Radware 网站安全解决方案.ppt

1、Page 1,AppWall产品介绍, 2009 Radware, Inc. All rights reserved.,Radware 陈玉奇,Page 2,Web应用安全的挑战,Slide 3,政府,Slide 4,企业,Slide 5,防不胜防,Slide 6,面子与里子预言成真,Slide 7,问题根源,全开放的系统，面对全球的目光 开发中对安全的忽视，开发人员缺乏安全意识 复杂的系统、频繁的更新 传统防御方式的缺陷 高级HTTP攻击工具的大量传播 大量的Web漏洞传播,Slide 8,OWASP 10大安全威胁(2004),A1.Unvalidated Input,A2.Broken

2、Access Control,A3.Broken Authentication/ Session Management,A4.Cross-Site Scripting Flaws,A5.Buffer Overflows,A6.Injection Flaws,A7.Improper Error Handling,A8.Insecure Storage,A9.Denial of Service,A10.Insecure Configuration Management,Slide 9,OWASP 10大安全威胁(2010),A1. Injection,A2. Cross-Site Scriptin

3、g (XSS),A3. Broken Authentication and Session Management,A4. Insecure Direct Object References,A5. Cross-Site Request Forgery (CSRF),A6. Security Misconfiguration,A7. Insecure Cryptographic Storage,A8. Failure to Restrict URL Access,A9. Insufficient Transport Layer Protection,A10. Unvalidated Redire

4、cts and Forwards,Slide 10,Web攻击类型举例,Slide 11,SQL注入,攻击者通过构造一个特殊的SQL查询语句获得对数据库或者系统的全面控制权，是目前最流行的攻击方式之一,Slide 12,SQL注入,常见的Login请求： SELECT * FROM users WHERE login = victor AND password = 123 (If it returns something then login!) ASP/MS SQL Server login syntax var sql = SELECT * FROM users WHERE login =

5、 + formusr + AND password = + formpwd + ;,Slide 13,SQL注入,formusr = or 1=1 formpwd = anything Final query would look like this: SELECT * FROM users WHERE username = or 1=1 AND password = anything,Slide 14,跨站脚本 (XSS),跨站脚本就是在加载网站页面上可运行的脚本，最终导致信息泄露。 临时脚本，需要点击URL 长期脚本，只需要简单的浏览,Slide 15,跨站脚本,含XSS漏洞的应用,3,2

6、,上传脚本、设置陷阱,攻击者向网页上传有害脚本，并被存储在数据库中,1,受害者浏览脚本,将受害者信息偷偷发送到攻击者手中,脚本在受害者的浏览器中运行，就可获得对DOM对象和cookie的完全访问权限,Custom Code,Accounts,Finance,Administration,Transactions,Communication,Knowledge Mgmt,E-Commerce,Bus. Functions,Slide 16,Cookie 篡改,cookie篡改是攻击者修改cookie（网站用户计算机中的个人信息）获得用户未授权信息，进而盗用身份的过程，攻击者可能使用此信息打开新账

7、号或者获取用户已存在账号的存取权限。,Slide 17,传统的防御方式,Slide 18,防火墙,防火墙仅作访问控制作用。 防火墙并不是为Web应用而开发，不能识别应用层的信息。 防火墙无法了解Web的输入内容，不考虑URL请求中的异常参数 防火墙不可能检测SSL信息，而大量Web应用采用SSL加密,Slide 19,IPS,IPS主要针对通用的应用开发，没有特别针对Web做优化和扩展。 传统IPS主要基于静态特征的方式进行检测，对层出不穷的Web应用漏洞无法覆盖。 IPS只能简单处理Web攻击，无法确切了解攻击目标和代码内容。 缺乏针对Web应用的理解导致IPS的误报率很高，对Web应用控制

8、力度有限。,Slide 20,防篡改系统,主要针对静态页面的非授权修改的防范，通过MD5等扫描验证来实现，实际是网页服务器功能的一个选项 只是基于特征静态的对SQL注入和跨站进行防范，无法对高级注入和攻击进行防范 无法对OWASP所定义的其他Web威胁进行防范 不支持SSL加密的Web防护 没有动态自学习过程，对网站的动态变化无能为力 只适用于静态页面发布的站点，不适合动态事务处理的商业站点,Slide 21,代码也是安全边界的重要部分,Firewall,Hardened OS,Web Server,App Server,Firewall,Databases,Legacy Systems,We

9、b Services,Directories,Human Resrcs,Billing,用户开发的应用代码,APPLICATIONATTACK,网 络 层,应 用 层,你的安全“边界”在应用层存在巨大的漏洞,Slide 22,Web 应用防火墙才是最佳选择,对应用的内容进行状态检测 双向处理 针对每个应用都基于策略防护 主动安全被动安全,串联部署 独立新型设备,结论: 须有金刚钻，来揽瓷器活,Slide 23,Radware AppWall介绍,Slide 24,Radware AppWall,AppWall是一个高性能的Web应用防火墙 AppWall探测、阻断针对Web的攻击，并且生成安全

