Web应用安全产品简介及主流品牌产品对比讲义

深圳市信息网络中心内网加固研讨深圳市能士信息安全有限公司2011.3目录背景12网页防篡改3Web应用防火墙4结束Web安全威胁成为政府机关及企业最猛烈的攻击之一在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻；Web架构在成本与应用能力方面的优势，使得越来越多的企业和机构将应用迁移到基于Web的基础架构；政府单位web应用作为信息公开的窗口，需要提供优质服务、整合政府资源、增强政府与公众的互动以及增加亲和贴身的服务形式；伴随着在线信息和服务可用性的提升，以及基于Web的攻击和破坏的增长，安全风险达到了前所未有的高度；Web威胁所具备的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素；Web安全威胁已经成为对政府机关及企业来说最为猛烈的攻击之一。Web安全都涉及哪些方面的内容？广义上，Web安全包括Web服务器安全、Web客户端（即浏览器）安全；一般情况下，谈到的Web安全主要指Web服务器安全。Web服务器可以分三层，底层是操作系统，中间层是Web服务程序、数据库服务、其他通用组件（如ASP、PHP等）、上层是实现特定应用的网页程序。根据Web服务器的层次架构，Web服务器安全包括了底层操作系统安全、中间层通用组件的安全、上层网页程序的安全。Web安全主要面临的威胁网页篡改（Web服务器层次架构的任何一层出现安全问题都可能导致“网页篡改”，底层操作系统的漏洞可能会导致整台Web服务器都被黑客非法控制，从而篡改任意网页；中间层通用组件的安全问题会导致Web业务相关的权限被黑客非法获取，从而被上传恶意网页；上层网页程序相关的安全漏洞有SQL注入漏洞、跨站脚本漏洞等，攻击者可以利用这些漏洞造成“网页篡改”。）SQL注入攻击（利用Web网页程序对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库的攻击方式；SQL注入对Web网站的攻击后果：非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。）DDOS攻击(分布式拒绝服务攻击)“网页篡改”只是暴露Web安全问题的一种形式，事实上，存在着比“网页篡改”更严重的Web安全问题，如网页挂马、敏感信息失窃、数据破坏、网站成为傀儡机等。被篡改网站统计WEB应用价值的破坏与损失信息泄露拒绝服务监管部门投诉网页篡改非法入侵网站访问者服务提供者+基础网络提供者社会公信力下降名誉受损用户流失经济损失追责网页被篡改非法内容用户信息泄露个人信息丢失个人信息被篡改恶意程序下载网站无法访问Web安全防范网页防篡改系统（通过WEB防护、实时阻断、流出检测等方式进行网页保护，可以有效地防止WEB非法访问，SQL注入攻击，网页文件篡改等操作。）Web应用防火墙（WAF）

（Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。）目录背景12网页防篡改3Web应用防火墙4结束目录2网页防篡改1网页防篡改技术介绍2主流产品品牌和技术路线3InforGuard与iGuard对比网页防篡改改系统功能能功能简述：：实时监控网网站状态，，自动快速速恢复网站站应用保障网站系系统持续可可用网页防篡改改工作流程程目录2网页防篡改改1网页防篡改改技术介绍绍2主流产品品品牌和技术术路线3InforGuard与iGuard对比网页防篡改改系统主流流产品品牌牌及技术路路线UnisGuard1、UnisGuard产品概述UnisGuard网页防篡改改系统是一款网站站页面级防防护产品。。UnisGuard的主要功能能是通过文文件底层驱驱动技术对对Web站点目录提提供全方位位的保护，，防止入侵侵者或病毒毒等对目录录中的网页页、电子文文档、图片片、数据库库等任何类类型的文件件进行非法法篡改和破破坏。UnisGuard保护网站安安全运行，，维护政府府和企业形形象，保障障互联网业业务的正常常运营，彻彻底解决了了网站的非非法修改的的问题，是是高效、安安全、易用用的新一代代网页防篡篡改系统。。2、iGuard产品概述iGuard网页防篡改改系统是目前国内内能够完全全保护网站站不发送被被篡改的页页面内容的的Web页面保护软软件。iGuard以国家863项目先进技技术为基础础，使得其其性能和安安全性大大大优于同类类产品。iGuard支持网页的的自动发布布、篡改检检测、警告告和自动恢恢复，保证证传输、鉴鉴别、审计计等各个环环节的安全全。iGuard使用了先进进和可靠的的Web服务器核心心内嵌技术术，在部分分操作系统统上辅助以以事件触发发式技术，，从而完全全实时地杜杜绝篡改后后的网页被被访问的可可能性。支支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，，支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服务器软件件。