梭子鱼Web应用防火墙技术原理.doc

一、Web应用防火墙介绍1.1 Web应用防火墙简介梭子鱼应用防火墙基于梭子鱼专利的NCOS体系，对HTTP请求进行终止、防护和加速。集中化GUI控制界面可以让系统的配置和管理变得十分简单。 特别是，梭子鱼应用防火墙完全符合WAFEC & OWASP提出的标准。并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列出了这些最常见的攻击技术，其中最后一列描述了梭子鱼WAF如何对该攻击进行防护：攻击方式描述应用防火墙的防护方法跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。其防护方法是：通过检查应用流量，阻止各种恶意的脚本插入到URL, header及form中。SQL 注入攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。防护方法是：通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL, header及form中。命令注入攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。防护方法是：通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL, header及form中。cookie/session中毒Cookie通常用于携带用户敏感的登陆信息，但它可能被修改提高访问权限，或伪装成他人的身份登陆。通过对cookie进行数据加密，签名和时间戳等技术防止其内容被窃取篡改。参数（或表单）篡改在URL、HTTP头和表中经常使用参数用于控制对敏感数据的有效访问。利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生。缓冲溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限。自动执行限制数据边界条件，确保不危及脆弱的服务器。目录穿越攻击攻击者能访问合法应用之外的数据或文件目录，导致数据泄露或被篡改。利用应用配置文档，阻止含有路径穿越的访问，并强迫只能访问设计发布的网页，从而阻止非法访问不合法的网页或目录。密码拦截黑客很少尝试破解强编码数据如SSL，他们倾向于攻击那些临时的无防御的数据点，数据的加密和解密通常由多台设备配合进行，这种零散的结构为黑客对数据截取大开方便之门。具备SSL安全防护机制，在任何环境下仅加密的流量才能通过网络，在结合DMZ区的防御机制，进一步减少单独某个设备漏洞暴露的可能性。Cookie窃取Cookie通常用来传输用户的登陆认证信息，它通常只是采用简单的编码如Base64，这样容易导致登陆信息被窃取。对Cookie采用数据加密，签名和时间戳技术防止Cookie被窃取。日志篡改黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。.将后端服务器的访问记录集中到梭子鱼Web应用防火墙上，通过数据签名和加密防止其被篡改。还可以按应用声称加密日志。出错信息截获黑客通过网站的某些出错信息能够分析网站的某些特征，进而找到攻击点。梭子鱼web应用防火墙像防护罩一样，防止访问者获取来自服务器的出错信息造成无意的信息泄露。攻击隐藏黑客通常通过将他们的请求进行编码，以此来伪装自己的身份。在检查之前对解密URL、Unicode和其他各种形式加密。应用平台侦测 常见的攻击通常可以通过补丁来修补，但是很多情况下补丁并不及时，黑客在侦测了应用平台后，可以利用该平台的已知漏洞进行攻击。梭子鱼将阻止已知的攻击，这样用户可以按计划打补丁，而不必时刻关注最新的补丁。安全管理侦测经验丰富的黑客会对安全管理系统下手，修改或者关闭某些安全策略（网络层、应用层都可能发生）。通过安全的加密通道对所有的管理流量进行防护。TCP碎片攻击通过将一个攻击会话分片成多个TCP数据包可以使得一个攻击只扫描数据包而不扫描完整会话的检测。对整个会话做深度检测，合并碎片重组数据以检测是否含有攻击。DOS攻击经验丰富的黑客会对安全管理系统下手，修改或者关闭某些安全策略（网络层应用层都可能发生）。包括所有的网络层的DoS防护，包括防止 SYN cookie 和对客户端连接速率进行限制。通过上表可以看到，Web应用防火墙可以从多个层面做到对Web服务器和SQL服务器的保护。