天融信Web应用防火墙-方案白皮书

1、 天融信Web应用防火墙方案白皮书目 录 TOC o 1-3 h z u HYPERLINK l _Toc528177069 1产品功能描述 PAGEREF _Toc528177069 h 3 HYPERLINK l _Toc528177070 1.1WEB应用防火墙 PAGEREF _Toc528177070 h 3 HYPERLINK l _Toc528177071 1.1.1系统概述 PAGEREF _Toc528177071 h 3 HYPERLINK l _Toc528177072 1.1.2功能描述 PAGEREF _Toc528177072 h 3 HYPERLINK l _To

2、c528177073 2产品硬件规格及性能参数 PAGEREF _Toc528177073 h 6 HYPERLINK l _Toc528177074 2.1WAF :TWF-72138 PAGEREF _Toc528177074 h 6 HYPERLINK l _Toc528177075 3产品测试方案 PAGEREF _Toc528177075 h 7 HYPERLINK l _Toc528177076 3.1WEB应用防火墙测试方案 PAGEREF _Toc528177076 h 7 HYPERLINK l _Toc528177077 3.1.1测试环境 PAGEREF _Toc5281

3、77077 h 7 HYPERLINK l _Toc528177078 3.1.2防护能力测试 PAGEREF _Toc528177078 h 8产品功能描述WEB应用防火墙系统概述借助互联网的发展，越来越多的医疗服务开始在互联网上提供入口，以提高就医体验和效率，如网上挂号预约、网上缴费等服务，可以大幅提高工作效率，并提高用户体验，节约用户排队等待的时间。医疗服务的部分内容放到互联网上，需要将相关业务应用的入口如web应用服务器放到互联网上，而WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。SQL注入、网页挂马等安全事件，频繁发生。传统防火墙针对WEB的防护

4、能力已经不能满足日益丰富的WEB应用。Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，专门用于解决Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。功能描述全面的攻击防御能力WAF产品提供传统的基于规则的检测和主动防御两个引擎。基于规则的保护是信息安全产品最主流的防护方法，虽然对于未知攻击和0day攻击

5、缺少防护能力，但是对于大量的已知攻击可以提供精确的、细致的防护。WAF产品提供了精细的防护规则包括：跨站脚本攻击扫描器防护SQL注入攻击操作系统命令注入远程文件包含攻击本地文件包含攻击目录遍历信息泄漏WebShell检测HTTP协议异常HTTP协议违规其他类型的攻击除了基于规则的检测方法， WAF产品还应具备基于自学习建模的主动防御引擎。对于URI和POST表单，WAF产品的主动防御引擎都可以学习到其参数的个数，以及每一个参数的类型和长度。在学习一段时间之后（通常是一到两周），WAF产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下，所有不符合正向模型的参数都会被阻断，可

6、有效的防御未知威胁和0day攻击。有效的缓解拒绝服务攻击WAF产品整合了DDoS防御能力，采用分层的立体防御和业界领先的源信誉检测机制，可以有效的缓解syn flood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。WAF产品首先识别明显的攻击源，比如单个源流量明显异常，通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。第二步也是整个DDoS防御的核心：源信誉检测机制，该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来，阻断攻击流量，放行正常流量。最后一步，当所有的正常流量的总和仍然超过了目标服务器的处理能力，为了保证服务器正常工作，通过目的限速模块把放

7、行到服务器的流量限制在服务器处理能力之内。通过这种分层的防御机制，使服务器不间断的对外提供服务，保障了业务的连续性。灵活的部署模式WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。在线串接部署虽然对用户网络有一定的侵入性，但WAF产品的高可靠性设计极大的缓解了这一影响。在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。而旁路检测完全没有侵入性，对用户的网络环境不造成任何影响，但旁路检测没有提供攻击阻断的能力。在多个服务器对外提供相同服务的环境里面，WAF产品可以作为负载均衡器工作，并且提供了灵活的会话调度的能力和服务器状态检查能力。在线串接部署时，WAF产品提供了多种网络层的

8、接入方式，比如虚拟线、交换、路由。虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络，是最简单最便捷的方式。交换模式同时支持access、trunk两种方式，路由模式支持静态路由和策略路由，也就是说在用户预算受限时WAF产品可以在检测攻击的同时，充当交换机或者路由器。全64位ipv6支持WAF产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率，所以WAF产品在ipv6网络环境中具有与在i

9、pv4网络环境中一样的性能。WAF产品中处理的所有ip地址均支持ipv4和ipv6地址，所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程，使得各种应用层攻击都无所遁形。WAF产品还支持配置ipv6地址的主机管理、ipv6 SNMP网管以及支持ipv6的日志服务器等增强功能。高可用性WAF产品应采用双引擎设计，主检测引擎和影子检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行攻击检测。不同的是，正常情况下，数据流只上送到主检测引擎，影子检测引擎没有数据可以处理，相当于处于“待命”状态。一旦主检测引擎出现故障无法处理数据报文，平台底层负责数据流分发的模块会

