明御WAF产品介绍-技术篇.ppt

明御WEB应用防火墙介绍,1,题纲,2,如今是WEB为王的时代,3,电子商务,电子政务,智慧城市,便民服务,网页游戏,网上大学,网络交友,安全新挑战-WEB应用多样性,中间层,数据层,网络层,用户端,传统安全防护：网络防火墙防80端口之外的攻击，WEB攻击专攻80端口WEB应用的安全边界模糊：网络边界，应用边界，账户权限边界WEB应用系统弱点多样性：WEB弱点不再有CVE，因为开发WEB程序企业太多，弱点不再是固定的表征,设计实现,配置部署,运行维护,系统废止,安全测评,源代码安全检查,符合性测试,渗透测试,内容监测,安全需求分析,系统架构设计,安全功能设计,源代码安全,配置安全,部署安全,加固防护,安全监控,应急响应,敏感信息清除,我们缺少完整生命周期的安全考虑,安全隐患源于程序设计,不完备的身份鉴别不完备的会话管理不完备的访问控制不完备的业务逻辑验证,用户访问处理,日志伪造攻击目录遍历Webshell上传,文件系统管理,跨站脚本SQL注入隐患命令注入隐患缓冲区溢出跨站请求伪造,用户输入验证,异常处理：过细、忽略、泛化抛出系统信息泄露不安全的直接对象引用,代码编写规范,安全隐患源于不安全部署,WEB服务器,数据库服务器,IIS保留了默认配置不恰当的访问控制不安全的账户权限补丁管理不到位访问日志安全配置,Apache补丁管理不到位启动权限过大目录访问策略不当CGI脚本运行风险安装不必要的模块,WebSphere未启用全局安全性未及时安装程序补丁未开启审计日志未清除调试文件,普遍性隐患弱口令、空口令未关闭默认账号外部访问权限过大未进行访问控制未开启安全审计,应用配置管理,身份鉴别配置隐患访问控制配置隐患安全审计配置隐患,安全隐患源于容器自身安全,平台隐患,IIS、Apache、TomcatWebSphere、WebLogic,Oracle、MSSQL、MySQL、DB2,Trs、动易、织梦Joomla!、Ewebeditor,为此安全问题层出不穷,各种注入各种跨站会话劫持各种绕过扫描猜测后台上传漏洞文件包含信息泄漏apacheddos漏洞CC攻击,网页被篡改,数据被窃取,拒绝服务,业务流程被破坏,为此大量安全事件屡见不鲜产品背景,如何应对已经上线的WEB应用问题,11,源代码修复？,将面临长达数日的系统下线将涉及多个部门的开发、测试将面临漏洞修复次生风险的产生依然面临未知漏洞的利用,部署FW、IPS？,不是早就已经部署了吗？,部署WAF？,实践证明，部署WAF是最为有效的WEB安全应对措施,题纲,12,安恒引领WAF发展,2008-2009,2007-2008,2009-2010,2011,V1,V2,V3,标准,发布国内首款异常检测WAF,发布国内首款透明代理WAF,发布多核高性能WAF版本,协助起草公安部WAF检测标准协助起草认证中心WAF检测标准,公司致力于WEB应用安全整体解决方案的研发，是国内最早从事WEB应用防火墙研发，经历4年的研发产品已经成熟并广泛应用于800余个政府单位、60余家金融机构、400余家企事业单位。目前已经成功应用于网上银行、网上营业厅、大型证券交易、电子商务、省级电子政务、大型能源等重要WEB系统中。,首批通过权威机构测评认证,14,题纲,15,明御WAF能带来什么,16,降低漏洞暴露机会,自动阻断扫描、攻击探测行为、锁定攻击者,缩短漏洞暴露时间,虚拟补丁技术仅需一分钟修复已知漏洞,阻断漏洞利用行为,自学习建模只允许正常请求通过，有效应对0day,辅助安全分析与取证,详细安全事件显现，辅助安全取证与程序优化,访问速度更快,多种加速技术使访问更快缓存压缩协议优化,运维管理更轻松,WEB服务自学习安全策略自学习安全策略更精确实现低工作量、高安全质量防护效果,17,使网站更安全,纵深WEB安全防御,18,链路层,网络层,应用服务层,应用程序层,应用内容层,端口访问控制只允许必须的端口开放WEB服务FullProxy运行联动引擎锁定攻击者IP,协议规范性检查访问频率规范性限制,安全黑名单技术通过可动态更新的特征判断对可疑行为进行深入安全检查,安全白名单技术通过自学习生成网站定制化策略对正常请求快速转发未知请求深入清洗,内容提交与响应检测,30%,70%的威胁来自应用层,黑名单安全规则的优势,19,明御WEB应用防火墙集成了580多个类别的攻击特征，全面覆盖了WEB应用安全存在的主要安全威胁。通过大量的漏洞挖掘与实践工作，吸纳了国内外主流的安全漏洞库特库、主流CMS漏洞特征库、主流扫描器特征库，从而使防御能力全面提升。经权威WEB漏扫测试漏报率0%。为了降低特征检测的误报率，我们进行了大量的CMS兼容性测试，并吸纳大量的项目实践经验，误报率降低到3%。