安恒信息明御WEB应用防火墙产品白皮书.docx

1. 概述Web 网站是企业和用户、合作伙伴及员工的快速、高效的交流平台Web 网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁根据国家计算机网络应急技术处理协调中心（简称 CNCERT/CC）的工作报告显示：目前中国的互联网安全实际状况仍不容乐观各种网络安全事件与去年同期相比都有明显增加对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类网站存在安全隐患对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及应用层拒绝服务攻击（Denial Of Service）等，影响业务的正常开展2007 年到 2009 年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势1.1 常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类下表列出了这些最常见的攻击技术，其中最后一列描述了安恒 WAF 如何对该攻击进行防护表 1.1:对不同攻击的防御方法攻击方式 描述 安恒 WAF 的防护方法跨站脚本攻击 跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。

通过检查应用流量，阻止各种恶意的脚本插入到 URL, header 及 form 中SQL 注入 攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到 URL, header及 form 中命令注入 攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到 URL, header 及form 中cookie/seesion 劫持Cookie/seesion 通常用于用户身份认证，并且可能携带用户敏感的登陆信息攻击者可能被修改 Cookie/seesion 提高访问权限，或伪装成他人的身份登陆通过检查应用流量，拒绝伪造身份登录的会话访问参数（或表单）篡改通过修改对 URL、header 和 form 中对用户输入数据的安全性判断，并且提交到服务器利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生缓冲溢出攻击 由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。

如获取系统管理员的权限用户可以根据应用需求设定和限制数据边界条件，确保不危及脆弱的服务器日志篡改 黑客篡改删除日志以掩盖其攻击痕迹或改变 web 处理日志通过检查应用流量，防止带有日志篡改的应用访问应用平台漏洞攻击 黑客通过获悉应用平台后，可以利用该平台的已知漏洞进行攻击当应用平台出现漏洞，且没有官方补丁时，同样面临被攻击的风险安恒 WAF 将阻止已知的攻击，并提供安全策略规则升级服务，用户可以按计划进行安全应用策略升级同时，对于高级用户，安恒 WAF 提供自定义规则库的添加，可以针对某些关键字，特殊应用做特殊安全处理DOS 攻击 通过 DOS 攻击请求，以达到消耗应用平台资源异常消耗的一种攻击，最终造成应用平台拒绝服务可以防护所有的网络层的DoS包括防止 SYN cookie ，应用层 DOS 攻击和对客户端连接速率进行限制HTTPS 类攻击 一些狡猾的黑客通过 HTTPS 进行 HTTPS类的攻击，由于 SSL 加密数据包无法进行有效的检测，导致通用的网络防火墙和普通 WEB 应用防火墙无能为力支持用户上传 HTTPS 证书，在 WAF 进行第一轮认证，并对应用流量进行解密和侦测，对 HTTPS 类的所有攻击进行有效的拦截和防御。

2. 现有的防御技术目前，很多企业采用网络安全防御技术对 Web 应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止 Web 攻击，且对于HTTPS 类的攻击手段，更是显得束手无策2.1. 传统网络防火墙第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量传统的防火墙无法阻止 Web 攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写 HTTP 应用的请求或应答内容为了保障对 web 应用的访问，防火墙会开放 Web 应用的 80 端口，这意味着 Internet 上的任意 IP 都能直接访问 Web 应用，因此web 及其应用服务器事实上是无安全检测和防范的状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的 ACLs 基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的它能根据 TCP 会话异常及攻击特征阻止网络层的攻击，通过 IP 分拆和组合也能判断是否有攻击隐藏在多个数据包中。

然而，状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器;同样，如果某个攻击进行了加密或编码该防火墙也不能检测2.2. 入侵检测系统(IDS)入侵检测系统使用特征识别技术记录并报警潜在的安全威胁其工作模式是被动的，它不能阻止攻击，也不能对未知的攻击进行报警目前大多数攻击特征数据库都是网络层的攻击，此外，可以通过加密，TCP 碎片攻击以及其他方式绕过入侵检测系统的防御3. Web 安全需求企业 对 Web 应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微包括：·对现有网络拓扑结构尽量无影响;·方便管理，无需进行复杂的配置;·对现有 WEB 服务器的访问速率不能造成太大的影响;·对正常业务访问不能进行错误的拦截阻断3.1. Web 应用防火墙Web 应用防火墙的两个关键功能是，深入理解 HTTP/HTTPS 协议，可监测往返流量，能对 web 流量进行安全控制 Web 数据中心是经常变化的，包括新的应用程序、新的软件模块，不断更新的软件补丁等专业的安全工具和方法应能适应这种动态环境，应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求.4. 安恒 WAF 的特点安恒 WAF 提供高效的 Web 应用安全边界检查功能。