10、及时将数据流切换到影子检测引擎，由于影子检测引擎处于准工作的“待命”状态，此时会即刻开始数据报文的检测工作，从而确保整个检测引擎的不间断工作，大幅提高了检测业务的可靠性。WAF产品支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。WAF产品支持主主、主备方式的双机热备功能，可以实现链路的高可用性产品硬件规格及性能参数WAF :TWF-72138配置说明2U机架式结构；最大配置为26个接口；4个10/100/1000BASE-T接口和4个SFP插槽，2个10/100/1000BASE-T接口（作为HA口和管理口）；默认包括2个可插拨的扩展槽双

11、电源性能描述并发连接200万吞吐率2000Mbps硬件参数尺寸：460 *426* 89mm（2U）电源：100-240V， AC，（47-63HZ），4.5-2A，300W平均无故障时间（MTBF）：超过60，000小时工作温度：045平台净重：9.07KG产品毛重：12.68KG符合的标准规范环境保护GB/T 9813-2000；电磁辐射GB/T 17618-1998 ；GB 9254-2008运输方式快递、物流其它要求接地线的数量、线径：1根,大于等于0.75平方毫米.接地线数量、线径：1根,线径大于等于0.75平方毫米.接地电阻：小于100毫欧电源品牌：新巨电源型号：R1S2-5300

12、V4V产品测试方案WEB应用防火墙测试方案测试环境 测试拓扑功能测试拓扑图：防护能力测试攻防拓扑 跨站脚本(XSS)攻击防护XSS跨站攻击防护测试分项目XSS跨站攻击测试目的攻击者通过跨站攻击可以给网站增加恶意网页链接，或者向访问用户弹出推送钓鱼页面等，通过此测试来验证waf能否对跨站攻击(包括反射性跨站和存储型跨站)进行有效防护测试步骤TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。登陆WebGoat服务器，在如下搜索框中输入跨站代码alert(hack)3、执行Submit Solution预期结果该攻击被阻止，查看TopWAF

13、攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试测试报文XSS钓鱼攻击防护测试分项目XSS钓鱼攻击测试目的通过跨站攻击，攻击者修改HTTP页面源代码，实现记录用户认证信息等功能，通过此测试来验证waf对钓鱼攻击漏洞能否能做有效防护测试步骤TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。在如下页面输入XSS攻击内容：3、执行Submit该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：预期结果测试结果 通过 部分通过 未通过 未测试备注SQL注入攻击防护数字型SQL注入攻击防护测试分项目数字型S

14、QL注入攻击测试目的SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏测试步骤TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。开启代理Webscarab，拦截如下页面后，对参数station的值进行修改，修改为101 or 1=1：3、执行Accept changes预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过

15、 未测试备注字符型SQL注入攻击防护测试分项目字符型SQL注入攻击测试目的SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏测试步骤TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。在WebGoat服务器如下页面输入参数or 1=1-3、执行Go！预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注SQL盲注

16、入攻击防护测试分项目SQL盲注入测试目的如果网站上有盲注入漏洞则攻击者可以做猜解用户名密码等探测，通过此测试来验证waf能否对盲注入漏洞能否能做有效防护测试步骤TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。在WebGoat服务器如下页面输入参数101 AND 1=13、执行Go！预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注系统命令注入攻击防护测试分项目系统命令注入攻击测试步骤TopWAF设备上开启安全策略-防护策略-OS commend攻击防护开关，在web防

17、护-服务器策略将相应安全策略进行绑定。开启代理Webscarab，拦截如下页面后，对参数station的值进行修改，增加如下字段%22%26+netstat+-an+%26+ipconfig：3、执行Accept changes预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注信息泄露防护测试分项目信息泄露测试目的当数据库或者网站无法执行用户或黑客进行的操作时往往会提示友好的提示信息，此信息中可能包含数据库厂商信息、版本信息、表信息、用户信息、网站容器版本信息等各种信息，当TopWAF检测到此种信息返回时应能阻断信息的返回并给出

18、安全提示测试步骤1、TopWAF设备上开启安全策略-防护策略-Infoleak攻击防护开关（因默认上传策略中不允许jsp文件，须将上传策略关闭）在web防护-服务器策略将相应安全策略进行绑定。2、本地生成内容为 的jsp文件3、上传到WebGoat如下页面中，上传步骤2中jsp文件：预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注本地文件包含防护测试分项目本地文件包含测试目的本地文件包含攻击是一种常见的web漏洞,应用程序在使用文件包含函数时(fopen,include,require等)，由于对用户的输入缺乏验证,导致攻击者

