《A系列：Web应用安全网关(WAF)》课件

《A系列：Web应用安全网关（WAF）》《A系列：Web应用安全网关（WAF）》引言：网页防篡改引言：网页防篡改目录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位目录产品透明模式简单介绍产品特色功能和优势产品应用部署和为什么需要WAF？-需求背景

hypecycle模型由Gartner总结:WebApplicationFirewall产品处于成长上升期。曲线中体现，最接近上量的产品为WebApplicationFirewall(WAF)Frost&Sullivan2013年市场分析：

WAF市场在未来几年内将会高速增长，复合增长率达到30.5%，2020年中国区市场规模约为13.6亿人民币。

Frost&Sullivan分析：

85%的用户认识到商业环境中Web应用的重要性，这与IT发展大趋势以及WEB2.0技术日趋成熟是一致的；为什么需要WAF？-需求背景hypecycle模型由Ga政策驱动型目标客户—金融行业【政策法规驱动-（一）】网上银行信息安全规范(银发[2010]19号)要求对象:中国人民银行上海总部，各分行，营业管理部，各省会（首府）城市中心支行，副省级城市中心银行；各政策性银行，国有商业性银行，股份制商业银行，中国邮政储蓄银行；简要说明：1）是在网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面；2）分为基本要求和增强要求，基本要求为最低安全要求，增强要求为下发之日起的三年内应达到的安全要求；3）旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。政策驱动型目标客户—金融行业【政策法规驱动-（一）】网上银行《网上银行信息安全规范》Web安全要求《网银规范》安全技术规范中明确Web应用安全:资源控制：编码规范约束：会话安全：源代码管理：防止敏感信息泄漏：防止SQL注入攻击：防止跨站脚本攻击：防止拒绝服务攻击：《网上银行信息安全规范》Web安全要求PCI-DSS规范PCI-DSS适用对象PCI-DSS标准主要针对网上商家、金融机构、信用卡和借计卡处理商、卡公司和端点POS终端。根据v1.1规范：“存储、处理或传输主账号（PAN）时可以使用PCI-DSS规范。如果不存储、处理或传输PAN，不能使用PCI-DSS规范。”如果机构通过基于Web的应用或接口直接进行或支持网上信用卡交易，必须遵守PCI规范。6.5–基于OpenWebApplicationSecurityProject等安全编码指南开发所有的Web应用。查看自定义应用代码来识别编码漏洞。防御软件开发过程中普遍的编码漏洞，包括以下几方面：6.5.1–失效的输入6.5.2–失效的接入控制（例如，恶意使用用户ID）6.5.3–失效的验证和会话管理（账户证书和会话cookie的使用）6.5.4–跨站点脚本（XSS）攻击6.5.5–缓冲区溢出【政策法规驱动-（二）】PCI-DSS规范【政策法规驱动-（二）】6.5.6–注入缺陷（例如，结构化查询语言（SQL）注入）6.5.7–不当的错误处理6.5.8–不安全的存储6.5.9–拒绝服务6.5.10–不安全的配置管理6.6–采用以下任意一种方法确保所有面向Web的应用免受已知的攻击：让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。在面向Web应用的前端安装应用层防火墙注意：这种方法一直被认为是最佳的做法，2008年6月30日以后这种做法成为一种必须的要求。6.5.6–注入缺陷（例如，结构化查询语言（SQL）注入GB/T22239-2008信息安全技术信息系统安全等级保护基本要求要求对象:1）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；2）金融行业：金融监管机构、各大银行、证券、保险公司等3）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等4）能源行业：电力公司、石油公司、烟草公司

5）企业单位：大中型企业、央企、上市公司等

6）其它有信息系统定级需求的行业与单位

政策驱动型目标客户—等级保护【政策法规驱动-（三）】GB/T22239-2008信息安全技术信息系统安全等Web应用安全要求《等级保护》中相关Web应用安全要求:《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》应用安全访问控制a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；

b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；f)应依据安全策略严格控制用户对敏感标记重要信息资源的操作应用安全安全审计a)应提供覆盖到每个用户的安全审计功能，对应用系统重要的安全事件进行审计；应用安全软件容错a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；应用安全资源控制d)应能对一个时间段内可能的并发会话连接数进行限制f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；Web应用安全要求《GB/T22239-2008信息安全以太信御Web安全解决方案——A系列：Web应用安全网关（WAF）