而对于移动MDC机房的顾虑：l 跨站脚本攻击l SQL注入攻击l 网站侦测攻击l 应用层DDOS攻击l 恶意爬行攻击l Cookie窃取攻击l Cookie中毒攻击l 信息泄露攻击l 网页被篡改梭子鱼WAF不仅仅是完成其中一项或者几项安全漏洞的填补，而是从Web和SQL访问的每个层面，每个细节，进行完全的防护。梭子鱼WAF完全可以满足福建省移动的业务发展需求。1.2梭子鱼WAF如何做到全面立体的攻击防护梭子鱼WAF采用多重安全防护提供最高级别的保护。这些防护包括动态配置文件、HTTP 协议验证、平台攻击安全和SQL保护等功能。l 自动应用学习 WAF的动态建模梭子鱼WAF的独特动态建模技术可自动学习被保护 Web 应用的结构、要素和预期使用模式。动态模型持续自动检测有效的应用修改并将其纳入到应用规则文件中。通过对比 Web 请求与模型规则，梭子鱼WAF能够以高精度检测不可接受的行为并防止恶意活动。动态配置文件克服了绝对安全模型相关的最大缺陷：需要手动创建和更新一个可能包含几百甚至几千个 URL、表单字段、参数和 cookies 的巨大白名单。动态配置文件技术可自动构建精确的配置文件，不需要手动配置或调整。l HTTP 协议验证 HTTP 协议验证可以防止包括缓冲区溢出、恶意编码、HTTP 走私以及非法服务器操作在内的巨量协议滥用。灵活的规则使用户可以严格遵守 RFC 标准，或者允许具体应用的微小偏差。l 平台和网络攻击防护梭子鱼WAF阻止瞄准已知的 Web 服务器漏洞、中间件漏洞和平台漏洞的攻击。梭子鱼WAF集成了状态网络防火墙，能够抵御来自内部和外部来源的非法用户、协议和网络攻击。它符合强制性最佳做法安全要求，可以防止非必需协议使用敏感 Web 应用。l Web 服务保护 利用其动态配置文件技术，梭子鱼WAF还能够创建包括 XML 文件、要素、属性、模式、变量和 SOAP 操作在内的合法 Web 服务行为模型。任何篡改正常 Web 服务行为的企图都会被发现并阻止。技术总结十大功能 十大技术 网站隐身 反向代理网站防篡改 应用层深度包检测技术网站主动防攻击 基于规则的攻击模式匹配技术网站防信息泄露 http数据标准化技术网站防DDoS、CC攻击 Cookie加密签名及重放保护技术网站负载均衡 IP复用、缓存、压缩等加速技术网站加速 认证授权代理技术网站安全访问 数据窃取防护技术网站安全审计 高可用性综合技术网站安全合规 智能模式学习技术二、Web应用防火墙工作原理梭子鱼WAF通过反向代理（Reverse Proxy）的模式，放置在Web服务器的前端，基于会话的双向代理不仅能应用在网络层，同时还能应用在应用层（HTTP）上，确保内部服务器操作系统和TCP堆栈不直接暴露于Internet，保障Web应用的安全。梭子鱼WAF对Web站点的防护是从3个层面展开的，分别为终止、安全、和加速。2.1终止梭子鱼WAF有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼WAF将对应用流量（向内和向外）进行全面的检查，并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时，梭子鱼应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP 内容，解释和建立规则。TCP 会话终止TCP会话终止的作用：l 在发往真实服务器之前，完全控制会话，并实行安全策略 l 实现应用加速功能l 卸载诸如SSL之类的运算状态网络防火墙基于状态的网络防火墙的作用:l 实现传统网络防火墙的ACL，NAT，PAT等规则的设定l 保护内部网络免受24层的网络攻击：l 阻断SYN flood（泛洪）l 阻断过多半开连接l 阻断端口及应用扫描流量SSL 终止SSL终止的作用：l 卸载高强度计算的SSL加密，使应用服务器CPU占用率大大降低 l 自定义的局部网站加密，无需改动任何代码l 在进行内部网络之前，解密SSL加密数据HTTP协议合规化HTTP合规化的作用：l 强制符合标准化协议l 自动解码，并识别和阻断被编码的数据HTTP包头重写HTTP包头重写的作用：l 防止信息泄漏和扫描l 提供更得心应手得流量管理l 提供独一无二得应用层功能URL转换URL转换的作用：l 提供应用层伪装l 针对客户只暴露一个简单的名称结构URL 速率控制URL速率控制能够帮助您实现：l 后端应用服务器收到指定速率的请求 l 防止应用服务器过载 l 提供一个控制应用的事务中心2.1 安全一旦某个会话被梭子鱼应用防火墙终止并被控制，将会对向内或向外的流量进行多种检查，以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。