10、事件 AppWall 截取、监控所有进出Web应用的流量 是Radware应用交付和安全解决方案的重要一环 满足企业对Web应用安全的管理需求,Slide 24,Slide 25,产品概述,AppWall 是最好的Web应用防火墙 AppWall 三大核心优势 安全性 性能 管理性,安全性 集最全面的安全防范于一身 为所有层面提供 Database, XML, HTML 自动发现安全威胁 将人为风险降到最低,性能 最佳的性能 细颗粒的安全增强 优化的安全检测手段 可随应用安全的需求而扩展,管理性 AppWall 管理整个系统 End to End 自动配置 自动识别应用架构 最全面的监测工具

11、- Logging, Reporting, forensics,Slide 26,安全性,保护内容,动态页面： Database records Pages with parameters Pages with cookies XML pages Login pages,静态页面： Media files Pages without parameters HTML files,管理站点信息： Access and login data Web application reports and statistics,Threats,Parameters Tampering,Cookie Poiso

12、ning,Database Sabotage,Session Hijacking,WebServices Manipulation,Stealth Commands,Debug Options,Backdoor,Manipulation of IT Infrastructure Vulnerabilities,3rd Party Misconfiguration,Buffer Overflow Attacks,Data Encoding,Protocol Piggyback,Cross-Site Scripting (XSS),Brute Force Attacks,Slide 27,被动安全

13、模块,主动安全模块,概念,AppWall 在识别攻击的同时，并不影响合法流量,AppWall 主动学习和建立合法流量的特征模型，从而阻断其它非法流量,优势,不需客户定制 开箱即用 简单，直接,精确识别 可防范未知攻击 无需特征库升级,安全模块,Slide 28,设备处理模式,Active 学习、报警、阻断 Passive 学习、报警 Bypass 单纯转发流量,Slide 29,完善的安全过滤器（Security Filter）,允许列表安全过滤器 验证HTTP请求是否被批准 暴力破解安全过滤器 建立行为规则并阻止潜在的攻击源IP，防范暴力破解 数据库安全过滤器 检查HTTP请求中的参数，检测

14、有害SQL注入 文件上传安全过滤器 验证文件上传及已上传文件的访问方式是否被批准 全局参数安全过滤器 通过全局参数定义可接受的HTTP请求参数 HTTP 方法安全过滤器 验证HTTP请求methods 是否被批准 访问记录安全过滤器 将HTTP头信息和载体记录进日志供以后追踪和查询 参数安全过滤器 有针对性的建立可接受的HTTP请求参数列表,Slide 30,完善的安全过滤器（续）,路径限制安全过滤器 验证HTTP请求是否在未经授权的情况下访 某些文件和目录 安全回复安全过滤器 检测回复中是否包含未经授权的信息和内容，例如信用卡号码，身份证号码 会话安全过滤器 防止远程用户使用人造会话状态信息

15、并入侵Web应用 漏洞安全过滤器 使用安全策略检测HTTP请求，验证是否含有针对漏洞的攻击 (基于特征码). Web服务安全过滤器 验证对外提供的服务器和操作时被批准的。 XML 安全过滤器 验证Post请求中的XML语句，分析封装在XML参数中信息，供后续的安全过滤器来使用,Slide 31,根据自定义的列表来允许用户的请求 用户请求与预定义的页面或者扩展名不匹配则被阻断 只有匹配预定义页面或者扩展名的请求才被转发到后台应用 用户列表缺省是为空 如果这个过滤器被启动而列表为空时，所有的请求都会被阻断，并生成日志 支持全局配置和应用层面的配置 支持自动配置,允许列表安全过滤器,Slide 32

16、,允许列表安全过滤器,Slide 33,允许列表安全过滤器,Slide 34,防止远程用户猜测用户名和口令 探测自动化的暴力破解过程，并阻断攻击者的IP 能够阻断攻击者通过自动的工具实现的攻击 根据Web服务器正常或者异常的响应来判断,暴力破解安全过滤器,Slide 35,暴力破解安全过滤器,Slide 36,暴力破解安全过滤器,Slide 37,探测可能存在威胁的各种参数，是否包含有害的数据库命令 验证参数与输入值，确认其内容与标准输入是否一致 探测到试图对数据库操作的行为时进行告警，自动生成攻击特征 支持自动配置,数据库安全过滤器,Slide 38,数据库安全过滤器,Slide 39,数据

17、库安全过滤器,Slide 40,监控Web应用改程序的文件上传行为 任何文件的上传都会告警 可以通过配置这个过滤器来定义何种上传行为才会告警，配置参数包括： 应用路径 定义允许上传的目标 扩展名 定义允许上传的文件类型 HTTP方法 PUT或者POST 作为上传的方法 提取权限 定义用户是否允许提取上传的文件,文件上传安全过滤器,Slide 41,文件上传安全过滤器,Slide 42,文件上传安全过滤器,Slide 43,验证参数类型的值 能够被用于验证在其他安全过滤器中定义的参数类型 能够全局配置或者针对特定应用路径 针对 URL, Path, XML, WebServices和Cookie

