WEB应用安全防护系统建设方案

Web 应用安全防护系统 解决方案 郑州大学西亚斯国际学院 2013 年 8 月 西亚斯西亚斯 Web 应用防护系统解决方案 2 目录 一 需求概述 4 1 1背景介绍 4 1 2需求分析 4 1 3网络安全防护策略 7 1 3 1 长鞭效应 bullwhip effect 7 1 3 2网络安全的 防 切 控 DCC 原则 8 二 解决方案 9 2 1 Web 应用防护系统解决方案 9 2 1 1 黑客攻击防护 9 2 1 2 BOT 防护 10 2 1 3 应用层洪水 CC 攻击及 DDOS 防御 11 2 1 4 网页防篡改 12 2 1 5 自定义规则及白名单 13 2 1 6 关键字过滤 13 2 1 7 日志功能 14 2 1 8 统计功能 16 2 1 9 报表 18 2 1 10 智能阻断 18 2 2 设备选型及介绍 19 2 3 设备部署 21 三 方案优点及给客户带来的价值 24 3 1 解决了传统防火墙 IPS 不能解决的应用层攻击问题 24 3 2 合规性建设 24 3 3 减少因不安全造成的损失 24 3 4 便于维护 24 3 5 使用状况 25 西亚斯西亚斯 Web 应用防护系统解决方案 3 3 5 1 系统状态 25 3 5 2 入侵记录示例 25 3 5 3 网站统计示例 26 四 Web 应用防护系统主要技术优势 27 4 1 千兆高并发与请求速率处理技术 27 4 2 攻击碎片重组技术 27 4 3 多种编码还原与抗混淆技术 27 4 4 SQL 语句识别技术 27 4 5 多种部署方式 27 4 6 软硬件 BYPASS 功能 27 五 展望 28 西亚斯西亚斯 Web 应用防护系统解决方案 4 学校 WEB 应用安全防护 Web 应用防护安全解决方案 一 需求概述一 需求概述 1 11 1 背景介绍背景介绍 随着学校对信息化的不断建设 已经具有完备的校园网络 学校部署了大量信息系统 和网站 包括 OA 系统 WEB 服务器 教务管理系统 邮件服务器等 50 多台服务器和 100 多个业务系统和网站 各业务应用系统都通过互联网平台得到整体应用 校园网出口已经 部署了专用防火墙 流控等网络安全设备 所有 Web 应用是向公众开放 特别是学校的门 户网站 由于招生与社会影响 要求在系统 Web 保护方面十分重要 1 21 2 需求分析需求分析 很多人认为 在网络中不断部署防火墙 入侵检测系统 IDS 入侵防御系统 IPS 等设备 可以提高网络的安全性 但是为何基于应用的攻击事件仍然不断发生 其根本的原因在于传统的网络安全设备对于应用层的攻击防范 尤其是对 Web 系统的攻击 防范作用十分有限 目前的大多防火墙都是工作在网络层 通过对网络层的数据过滤 基 于 TCP IP 报文头部的 ACL 实现访问控制的功能 通过状态防火墙保证内部网络不会被 外部网络非法接入 所有的处理都是在网络层 而应用层攻击的特征在网络层次上是无法 检测出来的 IDS IPS 通过使用深包检测的技术检查网络数据中的应用层流量 和攻击 特征库进行匹配 从而识别出以知的网络攻击 达到对应用层攻击的防护 但是对于未知 攻击 和将来才会出现的攻击 以及通过灵活编码和报文分割来实现的应用层攻击 IDS 和 IPS 同样不能有效的防护 总体说来 容易导致学校 Web 服务器被攻击的主要攻击手段有以下几种 西亚斯西亚斯 Web 应用防护系统解决方案 5 缓冲区溢出 攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执 行溢出堆栈中的恶意指令 SQL 注入 构造 SQL 代码让服务器执行 获取敏感数据 跨站脚本攻击 提交非法脚本 其他用户浏览时盗取用户帐号等信息 拒绝服务攻击 构造大量的非法请求 使 Web 服务器不能相应正常用户的访问 