明御WEB应用防火墙产品白皮书

1、1.概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的工作报告显示：目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类网站存在安全隐患。对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及应用层拒绝服务攻击(DenialOfService)等，影响业务的正常开展。2

2、007年到2009年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。1.1常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列出了这些最常见的攻击技术，其中最后一列描述了安恒WAF如何对该攻击进行防护。表1.1:对不同攻击的防御方法攻击方式描述安恒WAF的防护方法跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。通过检杳应用流量，阻止各种恶意的脚本插入到URL,header及form中。SQL注入攻击者通过输入一段数据库查询代码窃通过检查应用流量，侦测是否取或修改数据库中的数据。有危险的数据库命

3、令或查询语句被插入到URL,header及form中。命令注入攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL,header及form中。cookie/seesion劫持Cookie/seesion通常用于用户身份认证，并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/seesion提高访问权限，或伪装成他人的身份登陆。通过检查应用流量，拒绝伪造身份登录的会话访问。参数（或表单）篡改通过修改对URL、header和form中对用户输入数据的安全性判断，并且提交到服务器

4、。利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生。缓冲溢出攻击由于缺之数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限。用户可以根据应用需求设定和限制数据边界条件，确保不危及脆弱的服务器。日志篡改黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。.通过检查应用流量，防止带有日志篡改的应用访问。应用平台漏洞攻击黑客通过获悉应用平台后，可以利用该平台的已知漏洞进行攻击。当应用平台出现漏洞，且没有官方补丁时，同样面临被攻击的风险。安恒WAF将阻止已知的攻击，并提供安全

5、策略规则升级服务，用户可以按计划进行安全应用策略升级。同时，对于高级用户，安恒WAF提供自定义规则库的添加，可以针对某些关键字，特殊应用做特殊安全处理。DOS攻击通过DOS攻击请求，以达到消耗应用平台资源异常消耗的一种攻击，最终造成应用平台拒绝服务。可以防护所有的网络层的DoS。包括防止SYNcookie，应用层DOS攻击和对客户端连接速率进行限制。HTTPS类攻击一些狡猾的黑客通过HTTPS进行HTTPS类的攻击，由于SSL加密数据包无法进行有效的检测，导致通用的网络防火墙和普通WEB应用防火墙无能为力。支持用户上传HTTPS证书，在WAF进行第一轮认证,并对应用流量进行解密和侦测，对HTT

6、PS类的所有攻击进行有效的拦截和防御。2.现有的防御技术目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。2.1.传统网络防火墙第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对web应用的访问，防火墙会

7、开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web及其应用服务器事实上是无安全检测和防范的。状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而，状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器;同样，如果某个

8、攻击进行了加密或编码该防火墙也不能检测。2.2.入侵检测系统(IDS)入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的，它不能阻止攻击，也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击，此外，可以通过加密，TCP碎片攻击以及其他方式绕过入侵检测系统的防御。3.Web安全需求企业对Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：对现有网络拓扑结构尽量无影响；方便管理，无需进行复杂的配置；对现有WEB服务器的访问速率不能造成太大的影响；对正常业务访问不能进行错误的拦截阻断。31Web应用防火墙Web应用防火墙的两个

9、关键功能是，深入理解HTTP/HTTPS协议，可监测往返流量，能对web流量进行安全控制。Web数据中心是经常变化的，包括新的应用程序、新的软件模块，不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境，应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求.4.安恒WAF的特点安恒WAF提供高效的Web应用安全边界检查功能。安恒WAF整合了所有的Web安全防御功能，能全方位的保护用户的Web数据中心。安恒WAF对所有Web流量（包括客户端请求流量和服务器返回的数据流量）进行深度检测，在网络层和应用层两方面提供了广泛的入侵防护功能。安恒WAF提供多种部署模式，典型的部

10、署模式有:透明直连模式和单臂镜像监控模式。透明直连模式提供完全透明的部署方式，即对原有网络拓扑结构不造成任何影响，安恒WAF自身也不占用IP地址，从而不仅保护了Web服务器，也提高了自身的安全等级（针对安恒WAF的攻击将显得无能为力）。安恒WAF的透明直连部署如下图所示：股陽甫色”昭认衽毡宜苹貌4丈样安叵科AF邂月直连部署方式圍上图为透明直连部署方式，在该部署模式下，安恒WAF提供直连检测防御和旁路检测两种模式。直连检测防御模式：对Web流量进行安全检测，并且可以采取防御阻断措施，防止非法入侵访问和Web服务器敏感信息等流量通过；旁路检测模式：对Web流量进行镜像检测，并不采取阻断，从而既实现

11、了监控又达到了对网路性能零损耗的目的。我们推荐在部署初期采用旁路检测模式，对既有网络环境和Web服务不会产生任何负面影响，并可及时针对相关告警信息以及客户实际业务需求，做适量调整后切换到直连检测防御模式，达到既安全又保险的目的。另外我们还提供单臂镜像的监控模式：即通过网络交换机镜像口，将保护对象（Web服务器）相关的流量镜像到安恒WAF设备，实现镜像的监控模式。安恒WAF具备独立的安全策略规则库，可以对应用层数据流量进行双向检测，并对非法访问记录相关日志，用户可以实时查看WEB服务器的当前安全状况。安恒WAF提供多个保护站点的功能，WAF设备面板具备多个IN和OUT口，IN口为访问数据流入口，