,NiktoParosproxyWebScarabWebInspectJBroFuzzWhisker/libwhiskerBurpsuiteWiktoAcunetixWebVulnerabilityScannerWatchfireAppScanN-Stealth,扫描器防护测试,动易CMS、TRSCMS、EmpireCMS、SiteServerCMS、PHPCMSdedecms,常见CMS兼容测试,安恒同时也是各网监、证监、等保、分保信息监测机构扫描工具的提供商,黑名单安全规则的不足,20,存在穷举绕过风险,误判漏洞判难平衡,精确度与效率难平衡,黑客手法比特征库多一个变种攻击就能绕过WAF,WEB代码千差万别，极易产生误判,提升精度必须依赖庞大特征库，必然产生更大延时，安全性与可用性难以平衡,宣称有数万条规则的WAF产品并非是最佳选择,自学习建模使检测既快又准,21,攻击的特征有数万种正常请求的规律相对唯一,自学习建模,请求的URL,自学习建模生成白名单规则,22,对网站访问流量进行学习，滤出安全噪音后自动形成安全规则。基于学习的规则在防御参数型攻击如（注入攻击、跨站攻击）方面更高效、安全级别更高自学习生成的白名单高性能低误判而广泛应用于WEB应用系统防护中,基于白名单的安全检测技术实现对0day攻击的主动防御,正常访问,敏感言论提交,SQL注入CC攻击,服务器漏洞攻击,高性能处理架构,23,网络安全检查,正常访问,SQL注入CC攻击,服务器漏洞攻击,WEB服务安全检查,WEB应用安全检查,内容安全检查,敏感言论提交,动态生成安全规则阻断经常攻击网站的IP,最快可以在5秒钟定位出攻击者自动锁定。智能联动锁定功能可以有效降低入侵风险，并有效抑制0day攻击事件的产生,安全白名单检查,正常访问,正常请求us级转发,24,使访问更快速,标准Web页面,应用报表查询,缓存与压缩,高速缓存,智能压缩,应用加速,省时65%,27,使运维更轻松,多种部署方式,28,经过多年的研发和大量用户的实践，明御WEB应用防火墙从国内首创全透明部署方式已经发展为更为灵活的部署，能满各种环境的需要。支持全透明直接、镜像监测、单臂部署、负载均衡模式部署适应各种环境的需要。不但复杂的网络环境可以适应，针对网上银行、电子商务环境中的https、CDN、多级代理均能够良好的兼容，从而使明御WEB应用防火墙在金融和电子商务行业积累了大量优质客户。,全透明部署,镜像模式部署,代理模式部署,部署方式、应用兼容性,WEB服务自发现,29,复杂网络环境中服务器IP、域名众多，WAF实施过程经常询问多人，甚至配置错误的对象导致网站中断情况时有发生。自发现可实现即插即用勿须询问。,安全策略自学习,30,WAF策略自学习实现对客户业务的真实理解，定制化安全规则生成，一次请求仅需一次匹配即可识别安全行为。,扫描器结果导入WAF生成规则,31,扫描器自动发现网站漏洞，WAF直接导入漏洞明细生成规则；避免复杂的安全检测技术和WAF策略编写、调试工作。,攻击者自动锁定,32,勿须淹没于海量的安全日志，WAF自动跟踪攻击者行为，智能锁定攻击者。降低被入侵的风险，并能减少安全管理员工作量。,题纲,33,政府,主要驱动力源自政府门户网站绩效考核制度，以及政府门户网站成为网上办事窗口的业务重要性。如国务院办公厅关于进一步加强政府网站管理工作的通知国办函201140号文件明确指出政府网站必须部署网站防攻击的产品。,浙江省财政厅、浙江省教育厅浙江省人事考试办公室、金华市政府、江苏省委组织部、湖南省物价局、湖南省宣传部、天津市社会科学院、重庆知识产权局、江西省财政厅、四川地震局、山东省审计厅、广州市人口计划生育局、深圳市规划和国土资源委员会、深圳市信息网络中心、内蒙古包头市环保局,政府门户,大运会期间安恒为深圳市政府提供安全保障服务2010年该网站获全国政府网站绩效冠军,金融,金融行业相关指引：证券行业信息安全指引、期货行业信息安全技术指引行等银行业银监会加大监管力度、人民银行发布19号网上银行系统信息安全通用规范明确要求部署WAF,重庆银行、中信银行杭州银行、台州商业银行浙江省农村信用社联合社（全省项目）湖州商业银行、温州银行绍兴银行、海通证券浙商证券、财通证券开源证券、英大寿险,金融案例,证券、期货、保险业的主要用于防护门户网站。银行业主要市场在商业银行、如城市商业银行、农商银行、农村信用合作社等商业银行。而例如四大行、招商银行等因采用了数据大集中，因此市场潜力较小。金融业网络多为双链路、同城备用机房、多出口等特性，因此可销售多台设备。,运营商,集中在各省级单位的门户网站、网上营业厅。由于运营商网站规模普遍较大、出口多、应用系统多，因此可销售的机会也较多。如某省移动仅网上营业厅就部署了6台WEB应用防火墙。,某移动网上营业厅WAF部署效果图,电子商务,电子商务业务自身安全要求，以及国家对非金融电子支付行业要求等促进了电子商务行业对WEB应用防火墙的需求。然而由于电子商务网站的流量大，对业务延时敏感高