iWall应用防火墙

1、iWall应用防火墙技术白皮书上歯天存信层技朮有阳公司Shanghai Tercel Info Tech. Co.,Ltd tcxa 致力w巳b平安 FOCUS Wct> ScjiXity目录第i章应用平安需求i1.1来自WEB的攻击11.2网络平安设备 31.3应用平安防护系统 4第2章产品原理和功能 52.1 IWALL 概述52.2 IWALL工作原理52.3 IWALL 功能7第3章产品特点93.1平安性93.2高效性93.3灵活性93.4稳定性93.5广泛性103.6低本钱103.7可扩充10第4章产品组成和型号 114.1产品组成和部署 114.2平台支持124.3产品型号1

2、2第5章常见应用层攻击简介 135.1 SQL数据库注入式攻击 135.2脚根源代码泄露 135.3非法执行系统命令 135.4非法执行脚本 135.5上传假冒文件 145.6跨站脚本漏洞 145.7网站资源盗链 145.8不平安的本地存储 14图示目录图示2-1 WEB效劳器的体系结构 5图示2-2 WEB系统核心内嵌模块的位置 6图示2-3应用防护模块 6图示4-1 部署示意图 11表格目录表格4-1产品型号12第1章应用平安需求1.1来自Web的攻击危险的Web系统现代的信息系统，无论是建立对外的信息发布平台，还是建立内部的业务应用系统，都离不开 Web网站和 Web应用。Web方式不仅

3、给用户提供一个方便和易用的交互手段，也给 信息和效劳提供者构建一个标准技术开发和应用平台，可以预计在相当长的一段时间内， Web方式是网络应用的最主要方式之一。但是，随着网络技术的普及和开展，Web应用越来越多，使用对象越来越广泛，系统功能越来越复杂，而与此同时，针对Web网站和应用的攻击越来越多。仅从公开的媒体报导我们就能知道，以下针对 Web网站和应用的平安事件全世界每天都在发生着：非法上传网页；篡改网页；篡改数据库；非法执行命令；窃取脚根源程序；窃取系统信息；窃取用户信息；绕过身份认证；跨站提交虚假信息；网站资源盗链；拒绝效劳攻击。这些攻击行为极大地影响了信息系统的正常运行，如果是恶意攻

4、击还会导致数据泄密、 效劳停止和公众信息的混乱，后果极为严重。1.1.2 Web应用层攻击传统的网络攻击是扫描攻击对象的网络地址和端口， 针对某些未屏蔽和未加固的端口的 缺陷进行攻击。随着近年来大家对信息管理的重视， 以及防火墙和入侵检测系统等平安产品 的大量运用，这种方式渐渐失去了攻击的效果。但是，对于 Web网站和应用来说，有一个地址永远是开放的：网站或应用地址；有一个端口也永远是开放的： 端口。而大量的攻击者正是利用了这个地址和这个端口。据Gartner调查显示，现在的网络攻击有 75%都是针对 Web应用层发起的。另外，据美国计算机平安协会CSI /美国联邦调查局FBI的研究说明，在接

5、受调查的公司中，2004年有52%的公司的信息系统遭受过外部攻击包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝效劳等等，这些攻击给269家受访公司带来的经济损失超过1.41亿美元，但事实上他们之中有98%的公司都装有防火墙。早在2002年，IDC就曾在报告中认为，“网络防火墙对应用层的平安已起不到什么作用了，因为为了确保 通信，网络防火墙内的端口都必须处于开放状态。目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解，即可完成诸如更换 Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中 产生的网络层数据，和正常数据没有什么区别。1.1.3 W

