亚信安全WEB应用防火墙-技术白皮书

目录TOC\o"1-3"\h\u1.概述 11.1Web应用的重要性 11.2什么是WAF 21.3WAF与传统安全技术区别 32.亚信安全WAF的功能和特点 52.1Web应用防火墙功能 52.2Web应用层面的Ddos防护 52.3应用防护中心（ADC） 62.4动态建模和自动策略 62.5多层次的防护及关联 72.6功能强大的安全策略设置 82.7灵活的告警分析 92.8可集成知名的Web漏洞扫描工具 102.9灵活方便的部署方式 112.10卓越的处理性能 112.11高可用性 113.技术实现和原理 123.1集中管理架构 123.2亚信安全WAF工作层次图 133.3安全引擎工作原理 133.4透明检测原理 143.5多层安全检查机制 153.6动态建模 164.部署方案 174.1常规部署方案 184.1.1桥接部署方案 184.1.2嗅探部署方案 184.1.3反向代理部署模式 194.1.4部署方案的选择 195.为什么选择亚信 201.概述1.1Web应用的重要性在因特网发展的早期阶段，万维网（WorldWideWeb）仅由Web站点构成，这些站点基本上是包含静态文档的信息库。随后人们发明了Web浏览器，通过它来检索和显示一些文档。这种相关信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性，因为根本没有必要这样做；所有用户同等对待，提供同样的信息。创建一个Web站点所带来的安全威胁主要与Web服务器软件的诸多漏洞有关。攻击者入侵Web站点并不能获取任何敏感信息，因为服务器上保存的信息可以公开查看。所以攻击者往往会修改服务器上的文件，以歪曲Web站点的内容，或者利用服务器的存储容量和带宽传播“非法软件”。如今的万维网与早期的万维网已经完全不同，Web上的大多数站点实际上是应用程序。它们功能强大，在服务器和浏览器之间进行双向信息传送。它们支持注册与登录、金融交易、搜索以及用户创作的内容。用户获取的内容以动态形式生成，并且往往能够满足每个用户的特殊需求。它们处理的许多信息属于私密和高度敏感的信息。因此，安全问题至关重要：如果人们认为Web应用程序会将他们的信息泄露给未授权的访问者，他们就会拒绝使用这个Web应用程序。Web应用程序带来了新的重大安全威胁。应用程序各不相同，所包含的漏洞也各不相同。许多应用程序是由开发人员独立开发的，还有许多应用程序的开发人员对他们所编写的代码可能引起的安全问题只是略知一二。为了实现核心功能，Web应用程序通常需要与内部计算机系统建立连接。这些系统中保存着高度敏感的数据，并能够执行强大的业务功能。过去，如果需要转账必须去银行，让银行职员帮助你完成交易。而今天，你可以访问银行的Web应用程序，自己完成转账交易。进入Web应用程序的攻击者能够窃取个人信息，进行金融欺诈或执行针对其他用户的恶意行为。Web服务被普遍认为是新一代应用程序集成以及通向新的商业模式的大门，是企业对外发布数据和与其他企业相互联系的重要途径，这种情况下，如何保证Web应用的安全问题就变成信息安全的头等大事，同时Web应用的安全也是非常复杂的，因为HTTP协议的灵活性，这就导致在HTTP之上的各种应用都有自己独特的特点，同时由于用户访问应用的方式千差万别，这就导致了Web应用的安全是一个需要很高的技术含量、可以适应用户不同应用的专业安全设备。所以如果想全面的实现Web应用的安全，唯一的方法就是部署专业的Web应用防火墙（WAF）产品。由此可见，Web系统安全实际上是信息安全的核心，在这种情况下，有必要采用专业的特定的Web应用安全安全产品，专门对Web应用基于应用级别的保护。1.2什么是WAFWeb应用程序防火墙(WAF)是一种特殊类型的应用程序防火墙，专门用于Web应用程序，可在数据包进出网站或Web应用程序时对其进行监控、过滤和阻止。WAF可以是基于网络、基于主机或基于云的，并且通常通过反向代理部署并放置在一个或多个网站或应用程序的前面。作为网络设备、服务器插件或云服务运行，WAF检查每个数据包并使用规则库来分析第7层Web应用程序逻辑并过滤掉可能促进Web漏洞利用的潜在有害流量。