Web应用安全产品简介及主流品牌产品对比

深圳市信息网络中心内网加固研讨深圳市能士信息安全有限公司2011.3目录背景12网页防篡改3Web应用防火墙4结束Web安全威胁成为政府机关及企业最猛烈的攻击之一在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻；Web架构在成本与应用能力方面的优势，使得越来越多的企业和机构将应用迁移到基于Web的基础架构；政府单位web应用作为信息公开的窗口，需要提供优质服务、整合政府资源、增强政府与公众的互动以及增加亲和贴身的服务形式；伴随着在线信息和服务可用性的提升，以及基于Web的攻击和破坏的增长，安全风险达到了前所未有的高度；Web威胁所具备的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素；Web安全威胁已经成为对政府机关及企业来说最为猛烈的攻击之一。Web安全都涉及哪些方面的内容？广义上，Web安全包括Web服务器安全、Web客户端（即浏览器）安全；一般情况下，谈到的Web安全主要指Web服务器安全。Web服务器可以分三层，底层是操作系统，中间层是Web服务程序、数据库服务、其他通用组件（如ASP、PHP等）、上层是实现特定应用的网页程序。根据Web服务器的层次架构，Web服务器安全包括了底层操作系统安全、中间层通用组件的安全、上层网页程序的安全。Web安全主要面临的威胁网页篡改（Web服务器层次架构的任何一层出现安全问题都可能导致“网页篡改”，底层操作系统的漏洞可能会导致整台Web服务器都被黑客非法控制，从而篡改任意网页；中间层通用组件的安全问题会导致Web业务相关的权限被黑客非法获取，从而被上传恶意网页；上层网页程序相关的安全漏洞有SQL注入漏洞、跨站脚本漏洞等，攻击者可以利用这些漏洞造成“网页篡改”。）SQL注入攻击（利用Web网页程序对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库的攻击方式；SQL注入对Web网站的攻击后果：非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。）DDOS攻击(分布式拒绝服务攻击)“网页篡改”只是暴露Web安全问题的一种形式，事实上，存在着比“网页篡改”更严重的Web安全问题，如网页挂马、敏感信息失窃、数据破坏、网站成为傀儡机等。被篡改网站统计WEB应用价值的破坏与损失信息泄露拒绝服务监管部门投诉网页篡改非法入侵网站访问者服务提供者+基础网络提供者社会公信力下降名誉受损用户流失经济损失追责网页被篡改非法内容用户信息泄露个人信息丢失个人信息被篡改恶意程序下载网站无法访问Web安全防范网页防篡改系统（通过WEB防护、实时阻断、流出检测等方式进行网页保护，可以有效地防止WEB非法访问，SQL注入攻击，网页文件篡改等操作。）Web应用防火墙（WAF）

（Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。）目录背景12网页防篡改3Web应用防火墙4结束目录2网页防篡改1网页防篡改技术介绍2主流产品品牌和技术路线3InforGuard与iGuard对比网页防篡改系系统功能功能简述：实时监控网站站状态，自动动快速恢复网网站应用保障网站系统统持续可用网页防篡改工工作流程目录2网页防篡改1网页防篡改技技术介绍2主流产品品牌牌和技术路线线3InforGuard与iGuard对比网页防篡改系系统主流产品品品牌及技术术路线UnisGuard1、UnisGuard产品概述UnisGuard网页防篡改系系统是一款网站页页面级防护产产品。UnisGuard的主要功能是是通过文件底底层驱动技术术对Web站点目录提供供全方位的保保护，防止入入侵者或病毒毒等对目录中中的网页、电电子文档、图图片、数据库库等任何类型型的文件进行行非法篡改和和破坏。UnisGuard保护网站安全全运行，维护护政府和企业业形象，保障障互联网业务务的正常运营营，彻底解决决了网站的非非法修改的问问题，是高效效、安全、易易用的新一代代网页防篡改改系统。2、iGuard产品概述iGuard网页防篡改系系统是目前国内能能够完全保护护网站不发送送被篡改的页页面内容的Web页面保护软件件。iGuard以国家863项目先进技术术为基础，使使得其性能和和安全性大大大优于同类产产品。iGuard支持网页的自自动发布、篡篡改检测、警警告和自动恢恢复，保证传传输、鉴别、、审计等各个个环节的安全全。iGuard使用了先进和和可靠的Web服务器核心内内嵌技术，在在部分操作系系统上辅助以以事件触发式式技术，从而而完全实时地地杜绝篡改后后的网页被访访问的可能性性。