规范要求WAF解决方案访问控制，a)以太信御应用防火墙提供全面的应用分析，可针对各种网页应用对象进行规则设置，进行精细化的访问控制和用户控制。访问控制，b)访问控制可完全针对各种资源访问的主体和客体，并可进行各种关系的逻辑与、或、非等操作。访问控制，f)提供敏感信息防护功能，可对预先定义好的敏感数据和重要信息资源进行监测和泄露保护。安全审计，a）以太信御WAF提供全局用户跟踪功能，可有效识别每一个应用用户，并根据应用用户设置对应的安全规则。软件容错，a）以太信御WAF提供http协议合规自学习功能，可自动学习应用系统正常的输入数据格式、长度等，并可在不修改应用的情况下，利用WAF来规范数据输入的有效性。资源控制，d）以太信御WAF可根据需要控制用户对应用访问的每秒最大请求数、每秒最大速率，避免应用层DDos的攻击资源控制，f）以太信御WAF并可根据第三方网页应用漏洞扫描工具对现有应用进行安全渗透检查，发现弱点后，可直接对WAF进行虚拟补丁。以太信御Web安全解决方案——A系列：Web应用安全网关互联网安全保护技术措施规定（公安部令第82号）互联网安全保护技术措施规定

第四条

互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有规定的除外。第七条

互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：

（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；第九条

提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；【政策法规驱动-（四）】互联网安全保护技术措施规定（公安部令第82号）【政策法规驱动中华人民共和国通信行业标准移动互联网联网应用安全防护要求.7其他1）应用技术手段检测和避免WEB业务系统域名、访问链路的异常、访问延迟、解析错误等情况，并有应急处理能力2）应避免存在常见的WEB漏洞（如，SQL注入、跨站脚本、CSRF等）；3）应能检测挂马、暗链等WEB业务系统入侵事件，并有应急处理能力。【政策法规驱动-（五）】中华人民共和国通信行业标准【政策法规驱动-（五）】国务院办公厅关于进一步加强政府网站管理工作的通知国办函〔2011〕40号各省、自治区、直辖市人民政府，国务院各部委、各直属机构：四、规范管理，不断提升政府网站工作水平政府网站管理单位要建立网站链接审批制度，严格审核把关；运行维护单位要定期检查链接的有效性，发现链接错误，要及时查明原因，加以更正。网站管理和运行维护单位要建立值班读网制度，安排值班人员每日登录网站读网，检查网站运行和页面显示是否正常，特别要认真审看重要稿件和重要信息，及时发现和纠正错情。要不断完善政府网站防攻击、防篡改、防病毒等安全防护措施，做好日常巡检和监测，发现问题或出现突发情况要及时妥善处理。对于缺乏技术保障力量的政府网站，上级政府、部门和主管单位要主动协调有关方面提供技术支持，帮助其做好网站的安全防范工作。政府网站运行维护单位要按照信息安全等级保护的要求，定期对网站进行安全检查，及时消除隐患。【政策法规驱动-（六）】国务院办公厅关于进一步加强政府网站管理工作的通知【政策法规驱中央网络安全和信息化领导小组办公室文件（中网办发文【2014】1号）2014年5月9日发文关于加强党政机关网站安全管理的通知主要针对中央及各级党政机关网站其中第七部分为“加强党政机关网站技术防护体系建设”提到了建立以网页防篡改、域名防劫持，网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。【政策法规驱动-（七）】中央网络安全和信息化领导小组办公室文件（中网办发文【2014防火墙的主要功能职责和局限Port80Port443“75%的安全事件由通过80端口进行的攻击造成”

InformationWeek防火墙需要开放80端口，无法保护通过80端口提供服务的Web服务器！防火墙和WAF协同关系包过滤防火墙：检测数据包包头信息进行访问控制状态检测防火墙：根据IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段，对HTTP内容仍然无法识别。防火墙的主要功能职责和局限Port80“75%的安全事件IDS的主要工作职责和局限IDS能对通用操作系统、数据库漏洞进行检测，但无法保护个性化的Web网站IDS和WAF协同关系检测数据包有效负载，比对特征进行攻击防御IDS防御特征码主要针对通用的协议或应用漏洞，但是Web网站代码往往由用户自行编写，没有通用补丁IDS能识别网络协议，根据每个数据包作出允许还是拒绝的决定，但不还原识别具体的内容，例如不识别网页内容、URL参数、cookie内容、表单输入等。IDS的主要工作职责和局限IDS能对通用操作系统、数据库漏洞IPS/NGFW的主要工作职责和局限Gartner2014分析报告IPS/NGFW无法取代WAF，Gartner2014分析报告中罗列功能IPS/NGFW防护效果不如WAF，IPS/NGFW和WAF协同关系IPS/NGFW的主要工作职责和局限Gartner2014SQL注入跨站脚本网页挂马敏感信息泄露目录遍历SynFloodXMLDosHttpGetFlood攻击者WEB服务器FWIDS、IPS、NGFW网页篡改信息窃取非法入侵拒绝服务+产品定位SQL服务器WAF的定位工作原理：