Web应用程序防火墙是企业用来保护Web系统免受零日攻击、恶意软件感染、冒充以及其他已知和未知威胁和漏洞的常见安全控制。通过自定义检查，WAF能够检测并立即防止业务逻辑型漏洞攻击，而传统网络防火墙和其他入侵检测系统(IDS)和入侵防御系统(IPS)无法做到这一点。WAF对于通过Internet提供产品或服务的公司特别有用，例如电子商务购物、网上银行以及客户或业务合作伙伴之间的其他交互。不同于传统的网络防火墙产品，WAF是专门针对Web服务器及Web应用防御黑客入侵而特别设计的应用层安全网关，具有独特的网络访问行为分析建模，白名单技术，针对Web的攻击签名，Web服务器与数据库前后台关联分析等技术组合而成。众多的驱动因素让越来越多的企业把WAF作为他们的安全基础架构：（1）2005年以来，黑客攻击行为从破坏网站转移到信息窃取。黑客不再求名而转向获取利益。（2）黑客的攻击行为越来越隐蔽，传统的IPS,FW不能解决和探查到。（3）而大部分的企业的Web服务器都与核心业务系统的数据库通过某种方式联系在一起，许多案例说明黑客采用Web渗透到了数据库从而窃取核心信息资产。（4）越来越多的应用向Web移植，包括Web2.0不断广泛应用使Web网站以及服务都比以往更加普遍，相应Web也面临更多的攻击，企业数据日益遭受侵害。（SQL注入、参数修改、缓冲溢出、跨站点脚本等等）（5）应用开发人员关注的是应用程序的业务逻辑性以及访问连通性，但很多开发人员并没有按照安全规范进行代码撰写，造成web程序有很多安全漏洞以及隐患。（这一点可以让用户心动）（6）大多数企业部署了防火墙、IDS、IPS，但运维部门和安全部门并不了解应用程序的代码，所以无法更好的进行安全防范。（7）这些攻击行为给企业造成巨大的危害，而传统的信息安全工具和技术产品却对此无能为力，因此采用WAF解决这些挑战已经迫在眉睫了。1.3WAF与传统安全技术区别目前，网站的保护除了加强操作系统、服务器软件的补丁管理，以及在加强代码安全性，主要的安全手段有，防火墙、入侵检测、路由器上的访问控制列表以及某些主机上的防护－典型的如防网页篡改软件。下面对这些手段的特点做简要分析。访问控制列表访问控制列表限制了访问的服务端口和IP地址，可以限制攻击的来源，和对关键服务的保障，如：Telnet等。这是网站保护必备的基本手段，但也只是基本手段。防火墙防火墙除了提供访问控制列表的基本功能外，还提供了网络层的丰富保护手段：地址翻译，可以隐藏服务器的真实地址；状态检测，可以防止TCP协议的盗用和诸如TCPSyncFlood这样的攻击；部分对高层协议的扩展可以对常用协议的有效性进行检查。这些防护手段只能针对常见的基本的攻击手段。入侵检测或网络层DDos入侵防护系统比较高级的攻击常常是专门针对网络、操作系统、常用应用软件的漏洞的。它们通常具有特定的“特征”，如反复重复的访问行为、访问包含某个特定的字符串等。这些特征可能出现在网络层、传输层、表示层等。但是对于网站的防护，有几个极大的缺陷：（1）入侵检测的特征库是针对各种网络攻击的，其中专用于网站WEB/HTTP防护的只有极少的一部分。这对于层出不穷的攻击手段是远远不够的；（2）入侵检测都只对已知的、人所共知的攻击手段有效。而对于还未被发现的（或又攻击者先发现的）攻击是无能为力的（3）入侵检测技术只能看到很少的HTTP内容，而高级的攻击行为正是通过网页内部的某些缺陷进行攻击的。这些攻击行为对于入侵检测设备几乎是不可见的。（4）在防止Ddos攻击方面，IPS系统防止的只是基于网络层面的Ddos攻击，例如从某个IP来的TCP连接数不能超过多少个，但是由于它看不到TCP里面的HTTP详细内容，所以无法做到HTTP应用层面的Ddos防护。（5）对于每一个Web应用，其中会有大量的动态页面，而每个页面的URL参数、Cookie、表单的输入、存取方式都是不同的。在这种情况下动态页面本身就是没有固定模式的，所以很多针对它的攻击也是没有固定特征的，因此很难用IPS防住这些攻击。