6、eb 漏洞Web应用层漏洞只有小局部可以通过系统管理员给Web效劳器打补丁来防范，而其余大局部都是Web应用程序本身编写不当而带来的漏洞。下面是局部常见的 Web应用层漏洞或攻击方法：SQL数据库注入漏洞；脚根源代码泄露漏洞；非法执行命令非法执行脚本；上传假冒文件；跨站脚本漏洞；不平安的本地存储；网站资源盗链。在实际情形中，不可能让所有程序员在编写所有Web应用程序时都注意防范这些漏洞，况且局部漏洞是应用程序无法防范的。而对于一个网站而言， 仅仅一个应用系统的一个代码编写者造成了一个漏洞就可能导致整个网站甚至整个信息系统的不平安，因此，Web网站和应用系统的平安必须要有专门的平安产品来保障。1

7、.2网络平安设备防火墙网络防火墙提供网络层访问控制和攻击保护效劳。它们统一部署在网络边界和企业内部重要资源例如 Web应用的前端。网络防火墙是整个 Web应用平安体系结构的一个组件， 它可提供必要的保护以防御网络层黑客攻击网络扫描、telnet等。网络防火墙还可形成一道屏障，以阻止蠕虫通过一些不需要的端口和协议从企业桌面网络传播到Web应用。但是，网络防火墙规那么集必须允许重要协议如 / S 不受限制地访问 Web应用，即完全向外部网络开放 / S应用端口。如果攻击代码被嵌入到 Web通信中， 那么从协议角度来看这些通信是完全合法的，而此时网络防火墙对此类攻击没有任何的保护作用。例如，红色代码

8、和尼姆达等Web应用蠕虫可以通过符合协议的Web通信轻松地穿透网络防火墙。与此相似，SQL注入和跨站点脚本这两种有针对性的Web应用攻击也是借助符合协议的Web通信来实现的，它们都可以完全不被发现地穿过网络防火墙。基于网络防火墙的工作原理，只要攻击是通过普遍许可的应用程序协议进行的，那么网络防火墙就不起任何作用了。入侵检测系统目前最成熟的入侵检测技术就是攻击特征检测。入侵检测系统首先建立一个包含目前大多攻击特征的数据库，然后检测网络数据中的每一个报文，判断是否含有数据库中的任何一个攻击特征，如果有，那么认为发生的响应是攻击，否那么认为是合法的数据。入侵检测系统作为防火墙的有利补充，加强了网络的

9、平安防御能力。入侵检测技术同样工作在网络层上，对应用协议的理解和作用存在相当的局限性，对于复杂的 会话和协议更是不能完整处理。另外就是其技术实现的矛盾，如果需要防御更多的攻击，那么就需要很 多的规那么，但是随着规那么的增多，系统出现的虚假报告对于入侵防御系统来说，会产生中 断正常连接的问题率会上升，同时，系统的效率会降低。1.3应用平安防护系统由前面的描述可以看出，传统平安设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合 Web系统对请求进行深入分析，因而无法防止黑客针对Web应用漏洞进行的攻击。在大量而广泛的 Web网站和 Web应用中，需要采用专门的 Web平安防护系统来保护

10、Web应用层面的平安，上海天存信息技术研制和生产的iWall应用防火墙就是这样一款Web应用防护产品。第2章产品原理和功能2.1 iWall 概述iWall应用防火墙是一款保护 Web站点和应用免受来自于应用层攻击的Web防护系统。iWall应用防火墙实现了对 Web站点特别是 Web应用的保护。它内置于 Web效劳器软 件中，通过分析应用层的用户请求数据如URL、参数、链接、Cookie等，区分正常用户访问Web和攻击者的恶意行为，对攻击行为进行实时阻断和报警。这些攻击包括利用特殊字符或通配符修改数据的数据攻击、设法执行程序或脚本的命令攻击等，黑客通过这些攻击手段可以到达篡改数据库和网页、绕

11、过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容平安的目的。应用防火墙是现代网络平安架构的一个重要组成局部，它着重进行应用层的内容检查和平安防御，与传统平安设备共同构成全面和有效的平安防护体系。2.2 iWall工作原理2.2.1 Web系统核心内嵌技术iWall使用了 Web系统核心内嵌技术来对所有用户请求数据进行检查，在请求数据尚未 被Web效劳器软件处理之前更在应用处理之前即进行检查，确保所有攻击行为被拒之 门外。一个标准的Web效劳器的体系结构如图示 2-1所示：Web系统(IIS/Apache/Weblogic/Websphere/Resin/Tomcat)操作系统(Win

