华为WAF5000系列Web应用防火墙技术白皮书

华为WAF5000系列Web应用防火墙技术白皮书目 录华为WAF5000系列Web应用防火墙技术白皮书目 录1 概述12 常见攻击手法23 现有防御技术43.1 下一代防火墙43.2 入侵防御系统44 Web安全需求55 WAF产品介绍15.1 纵深防御15.1.1 网络主机安全25.1.2 Web服务安全透明代理25.1.3 Web应用安全三大核心技术35.1.4 内容分析与响应检查45.2 快速应用交付45.2.1 TCP协议加速45.2.2 高速缓存55.3 安全监控与服务发现55.3.1 自动服务发现55.3.2 安全监控55.3.3 性能监控65.4 多种接口兼容65.4.1 SNMP接口65.4.2 Syslog接口65.4.3 邮件与短信告警接口65.4.4 WebService接口66 功能特点76.1 使网站更安全76.1.1 双模式安全引擎76.1.2 黑名单安全技术76.1.3 白名单安全技术76.1.4 IP信誉库86.1.5 区域访问控制86.1.6 智能防护86.1.7 CC精准防护86.1.8 虚拟补丁86.2 使访问更快速86.2.1 服务优先原则的高性能算法86.2.2 多种加速方案86.2.3 高速缓存86.3 使运维更简单96.3.1 服务自发现96.3.2 策略自学习建模96.3.3 策略规则在线更新96.3.4 支持PCI-DSS报表功能96.3.5 规则误判分析96.4 透明直连模式106.5 反向代理106.6 旁路监控116.7 HA双机模式透明串接116.8 VRRP反向代理1313华为WAF5000系列Web应用防火墙技术白皮书华为WAF5000系列Web应用防火墙技术白皮书关键词：WAF、SQL注入、XSS、CSRF摘 要：本文详细介绍常见攻击手段、防御技术、华为WAF功能特点和部署模式。名称缩写完整拼写中文解释WAFWeb Application FirewallWeb 应用防火墙SQL注入SQL InjectionSQL注入XSSXCross-Site Scripting跨站脚本攻击CSRFCross-site request forgery跨站请求伪造华为WAF5000系列Web应用防火墙技术白皮书4 功能特点1 概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。华为Web应用防火墙是华为结合多年在应用安全攻防基础理论和安全漏洞研究实践经验基础研发完成的针对网站全方位安全防护产品，采用黑名单安全技术、白名单安全技术、参数自学习建模技术、行为建模分析技术等先进技术，提供Web应用实时深度防御、Web应用加速、敏感信息防泄露、网页防篡改等功能，能够抵御各类针对Web应用的外来攻击，最大限度的保障网站运行安全。同时，华为WAF满足PCI、等级保护、企业内部控制规范等各类法律法规。该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于涉及Web应用场景的政府、运营商、金融、企业等行业。2 常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列出了这些最常见的攻击技术，其中最后一列描述了华为WAF如何对该攻击进行防护。攻击方式描述华为WAF的防护方法跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。通过检查应用流量，阻止各种恶意的脚本插入到URL, header及form中。SQL 注入攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL, header及form中。命令注入攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL, header及form中。cookie/session劫持Cookie/session通常用于用户身份认证，并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/session提高访问权限，或伪装成他人的身份登陆。通过检查应用流量，拒绝伪造身份登录的会话访问。参数（或表单）篡改通过修改对URL、header和form中对用户输入数据的安全性判断，并且提交到服务器。利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生。缓冲溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限。用户可以根据应用需求设定和限制数据边界条件，确保不危及脆弱的服务器。日志篡改黑客篡改删除日志以掩盖其攻击痕迹或改变Web处理日志。.通过检查应用流量，防止带有日志篡改的应用访问。应用平台漏洞攻击 黑客通过获悉应用平台后，可以利用该平台的已知漏洞进行攻击。当应用平台出现漏洞，且没有官方补丁时，同样面临被攻击的风险。华为WAF将阻止已知的攻击，并提供安全策略规则升级服务，用户可以按计划进行安全应用策略升级。同时，对于高级用户，华为WAF提供自定义规则库的添加，可以针对某些关键字，特殊应用做特殊安全处理。CC攻击通过CC攻击请求，以达到消耗应用平台资源异常消耗的一种攻击，最终造成应用平台拒绝服务。