网站隐身应用伪装能使您的应用和外界完全屏蔽：l 隐藏所有服务器，操作系统，应用服务，web服务的结构l 防止worms and bots 对应用进行扫描认证与授权l 拒绝/同意被认证授权的用户l 在URL级别设置访问控制列表l 能为安全审计提供详细的日志和报表表单参数保护 表单参数保护能够：l 防止因为表单字段篡改而造成的攻击l 防止由于因为表单字段太长导致的缓存溢出l 防止SQL注入和命令注入攻击Cookie 保护 Cookie保护能够有效地：l 通过cookie加密来防止cookie偷窃 l 通过对会话cookie进行签名，防止cookie被篡改数据盗窃防护 数据盗窃防护能够：l 通过正确地给信息进行编码，保护机密资料 l 数据偷盗保护功能完全根据一些对私有数据保护协议而设计，比如HIPAA, Gramm-Leach-Bliley, and CA SB-1386。动态学习功能 (DAP)动态学习能力的优势：l 不需要设定相关的规则来阻挡攻击，能够自动学习判断 l 如果后台应用调整了，不需要来对应用防火墙进行相对应的调整SQL和OS 命令注入防护l 防止SQL注入l 防止OS命令注入l 防止跨站点脚本攻击l 无需改动应用代码2.1加速除了Web应用的安全性，数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池，缓存，GZIP压缩)和可用性功能（负载均衡，内容交换，健康检查）在一个单一的节点处结合起来会显著地简化数据中心的体系结构，以此来降低成本。缓存缓存的作用：l 加快客户响应速度l 减少后台服务器的CPU占用率GZIP 压缩提供压缩能够帮助我们：l 很大程度上的加速应用交付l 降低带宽90的使用l 提高web速度30%l 使后台服务器原本需要执行的压缩处理过程转嫁到应用防火墙上TCP 连接池TCP连接池的作用：l TCP握手及释放占用大量服务器资源，TCP连接池将有效的减少TCP握手及释放所消耗的服务器资源，其复用率超过1：7 SSL offloadingl 将所有原本需要在服务器上执行的SSL加解密运算转嫁到防火墙上，降低CPU占用率l SSL加密的数据在进行内部网络前被完全地过滤l 在传输过程中，所有数据是加密的，非明文传输7层内容交换（应用交付）7层内容交换（应用交付）的作用：l 分组规则实现的负载均衡，缓存以及压缩能够有效地提高响应速度和降低CPU占用率l 失败连接地重定向l 重定向内容请求到最适合的后台服务器负载均衡l 内建高性能和可靠性设计l 添加和删除服务器对整个服务没有任何影响l 对无效服务器的访问进行重定向并且梭子鱼WAF对网站的防护是接收和外发同时保护的。不仅可以对外部Internet用户对内部服务器的请求信息进行检查和阻断，同时可以对服务器返回的响应信息进行检查和阻断。梭子鱼WAF对接收请求的保护梭子鱼WAF对响应请求的扫描三、梭子鱼WAF部署方式梭子鱼的WAF部署几分钟内即可完成，不需要修改原有网络的基础架构，能够保护从个别应用到服务器和网络的整个应用体系。梭子鱼WAF的透明检查技术具有千兆比特的吞吐能力，等待时间短至毫秒级，还提供了多种高可用性能选项，能够满足福建省移动MDC中心的要求，对于大规模的部署，梭子鱼有Cluster Manager来提供集中管理，并提供配置、监视和报表工作。透明检查技术独特地使梭子鱼WAF能够在不修改原有应用程序、服务器或网络的条件下部署在任何环境内。并且提供了全面、准确的应用安全，而且还不要求企业重新设计 Web 应用、修改 IP 或 DNS 设置，也不必更新身份验证方案。3.1单臂模式单臂模式是目前为止用于产品测试的最透明和最简单的方式，不会影响网络中的其他流量。在单臂模式下，只有HTTP和HTTPS流量会被指到控制器，控制器处于DMZ区。控制器检查这些流量，转发给服务器，记录所有违背安全策略的行为。单臂模式是一种让用户“进入”第7层安全应用的方便的方法。3.2透明模式桥模式是指在两台运行的设备中间插入控制器，但是对流量并不产生任何影响。在桥模式下，控制器阻断第7层的应用攻击，但是让其他的流量通过。桥模式是部署最为简便的方式。桥模式是透明的，所以不会干预任何网络中的设备。然而，某些功能在桥模式下是无法启用的，比如负载均衡，内容交换和网络防火墙。桥模式下不支持的功能： 网络防火墙 (如 ACL,NAT, 路由等功能) 负载均衡 TCP连接复用 OO