认证逃避 攻击者利用不安全的证书和身份管理 非法输入 在动态网页的输入中使用各种非法数据 获取服务器敏感数据 强制访问 访问未授权的网页 隐藏变量篡改 对网页中的隐藏变量进行修改 欺骗服务器程序 Cookie 假冒 精心修改 cookie 数据进行用户假冒 西亚斯西亚斯 Web 应用防护系统解决方案 6 学校学校 WEBWEB 应用安全防护具体需求分析应用安全防护具体需求分析 学校对 WEB 应用安全防护非常重视 在内网部署有高端防火墙 同时内网部署有众 多应用服务器 网络示意图如下 通过以上机构的内网拓扑简图可见 机构内部众多用户和各种应用系统 通过位于外 网接口的防火墙进行了防护和保障 对于来自外网的安全风险和威胁提供了一定的防御能 力 作为整体安全中不可缺少的重要模块 局限于自身产品定位和防护深度 不同有效的 提供针对 Web 应用攻击的防御能力 对于来自外网的各种各样的攻击方法 就必须采用一 种专用的机制来阻止黑客对 Web 服务器的攻击行为 对其进行有效的检测 防护 通过对学校内部网络目前在 WEB 应用存在的问题 我们看到学校在 Web 服务器安全防 护时需要解决以下几个问题 跨站脚本攻击跨站脚本攻击 跨站脚本攻击利用网站漏洞攻击那些访问学校 Web 服务器的用户 常见的目的是窃取 Web 服务器访问者相关的用户登录和认证信息 SQLSQL 注入攻击注入攻击 西亚斯西亚斯 Web 应用防护系统解决方案 7 由于代码编写不可能做到完美 因此攻击者可以通过输入一段数据库查询代码窃取或 者修改数据库中的数据 造成用户资料的丢失 泄露和服务器权限的丢失 缓冲区溢出攻击缓冲区溢出攻击 由于缺乏数据输入的边界条件限制 攻击者通过向程序缓冲区写入超出其长度的内容 造成缓冲区的溢出 从而破坏程序的堆栈 使程序转而执行其他的指令 获得系统管理员 权限 CCCC 攻击攻击 CC 攻击目前是最新出现针对 Web 系统的特殊攻击方式 通过构造特殊的攻击报文 以到达消耗应用平台的服务器计算资源为目的 其中以消耗 CPU 资源最为常见 最终造 成应用平台的拒绝服务 正常用户无法访问 Web 服务器 给学校形象造成不可估量的损失 拒绝服务攻击拒绝服务攻击 通过 DOS 攻击请求 以到达消耗应用平台的网络资源为目的 最终造成应用平台的拒 绝服务 正常用户无法访问 Web 服务器 给政府形象造成不可估量的损失 Cookies SeesionCookies Seesion 劫持劫持 Cookies Seesion 通常用户用户身份认证 别且可能携带用户敏感的登录信息 攻击 者可能被修改 Cookies Seesion 提高访问权限 或者伪装他人的身份登录 1 31 3 网络安全防护策略网络安全防护策略 1 3 11 3 1 长鞭效应 长鞭效应 bullwhipbullwhip effecteffect 网络安全的防护同管理学的 长鞭效应 bullwhip effect 具有相似的特性 就 是要注重防患于未然 因此 针对我们单位的特点 更要注重主动防护 在安全事件发生 之前进行防范 减少网络安全事件发生的机会 达到 少发生 不发生 的目标 西亚斯西亚斯 Web 应用防护系统解决方案 8 1 3 21 3 2 网络安全的网络安全的 防 切 控防 切 控 DCC DCC 原则原则 基于 长鞭效应 我们的网络安全防护要从源头做起 采用 防 切 控 DCC 的原则 防 主动防护 防护我们的服务器受到攻击者的主动攻击防 主动防护 防护我们的服务器受到攻击者的主动攻击 外部敌对 利益驱动的攻击者 会对我们的网站 mail 服务器进行各种主动攻击 而这些主动攻击往往带有非常强的目的性和针对性 因此我们当前如何防范恶意攻击者的 主动攻击成为首要解决的问题 主要有 防止 Web 服务器受到来自外部的攻击 非法控制 篡改 防止主 备 mail 服务器受到攻击 非法控制 