安恒 WAF 整合了所有的 Web 安全防御功能，能全方位的保护用户的 Web 数据中心安恒 WAF 对所有 Web 流量（包括客户端请求流量和服务器返回的数据流量）进行深度检测，在网络层和应用层两方面提供了广泛的入侵防护功能安恒 WAF 提供多种部署模式，典型的部署模式有：透明直连模式和单臂镜像监控模式透明直连模式提供完全透明的部署方式，即对原有网络拓扑结构不造成任何影响，安恒 WAF 自身也不占用 IP 地址，从而不仅保护了 Web 服务器，也提高了自身的安全等级（针对安恒 WAF 的攻击将显得无能为力） 安恒 WAF 的透明直连部署如下图所示：上图为透明直连部署方式，在该部署模式下，安恒 WAF 提供直连检测防御和旁路检测两种模式直连检测防御模式：对 Web 流量进行安全检测，并且可以采取防御阻断措施，防止非法入侵访问和 Web 服务器敏感信息等流量通过；旁路检测模式：对 Web 流量进行镜像检测，并不采取阻断，从而既实现了监控又达到了对网路性能零损耗的目的我们推荐在部署初期采用旁路检测模式，对既有网络环境和 Web 服务不会产生任何负面影响，并可及时针对相关告警信息以及客户实际业务需求，做适量调整后切换到直连检测防御模式，达到既安全又保险的目的。

另外我们还提供单臂镜像的监控模式：即通过网络交换机镜像口，将保护对象（Web服务器）相关的流量镜像到安恒 WAF 设备，实现镜像的监控模式安恒 WAF 具备独立的安全策略规则库，可以对应用层数据流量进行双向检测，并对非法访问记录相关日志，用户可以实时查看 WEB 服务器的当前安全状况安恒 WAF 提供多个保护站点的功能，WAF 设备面板具备多个 IN 和 OUT 口，IN 口为访问数据流入口，OUT 为 WAF 与 WEB 服务器的接口多个 IN 和 OUT 口支持对多台主机的保护，用户同时也可以在 OUT 口接一台交换机，后端保护多台 WEB 服务器安恒 WAF 提供一个管理口，用户可以通过管理口对 WAF 进行相关的配置和当前状况的查看安恒 WAF 提供对 HTTPS 的完全防护，访问数据在 WAF 进行第一轮认证，并对后续访问流量进行安全检查，充分防止 HTTPS 类型的各种攻击方式5. 安恒 WAF 的功能安恒 WAF 提供下列功能：·深度防护·Web 站点隐藏·策略设置向导·安全策略·检测和阻断模式·硬件旁路模式·HTTPS/SSL 的完全支持·网页防篡改·日志和报表·高可操作性5.1.web 防火墙安恒 WAF 通过对 Web 流量进行深度检测对 Web 应用进行深度防护，提供了全面的入侵防御能力。

安恒 WAF 能在攻击到达 Web 服务器之前进行阻断，防止恶意的请求或内置非法程序的请求访问目标应用安恒 WAF 能解码所有进入的请求，检查这些请求是否合法或合乎规定; 仅允许正确的格式或 RFC 遵从的请求通过已知的恶意请求将被阻断，非法植入到Header、 Form 和 URL 中的脚本将被阻止Web 应用防火墙还能进行 Web 地址翻译、请求限制、URL 格式定义及 Cookie 安全安恒 WAF 能阻止一系列的攻击，无论是已知的或未知的能够阻止那些最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL 注入等5.2. Web 站点隐藏成功的 Web 攻击往往由探测网络漏洞开始，在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL 等进行扫描安恒 WAF 提供站点隐藏功能，黑客将无法查看 web 的源信息，安恒 WAF URL 返回码，HTTP 头信息以及终端服务器的 IP安恒 WAF 能完全的中止所有的会话，因此用户无法直接连接到 Web 服务器上，无法直接访问服务器、操作系统或补丁程序访问出错信息也将由安恒 WAF 提供，后端服务器的出错信息不会直接返回给用户。

这样，避免了服务器敏感信息泄露，也同时让一些高明的黑客就无法通过出错信息发动攻击5.3. 安全策略安恒 WAF 提供默认的安全策略对 Web 网站或应用进行严格的保护除了默认的策略外，用户还可以创建客户化的策略每个策略下分为若干子策略：·HTTP 协议合规性·SQL 注入阻断·跨站点脚本攻击防护·表单/cookie 篡改防护·DoS 攻击防护 　　请求包大小限制限制 HTTP 请求 Head 大小避免恶意代码通过，超过规定大小的请求将被丢弃正确配置请求限制还能减轻 Dos 攻击、缓冲区攻击HTTP/HTTPS 请求方法限制限制 HTTP/HTTPS 各种方法的访问，包括： GET， POST， DELETE,，HEAD，CONNECT ， TRACE，PUTHTTP/HTTPS 请求方法限制支持黑白名单的配置，可以设定可信的访问客户端 IP(白名单)而不受安全策略规则的检测; 设定非法的访问客户端( 黑名单) ，直接禁止其任何对 WEB 服务器的访问用户自定义规则库支持用户自定义规则库，用户可以根据业务需求，针对某些关键字，数据段长度等相关信息，自定义安全过滤规则5.4. 检测和阻断模式架设 web 应用防火墙可能意外的现象，应用某个不当的规则可能影响当前应用的正常使用，因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。

保守监控功能可以帮助用户解决这个担忧，利用这个功能用户可以在不影响使用的前提下进行策略配置。