网页防篡改改系统主流流产品品牌牌及技术路路线iGuard3、InforGuard产品概述InforGuard网页防篡改改系统是目前国内内采用四重重防护技术术、既完全全保护网站站不发送被被篡改的页页面内容又又保证网站站内无被篡篡改页面滞滞留的Web页面保护软软件。InforGuard的主要功能能是实时监监控用户的的Web站点，洞察察黑客、病病毒等对网网站的网页页、电子文文档、图片片等文件进进行破坏或或非法修改改。一旦文文件遭到破破坏，系统统会立即恢恢复被破坏坏的文件，，并向管理理人员报警警。InforGuard的四重防护护技术使其其在防篡改改理念、安安全性及性性能等诸多多方面远远远领先于同同类产品。。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，，支持IIS、Apache、Weblogic、WebSphere等主主流流的的Web服务务器器软软件件。。网页页防防篡篡改改系系统统主主流流产产品品品品牌牌及及技技术术路路线线InforGuard目录录2网页页防防篡篡改改1网页页防防篡篡改改技技术术介介绍绍2主流流产产品品品品牌牌和和技技术术路路线线3InforGuard与iGuard对比比InforGuard与iGuard对比比-防篡篡改改机机制制防篡篡改改机机制制对对比比InforGuard采用用了了独独特特的的四重重防防护护技技术术。第第一一重重防防护护———采用用实实时时阻阻断断技技术术，，实实现现进进程程式式篡篡改改检检测测引引擎擎，，阻阻断断非非法法进进程程对对网网站站的的篡篡改改；；第第二二重重防防护护———采用用事事件件触触发发技技术术，，实实现现触触发发式式篡篡改改检检测测引引擎擎，，瞬瞬间间清清除除被被非非法法篡篡改改的的网网页页，，并并实实时时恢恢复复；；第第三三重重防防护护———采用用核核心心内内嵌嵌技技术术，，实实现现内内嵌嵌服服务务器器式式篡篡改改检检测测引引擎擎，，实实时时确确保保每每个个对对外外发发送送的的网网页页的的正正确确性性；；第第四四重重防防护护———结合合事事件件触触发发技技术术，，实实现现灾灾难难型型篡篡改改检检测测引引擎擎，，与与服服务务器器联联动动，，应应对对灾灾难难式式网网络络攻攻击击事事件件。。iGuard采用用双引引擎擎防防护护技技术术。引擎擎1————实时时阻阻断断，，使使用用增增强强型型事事件件触触发发式式技技术术，，截截获获所所有有写写文文件件调调用用，，对对于于其其中中的的非非法法写写行行为为实实施施了了实实时时阻阻断断，，让让常常规规黑黑客客的的篡篡改改行行为为即即时时落落空空，，同同时时发发出出报报警警。。引引擎擎2————核心心内内嵌嵌，，将将篡篡改改检检测测的的核核心心内内嵌嵌到到Web服务务器器中中，，仅仅在在网网页页信信息息流流出出Web服务务器器时时进进行行检检测测。。InforGuard与iGuard对比比-功能能比比较较监控控与与恢恢复复1功能列表InforGuardiGuard篡改检测与恢复机制四重防护双引擎防护保护文件类型所有所有断线状态下的自动监控与保护支持（但是仅清除篡改文件，不恢复）支持（但不清除和恢复篡改文件）支持网页发送时的水印比较，确保网页的合法性支持支持支持多Web/应用服务器的并发验证支持支持Web服务器负载低低带宽占用无无检测时间实时或者接近实时接近实时InforGuard与iGuard对比比-功能能比比较较监控控与与恢恢复复2功能列表InforGuardiGuard绕过检测机制不可能不可能防范连续篡改攻击能（一定程度上）能保护所有网页能能动态网页脚本支持支持适用操作系统所有所有上传时检测能能断线时保护能能是否可能漏过检测不能不能InforGuard与iGuard对比比-功能能比比较较发布布与与同同步步功功能能功能列表InforGuardiGuard支持自动/手动精确同步支持支持支持自动/手动增量同步支持支持支持集群、多机热备，自动执行多个Web/应用服务器的同步支持支持，但没有集群的概念支持多虚拟主机/目录的并发同步支持支持支持各种发布工具或发布方式支持不支持支持内容管理系统支持不支持支持网络异常的自动恢复支持支持支持发布失败的自动重新发布支持支持InforGuard与iGuard对比比-功能能比比较较服务务器器联联动动功能列表InforGuardiGuard封锁服务端口联动支持不支持断开网络联动支持不支持关闭服务器联动支持不支持停止Web服务联动支持不支持自定义联动条件和联动措施支持不支持InforGuard与iGuard对比比-资质质比比较较InforGuard所获获资资质质国家家公公安安部部颁颁发发的的计计算算机机信信息息系系统统安安全全专专用用产产品品销销售售许许可可证证国家保密密局颁发发的涉密密信息系系统产品品检测证证书国家信息息安全测测评认证证中心颁颁发的信信息安全全产品认认证iGuard所获资质质国家信息息安全测测