18、 进行参数的验证 根据以下顺序提供两类处理机制: 针对每个列出的表达式进行全局的处理 应用路径级别的处理 验证以下参数类型： Long, Float, Numeric, Alpha, AlphaNum, Expression, String and Null Parameter,全局参数安全过滤器,Slide 44,全局参数安全过滤器,Slide 45,全局参数安全过滤器,Slide 46,根据Http验证请求的合法性 针对特定的路径或页面确定允许哪些Http方法 可以进行全局或者特定路径的定义 特定路径的Http方法定义优先级高于全局定义 一旦启用这个过滤器，用户请求中带有未经定义的Http

19、方法将被阻断,Http方法安全过滤器,Slide 47,Http方法安全过滤器,Slide 48,Http方法安全过滤器,Slide 49,允许记录请求和响应的数据 被用于Troubleshooting或者记录非法请求 允许用户根据请求或者响应定义以下的属性： 记录的文件名 最大的文件大小 记录所有的请求或者响应头信息 记录所有的请求或者响应 缺省情况下，记录文件在: .EventLogging 目录下,访问记录安全过滤器,Slide 50,访问记录安全过滤器,Slide 51,访问记录安全过滤器,Slide 52,验证用户请求中的参数，当出现非法参数时进行告警 运行在两种模式下Can ope

20、rate in 2 modes: 只检查列出的参数，允许其他参数请求直接通过 只检查列出的参数，阻断其他所有参数请求（缺省） 可以设置成只验证参数名称，也可以验证参数的值 支持正则表达式去定义特定的名称和数值 根据以下条件来验证参数的值: 数值类型 范围 最大/最小长度 参数顺序 空值 正则表达式 支持自动配置,参数安全过滤器,Slide 53,参数安全过滤器,Slide 54,参数安全过滤器,Slide 55,自定义不允许访问的路径或者页面 请求中带有列表中定义的路径或页面会被阻断 只有不匹配列表中的页面或者路径才被允许 和“允许列表”配合例子，允许用户访问某一类型的页面（允许列表），但是阻

21、断特定的文件或者子目录（路径限制）,路径限制安全过滤器,Slide 56,路径限制安全过滤器,Slide 57,路径限制安全过滤器,Slide 58,屏蔽回应的数据包中存在敏感信息泄露的可能，包括 信用卡号 社会保障号 用户自定义信息 检测每个回应包中匹配定义的模板和数值 这样回应既可以被阻断，也可以通过星号的方式进行隐藏,安全回复安全过滤器,Slide 59,安全回复安全过滤器,Slide 60,安全回复安全过滤器,Slide 61,防止远程用户提交被修改过的会话状态信息 防止攻击者修改Cookie的初始值 防止远程用户修改隐藏在HTML表单中的并提交给应用程序 原始回应数据包中的值都是被加

22、密的，AppWall验证数值是否被修改后再次提交 如果数值被修改过，那么后继的请求将会被阻断，并生成告警,会话安全过滤器,Slide 62,会话安全过滤器,Slide 63,会话安全过滤器,Slide 64,检测请求中是否存在已知的漏洞特征 当请求中包含已知特征或者参数的表达式时，AppWall会进行告警 特征的检测基于： URL, Header, Body 和请求的参数,漏洞安全过滤器,Slide 65,漏洞安全过滤器,Slide 66,漏洞安全过滤器,Slide 67,快速消除误报,Slide 68,Active 全面的入侵检测和告警并阻断非法流量； Passive 全面的入侵检测和告警但

23、是不阻断非法流量； Learn 记录能够触发安全过滤器的请求，允许用户以后配置消除误报； Disable 特定过滤器关闭；,安全过滤器的运行模式,Slide 69,Full Auto AppWall自动判断是否开启或关闭特定的过滤器 Auto Enabled AppWall自动判断过滤器的运行模式：Passive 或者Active Auto Refinements 自动消除某些过滤器的误报： AllowList, Parameters,Database Manual 手动配置安全过滤器,安全过滤器的自动配置,Slide 70,AppWall在阻断非法请求时返回给用户的页面 定义在主机层面,安全

24、页面,Slide 71,性能,根据应用的路径设置优化的安全规则粒度 根据不同的应用设置最优化的策略 动态调整应用需求 检测必须检测的内容 优化应用性能 优化系统,无限的AppWall集群 根据应用需求轻松扩展性能,Slide 72,管理性,AppWall 管理整个应用安全系统,Security Management Automatic Discovery of Application Structure No need to know, define or understand the Application Automatic Configuration of security policy

25、 Automatic Policy creation and refinement Zero Manual work Lowest proficiency levels required Lowest Risk of Human Error Lowest TCO and OPEX,事件管理 最完善的监控、日志和数据管理工具 安全信息管理雷达图 Security Forensic Dashboard 管理, 系统, 初始化、提交和安全日志 应用、过滤器事件，应用报告,Slide 73,AppWall事件Dashboard,Slide 74,直观的管理和安全日志,Slide 75,事件图,Slide 76,AppWall 技术参数,Slide 77,AppWall 技术参数,Slide 78,AppWall 技术参数,Slide 79,Radware 整体Web安全解决方案,Slide 80,AppWal