中新金盾WEB应用防护系统技术白皮书.doc

中新金盾WEB应用防护系统产品白皮书版本号：20120710金盾防火墙系统产品白皮书 2012 中新金盾版权信息安徽中新软件有限公司，版权所有 20022012 本文件所有内容受版权保护并且归中新软件所有。未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。中新软件、ZXWAF、金盾WEB应用防护系统、金盾互联网应用防火墙及其它中新商标均是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。中新金盾WEB应用防护系统产品白皮书 I2012 中新金盾目录概述11WEB应用安全现状21.1WEB安全威胁概述21.2WEB面临的挑战32WEB安全需求42.1安全需求42.2WEB应用防护系统（WAF）53金盾WAF产品特点63.1符合国家信息安全等级保护相关要求63.2专利级WEB入侵异常检测引擎73.3HTTPS/SSL协议支持83.4敏感词过滤94金盾WAF产品的功能104.1WEB防护功能104.2网络设备安全防护114.3HTTPS/SSL应用安全检测124.4日志与告警135金盾WEB应用防火墙型号及参数145.1金盾ZXWAF-100145.2金盾ZXWAF-500155.3金盾ZXWAF-1000166金盾WEB应用防护系统产品部署176.1单臂模式176.2牵引模式187结论19概述当今世界各国非常重视信息安全，纷纷投入巨资建设本国的信息安全保障体系。我国高度重视信息安全，早在1994年就颁布了中华人民共和国计算机信息系统安全保护条例（国务院令第147号令），2003年国家信息化领导小组发布了关于加强信息安全保障工作的意见（中办发【2003】27号文），明确提出了我国今后信息安全建设和发展的根本性指导思想：“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，以安全促发展，在发展中求安全”。作为信息化建设重中之重和关键信息的重要承载组织，互联网网站建设工作推进至今，规模日益庞大、平台日趋定型，但仍然存在较大隐患，例如网络攻击、黑客入侵、数据库信息泄漏、网站被挂木马等安全事件层出不穷，信息安全面临极大威胁。中新金盾WEB应用防护系统（简称：中新金盾WAF）是中新软件结合了多年的应用安全攻防理论研究与应急响应实践，在丰富经验积累的基础上，主动创新、自主研发完成。中新金盾WAF产品的研制，基于中新软件研发团队对网站运营总体战略的深刻理解，该产品针对网站运营面临的安全性问题，提供全面解决方案，为客户网站安全运营与长远发展提供安全保障。1 WEB应用安全现状1.1 WEB安全威胁概述在技术飞速演变、电子商务蓬勃发展的今天，随着Web 2.0等互联网新应用的发展，新一代黑客技术对Web的攻击不断增多且难于防范，事实上，Web应用和服务带来的安全性问题，已经超越了程序开发人员所接受的安全培训和安全意识能够解决的范围。Web应用安全领域权威的世界性组织OWASP (全称为Open Web Application Security Project)，统计了当前最为严重的几种Web安全威胁，包括：u 跨站脚本 Cross Site Scripting (XSS)当Web应用程序提取用户提供的数据并发送到Web浏览器时，数据内容没有先经过验证或编码导致的安全漏洞。攻击者可借此在受害者的计算机执行各种指令，破坏Web站点、劫持用户会话或导致停机等。u 注入攻击 Injection Flaws尤其是SQL注入攻击，就是当Web应用程序使用用户输入的内容构造动态SQL语句以访问数据库时，输入SQL语句未经过验证或限制导致的安全漏洞。攻击者可借此在受害者的计算机执行各种指令，造成破坏或盗取重要数据。u 恶意文件执行 Malicious File Execution当Web应用程序存在代码缺陷时，如远程文件包含缺陷，攻击者可提交恶意代码或数据，导致破坏性的攻击，如服务器被攻陷。恶意文件执行攻击会影响PHP、XML以及任意从用户接收文件名或文件的网站设计架构。u 信息泄漏及错误处理 Information Leakage and Improper Error HandlingWeb应用程序可能因为各种自身设计问题导致的配置、内部结构等信息泄漏，被攻击者利用来盗窃重要数据或导致更多严重的攻击。各种针对Web以及借由Web对网络深层次服务进行的各类攻击防不胜防，任何一个Web安全漏洞都可能对用户造成难以弥补的损失。其中跨站脚本是目前最普遍的Web漏洞。以下是一种跨站脚本攻击的实例：某论坛对上传文件名没有做严格的限制，可以用动态语言编写的某个应用程序作为文件名上传文件，其它用户一旦点击该文件的链接，就会执行其中的应用程序，这个应用程序可能是木马或病毒文件，对用户电脑中数据进行窃取或破坏。