（6）IPS也不保持会话信息，很多与会话有关的攻击，比如Cookie篡改、会话劫持，IPS都无能为力区别汇总：亚信安全WAF访问列表防火墙IPS网页防篡改对网络层的防护YYesYesYNA对应用层的防护YN部分部分NA对内容层的防护YNNNNA对未知攻击的防护YNNNNA对蠕虫扩散的防护YNNNNA对暴力破解的防护YNNNNA误报率低－多层次关联NANA高NA对后台数据库的防护YNNNN对动态页面的保护YNNNN表格1亚信安全WAF与传统安全技术区别2.亚信安全WAF的功能和特点2.1Web应用防火墙功能亚信安全WAF提供了针对最新应用程序攻击的自动化防护，例如SQL注入、XSS、CSRF、路径遍历以及更多攻击（详见下面的列表）。亚信安全WAF融合了自动化的应用程序学习和来自应用程序防护中心的最新保护策略与特征码，能够准确地识别出攻击并加以阻止。加上高粒度的关联规则、基于声誉的安全以及强大的报告框架，为您提供了一套优秀的多级别保护。亚信安全WAF具有能够处理多GB数据的串接与非串接配置选择，可以提供透明的部署以及超高的性能，能满足最为严格的数据中心要求。Web、HTTP和XML应用攻击SQL注入劫持会话跨站脚本（XSS）篡改表格字段已知BUG“零日”漏洞利用缓冲器溢出Cookie中毒拒绝服务恶意机器人参数篡改强制登陆文件包含攻击业务逻辑漏洞利用恶意编码目录遍历跨站请求伪造外部实体注入攻击（XXE）扫描攻击命令注入非法编码非法窃取数据盗窃敏感或重要数据泄漏公司间谍网络钓鱼数据破坏恶意文件上传2.2Web应用层面的Ddos防护亚信安全WAF是专门的Web应用层面安全产品，因此它可以完全而彻底地防止Web应用层面的DdoS攻击行为。WAF网关可以精确的分析HTTP服务端口里面的详细的HTTP的内容，比如从哪个IP，哪个Session过来的HTTP的请求，详细的是访问哪个URL，包括这个HTTP请求的回应是什么样的（回应代码是多少），从而WAF网关可以精确地保护HTTP应用层面的拒绝服务攻击，比如限制某个IP，某个session访问某个url的频率不能超过多少次，Web服务方如果回应的信息太频繁，就控制进入Web服务器的HTTP请求的数量，从而从根本上防止Web应用层面的DdoS攻击。2.3应用防护中心（ADC）亚信安全的应用防护中心（ADC）的安全和合规性专家可确保能够始终针对新威胁提供最新的防护以及符合最新的法案合规性要求。安全专家每日扫描全球安全威胁，研究各种特征代码，保证能够实时抵御新出现的攻击方式和行为。安全防御更新支持在线和离线平滑更新，过程无需重启服务。ADC的研究基于多个数据源，并着重于以下问题：分析应用程序行为，不论是SAP或Oracle电子商务套件之类的打包应用程序，还是PHP或AJAX之类的自定义应用程序。数据库实现的内部研究，用于发现安全漏洞（例如，已确认发现的多个漏洞并为其制作了补丁）。收集有关业界已查明的安全漏洞的信息，以及厂商发布的补丁。为数据库开发最佳安全实践，包括咨询业界标准主体。为提供最新的保护，包括特征码更新、告警行为模型、审计特征以及报告。特征码用于识别已知的攻击。维护了数千特征码的字典，其中有一些最初由提供，而其它则是由自己开发的。2.4动态建模和自动策略亚信安全WAF防护的另一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测，对比正常的访问行为基线；如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能完成，无需人工干预，而且还可以根据Web应用的变化进行自适应调整。同时，管理人员还可以进行微调，以得到最优的“充分必要”的策略。图1系统自动的学习网页应用的正常业务习惯图2可对超出预期的行为进行告警或者阻断理解应用和使用情况适应持续不断的应用变更表格2模型的学习和更新自动完成2.5多层次的防护及关联亚信安全WAF不仅提供了创新的安全技术手段，如动态建模，防蠕虫扩散、HTTP协议校验；同时也整合了各种成熟的技术，如：网络防火墙、入侵检测和防护。特别需要指出的是亚信安全WAF的入侵检测技术是专门针对Web服务的，除了基本的Snort特征库，还提供丰富的Web应用和数据库应用的攻击特征库。亚信安全WAF整合多种安全手段的目的不仅提供了多层次的安全防护，而且通过各个防护层次间内在的关联，可以极大的提高攻击识别的准确性，降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。