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，支支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服务器软件。。网页防篡改系系统主流产品品品牌及技术术路线iGuard3、InforGuard产品概述InforGuard网页防篡改系系统是目前国内采采用四重防护护技术、既完完全保护网站站不发送被篡篡改的页面内内容又保证网网站内无被篡篡改页面滞留留的Web页面保护软件件。InforGuard的主要功能是是实时监控用用户的Web站点，洞察黑黑客、病毒等等对网站的网网页、电子文文档、图片等等文件进行破破坏或非法修修改。一旦文文件遭到破坏坏，系统会立立即恢复被破破坏的文件，，并向管理人人员报警。InforGuard的四重防护技技术使其在防防篡改理念、、安全性及性性能等诸多方方面远远领先先于同类产品品。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，支支持IIS、Apache、Weblogic、WebSphere等主流的Web服务器软件。。网页防篡改系系统主流产品品品牌及技术术路线InforGuard目录2网页防篡改1网页防篡改技技术介绍2主流产品品牌牌和技术路线线3InforGuard与iGuard对比InforGuard与iGuard对比-防篡改机制防篡改机制对对比InforGuard采用了独特的的四重防护技术术。第一重防护护——采用实时阻断断技术，实现现进程式篡改改检测引擎，，阻断非法进进程对网站的的篡改；第二二重防护——采用事件触发发技术，实现现触发式篡改改检测引擎，，瞬间清除被被非法篡改的的网页，并实实时恢复；第第三重防护——采用核心内嵌嵌技术，实现现内嵌服务器器式篡改检测测引擎，实时时确保每个对对外发送的网网页的正确性性；第四重防防护——结合事件触发发技术，实现现灾难型篡改改检测引擎，，与服务器联联动，应对灾灾难式网络攻攻击事件。iGuard采用双引擎防护技技术。引擎1——实时阻断，使使用增强型事事件触发式技技术，截获所所有写文件调调用，对于其其中的非法写写行为实施了了实时阻断，，让常规黑客客的篡改行为为即时落空，，同时发出报报警。引擎2————核心心内内嵌嵌，，将将篡篡改改检检测测的的核核心心内内嵌嵌到到Web服务务器器中中，，仅仅在在网网页页信信息息流流出出Web服务务器器时时进进行行检检测测。。InforGuard与iGuard对比-功能比较较监控与恢恢复1功能列表InforGuardiGuard篡改检测与恢复机制四重防护双引擎防护保护文件类型所有所有断线状态下的自动监控与保护支持（但是仅清除篡改文件，不恢复）支持（但不清除和恢复篡改文件）支持网页发送时的水印比较，确保网页的合法性支持支持支持多Web/应用服务器的并发验证支持支持Web服务器负载低低带宽占用无无检测时间实时或者接近实时接近实时InforGuard与iGuard对比-功能比较较监控与恢恢复2功能列表InforGuardiGuard绕过检测机制不可能不可能防范连续篡改攻击能（一定程度上）能保护所有网页能能动态网页脚本支持支持适用操作系统所有所有上传时检测能能断线时保护能能是否可能漏过检测不能不能InforGuard与iGuard对比-功能比较较发布与同同步功能能功能列表InforGuardiGuard支持自动/手动精确同步支持支持支持自动/手动增量同步支持支持支持集群、多机热备，自动执行多个Web/应用服务器的同步支持支持，但没有集群的概念支持多虚拟主机/目录的并发同步支持支持支持各种发布工具或发布方式支持不支持支持内容管理系统支持不支持支持网络异常的自动恢复支持支持支持发布失败的自动重新发布支持支持InforGuard与iGuard对比-功能比较较服务器联联动功能列表InforGuardiGuard封锁服务端口联动支持不支持断开网络联动支持不支持关闭服务器联动支持不支持停止Web服务联动支持不支持自定义联动条件和联动措施支持不支持InforGuard与iGuard对比-资质比较较InforGuard所获资质质国家公安安部颁发发的计算算机信息息系统安安全专用用产品销销售许可可证国家保密密局颁发发的涉密密信息系系统产品品检测证证书国家信息息安全测测评认证证中心颁颁发的信信息安全全产品认认证iGuard所获资质质国家信息息安全测测评认证证中心的的信息安安全产品品认证公安部计计算机信信息系统统安全专专用产品品销售许许可证目录录背景12网页防篡篡改3Web应用防火火墙4结束目录录3Web应用防火火墙1Web应用防火火墙技术术介绍23安恒与绿绿盟产品品对比主流产品品品牌和和技术路路线Web应用防火火墙（WAF）技术介介绍Web应用防火火墙（WebApplicationFirewall，简称WAF）基于对HTTP/HTTPS流量的双双向解码码和分析析，可应应对HTTP/HTTPS应用中的的各类安安全威胁胁，如SQL注入、XSS、跨站请请求伪造造攻击（（CSRF）、Cookie篡改以及及应用层层DDoS等，能有有效解决决网页篡篡改、网网页挂马马、敏感感信息泄泄露等安安全问题题，充分分保障Web应用的高高可用性性和可靠靠性。