通过请求速率和请求集中度多重检测算法可以有效的对CC攻击进行防御HTTPS类攻击一些狡猾的黑客通过HTTPS进行HTTPS类的攻击，由于SSL加密数据包无法进行有效的检测，导致通用的网络防火墙和普通Web应用防火墙无能为力。支持用户上传HTTPS证书，在WAF进行第一轮认证，并对应用流量进行解密和侦测，对HTTPS类的所有攻击进行有效的拦截和防御。现有防御技术目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。2.1 下一代防火墙下一代防火墙可以实现对应用、用户、内容、威胁、时间、位置6个维度的全面感知，提供精细的业务访问控制和加速。入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别相结合，有效提高了威胁防御的效率和准确性。具备全面的防护功能，一机多能，有效降低管理成本。精细的带宽管理和QoS优化能力有效降低企业的带宽租用费，确保关键业务体验。持续、简单、高效地提供下一代网络安全。但是无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器；同样，如果某个攻击进行了加密或编码该防火墙也不能检测。2.2 入侵防御系统IPS（Intrusion Prevention System ）入侵防御系统具有对所保护的网络环境感知能力、深度应用感知能力、内容感知能力，以及对未知威胁的防御能力，实现了更精准的检测能力和更优化的管理体验。更好地保障客户应用和业务安全，实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。虽然也可以对一些应用层攻击进行识别和防御，但是深度不够，无法实现网站防篡改、挂马检测和阻断等功能。Web安全需求企业对Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：l 对现有网络拓扑结构无影响。l 方便管理，无需进行复杂的配置。l 对现有Web服务器的访问速率不能造成太大的影响。l 对正常业务访问不能进行错误的拦截阻断。Web应用防火墙的两个关键功能是，深入理解HTTP/HTTPS协议，可监测往返流量，能对Web流量进行安全控制。Web数据中心是经常变化的，包括新的应用程序、新的软件模块，不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境，应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求。3 WAF产品介绍华为WAF系列Web应用防火墙（简称：华为WAF）提供高效的Web应用安全边界检查功能。华为WAF整合了Web安全深度防御及站点隐藏等功能，能全方位的保护用户的Web数据中心。通过对所有Web流量（包括客户端请求流量和服务器返回的数据流量）进行深度检测，提供了实时有效的入侵防护功能。华为WAF充分考虑用户已有环境的差异性，对环境兼容性、应用多样性进行了深入的分析和总结。3.1 纵深防御华为WAF结合多年研发经验，充分考虑Web应用系统可能存在的安全风险，通过对网络层、Web服务层、Web应用程序层、应用内容属性四个层面进行全方位安全分析与防御。针对各个层面不同的安全属性，分别采取相互独立的安全防御技术针对性防御，从整体上提升Web应用的安全防御能力。如下图所示华为WAF分别在网络层、Web服务层、应用程序层、应用内容四个层面全面的安全检测与防御。3.1.1 网络主机安全Web应用安全与其他业务系统一样，安全与否取决于是否建立了完善的安全机制，因此网络层的安全也必不可少。尤其是当前一些攻击行为以DMZ区跳板机、旁注、ARP欺骗等攻击手段的大量应用，网络主机安全显的尤为重要。3.1.2 Web服务安全透明代理华为WAF采用当前最为主流的透明代理技术架构，以Web服务代理技术形成的天然屏障解决了传统网络重组技术的在系列难题，主要的技术优势表现在如下几个方面：l 解决了HTTP慢攻击等诸多网络层问题传统入侵防御技术架构基于数据高速缓存分析机制，安全设备对流经的数据流量进行缓存分析，安全检测后针对缓存的数据包采取相应的安全措施。HTTP慢攻击通常采用较长的时间分多个数据包构成一个完整的HTTP请求，而传统入侵防御技术引擎为了实现最低的安全检测延时，必须将缓存时间尽可能缩短，从而无法识别精心构架的HTTP慢攻击行为。除此之外网络层诸如碎片包攻击行为也通常困绕传统入侵防御架构的Web应用防火墙。华为WAF构建了双向的独立HTTP请求与服务，实现对每个HTTP事务级别的识别与转发。如果环境中存在HTTP慢攻击行为，那么Web应用防火墙会等待这个HTTP请求数据完全到达或进行超时处理，其余正常的请求将被快速转发，彼此相互独立不受影响。l 实现了全面协议规范性审查华为WAF可以严格遵守RFC标准或者允许具体应用微小的偏差来实现HTTP协议验证。可实现快速的防御包括缓冲区溢出攻击、恶意编码、HTTP走私以及非法服务器操作在内的大量协议滥用行为。华为WAF的部署可以有效的隐藏Web服务容器存在的安全问题，同时也可有效缓解针对Web服务容器发起的攻击，诸如针对Apache容器的分片下载DDOS攻击、针对PHP开发语言的DDOS攻击等。代理架构的防护技术可以实现但不限于如下类型的安全过滤，并解决了跨包攻击、碎片包攻击等试图绕过安全检测的攻击行为：1）双URL 编码URL编码是用于在HTTP请求字段 (例如URL)中嵌入非打印字符或特殊字符的标准基本格式。字符以百分符号("%") 后跟其值的16进制表示的形式表