还有一种更为严重的攻击方式，是通过对Web服务所在主机进行攻击，通过Web应用存在的漏洞接管控制该主机，从而进入整个内部网络或服务器区域，获得更大的权限，造成更多的破坏。通过以上可以看出，一个简单的Web漏洞，可能对整个互联网造成巨大的破坏，导致惨重的损失。1.2 WEB面临的挑战Web应用迅速发展引致互联网攻击者的强烈关注，这些攻击者纷纷将主要攻击方式转向，从以往直接针对传统网络服务的攻击方式，转移到对Web应用进行攻击，这类攻击现已十分猖獗，黑客们利用网站应用程序的漏洞造成破坏的新闻屡见不鲜，如2008年来自网络世界（Network World）的报道，2008年5月，中国大陆、香港及台湾地区有数千个网站遭遇新一轮 SQL注入攻击，引发大规模网站挂马等安全事件。而在之前 4个月，已有 3次大规模攻击，受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国际机构网站在内的多家网站。据Microsoft估算，感染页面数最多超过10，000页面/天。攻击者们通过对Web应用的攻击，得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。据CSI/FBI 的信息安全研究报告表明，遭受攻击的Web系统虽然98%部署了网络防火墙等传统防护手段，但仍然有52%来自外部的攻击成功。成功的攻击包括SQL注入、敏感信息泄漏、关键信息被窃取以及拒绝服务。IDC 的报告表明，传统的网络防火墙在应用层保护方面的能力非常薄弱，需要新型的应用安全防护设备与之互补。2 WEB安全需求2.1 安全需求传统的网络防护主要在网络边界上抵御外部攻击，保护这个边界需要对其提供的服务进行强化，并在不同安全区域间设置访问控制类设备。Web应用程序的出现改变了一切，用户要访问Web应用程序，边界防火墙必须允许其通过HTTP或HTTPS连接内部服务器；应用程序要实现其功能，必须允许其连接后端服务器以支持后端操作（如数据库）；而Web易受攻击等安全问题影响了WEB应用的高速发展，为网站运营者带来严重负面影响。u WEB易受攻击根据国家互联网应急中心（CNCERT/CC）报告表明，我国每年均有大量网站被黑客攻击，有些网站被植入木马等攻击程序，攻击者经常利用Web应用程序的漏洞进行攻击，篡改网页或窃取重要信息，造成严重破坏等不利影响。u 等级保护的规定自我国信息安全管理职能部门公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布信息安全等级保护管理办法（公通字【2007】43号文）以来，各级公安网监部门把监督管理信息系统定级、相应级别信息系统安全检查等作为重要工作，规范了政府、企事业单位网站应用系统的安全建设、安全保护等。u 敏感词过滤网站运营主管部门与各运营单位（ISP）均需对网络用语进行规范化管理，需要防止网站内部信息泄露引致攻击的同时，还需防止不和谐内容的出现，净化网络空间。2.2 WEB应用防护系统（WAF）面对来势汹汹的Web安全威胁，如何防止WEB服务器、数据库服务器等遭受攻击，防止数据遭窃？如何防止攻击者大肆破坏，通过木马、病毒传播造成不利影响？各级政府、企事业单位与互联网运营者缺乏Web应用保护的技术手段。中新金盾WEB应用防护系统的出现，可以解决Web应用面临的各类安全问题，中新金盾WAF产品具有的各项功能，可以为用户保护其WEB应用，其最大的优势在于用户不需要修改现有网站Web应用程序，只需将中新金盾WAF产品部署在现有环境中，就可全面保护用户Web应用系统。3 金盾WAF产品特点3.1 符合国家信息安全等级保护相关要求 中新金盾WAF产品，是中新软件结合多年的应用安全攻防理论研究和应急响应实践经验，自主研发完成，该产品实现了我国信息安全等级保护技术在网络设备安全防护方面相关要求。主要包括“实现设备特权用户的权限分离”将单一的系统管理员权限分离，采用管理员、审计员、操作员三权分立的方式，形成分权制衡。管理员相当于安全员的角色， 可以分配操作员权限，由操作员进行设备管理操作，审计员独立于这两者之外，可以对管理员与操作员的行为进行审核。中新金盾WAF可在网络层面弥补后端WEB应用防护系统存在的漏洞与脆弱点，使应用系统本身在无需修改的情况下得到保障。3.2 专利级WEB入侵异常检测引擎中新金盾WAF产品核心部分采用中新金盾WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础，能够有效的防止但不仅限于以下的攻击行为： XSS跨站脚本攻击 SQL注入攻击 敏感词注入 HTTP协议请求检查 HTTP协议设置检查 HTTP消息头缺失检查 恶意文件执行 服务器信息泄露 目录信息泄露 统计信息泄露 源代码泄露 数据库信息泄露3.3 HTTPS/SSL协议支持 全面支持HTTPS/SSL加密协议，实现对高安全要求WEB应用系统的检测和防护，提供了针对性的安全检测及深度防御的解决方案。