WAF不同于传传统防火火墙传统防火火墙的弱弱点：工工作在三三四层，，攻击可可以从80或443端口顺利利通过防防火墙检检测。传统防火火墙需要要架设在在网关处处，而Web应用防火火墙则部部署在Web客户端和和Web服务器之之间。传统防火火墙只是是针对一一些底层层（网络络层、传传输层））的信息息进行阻阻断，提提供IP、端口防防护，对对应用层层不做防防护和过过滤；而而Web应用防火火墙则专专注在应应用核心心层，对对所有应应用信息息进行过过滤，从从而发现现违反预预先定义义好的安安全策略略的行为为。Web应用防火火墙（WAF）技术介介绍WAF不同于IPS（入侵防防御系统统）IPS入侵防御御的弱点点在于它它基于已已知漏洞洞和攻击击行为的的防护，，而且不不能终止止和处理理SSL流量。WAF能完整地地解析HTTP，支持各各种HTTP编码，提提供严格格的HTTP协议验证证，提供供HTML限制，支支持各类类字符集集编码，，具备response过滤能力力。WAF提供应用用层规则则：Web应用通常常是定制制化的，，传统的的针对已已知漏洞洞的规则则往往不不够有效效。WAF提供专用用的应用用层规则则，且具具备检测测变形攻攻击的能能力，如如检测SSL加密流量量中混杂杂的攻击击。目录录3Web应用防火火墙1Web应用防火火墙技术术介绍23安恒与绿绿盟产品品对比主流产品品品牌和和技术路路线主流WAF产品品牌牌及技术术路线国内外主主流WAF厂商主要要有：安恒信息息(DBAPPSecurity)、绿盟(NSFOCUS)、铱讯信信息、天天泰、、宝界、、中软软华泰、、金电电网安、、梭子子鱼(BARRACUDA)，思科(Cisco)，思杰(Citrix)，飞塔(Fortinet)、F5、Radware、Imperva、Fortiweb等其中安恒信息息(DBAPPSecurity)、绿盟(NSFOCUS)、铱讯信信息、天天泰、、宝界、、中软软华泰、、金电电网安为为国内厂厂商WEB应用防火火墙的工工作机理理Web应用防火火墙主要要致力于于提供应应用层保保护，通通过对HTTP/HTTPS及应用层层数据的的深度检检测分析析，识别别及阻断断各类传传统防火火墙无法法识别的的WEB应用攻击击。WEB应用防火火墙局域网交交换机Web服务器DB服务器1280端口HTTP请求5/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--检测到如下异常：类型异常长度异常值异常34防火墙5深度防御御引擎深度度检测有效识别别、阻止止日益盛盛行的WEB应用黑客客攻击跨站点脚脚本(XSS)注入式攻攻击，包包括SQL注入、命命令注入入恶意编码码非法编码码已知弱点点和错误误配置隐藏字段段会话劫持持参数篡改改缓冲区溢溢出Cookie更改应用层拒拒绝服务务输入信息息控制扫描防护爬虫防护盗链防护CSRF防护……HTTPS深度解析32目录3Web应用防火墙墙1Web应用防火墙墙技术介绍绍23安恒与绿盟盟产品对比比主流产品品品牌和技术术路线安恒信息与与绿盟WAF产品对比核心技术与价格安恒绿盟品牌厂家情况国内自主研发品牌国内品牌国内自主知识产权有有产品资质公安部销售许可证书、软件著作权证书、中国国家信息安全测评认证中心强制认证证书、入围2010中央国家机关政府采购协议供货名单。公安部销售许可证书、软件著作权证书、军用产品认证部署模式网络及应用透明支持支持多路由环境支持支持Trunk支持支持支持多链路支持支持支持旁路审计支持不支持SSL支持支持SSL透传仅支持SSL代理，不支持服务器为HTTPS类型的防护安恒信息与与绿盟WAF产品对比核心技术与价格安恒绿盟应用兼容性请求头全透明支持支持头部重点字段可控支持HTTP协议版本统一不支持虚拟主机支持支持主流认证方式支持支持单点冗余方案双机热备支持支持网桥BYPASS支持支持物理BYPASS支持支持御功能协议规范性检查有有请求头字段识别能力支持支持响应头识别能力支持支持响应体识别能力支持不支持基于字符特征匹配能力支持支持基于行为特征匹配能力支持支持Cookie支持支持User-Agent支持不支持POST大包支持不支持URL编码绕过支持不支持安全引擎健壮性（禁止绕过安全引擎检查）支持支持安恒信息与与绿盟WAF产品对比核心技术与价格安恒SQL注入攻击GET及POST和Cookie漏报率10%。User-Agent内的漏报率100%GET及POST和Cookie漏报率10%。User-Agent内的漏报率100%跨站脚本攻击GET、POSTCookie及User-Ag