19、可以包含一个本地文件，如系统配置文件，TopWAF需要对该类型攻击进行防护。测试步骤TopWAF设备上开启安全策略-防护策略-LFI攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。开启代理Webscarab，拦截如下页面后，对参数File的value修改为././././conf/tomcat-users.xml：3、执行Accept changes预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注CSRF攻击防护测试分项目CSRF攻击防护测试目的攻击者利用网站对合法用户的网页浏览器的信任，劫持用户当前已登录的We

20、b应用程序的会话，迫使用户浏览器将伪造的HTTP请求（包括该用户的会话Cookie和其他认证信息）发送到已登录的Web应用程序，执行非用户本意的操作测试步骤TopWAF设备上对csrf配置对应csrf防护策略，referer值为 HYPERLINK 4/WebABC/attack 4/WebABC/attack，请求方法为全部打开如下webgoat页面，在webscared上查看referer值为 HYPERLINK 4/WebGoat/attack?Screen=52&menu=900 4/WebGoat/attack?Screen=52&menu=900，输入任意参数：3、执行Submit

21、预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注网络爬虫防护测试分项目网络爬虫防护测试目的爬虫占用大量网络带宽，对服务器影响极大。 TopWAF能及时检测到网络爬虫并进行阻断或告警处理，保护服务器不受爬虫影响。测试步骤1、首先TopWAF设备上进行服务器对象-爬虫-爬虫组配置，其中sogou属于内置爬虫，在web防护-服务器策略将相应安全策略进行绑定。将配置的爬虫组绑定到安全策略-爬虫防护中：点击任意webgoat界面，使用webscareb触发user-agent为Sogou Pic Spider/3.0(+/docs/he

22、lp/webmasters.htm#07)，如下所示： 5、执行Accept changes。预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注盗链防护测试分项目盗链防护测试目的防止别人通过一些技术手段绕过本站的资源展示页面，盗用本站的资源，让绕开本站资源展示页面的资源链接失效的技术。开启防盗链功能后，因为屏蔽了那些盗链的间接资源请求，从而可以大大减轻服务器及带宽的压力。测试步骤配置TopWAF设备安全策略-防盗链功能，增加webgoat服务器的站点名:4/WebGoat/attack，在web防护-服务器策略将相应安全策略进行

23、绑定。打开任意webgoat页面，使用webscarb将referer值配置为与步骤1中webgoat站点名不同值，如配置为2/WebGoat/attack：预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注恶意文件上传防护测试分项目恶意文件上传测试目的黑客在查找到网站管理入口及网站后台用户名密码后，往往根据网站的asp上传解析漏洞，通过将.asp的木马文件修改后缀名为图片等合法格式进行上传，以达到绕过网站后台上传格式要求的目的。上传成功则黑客将获取webshell，再进行提权黑客将可以获取服务器最高管理权限，服务器沦陷。测试步

24、骤1、配置TopWAF设备安全策略-文件上传限制，上传文件类型无jsp格式，在web防护-服务器策略将相应安全策略进行绑定。2、本地生成内容为 的jsp文件3、执行start upload：预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注敏感数据防护测试分项目敏感数据防护测试目的信用卡、身份证、电话等信息涉及个人隐私， Web服务器为用户响应敏感数据会带来用户信息的安全隐患测试步骤在服务器对象-数据类型中配置敏感数据类型为16位，校验类型为信用卡，正则为d16;配置TopWAF设备安全策略-高级设置-敏感数据设置替换字符为*，

25、替换位置为+4，在web防护-服务器策略将相应安全策略进行绑定。在网页上输入真实的信用卡号。将输入信息提交至服务器。预期结果提交后的网页显示信用卡号前4位被*号代替，敏感数据进行了防护测试结果 通过 部分通过 未通过 未测试备注双重编码还原测试分项目双重编码测试目的攻击者提交双重URL编码的请求试图绕过TopWAF等防护设备，如果Web应用程序错误的对请求做了额外的解码，将会形成攻击。测试步骤1、开启TopWAF设备安全策略-高级设置-检测多重编码开关，在web防护-服务器策略将相应安全策略进行绑定。2、开启代理Webscarab，拦截如下页面后，在URL中增加%2527： 预期结果该攻击被阻

26、止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注HTTP协议合规性检测测试分项目HTTP协议合规性检测测试目的HTTP协议合规功能是指根据HTTP报文的结构中的不同参数，对客户端发起的HTTP请求报文进行限制，拦截非法请求，保证服务器安全稳定运行。测试步骤1、开启TopWAF设备安全策略-HTTP协议合规-开关，配置最大请求头为10，在web防护-服务器策略将相应安全策略进行绑定：2、登陆webgoat任意页面预期结果该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：测试结果 通过 部分通过 未通过 未测试备注参数自学习功能测试分项目自学习功能测试目的动态智能适应收集网络环境特征，精确规范用户在Web网站中提交信息的行为，有效防护提交攻击参数行为。测试步骤开启服务器策略中自学习功能，安全策略中自学习功能使用默认配置即可在webgoat上打开如下页面并点击提交,：打开自学习报告页面查看自学习参数：手动