切 切断来自外部危险网站的木马 病毒传播 切 切断来自外部危险网站的木马 病毒传播 在网络中部分的 Web 服务器已经被黑客控制的情况下 Web 应用防护系统可以有效的 防止已经植入 Web 服务器的木马的运行 防止服务器被黑客继续渗透 因此 如何切断被 黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题 控 控制无意识的信息泄露 控 控制无意识的信息泄露 对于第三个要解决的问题是防止内部人员无意识的内部信息泄露 要保证接入网络的 机器 设备是具有一定的安全防护标准 防止不符合要求的机器和设备接入网络 严格控 制潜在的安全风险 西亚斯西亚斯 Web 应用防护系统解决方案 9 二 二 解决方案解决方案 2 12 1 WebWeb 应用防护系统解决方案应用防护系统解决方案 Web 应用安全防护系统可以为学校 Web 服务器提供全方位的服务 主要保护功能包括以 下几方面 2 1 12 1 1 黑客攻击防护黑客攻击防护 Web 应用防护系统对黑客攻击防护功能 主要阻止常见的 Web 攻击行为 包括以下方面 黑客已留后门发现 黑客控制行为阻止 SQL 注入攻击 包括 URL POST Cookie 等方式的注入 XSS 攻击 Web 常规攻击 包括远程包含 数据截断 远程数据写入等 命令执行 执行 Windows Linux Unix 关键系统命令 缓冲区溢出攻击 恶意代码 解决办法 解决办法 通过在 Web 服务器的前端部署 Web 应用防护系统 可以有效过滤 Web 攻击 同时 正 常的访问流量可以顺利通过 Web 应用防护系统 通过内置可升级 扩展的策略 可以有效的防止 控制 Web 攻击 发生 西亚斯西亚斯 Web 应用防护系统解决方案 10 方案价值 通过部署方案价值 通过部署 WebWeb 应用防护系统可以有效的防止黑客对于网站应用层的攻击 保障应用防护系统可以有效的防止黑客对于网站应用层的攻击 保障 WebWeb 服务器的安全 降低资料被窃取 网站被篡改事件的发生 服务器的安全 降低资料被窃取 网站被篡改事件的发生 2 1 22 1 2 违反策略防护违反策略防护 Web 应用防护系统对互联网的内容识别与控制主要包括以下几个方面 非法 HTTP 协议 URL ACL 匹配 盗链行为 2 1 22 1 2 BOTBOT 防护防护 Web 应用防护系统对互联网的应用访问控制主要包括以下几个方面 爬虫蜘蛛行为 西亚斯西亚斯 Web 应用防护系统解决方案 11 Web 漏洞扫描器行为 2 1 32 1 3 应用层洪水应用层洪水 CCCC 攻击攻击及及 DDOSDDOS 防御防御 Web 应用防护系统的互联网应用流量控制主要包括以下几个方面 1 UDP Flood 2 ICMP Flood 3 SYN Flood 4 ACK Flood 5 RST Flood 6 CC 攻击 7 DDOS 攻击 西亚斯西亚斯 Web 应用防护系统解决方案 12 方案价值 Web 应用防护系统全方位的封堵 节省带宽资源利用率 保证组织的业务 相关应用得到极以流畅的进行 2 1 42 1 4 网页防篡改网页防篡改 本设备的网页防篡改功能 对网站数据进行监控 发现对网页进行任何形式的非 法添加 修改 删除等操作时 立即进行保护 恢复数据并进行告警 同时记录防篡 改日志 支持的操作系统 Windows Linux CentOS Debian Ubuntu Solaris AIX IRIX HP Sun ONE iPanet 等操作系统 西亚斯西亚斯 Web 应用防护系统解决方案 13 2 1 52 1 5 自定义规则及白名单自定义规则及白名单 自定义规则自定义规则 设备不仅具有完善的内置规则 并且还支持用户根据自身需要自行定义规划 支持自 符串快速查找与 PCRE 正则查找 白名单白名单 