安恒信息明御WEB应用防火墙产品白皮书.docx
- 文档编号:15577035
- 上传时间:2023-07-05
- 格式:DOCX
- 页数:27
- 大小:55.91KB
安恒信息明御WEB应用防火墙产品白皮书.docx
《安恒信息明御WEB应用防火墙产品白皮书.docx》由会员分享,可在线阅读,更多相关《安恒信息明御WEB应用防火墙产品白皮书.docx(27页珍藏版)》请在冰点文库上搜索。
安恒信息明御WEB应用防火墙产品白皮书
精心整理
安恒信息明御WEB应用防火墙产品白皮书摘要:
本文档描述了杭州安恒信息技Web用防火的主要功能及特点⋯关:
Web用防火,Web平安,安恒信息概述Web网站是企和用、合作伙伴及工的快速、高效的交流平台。
Web网站也容易成黑客或意程序的攻目,造成数据失,网站改或其他平安威。
根据国家算机网急技理中心〔称CNCERT/CC〕的工作告示:
目前中国的互网平安状况仍不容。
各种网平安事件与去年同期相比都有明增加。
政府和平安管理相关网站主要采用改网的攻形式,以到达泄和炫耀的目的,也不排除放置意代的可能,致政府网站存在平安患。
中小企,尤其是以网
核心的企,采用注入攻、跨站攻以及用拒服攻〔DenialOfService〕等,影响的正常开展。
2007年到2021年上半年,中国大被改网站的数量相比往年于明上升。
1.1.常见攻击手法
目前的用和网攻方法很多,些攻被分假设干。
下表列出了些最常的攻技,其中最后一列描述了安恒WAF如何攻行防。
表1.1:
对不同攻击的防御方法
攻方式
描述
安恒WAF的防方法
跨站脚本攻
跨站脚本攻利用网站漏洞攻那
通用流量,阻止
些站点的用,常目的是窃
各种意的脚本插入到
取站点者相关的用登或
URL,header及form中。
信息。
SQL注入
攻者通入一段数据代
通用流量,
窃取或修改数据中的数据。
是否有危的数据命令
或句被插入到
URL,header及form中。
精心整理
命令注入
攻击者利用网页漏洞将含有操作系
通过检查应用流量,检测
统或软件平台命令注入到网页访问
并阻止危险的系统或软件
语句中以盗取数据或后端效劳器的
平台命令被插入到
控制权。
URL,header及form中。
cookie/seesion
Cookie/seesion通常用于用户身份
通过检查应用流量,拒绝
劫持
认证,并且可能携带用户敏感的登陆
伪造身份登录的会话访
信息。
攻击者可能被修改
问。
Cookie/seesion提高访问权限,或伪
装成他人的身份登陆。
参数〔或表单〕
通过修改对URL、header和form
利用参数配置文档检测应
篡改
中对用户输入数据的平安性判断,并
用中的参数,仅允许合法
且提交到效劳器。
的参数通过,防止参数篡
改发生。
缓冲溢出攻击
由于缺乏数据输入的边界条件限制,
用户可以根据应用需求设
攻击者通过向程序缓冲区写入超出
定和限制数据边界条件,
其长度的内容,造成缓冲区的溢出,
确保不危及脆弱的效劳
从而破坏程序的堆栈,使程序转而执
器。
行其它指令。
如获取系统管理员的权
限。
日志篡改
黑客篡改删除日志以掩盖其攻击痕
通过检查应用流量,防止
迹或改变web处理日志。
.