图3多层次的防护及关联2.6功能强大的安全策略设置亚信安全WAF除了提供开箱即用的专业防护策略之外，还允许安全管理员根据企业安全策略考量和网络流量的具体特征定义规则。定制的规则可以手工配置针对HTTP的请求，可以设定关键字过滤策略，过滤的关键字的规则数量至少是10000个。提供超过40个HTTP相关的策略条件，用户可以任意的组合自己需要的自定义安全规则。图4自定义暴力登录阻止规则2.7灵活的告警分析具有灵活展现和方便查找的告警分析功能。在告警的功能中，要可以详细显示和还原用户的HTTP的请求，可以通过策略的设定，灵活的显示在违反某种策略的情况下，系统可以显示并分析Server返回的页面，从而确定是否有数据泄露的情况产生以及泄露的数据有多少。自动汇聚相关攻击事件，方便用户分析攻击发展趋势。图5告警汇聚对每一种攻击提供详细的攻击说明和特征代码信息查看功能。图6特征码查看自动标亮违规策略的部分，方便用户分析规则违反的原因。图7自动违规高亮可自动对敏感的参数内容、URL、响应内容进行掩码处理，避免敏感信息泄漏。图8敏感参数掩码2.8可集成知名的Web漏洞扫描工具可以和世界知名的Web漏洞扫描工具（比如IBM,HP,Acunetix）进行集成。亚信WAF可以导入这些厂家的扫描到的用户Web系统的漏洞结果文件，根据这个漏洞结果，直接动态生产安全策略，可以方便快捷的修补这种漏洞。图9集成知名的Web漏洞扫描工具2.9灵活方便的部署方式亚信安全WAF可作为物理设备、虚拟设备，部署于IDC、私有云、公有云或以混合形式部署。亚信安全WAF支持透明桥、反向代理、嗅探模式多种部署方式，当以透明桥部署时，利用透明检测技术实现真正意义的纯透明，不修改数据包任何内容，可以提供多GB级别的数据处理性能、低于一毫秒的延时以及高可性选择，能够满足最为严格的应用程序环境下的要求。通过透明桥部署，用户只需要数分钟的时间就能完成WAF部署，并且不会改变Web服务器或基础架构中的任何其他方面。2.10卓越的处理性能亚信安全WAF提供万兆级的吞吐量，同时保持不到百万分之一秒的包延迟，此高性能令竞争对手望尘莫及。对很多用户而言，一个单独的亚信安全WAF网关就可以满足大型企业的需求，也可以扩展出多个统一管理平台下的网关集群。应用了亚信安全WAF，安全问题不再会影响企业数据中心服务质量（SLA）。2.11高可用性亚信安全WAF具有灵活的冗余方式以确保了最长的稳定运行时间和应用的可用性。部署在桥接模式下的2个或者多个WAF网关使用亚信安全高可用性协议可以提供毫秒级别的恢复。冗余网关可以部署在具有冗余系统框架的环境里。当使用外部HA机制时，WAF的透明部署模式支持主-备和主-主的冗余配置形式。在线故障短接（bypass）网络接口确保了软件、硬件或者电源在出现故障时的可用性。3.技术实现和原理3.1集中管理架构亚信安全WAF提供了灵活的三层管理架构，方便用户可以同时管理多个WAF网关，并可以集中策略管理和日志查询。图10集中管理架构说明：第一层：网页管理界面，提供https加密管理界面。第二层：亚信安全WAF管理服务器，对所有的网关设备提供集中管理，以及日志汇聚。第三层：亚信安全WAF网关，执行各种安全防护和策略执行。3.2亚信安全WAF工作层次图亚信安全WAF的保护分布在近似OSI7层模型的多个层面上。防火墙对应OSI的第2到第4层，协议验证和应用程序层特征码类似于OSI第7层，如下图所示。但是，多个高级保护进程（例如：模型评估、关联攻击检测）面向应用程序的行为，相当于第8层，该层未在OSI模型中定义。图11亚信安全WAF工作层次图3.3安全引擎工作原理亚信安全WAF网关可为Web通信流提供适当的保护，如下图所示。在各个级别上，安全引擎都可以立即阻止通信（在线部署下）或连续监测特定IP、应用程序用户和会话，以供将来阻止（如果证实需要的话）。安全引擎包含多个安全层，大致与OSI模型对应，从较低级别的网络安全层（防范基于网络的攻击）开始，通过协议和基本应用功能（例如：HTTP协议合规性和应用程序攻击特征码）一直到高级别的保护（例如：应用程序特征和关联攻击验证）。