根据需要设定某些网站 URL 针对防护设备直接放行 2 1 62 1 6 关键字过滤关键字过滤 本设备支持针对网页访问进行单向或双方关键字进行检测与过滤 西亚斯西亚斯 Web 应用防护系统解决方案 14 2 1 72 1 7 日志日志功能功能 Web 应用防护系统不但提供强大的防护功能 且提供了十分详细的日志和报表功能 能够让管理人员更加全面 快捷地了解整个设备运行及防护情况 入侵报警日志入侵报警日志 系统提供详细的安全防护日志 包括攻击时间 方式 来源 IP 目的 URL 物理地址 页面访问统计等 西亚斯西亚斯 Web 应用防护系统解决方案 15 日志查询日志查询 设备提供基于时间 IP 端口 协议 动作 规则集 危害等级等多种查询方式 支 持日志的导出及按时间进行日志自动的清理 审计日志审计日志 对设备每次操作进行详细的记录 系统日志系统日志 可以记录设备的运行状况 西亚斯西亚斯 Web 应用防护系统解决方案 16 2 1 82 1 8 统计功能统计功能 网络入侵统计网络入侵统计 该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况 以便快速掌握不 同时期遭受网络攻击状况 判断网络攻击变化趋势 西亚斯西亚斯 Web 应用防护系统解决方案 17 网络流量统计网络流量统计 统计该页面统计各接口的流量情况 可以按天或月以折线图的形式显示出来 了解本 设备在该段时间内的网络流量情况 浏览页面统计浏览页面统计 该页面可以详细清楚地统计并显示每个 web 页面的访问次数 最后访问时间 浏览器 情况 并可以分时间断来进行分析页面访问情况 西亚斯西亚斯 Web 应用防护系统解决方案 18 2 1 92 1 9 报表报表 设备提供详细的基于图文的安全报表 按攻击类别 流量 主机 来源 IP 目的 URL 攻击方式 地位位置 webshell 分析 页面访问次数等 并可以按事件攻击类型 周期 统计目标进行统计 支持 Html Word Pdf 格式的输出 定时去发送攻击报表等功能 2 1 102 1 10 智能阻断智能阻断 该设备可以智能识别外来的攻击行为 根据自定义单位时间内触发安全规则次数的方 式 自动阻断攻击源 阻断的时间及次数均可自行定义 西亚斯西亚斯 Web 应用防护系统解决方案 19 2 22 2 设备选型及介绍设备选型及介绍 根据对学校 WEB 应用安全防护需求的分析 采用 WAF 产品系列的 Web 防火墙管理设备 以下是要求的设备基本性能参数 项目项目技术要求技术要求 1U 采用多核硬件架构 体系结构 配置 8 个电口 配置 2 对电口 Bypass 单向 HTTP 吞吐量 10001000 Mbps 最大并发会话数 100100 万 内置规则全开 防护状态 HTTP 请求速率 1 00001 0000 内置规则全开 防护状态 网络延迟 0 05 0 05 毫秒 内置规则全开 防护状态 性能 防护网站不限 IP 拦截方式 至少包含 4 种方式 拦截 检测 放行 拦截并阻断 阻断方式下 可设置阻断时间 可手工解除阻断 入侵者记录 能够记录入侵攻击详细数据 至少包含 序号 攻击时间 拦截原因 规则集名称 危害等级 源 IP 地址 地理位置 目的 IP 地址 源端 口 目的端口 拦截方式 HTTP 请求 URL 等 防御功能 双向检测功能 能够对流入流出数据进行检测 具有默认的防护端口 并可指定防护端口 系统内置防护规则 并支持用户自定义防护规则 白名单功能 能够对特定的 IP 域名 域名 URL 设置白名单 HTTP 请 求类型允许与禁止 可对常用的 HTTP 请求设置允许或禁止通过 Web 攻击防护 SQL 注入攻击 包括 URL POST Cookie 等方式的注入 攻击者通 过输入数据库查询代码窃取或修改数据库中的数据 XSS 攻击 远程 本地文件包含攻击 CSRF 