带有日志篡改的应用访
问。
应用平台漏洞
黑客通过得悉应用平台后,可以利用
安恒WAF将阻止的
攻击
该平台的漏洞进行攻击。
当应用
攻击,并提供平安策略规
平台出现漏洞,且没有官方补丁时,
那么升级效劳,用户可以按
同样面临被攻击的风险。
方案进行平安应用策略升
级。
同时,对于高级用户,
安恒WAF提供自定义规
那么库的添加,可以针对某
些关键字,特殊应用做特
殊平安处理。
DOS攻击
通过DOS攻击请求,以到达消耗应用
可以防护所有的网络层的
平台资源异常消耗的一种攻击,最终
DoS。
包括防止
造成应用平台拒绝效劳。
SYNcookie,应用层DOS
攻击和对客户端连接速率
进行限制。
HTTPS类攻击
一些狡猾的黑客通过HTTPS进行
支持用户上传HTTPS证
HTTPS类的攻击,由于SSL加密数
书,在WAF进行第一轮
据包无法进行有效的检测,导致通用
认证,并对应用流量进行
的网络防火墙和普通WEB应用防火
解密和侦测,对HTTPS
墙无能为力。
类的所有攻击进行有效的
拦截和防御。
精心整理2.现有的防御技术目前,很多企业采用网络平安防御技术对Web应用进行防护,如综合采用网络防火墙、IDS、
补丁平安管理、升级软件等措施,然而这些方法难以有效的阻止Web攻击,且对于HTTPS类
的攻击手段,更是显得束手无策。
2.1.传统网络防火墙
第一代网络防火墙可以控制对网络的访问,管理员可以创立网络访问控制列表〔ACLs〕允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。
传统的防火墙无法阻止
Web攻击,不管这些攻击来自防火墙内部的还是外部,因为它们无法检测、阻断、修订、删除
或重写HTTP应用的请求或应答内容。
为了保障对web应用的访问,防火墙会开放Web应用的
80端口,这意味着Internet上的任意IP都能直接访问Web应用,因此web及其应用效劳器事实上是无平安检测和防范的。
状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs根底上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状
态信息进行比较,从而得到该数据包的控制信息,来到达保护网络平安的目的。
它能根据TCP
会话异常及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。
然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,
它仍然能通过防火墙到达应用效劳器;同样,如果某个攻击进行了加密或编码该防火墙也不能检测。
2.2.入侵检测系统〔IDS〕
入侵检测系统使用特征识别技术记录并报警潜在的平安威胁。
其工作模式是被动的,它不
能阻止攻击,也不能对未知的攻击进行报警。
目前大多数攻击特征数据库都是网络层的攻击,
此外,可以通过加密,TCP碎片攻击以及其他方式绕过入侵检测系统的防御。
精心整理Web平安需求企业对Web应用的平安防护主要包括如下需求:
部署简便,管理集中,操作简洁,性能影响甚微。
包括:
·对现有网络拓扑结构尽量无影响;
·方便管理,无需进行复杂的配置;
·对现有WEB效劳器的访问速率不能造成太大的影响;
·对正常业务访问不能进行错误的拦截阻断。
3.1.Web应用防火墙
Web应用防火墙的两个关键功能是,深入理解HTTP/HTTPS协议,可监测往返流量,能对
web流量进行平安控制。
Web数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。
专业的平安工具和方法应能适应这种动态环境,应用配置的升级更新和
对监测数据的分析使得应用防火墙总能适应新的平安需求.
4.安恒WAF的特点安恒WAF提供高效的Web应用平安边界检查功能。
安恒WAF整合了Web平安深度防御及站点隐藏等功能,能全方位的保护用户的Web数据中心。
通过对对所有Web流量〔包括客户端请求流量和效劳器返回的数据流量〕进行深度检测,提供了实时有效的入侵防护功能。
安恒WAF充分考虑用户已有环境的差异性,对环境兼容性、应用多样性进行了深入的分析和总结。
4.1.领先的透明代理模式
WEB应用防火墙技术经过不断的开展已经日益成熟,安恒
WAF采用业界领先
的代理技术实现WEB应用深度分析和防御。
基于代理的防火墙技术在防护深度及
细粒度方面有着包过滤防火墙无法比较的优势,但是如果代理模式处理不当也会对
网络及应用系统产生影响,最为明显的影响是对网络数据包文头的改变,导致效劳
器识别到的源地址是代理设备
IP地址,无法识别真话的访问者。
而且还会对
HTTP
应用数据流头部的影响,如增加