12、dows/Linux/FreeBSD/Solaris/AIX/HP-UX)硬件平台(X86/sparc/ltaniumll/PowerPC/PA-RISC)图示2-1 Web效劳器的体系结构Web系统核心内嵌技术以下简称核心内嵌技术是指将平安模块内嵌在Web系统软TER&EL天詐息件IIS/Apache/Weblogic/Websphere/中，这个模块针对不同的Web系统使用相应的核心内嵌技术实现，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如图示 2-2所示。Web系统核心内嵌模块(ISAPI/Apache-module/NSAPI/JAVA

13、-filter)操作系统(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX)硬件平台(X86/sparc/ltaniumll/PowerPC/PA-RISC)图示2-2 Web系统核心内嵌模块的位置平安模块内嵌于Web系统即与Web系统完全整合，其优点在于：不存在独立的平安模块运行进程，入侵者无法找到和中止平安模块的运行。 精准理解和分析Web效劳传入和传出的数据，进行充分可靠的平安检查。完全与 Web效劳的运行进程融合，处理效率高，稳定性和兼容性强。与操作系统及硬件无关，全面控制Web系统软件和效劳。应用防护模块iWall应用防护模块即采用可上述的Web系统核心

14、内嵌模块技术，对来自于客户的 Web检查点为：用户提交的 请求request到达 Web效劳器，尚未进行其他处理时。检查对象为：原始请求数据GET/POST等各种方法及其数据2.3 iWall 功能请求特性限制iWall可以对 请求的特性进行以下过滤和限制：请求头检查：对 报文中请求头的名字和长度进行检查。请求方法过滤：限制对指定 请求方法的访问。请求地址过滤：限制对指定 请求地址的访问。请求开始路径过滤：限制 请求中的对指定开始路径地址的访问。请求文件过滤：限制 请求中的对指定文件的访问。请求文件类型过滤：限制 请求中的对指定文件类型的访问。请求版本过滤：限制对指定 版本的访问及完整性检查。

15、请求客户端过滤：限制对指定 客户端的访问及完整性检查。请求链接过滤：限制链接字段中含有的字符及完整性检查。鉴别类型过滤：限制对指定 鉴别类型的访问。鉴别帐号过滤：限制对指定 鉴别帐号的访问。内容长度过滤：限制对指定 请求内容长度的访问。内容类型过滤：限制对指疋 请求内容类型的访冋。这些规那么需要可以根据 Web系统的实际情况进行配置和分站点应用。请求内容限制iWall可以对 请求的内容进行以下过滤和限制：URL过滤：对提交的 URL请求中的字符进行限制。请求参数过滤：对 GET方法提交的参数进行检查包括注入式攻击和代码攻击请求数据过滤：对POST方法提交的数据进行检查包括注入式攻击和代码攻击C

16、ookie过滤：对Cookie内容进行检查。盗链检查：对指定的文件类型进行指定域的检查。跨站攻击检查：对指定的文件类型进行开始路径的检查。这些规那么需要可以根据 Web系统的实际情况进行配置和分站点应用。指定站点规那么iWall可以分别为一台效劳器上不同的站点制定不同的规那么，站点区分的方法包括:不同的端口。不同的IP地址。不同的主机头名即域名。可防范的攻击iWall组合以上限制特性，可针对以下应用攻击进行有效防御：SQL数据库注入式攻击。脚根源代码泄露。非法执行系统命令。非法执行脚本。上传假冒文件。跨站脚本漏洞。不平安的本地存储。网站资源盗链。应用层拒绝效劳攻击。对这些攻击更详细的描述见本文