12、OUT为WAF与WEB服务器的接口。多个IN和OUT口支持对多台主机的保护，用户同时也可以在OUT口接一台交换机，后端保护多台WEB服务器。安恒WAF提供一个管理口，用户可以通过管理口对WAF进行相关的配置和当前状况的查看。安恒WAF提供对HTTPS的完全防护，访问数据在WAF进行第一轮认证，并对后续访问流量进行安全检查，充分防止HTTPS类型的各种攻击方式。5.安恒WAF的功能安恒WAF提供下列功能：深度防护Web站点隐藏策略设置向导安全策略检测和阻断模式硬件旁路模式HTTPS/SSL的完全支持网页防篡改日志和报表高可操作性51web防火墙安恒WAF通过对Web流量进行深度检测对Web应用进

13、行深度防护，提供了全面的入侵防御能力。安恒WAF能在攻击到达Web服务器之前进行阻断，防止恶意的请求或内置非法程序的请求访问目标应用。安恒WAF能解码所有进入的请求，检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断，非法植入到Header、Form和URL中的脚本将被阻止。Web应用防火墙还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。安恒WAF能阻止一系列的攻击，无论是已知的或未知的。能够阻止那些最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。Web站点隐藏成功的Web攻击往往由探测网络漏洞开始，在网络上

14、很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL等进行扫描。安恒WAF提供站点隐藏功能，黑客将无法查看web的源信息，安恒WAFURL返回码，HTTP头信息以及终端服务器的IP。安恒WAF能完全的中止所有的会话，因此用户无法直接连接到Web服务器上，无法直接访问服务器、操作系统或补丁程序。访问出错信息也将由安恒WAF提供，后端服务器的出错信息不会直接返回给用户。这样，避免了服务器敏感信息泄露，也同时让一些高明的黑客就无法通过出错信息发动攻击。安全策略安恒WAF提供默认的安全策略对Web网站或应用进行严格的保护。除了默认的策略外，用户还可以创建客户化的策略。每个策略下分为若干子策略：H

15、TTP协议合规性SQL注入阻断跨站点脚本攻击防护表单/cookie篡改防护DoS攻击防护请求包大小限制限制HTTP请求Head大小避免恶意代码通过，超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。HTTP/HTTPS请求方法限制限制HTTP/HTTPS各种方法的访问，包括：GET,POST,DELETE,HEAD,CONNECT,TRACE，PUT。HTTP/HTTPS请求方法限制支持黑白名单的配置，可以设定可信的访问客户端IP（白名单）而不受安全策略规则的检测;设定非法的访问客户端（黑名单），直接禁止其任何对WEB服务器的访问。用户自定义规则库支持用户自定义规则库

16、,用户可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。5.4.检测和阻断模式架设web应用防火墙可能意外的现象,应用某个不当的规则可能影响当前应用的正常使用,因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。保守监控功能可以帮助用户解决这个担忧,利用这个功能用户可以在不影响使用的前提下进行策略配置。安恒WAF支持检测和阻断模式功能,在检测模式下,所有安全策略规则都只是对应用流量数据包进行检测,并告警,而不做任何阻断功能;在阻断模式下,所有的安全策略规则同时可以提供用户对单条规则的配置：阻断（默认）或者仅检测。因此,管理员可以根据监控情况,实时进行调整。5.6硬

17、件旁路模式硬件旁路：当设备出现故障或者关机时,WAF设备可以切换到硬件旁路模式,对既有的网络连接状况不会造成中断影响。HTTPS/SSL的完全支持安全套接字层（SSL）能提供一个加密的（公钥私钥配对）可靠的连接。许多商业网站采用SSL传输以保障数据安全，不过SSL的加密通常费时费力。安恒WAF支持对HTTPS访问的完全监控和阻断能力，支持Openssl类加密的证书格式。支持用户上传WEB服务器的证书，在访问WEB服务器之前进行第一轮认证，并对访问应用流量进行彻底检查，防止各类攻击访问。5.7日志和报表安恒WAF记录了重要事件的日志信息，日志信息非常全面涵盖了一次访问的主要信息参数，支持多种搜索

18、方式，这些日志信息可以帮助用户搜索并分析可以流量，进而优化安全策略。安恒WAF的报表功能十分强大，在日志的基础上可以生成各种报表，还提供报表模板，大大方便了管理员的数据分析，增强了系统的易用性。5.8高可操作性安恒WAF采用图形(GUI)管理和配置界面，直观且支持多任务，跟用户平时的使用习惯一致，可用性高。5.9WEB加速功能安恒WAF为了提高被保护系统的访问速度同时消除WAF过滤分析过程中带来的延时,定制提供了应用加速功能，通过高速缓存和相关算法镜像及管理相关的静态内容，一旦有用户访问，客户端直接通过WAF缓存中获取，避免了用户重复通过Web服务器并进行协议解析等相关操作，从而加快了访问速度，减轻了WEB服务器的负担6.结论杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全防卫、网络安全审计、数据库