X-Forwarded相关的字段或影响已有的代理环境,
影响WEB业务的正常使用,以及致使WEB效劳器访问日志失效。
安恒WAF凭着对网络及应用的深入解理,以及多年的研发经验,研发的
WAF
产品继承了代理防火墙技术深度防御的特性,同时也吸纳了网络防火墙对网络及应
用透明的优点。
安恒是国内首家发布全透明代理的模式的
WEB应用防火墙厂家,
安恒WAF的部署不会对网络及应用产生任何的影响,
甚至安恒WAF的工作口不需
要配置任何的IP即可正常工作。
4.2.独创的镜像监控模式WEB应用系统随着应用需求不同而千变万化,对应用的防护和平安识别提出了高的要求,因此应用环境中对WEB应用防火墙的接入需要经过深入的分析和调研才能实现。
针对一些大型的业务系统,特别是对业务连续性有较高要求的行为如电信运营、金融证券、社会保障等需要不中断对外效劳的应用系统对部署WAF产品是一个极大的挑战。
如果实现部署WAF前期的准备或者让WAF工作在监测模式下而不影响正常的业务是大型应用系统的一个钢性需求。
安恒WAF产品独创的镜像监控模式彻底解决这个难题,安恒WAF产品支持端口镜像和串接镜像两种方式实现对数据包的分布,对平安的监测,端口镜像模式下仅需将监测流量镜像至WAF即可,而不会影响网络和应用系统;串接镜像时将WAF串接入需要监测的环境,此时WAF会自动复制一份数据包进行监测,也不会影响原有的网络及应用。
4.3.双向SSL的支持WEB应用防火墙技术可以完美的防护HTTP应用系统,然而针对于HTTPS的应用系统那么是当前WEB应用防火墙技术的难点。
基于HTTPS的应用系统,在网络环境常规的设备无法识别传输的应用数据,更无法识别来自应用层的攻击。
要对HTTPS应用进行应用防护,必须要求WAF能良好的支持HTTPS协议并能对SSL数据流进行中继。
由于SSL需要大量的数据运算对设备性能要求高,以及需要对用户端和效劳器端双向的SSL支持这些技术难点,导致很多WEB应用防火墙无法实现对HTTPS的支持。
安恒WAF支持双向的SSL环境,能对原有的HTTPS应用系统良好的适应,无勿需改变原有环境,对HTTPS应用系统仍可透明部署和全面防御。
安恒通过对HTTPS的支持从而实现了对HTTP、HTTPS的全面防护,解决了WEB防火墙无法防御HTTPS应用的短板。
安恒WAF的功能安恒WAF提供以下功能:
·深度防护
Web站点隐藏
策略设置向导
平安策略
检测和阻断模式
硬件旁路模式
HTTPS/SSL的完全支持·网页防篡改
日志和报表高可操作性5.1.深度防护
安恒WAF通过对Web流量进行深度检测对Web应用进行深度防护,提供了全面的入侵防御能力。
安恒WAF能在攻击到达Web效劳器之前进行阻断,防止恶意的请求或
内置非法程序的请求访问目标应用。
安恒WAF能解码所有进入的请求,检查
这些请求是否合法或符合规定;仅允许正确的格式或RFC遵从的请求通过。
的恶意请求将被阻断,非法植入到Header、Form和URL中的脚本将被
阻止。
Web应用防火墙还能进行Web地址翻译、请求限制、URL格式定义及
Cookie平安。
安恒WAF能阻止一系列的攻击,无论是的或未知的。
能够阻止那些
最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。
5.2.Web站点隐藏成功的Web攻击往往由探测网络漏洞开始,在网络上很容易找到漏洞扫
描工具对一个网站的应用程序、效劳器、URL等进行扫描。
安恒WAF提供
站点隐藏功能,黑客将无法查看web的源信息,安恒WAFURL返回码,HTTP
头信息以及终端效劳器的IP。
安恒WAF能完全的中止所有的会话,因此用户无法直接连接到Web效劳器上,无法直接访问效劳器、操作系统或补丁程序。
访问出错信息也将由
安恒WAF提供,后端效劳器的出错信息不会直接返回给用户。
这样,防止了效劳器敏感信息泄露,也同时让一些高明的黑客就无法通过出错信息发动攻
击。
5.3.网页篡改监测
安恒WAF实时监测网站效劳器的相关是否给非法更改,一旦发现被改那么第一时间通知管理员,并形成详细的日志信息。
与此同时,WAF系统将对外显示之前的正确页面,防止被篡改的内容被访问到。
WAF通过内置自学习功能获取WEB站点的页面信息,对整个站点进行
爬行,爬行后根据设置的文件类型〔如html、css、xml、jpeg、png、gif、pdf、word、flash、excel、zip等类型〕进行缓存,并生成唯一的数字水印,然后进
入保护模式提供防篡改保护,当客户端请求页面与WAF自学习保护的页面进行比较,如检测到网页被篡改,第一时间对管理员进行实时告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
事后可对原始文件及篡改后的文件