跨站请求 Web 常规攻击 包括远程包含 数据截断 远程数据 写入等 恶意扫描 攻击者利用 pangolin Wvs 等专业扫描攻击工 具对服务器进行扫描和攻击 命令执行 执行 Windows Linux Unix 西亚斯西亚斯 Web 应用防护系统解决方案 20 关键系统命令 缓冲区溢出攻击 关键文件下载 搜索引擎爬虫 spider 恶意代码 信息伪装 零日 攻击 本马上传 攻击 者利用黑客工具上传 Webshell 以达到控制服务器的目的 WebShell 检测与拦截等 负载均衡支持应用层负载均衡功能 并支持动态网站 流量分配 防 CC 攻击 选配 支持对 CC 攻击的防护功能 防 DOS 攻击 选配 支持对 DOS 攻击防护功能 网页防篡改 选配 支持对网页的篡改并进行自动恢复 支持主流的 Windows Linux Unix Solaris AIX 等操作系统 漏洞扫描 选 配 针对 web 服务器的 SQL XSS 等漏洞进行扫描 并生成报告 数据库防篡改 选配 数据库防篡改 支持 MSSQL SQLSERVER 等数据库防篡改 高级访问控制 支持对内 外 IP 地址的精确控制 设置不同的防御方式 阻断 过 滤 检测 放行 可靠性 电口 光口硬件 BYPASS 软件 BYPASS 可扩展支持端口汇聚 多机 热备 平均无故障时间 h 支持日志自动清理功能 可在达到日志 上限时通知管理员进行日志清理 如手动清理未实施 系统实行自动 清理 部署方式 支持即插即用 部署方式具有透明方式 反向代理方式 透明 反向 代理混合方式 路由方式 虚拟化部署等 报表功能 提供详细的基于图文的安全报表 入侵统计 按入侵类别统计 被攻 击主机 攻击来源 IP 和地理位置 页面访问次数 网络接口流量趋 势等 并可以按事件攻击类型 周期 统计目标进行统计 支持通过 HTTPS 初始化 设置 管理设备 管理特性 实时流量查看 入侵告警查看 西亚斯西亚斯 Web 应用防护系统解决方案 21 流量统计 入侵统计 自定义规则查看管理 支持入侵记录 系统日志 审计日志导出功能 系统配置安全导入 导出功能 支持内置规则升级 固件升级 允许用户自由定制规则 提供友好的定制模板 报表系统 系统日志 审计日志 获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密 标准 BMB13 2004 涉及国家秘密的计算机信息系统入侵检测产品技 术要求 的千兆 涉密信息系统产品检测证书 获得中国信息安全认证中心颁发的符合 CNCA CTS 0050 2007 信息技 术 信息安全 网站恢复产品认证技术规范 增强级认证 中国国家信 息安全产品认证证书 公安部颁发的 计算机信息系统安全专用产品销售许可证 产品资质 国家漏洞中心提交漏洞证明文件 2 32 3 设备部署设备部署 根据学校 WEB 应用安全防护 Web 服务器部署情况 我们建议通过透明网桥的部署模式 来达到对 Web 服务器保护的目的 集中集中 集群式集群式 WebWeb 服务器部署服务器部署 集群式 集中式 Web 服务 集群式 Web 服务采用多台 Web 服务器负荷分担提供同一 Web 服务 集中式 Web 服务主要体现在不同的 Web 服务器放置在同一网段或者相邻的网段内 但不同的 Web 服务器可能提供多样的 Web 服务 这种情况多数应用于中大型企业的 Web 服 务器模式 或者是 IDC 在这种网络结构下 可直接将 Web 应用防火墙 串接在 Web 服 务器群所在子网交换机前端 如下图显示 西亚斯西亚斯 Web 应用防护系统解决方案 22 部署方式 WAF 的 WAN 口与广域网的接入线路相连 一般是光纤 ADSL 线路或者是路 由器 WAF 的 LAN 口 DMZ 口 同局域网的交换机相连 所有对 WEB 服务器的访问请求都 必须通过 