评认证证中心的的信息安安全产品品认证公安部计计算机信信息系统统安全专专用产品品销售许许可证目录录背景12网页防篡篡改3Web应用防火火墙4结束目录录3Web应用防火火墙1Web应用防火火墙技术术介绍23安恒与绿绿盟产品品对比主流产品品品牌和和技术路路线Web应用防火火墙（WAF）技术介介绍Web应用防火火墙（WebApplicationFirewall，简称WAF）基于对HTTP/HTTPS流量的双双向解码码和分析析，可应应对HTTP/HTTPS应用中的的各类安安全威胁胁，如SQL注入、XSS、跨站请求求伪造攻击击（CSRF）、Cookie篡改以及应应用层DDoS等，能有效效解决网页页篡改、网网页挂马、、敏感信息息泄露等安安全问题，，充分保障障Web应用的高可可用性和可可靠性。WAF不同于传统统防火墙传统防火墙墙的弱点：：工作在三三四层，攻攻击可以从从80或443端口顺利通通过防火墙墙检测。传统防火墙墙需要架设设在网关处处，而Web应用防火墙墙则部署在在Web客户端和Web服务器之间间。传统防火墙墙只是针对对一些底层层（网络层层、传输层层）的信息息进行阻断断，提供IP、端口防护护，对应用用层不做防防护和过滤滤；而Web应用防火墙墙则专注在在应用核心心层，对所所有应用信信息进行过过滤，从而而发现违反反预先定义义好的安全全策略的行行为。Web应用防火墙墙（WAF）技术介绍绍WAF不同于IPS（入侵防御御系统）IPS入侵防御的的弱点在于于它基于已已知漏洞和和攻击行为为的防护，，而且不能能终止和处处理SSL流量。WAF能完整地解解析HTTP，支持各种种HTTP编码，提供供严格的HTTP协议验证，，提供HTML限制，支持持各类字符符集编码，，具备response过滤能力。。WAF提供应用层层规则：Web应用通常是是定制化的的，传统的的针对已知知漏洞的规规则往往不不够有效。。WAF提供专用的的应用层规规则，且具具备检测变变形攻击的的能力，如如检测SSL加密流量中中混杂的攻攻击。目录3Web应用防火墙墙1Web应用防火墙墙技术介绍绍23安恒与绿盟盟产品对比比主流产品品品牌和技术术路线主流WAF产品品牌及及技术路线线国内外主流流WAF厂商主要有有：安恒信息(DBAPPSecurity)、绿盟(NSFOCUS)、铱讯信息息、天泰、、宝界、、中软华华泰、金金电网安、、梭子鱼鱼(BARRACUDA)，思科(Cisco)，思杰(Citrix)，飞塔(Fortinet)、F5、Radware、Imperva、Fortiweb等其中安恒信息(DBAPPSecurity)、绿盟(NSFOCUS)、铱讯信息、、天泰、宝宝界、中软软华泰、金金电网安为国国内厂商WEB应用防火墙的的工作机理Web应用防火墙主主要致力于提提供应用层保保护，通过对对HTTP/HTTPS及应用层数据据的深度检测测分析，识别别及阻断各类类传统防火墙墙无法识别的的WEB应用攻击。WEB应用防火墙局域网交换机机Web服务器DB服务器1280端口HTTP请求5/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--检测到如下异常：类型异常长度异常值异常34防火墙5深度防御引擎深度检测测有效识别、阻阻止日益盛行行的WEB应用黑客攻击击跨站点脚本(XSS)注入式攻击，，包括SQL注入、命令注注入恶意编码非法编码已知弱点和错错误配置隐藏字段会话劫持参数篡改缓冲区溢出Cookie更改应用层拒绝服服务输入信息控制制扫描防护爬虫防护盗链防护CSRF防护……HTTPS深度解析32目录3Web应用防火墙1Web应用防火墙技技术介绍23安恒与绿盟产产品对比主流产品品牌牌和技术路线线安恒信息与绿绿盟WAF产品对比核心技术与价格安恒绿盟品牌厂家情况国内自主研发品牌国内品牌国内自主知识产权有有产品资质公安部销售许可证书、软件著作权证书、中国国家信息安全测评认证中心强制认证证书、入围2010中央国家机关政府采购协议供货名单。公安部销售许可证书、软件著作权证书、军用产品认证部署模式网络及应用透明支持支持多路由环境支持支持Trunk支持支持支持多链路支持支持支持旁路审计支持不支持SSL支持支持SSL透传仅支持SSL代理，不支持服务器为HTTPS类型的防护安恒信息与绿绿盟WAF产品对比核心技术与价格安恒绿盟应用兼容性请求头全透明支持支持头部重点字段可控支持HTTP协议版本统一不支持虚拟主机支持支持主流认证方式支持支持单点冗余方案双机热备支持支持网桥BYPASS支持支持物理BYPASS支持支持御功能协议规范性检查有有请求头字段识别能力支持支持响应头识别能力支持支持响应体识别能力支持不支持基于字符特征匹配能力支持支持基于行为特征匹配能力支持支持Cookie支持支持User-Agent支持不支持POST大包支持不支持URL编码绕过支持不支持安全引擎健壮性（禁止绕过安全引擎检查）支持支持安恒信息与绿绿盟WAF产品对比核心技术与价格安恒SQL注入攻击GET及POST和Cookie漏报率10%。User-Age