进行本地下载比较,查看篡改记录。
也可设置仅检测模式,只对篡改良行告警,
不提供防护功能。
5.4.WEB应用加速安恒WAF为了提高被保护系统的访问速度同时消除WAF过滤分析过程
中带来的延时,定制提供了应用加速功能,通过高速缓存和相关算法镜像及管
理相关的静态内容,一旦有用户访问,客户端直接通过WAF缓存中获取,避
免了用户重复通过Web效劳器并进行协议解析等相关操作,从而加快了访问
速度,减轻了WEB效劳器的负担。
。
5.5.平安策略
安恒WAF提供默认的平安策略对Web网站或应用进行严格的保护。
除了默认的策略外,用户还可以创立客户化的策略。
每个策略下分为假设干子策
略:
HTTP协议合规性
SQL注入阻断·跨站点脚本攻击防护·表单/cookie篡改防护
DoS攻击防护请求包大小限制
限制HTTP请求Head大小防止恶意代码通过,超过规定大小的请求将被
丢弃。
正确配置请求限制还能减轻Dos攻击、缓冲区攻击。
HTTP/HTTPS请求方法限制
限制HTTP/HTTPS各种方法的访问,包括:
GET,POST,DELETE,,HEAD,CONNECT,TRACE,PUT。
HTTP/HTTPS请求方法限制
支持黑白名单的配置,可以设定可信的访问客户端IP〔白名单〕而不受平安策略规那么的检测;设定非法的访问客户端〔黑名单〕,直接禁止其任何
对WEB效劳器的访问。
用户自定义规那么库
支持用户自定义规那么库,用户可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义平安过滤规那么。
5.6.人性化运维管理
安恒WAF提供了丰富的人性化运维管理数据,包括WAF自身的硬件运行状况,相关工作口的实时流量情况,各个硬件部件历史占用情况,各个工作口的历史流量情况,系统提供了图形化的直观的统计分析界面,让维护管理员快速掌握整体的情况。
5.7.检测和阻断模式
架设web应用防火墙可能意外的现象,应用某个不当的规那么可能影响当前应用的正常使用,因此不少管理员都在犹豫要不要使用最高平安等级的过
滤策略。
保守监控功能可以帮助用户解决这个担忧,利用这个功能用户可以在不影响使用的前提下进行策略配置。
安恒WAF支持检测和阻断模式功能,在检测模式下,所有平安策略规那么都只是对应用流量数据包进行检测,并告警,而不做任何阻断功能;在阻断
模式下,所有的平安策略规那么同时可以提供用户对单条规那么的配置:
阻断〔默
认〕或者仅检测。
因此,管理员可以根据监控情况,实时进行调整。
5.8.硬件旁路模式硬件旁路:
当设备出现故障或者关机时,WAF设备可以切换到硬件旁路
模式,对既有的网络连接状况不会造成中断影响。
5.9.HTTPS/SSL的完全支持
平安套接字层(SSL)能提供一个加密的〔公钥私钥配对〕可靠的连接。
许
多商业网站采用SSL传输以保障数据平安,不过SSL的加密通常费时费力。
安恒WAF支持对HTTPS访问的完全监控和阻断能力,支持Openssl类
加密的证书格式。
支持用户上传WEB效劳器的证书,在访问WEB效劳器之前进行第一轮认证,并对访问应用流量进行彻底检查,防止各类攻击访问。
5.10.日志和报表安恒WAF记录了重要事件的日志信息,日志信息非常全面涵盖了一次访问的主要信息参数,支持多种搜索方式,这些日志信息可以帮助用户搜索并
分析可以流量,进而优化平安策略。
安恒WAF的报表功能十分强大,在日志的根底上可以生成各种报表,还
提供报表模板,大大方便了管理员的数据分析,增强了系统的易用性。
5.11.高可操作性安恒WAF采用图形〔GUI〕管理和配置界面,直观且支持多任务,跟用户平时的使用习惯一致,可用性高。
结论杭州安恒信息技术的核心团队拥有多年互联网应用平安防卫、网络平安审计、数据库平安审计的深厚技术背景,拥有全球领先的具有完全知识产权
的平安技术;为明御WEB应用防火墙〔WAF〕的成功推出奠定了有力的根底。
安
恒WAF由资深平安专家经历数年的时间研发而成,它能够轻松应对各种复杂的
WEB应用,全面深入针对WEB应用中存在的平安弱点攻击防御。
安恒WAF旨在降低WEB应用的风险,降低国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“政府、电信、金融、证券、公安、教育、税
务、电力、电子商务〞等等所有涉及WEB应用的各个领域。
安恒WAF现有的客户涵盖公安、运营商、政府、地税、金融等各个行业,许
多企业都使用安恒WAF提升企业WEB应用的整体平安性。
杭州安恒信息技术简介
杭州安恒信息技术〔DBAPPSecurity〕,简称“安恒信息〞
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 WEB 应用 防火墙 产品 白皮书