WAF 设备 半分散式半分散式 WEBWEB 服务部署模式服务部署模式 半分散式 Web 服务 在局域网中存在各种不同的 Web 应用服务 并且这些 Web 应用服 务器分散在不同的子网中 比如 公司有整体的 Web 服务集群 同时 各个部门还有各自 的 Web 服务器 而这些服务器分布在不同的子网中 如果想对这些 Web 服务器进行保护 需要将 Web 应用防火墙 部署在这些 Web 服务器所在网络的边缘 如下图显示 部署方式 WAF 的 WAN 口同广域网接入线路相连 LAN 口 DMZ 口 同局域网交换机连 接 同时保护处于内网不同网段的多个 Web 服务器 西亚斯西亚斯 Web 应用防护系统解决方案 23 全分散式全分散式 WebWeb 服务部署模式服务部署模式 半分散式 Web 服务 在局域网中存在各种不同的 Web 应用服务 并且这些 Web 应用服 务器分散在几乎全部的子网中 比较常见的案例 IDC 机房 这时 需要将 Web 应用防 火墙 部署在局域网边缘 一般部署在主交换机同主路由器之间 如下图显示 部署方式 WAF 的 WAN 口同广域网接入线路相连 LAN 口 DMZ 口 同局域网交换机连 接 同时保护处于内网的所有 Web 服务器及 DB 服务器 西亚斯西亚斯 Web 应用防护系统解决方案 24 三 方案优点及给客户带来的价值三 方案优点及给客户带来的价值 通过 Web 应用防护系统在学校 WEB 应用安全防护的具体实施给客户带来以下价值 3 13 1 解决了传统防火墙 解决了传统防火墙 IPSIPS 不能解决的应用层攻击问题不能解决的应用层攻击问题 传统的网络防火墙作为访问控制设备 工作在 OSI1 4 层 基于 IP 报文进行状态检测 地址转换 网络层访问控制等 对报文中的具体内容不具备检测能力 因此 对 Web 应用 而言 传统的网络防火墙仅提供 IP 及端口防护 对各类 WEB 应用攻击缺乏防御能力 Web 应用防护系统主要致力于提供应用层保护 通过对 HTTP HTTPS 及应用层数据的深度检测 分析 识别及阻断各类传统防火墙无法识别的 WEB 应用攻击 只要有网络的地方就会有防 火墙 但传统的防火墙只是针对一些底层 网络层 传输层 的信息进行阻断 而 WAF 则深 入到应用层 对所有应用信息进行过滤 这是二者的本质区别 WAF 的运行基础是应用层 访问控制列表 整个应用层的访问控制列表所面对的对象是网站的地址 网站的参数 在 整个网站互动过程中所提交的一些内容 包括 HTTP 协议报文内容 由于 WAF 对 HTTP 协 议完全认知 通过内容分析就可知道报文是恶意攻击还是非恶意攻击 IPS 只是做部分的 扫描 而 WAF 会做完全 深层次的扫描 3 23 2 合规性建设合规性建设 学校 WEB 应用安全防护网站由于其社会地位和政治地位的特殊性 在公安部 计算机 信息安全等级保护基本要求 中明确要求必须对所有外部网络访问行为进行入侵防范 访 问行为有相应的日志审计行为 Web 应用防护系统不仅能完全防范非法用户的入侵行为 更能提供完整的统计表报 3 33 3 减少因不安全造成的损失减少因不安全造成的损失 Web 应用防护系统可以防止黑客通过各种方式获取系统的管理员权限 避免黑客获得 管理员权限篡改 Web 服务器主页 或者以服务器为跳板攻击局域网内其他服务器 可以防止因代码编写不规范 造成数据库服务器被 SQL 注入攻击 黑客获得数据库中 的用户数据 3 43 4 便于维护便于维护 Web 应用防护系统连续工作时间为 小时 能保证在夜间及节假日等无人值守时刻也 能保护 Web 服务器 减少管理员的工作负担 同时 B S 设计架构方便管理员进行规 西亚斯西亚斯 Web 应用防护系统解决方案 25 则设置 参数配置 系统管理员不必随时关注系统补丁升级 发现漏洞可以在 Waf 的防护下慢慢的修补