图12安全引擎工作原理3.4透明检测原理要防护应用程序级攻击，应用程序层防火墙必须分析完整的TCP流。TCP流是来自各个IP分组的数据的组合，使TCP/IP成为连续有序的应用数据流。一旦流被重构，WAF可以查看和检测完整的应用程序请求并应用适当的安全策略。亚信安全WAF会维持一个“影子”TCP/IP堆栈以重构TCP流。在将完整的请求发送至Web服务器之前，该影子TCP/IP堆栈会以正确的TCP序列处理数据，并会分析各个HTTP请求。如果检测到攻击，违规分组将会被丢弃，整个连接将会被阻止。因为WAF网关会在完成连接之前分析TCP流，所以WAF网关始终先于应用程序服务器一步，能够在完整的请求到达应用程序服务器之前，防范任何攻击和应用阻止策略。分组-基本单元作为基于网络的设备，亚信安全WAF系统的基本操作单元为分组（或帧）。WAF网关存储分组，直到拥有在尽可能最低的层次中处理它们的足够信息。这可能意味着需要累积可以组成单个消息的分组，或者有时需要存储特定会话的所有分组（时间较长的任务）。下图演示了该处理过程：消息1的所有分组到达WAF安全引擎。这些分组将会被检查、存储，直到收到完整的消息。因为适当保护层的检查，消息1触发一条安全规则，一个TCP重置将会被发送。几个已经到达受保护服务器的分组在其被组合成消息之前将会被丢弃，会话（基于该消息）也将会被中断。注意：在“反向代理”配置中，这些分组甚至无法到达受保护的服务器。如果分组与较低的安全层违反（在此阶段可应用的层，例如：防火墙、网络特征码），策略中指定的操作将会被应用。或者，如果分组与相关层的安全策略不违反，则分组将会被传递至受保护的服务器。如果被检查的分组是包含请求的多个分组之一，则该分组将会保存在内存中以供更高级别的检查使用。一旦整个请求到达网关，则更高级别的检查将会被应用至整个请求（例如：特征、关联），以采取进一步措施。图13安全引擎如何处理分组、消息、会话3.5多层安全检查机制亚信安全WAF产品充分考虑到目前的复杂安全环境，需要在多个层次对各种安全威胁检查才可以对数据库提供足够的安全保障。亚信安全WAF的安全模型中提供了包括防火墙、签名、协议检查、特征模型、攻击关联等多种检查机制来综合验证可疑的访问行为。图14多层安全检查机制3.6动态建模传统的WAF产品，在发挥重要作用的同时，基本上是通过特征代码匹配的方式进行工作，这更多的是防止已知的攻击的黑名单的方式，但缺乏准确认识并解析客户的具体Web应用程序的能力，而亚信通过动态构建客户的Web应用的合法访问特征，从而构建出一个用户Web应用的正向校验模型，由此可以通过白名单方式防止大量的未知的攻击，从而对Web服务提供更加严格的保护。在WAF系统安全性保护的核心功能是动态模型的构建。动态模型自动监测当前流量行为，创建完整的应用结构和动态的模型。合法的系统应用变化自动被识别，并增加到模型中。WAF系统应该采用动态建模技术创建合法用户对Web和Web服务应用的行为的安全模型。通过安全模型和实际网络应用行的比较，WAF系统可以监测到所有的恶意的行为企图。动态建模技术克服了其它应用防火墙解决方案最大的不足——所有规则的手工创建与维护。同可以将静态规则限制到的几十条的网络防火墙解决方案不同，Web应用级防火墙需要几百甚至几千条规则，管理成千的常变变量，包括URL、参数、Cookie、XML元素和状态域。动态建模技术提供了完整的自动化的安全保护机制，无需手工配置或者调整。同时，如需要的话，管理员也可以手工修改安全模型，以体现实际使用行为和企业安全规则的差异。图15Web特征模型结构WAF的访问模型生产的功能主要针对HTTP、XML、SOAP等应用进行保护。WAF系统的动态建模技术的目的是建立合法应用行为的安全模型，包括XMLURL、SOAP行为、XML元素和XML属性。所有篡改Web服务应用模式或者变量的企图都会被识别出来，并加以阻止和防范。4.部署方案4.1常规部署方案4.1.1桥接部署方案如果要为数据中心提供最高级别的安全性保护，则可以将WAF网关部署为桥接模式。在此部署方案中，网关充当外部网络与受保护的网段之间的连接设备。网关将阻止在线（即：丢弃包）恶意通信。图16桥接部署4.1.2嗅探部署