WAF支持串行、反向代理、单臂部署模式，防御Web应用和数据库中的数据被攻击和篡改；关键价值：WEB应用防火墙（简称WAF),是专门针对网站防护所设计的安全产品；一句话介绍WAF：WAF可以对HTTP/HTTPS协议进行深入分析处理，弥补防火墙、IDS及IPS等传统安全产品对于WEB应用威胁防护上的缺陷；SQL注入跨站脚本网页挂马敏感信息泄露目录遍历SynFloo目录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位目录产品透明模式简单介绍产品特色功能和优势产品应用部署和产品特色功能对用户的实际作用和价值SQL注入防护1、防御用户的Web站点被黑客攻击篡改2、防御用户的Web站点后台数据被窃取3、防御用户的Web站点敏感信息泄露Web恶意扫描防护1、防御爬虫工具对用户Web网站进行抓取2、防御CGI工具对用户Web网站进行扫描试探性攻击3、防御Web扫描工具对用户Web网站进行漏洞扫描探测XSS攻击防护1、防御用户的Web站点被黑客攻击挂马2、防御用户的Web站点cookie信息被窃取3、防御用户的Web站点敏感信息泄露HTTP协议合规1、HTTP合规性规则是基于正常流量对网站的各个字段进行自学习建模，防御用户的Web站点被未知的攻击URL流量控制1、防御用户的某些URL遭遇到CC攻击2、防御用户的某个URL遭遇到大量用户访问，导致服务器系统资源大量被占用客户端识别1、客户网络环境有经过NAT地址转换，且WAG设备部署在NAT地址转换设备之后时，源IP地址都被转换，WAG设备将会启用客户端识别技术来有效识别攻击源IP产品特色功能产品特色功能对用户的实际作用和价值SQL注入防护1、防御用户Web攻击防护VSID专有检测算法HTTP正向安全模型SQL注入攻击防护VXID专有检测算法HTTP正向安全模型XSS攻击防护专有检测算法特征检测自定义特征检测爬虫Web恶意扫描防护CGI扫描漏洞扫描HTTPFlood防护CC攻击防护XMLDoS防护应用层DoS防护产品优势功能：Web攻击防护Web攻击防护VSID专有检测算法SQL注入攻击防护VXIDWeb非授权访问防护Cookie篡改防护Cookie签名：对关键Cookie进行签名保护HTTPonly：保护Cookie不被JavaScript访问Secure：浏览器在HTTP时不返回CookieCSRF攻击防护/paymoney.php被保护URL允许“访问被保护URL的来源地址”/index.php/shop.php其它来源地址/....../......网站盗链防护产品优势功能：Web非授权访问防护Web非授权访问防护Cookie篡改防护Cookie签名：对Web恶意代码防护以太信御云恶意脚本恶意脚本防护网页挂马网页挂马防护WebShellWebShell防护恶意URL库WebShell特征库专有检测算法产品优势功能：Web恶意代码防护Web恶意代码防护以太信御云恶意脚本恶意脚本防护网页挂马网页Web应用合规文件上传下载控制HTTP请求长度HTTP协议参数最大个数、参数值最大长度、参数名最大长度最大Cookie个数单一URL最大长度、查询字符串最大长度HTTP协议合规服务器类型信息Web错误页面信息身份证信息敏感信息泄露防护银行卡卡号信息基于URL的访问控制Web表单关键字过滤文件大小、文件名大小反动诋毁不良敏感产品优势功能：Web应用合规Web应用合规文件上传下载控制HTTP请求长度HTTP协议合Web应用交付WeightedRoundRobinRoundRobinLeastConnections多服务器负载均衡Web应用加速CacheMemory网页防篡改返回先前保存的正确页面出现网页被篡改情况无需在服务器安装Agnet，不影响业务应用基于URL的流量控制每秒最大请求数每秒最大速率产品优势功能：Web应用交付Web应用交付WeightedRoundRobin多服务研究漏洞机理研究新攻击特征研究攻击躲避机理设计抗躲避机制/算法发现新漏洞ADLABTMCVECNCVECERTCNCERT/CC披露信息安全事件M2S-远程监控Web攻击特征无法精确定义客户/其它厂家披露漏洞研发中心列入Web应用防护事件库精确识别Web攻击基于Web攻击躲避机理的精确识别程序包在线升级引擎，加载新算法快速响应最新Web攻击Web攻击事件特征可被精确定义信息安全博士后工作站图例人/组织资源使命价值公司优势-Web应用防护事件库，快速响应最新攻击研究漏洞机理研究攻击躲避机理发现新漏洞ADLABTMCVEC目录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位目录产品透明模式简单介绍产品特色功能和优势产品应用部署和某省运营商网络拓扑图部署网络特点：通过虚拟防火墙对流量进行分配，使WAF达到集群防护效果WAF部署在核心位置核心功能的运用特点：SSL卸载，对HTTPS流量进行攻击检测。对其他运营商省的借鉴意义：运营商网络部署环境要求WAF支持集群，可以考虑该部署方式对HTTPS流量进行攻击检测需求产品实际应用-某省运营商行业部署（一）二级数据中心某省运营商网络拓扑图部署产品实际应用-某省运营商行