17、档第5章：常见应用层攻击简介。攻击日志iWall对于所有攻击都有详细日志，包括:攻击时间。攻击者IP地址。主机名。URL。攻击部位。攻击内容。触发规那么。特征库升级iWall的特征库包括危险的头、危险的文件类型、注入式攻击模式等8个类别。天存公司对攻击特征库持续升级，以对未来出现的攻击模式或新的操作系统/Web效劳器系统进行防范。鉴于Web效劳器的特殊平安性，特征库不采用自动在线升级方式。第3章产品特点3.1平安性iWall应用防火墙的防护引擎内嵌于Web效劳器软件里，与Web效劳器协同工作，有效处理来自每一个浏览器的每次访问请求。它的部署位置决定了它完全能理解应用层数据，每个 请求在实际交给

18、 Web效劳器处理之前，防护引擎都能结合Web效劳器会话环境对其进行平安性分析，确保应用层上的万无一失。3.2高效性iWall应用防火墙的防护引擎以Web效劳器软件插件的形式工作即Web效劳器核心内嵌，完全与 Web效劳器合为一体。因此它在做平安检查和分析时，没有任何的网络通信、 进程切换、线程创立和文件读写等动作，防止了不同系统交换信息所带来的资源消耗和延迟， 最大限度保证了 Web效劳的效率。3.3灵活性iWall应用防火墙的各项参数和设置都可以灵活地加以配置，特别是可以给同一网站的 不同的 Web效劳器及一台 Web效劳器上不同的虚拟主机站点应用不同的规那么。例如： 可以给公众浏览站点和

19、管理站点设置不同的规那么，给不同Web系统的应用设置不同的规那么等，最大程度满足平安性和灵活性的平衡。3.4稳定性iWall应用防火墙的防护引擎使用了天存公司可靠的Web效劳器内嵌模块。该模块严格按照7*24小时运行标准设计，在内存处理、多线程处理、文件I/O处理方面有着稳健的实现。该模块已有4年的稳定使用历史，目前在全国500多台高访问量网站上运行，处理的日累计访问量到达 80,000,000次。3.5广泛性Wall应用防火墙支持所有的主流操作系统，包括：Windows、Linux、FreeBSD、Solaris、AIX、HP-UX ；支持所有的主流 Web 效劳器软件，包括：IIS、Apa

20、che、Weblogic、Websphere、 ReSin、Tomcat 等；支持所有的主流硬件 /CPU 架构，包括：x86、spare、PowerPC、Itanium II、PA-RISC。3.6低本钱iWall应用防火墙的低本钱表达在两方面：零硬件需求和零管理需求。iWall核心是 Web系统的一个插件直接运行在用户原有的Web效劳器上，无须新增任何硬件设备，也无须对原有硬件进行升级。另外，iWall与网站的应用以及发布和管理方式完全无关，无须改变任 何系统管理和业务流程，该系统的部署对网站相关的绝大局部人员都是透明的。3.7可扩充iWall应用防火墙的防护引擎与攻击特征库是别离的，可以

21、独立升级。防护引擎相对稳 定保证了 Web应用系统/网站的稳定性；攻击特征库会依据最新的平安状况作及时更新，包 括：发现新的黑客攻击模式、发现新的Web效劳器或操作系统漏洞、发布新的Web效劳器软件或新的操作系统。第4章产品组成和型号4.1产品组成和部署Wall由以下两个模块组成：应用防护模块。iWall的核心防护模块，内嵌于 Web系统Web效劳器软件中, 与Web效劳器一起运行。配置管理模块。iWall的配置生成程序，在独立管理员机器上运行，仅在系统管理 员需要改变iWall配置时才使用。两者之间没有通信连接。仅通过一个配置文件交换数据，即:配置管理模块生成一个配置文件，将它复制到 Web