一般WAF产品可以防护不加密传输的HTTP协议应用系统，加密传输的HTTPS（采用SSL协议）应用系统防护是WAF技术的难点。常规网络设备无法识别HTTPS应用系统中传输的应用数据，更无法识别由此带来的应用层攻击。对HTTPS应用进行应用防护，必须要求WAF能良好的支持HTTPS协议并能对SSL数据流进行中继。中新WAF支持SSL认证环境，能对HTTPS应用系统良好适应，无需改变原有环境，对HTTPS应用系统可方便部署和全面防御，中新通过对HTTPS的支持从而实现了对HTTP、HTTPS的全面防护，支持通过HTTPS/SSL协议进行双向认证，解决了一般WAF设备无法防御HTTPS应用的短板。3.4 敏感词过滤 可过滤Web应用中的非法关键字，防止敏感信息泄露的同时，还可防止不和谐内容的出现，净化网络空间，落实Web应用相关政策法规。4 金盾WAF产品的功能4.1 WEB防护功能 中新金盾WAF产品采用专利级别的Web入侵异常检测引擎，可在网络攻击者与用户Web应用防护系统之间架设安全的防护锁钥，防护种种非法攻击行为与用户定义的敏感信息泄露问题，满足Web应用系统安全需求。4.2 网络设备安全防护采用了包括用户操作加密传输、登录地址限制、用户同时登录限制、用户口令密码复杂度限制、用户网络连接超时限制、黑白名单限制、三权分立权限分离限制、基于角色与规则的访问控制限制等等网络设备安全防护方式，对安全规则库、核心软件系统提供完善的安全升级机制与产品授权机制，防止设备自身遭受攻击；采用了工作网络接口硬件BYPASS确保可用性。从软硬件两方面保护中新金盾WAF自身安全，进而确实保障后端用户Web应用安全性。4.3 HTTPS/SSL应用安全检测 支持HTTPS/SSL加密协议，支持客户端服务端双向SSL认证，可对采用SSL协议的高安全性Web应用系统进行传输内容安全检测，防护SSL连接建立后来自客户端的攻击行为，保护服务端安全。4.4 日志与告警提供Web应用翔实的日志记录、告警信息、各类信息分析与自定义统计，可导出安全报表，主要功能如下： 入侵异常检测引擎检测告警信息翔实显示 支持告警信息外发SYSLOG服务器集中审计 设备自身负载与网络负载信息监控 审计员可审计管理员与操作员操作日志 支持基于日期/关键字的日志告警信息查询/下载 支持邮件/手机短信告警方式实时汇报攻击及异常事件 可生成基于告警分类/时段统计的安全报表 支持安全报表导出，可以PDF、CSV等常见格式保存5 金盾WEB应用防火墙型号及参数5.1 金盾ZXWAF-100ZXWAF-100产品外观：参数列表：外形1U机架式级别百兆级网络接口6个10/100/1000M电口吞吐量100Mbps每秒HTTP并发连接18000防御种类支持各种常见的WEB服务器应用层攻击如, XSS跨站脚本攻击、SQL注入攻击、敏感词注入、HTTP协议请求检查、HTTP协议设置检查、HTTP消息头缺失检查、恶意文件执行、服务器信息泄露、目录信息泄露、统计信息泄露、源代码泄露、数据库信息泄露、针对HTTP的DDOS等攻击渗透行为。电源交流电源输入220V，4763MHZ，764W工作温度-20-60MTBF120000小时5.2 金盾ZXWAF-500ZXWAF-500产品外观：参数列表：外形1U机架式级别百兆级网络接口6个10/100/1000M电口吞吐量500Mbps每秒HTTP并发连接30000防御种类支持各种常见的WEB服务器应用层攻击如, XSS跨站脚本攻击、SQL注入攻击、敏感词注入、HTTP协议请求检查、HTTP协议设置检查、HTTP消息头缺失检查、恶意文件执行、服务器信息泄露、目录信息泄露、统计信息泄露、源代码泄露、数据库信息泄露、针对HTTP的DDOS等攻击渗透行为。电源交流电源输入220V，4763MHZ，764W工作温度-20-60MTBF120000小时5.3 金盾ZXWAF-1000ZXWAF-1000产品外观：参数列表：外形2U机架式级别百兆级网络接口2个SFP千兆光模块接口、4个10/100/1000M电口吞吐量1Gbps每秒HTTP并发连接50000防御种类支持各种常见的WEB服务器应用层攻击如, XSS跨站脚本攻击、SQL注入攻击、敏感词注入、HTTP协议请求检查、HTTP协议设置检查、HTTP消息头缺失检查、恶意文件执行、服务器信息泄露、目录信息泄露、统计信息泄露、源代码泄露、数据库信息泄露、针对HTTP的DDOS等攻击渗透行为。电源冗余双电源(可选)，交流电源输入220V