22、效劳器上供给用防护模块使用。它们的关系如图示 4-1所示。IntranetDMZInternet图示4-1部署示意图采取这种配置方式的优点在于：1防止直接在 Web效劳器上修改配置，不给黑客可乘之机。2防止在 Web上新开管理网络端口，不增加新的平安隐患。3在多个Web效劳器镜像时，可以快速生成统一配置。4.2平台支持iWall支持以下操作系统：Microsoft/Wi ndows NT/2000/XP/2003LinuxFreeBSDSolarisHP-UXAIXiWall支持以下Web效劳器：IISApacheiPla netSunONEWeblogicWebSphereresi ntom

23、catHP-AS4.3产品型号iWall分为根底版、标准版和企业版，所有版本使用了完全相同的平安技术，版本差异 主要由Web效劳器的CPU类型及数量决定，另外根底版不支持Unix操作系统。表格4-1列出了它们的适用范围和特性:型号名称根底版标准版企业版Web效劳器操作系统Windows/LinuxWindows/Linux/UnixWindows/Linux/UnixWeb效劳器CPU类型及数量X86 * 1X86 * 2 或 RISC * 1X86 * 4 或 RISC * 2支持虚拟站点的多规那么不支持支持支持* X86 CPU 包括：Intel、AMD、Cyrix，RISC CPU 包括

24、：PowerPC、spare、ItaniumII 、PA-RISC表格4-1产品型号第5章常见应用层攻击简介5.1 SQL数据库注入式攻击攻击者在表单输入或 URL参数中提交SQL语句的片断，如果应用程序未对输入经适当 验证、正常化或转义，那么这些片断会与程序脚本一起构成一个程序设计者预料之外的SQL语句，这条语句被数据库系统执行后将到达攻击者期望的各种目的，包括：绕过身份鉴别、 偷取用户资料、查看和修改数据库、生成非法文件等。5.2脚根源代码泄露正常情形下，用户向 Web效劳器请求一个脚本文件例如 .asp或.jsp程序时，Web服 务器先执行这些脚本，然后将执行的结果返回给用户的浏览器。而

25、在某些有漏洞的Web服务器或解析引擎中，攻击者在脚本请求中输入特殊字符后，这些脚本不是在Web效劳器上执行，而是原样发送到攻击者的浏览器上显示出来， 这样，攻击者就对程序的功能了如指掌。5.3非法执行系统命令攻击者利用 Web效劳器的一些漏洞例如早期IIS著名的Uni code漏洞和数据库系统 的一些漏洞例如 SQL Server不平安的内置存储过程，通过构造一些复杂的请求，可以实 现执行任何操作系统命令的目的，包括：列目录、篡改文件、关闭正常进程甚至对整个硬盘 进行格式化等。5.4非法执行脚本每个Web效劳器和动态引擎都带有一些例如性质的脚本例子程序，如果系统管理员未对这些脚本作适当的处理例

26、如删除或限制权限等，攻击者就能通过访问这些脚本获得一些系统信息。更有甚者，攻击者还可能在纯静态站点上执行动态的内容，或者执行本站点不用的脚本类型例如在 IIS/ASP上执行jsp，从而造成更多的破坏。5.5上传假冒文件对有文件上传功能的站点例如BBS,攻击者通过构造请求，可以绕过文件类型限制例如只允许上传图片文件上传生成任意文件后缀的文件。这样不仅可能破坏页面的显示，更为严重的是，如果上传了脚本文件并且管理员未对该目录作有限权限控制，那么攻击者可以直接执行该脚本。5.6跨站脚本漏洞跨站脚本漏洞常常被称为 XSS漏洞，它是指Web站点和应用未经适当过滤便将用户提 交的信息原样显示在页面上，它允许攻击者指定的任意文字内容显示在被害者的浏览器中， 甚至可以在用户浏览器上执行一个JavaScript语句，而这个 JavaScript语句可以弹出窗口、获得用户信息等。通过社会工程，这种攻击可以对网站所有者造成大规模形象破坏。5.7网站资源盗链一些小网站通过盗链的方法引用大型和正规网站的文字、图片甚至视频资源， 这些内容不在自己效劳器上， 而通过