版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、网御Web应用安全防护系统(WAF) Web防火墙 产品培训,产品管理部 刘燕岭,Web应用的安全威胁,如何防范Web的安全威胁,如何选择Web防火墙产品,网御WAF的解决方案,第一章,第二章,第三章,第四章,目录,“专攻专守”-保护Web应用安全,让每一个人放心的使用互联网!.,Web应用的安全威胁,如何防范Web的安全威胁,如何选择Web防火墙产品,网御WAF的解决方案,第一章,第二章,第三章,第四章,目录,“专攻专守”-保护Web应用安全,让每一个人放心的使用互联网!.,安全威胁事件频发,平均每天200左右网站被篡改,网站挂马(地下产业链),Web安全状况不容乐观,2010年上半年中国互
2、联网网络安全报告 - 2010年9月,Web网站早期开发者安全意识薄弱,第三方内容成风险源,SQL注入和XSS攻击,篡改Web系统数据,Cookie监听、Cookie投毒,安全威胁,客户端网络带宽滥用,Web应用的安全威胁,SQL注入和XSS攻击都是利用了Web页面的脚本编写的不完善,导致攻击者可以提交精心构造的URL、FORM表单或POST信息,绕过数据库的权限认证(SQL注入攻击),或者是提交发布一些含有恶意脚本的内容,当潜在受害者访问了这些内容后,将会泄露自己的私密信息(XSS攻击)。正是由于这类攻击所利用的并不是通用漏洞,而是每个页面自己的缺陷,所以变种和变形攻击数量非常多,如果还是以
3、常用方法进行检测,漏报和误报率将会极高。,恶意用户通过对Cookie监听破译用户证书,篡改从服务器传送到浏览器的cookie数据。网站常常将一些包括用户ID、口令、账号等的cookie存储到用户系统上,通过改变这些值,恶意的用户就可以访问不属于他们的账户。,面对威胁,传统防护技术的局限性 (1),防火墙主要工作在四层以下,主要是基于包检测技术,不能实现对HTTP协议的精细控制。 防病毒产品不仅对Web应用程序中的漏洞难以识别,而且对网页中存在的恶意代码(网页木马)更是束手无策。 IPS仅是对HTTP数据包有效负载的检测分析,并不能将所有的数据包还原组装成数据流或具体的内容进行基于关键字或具体内
4、容的检测分析与特征提取。比如Cookie篡改、会话劫持,IPS都不能较好的进行防护。,网页防篡改软件 静态备份技术,不适用动态网站 无法应对SQL注入、XSS攻击等检测与拦截,面对威胁,传统防护技术的局限性 (2),Web应用的安全威胁,如何防范Web的安全威胁,如何选择Web防火墙产品,网御WAF的解决方案,第一章,第二章,第三章,第四章,目录,“专攻专守”-保护Web应用安全,让每一个人放心的使用互联网!.,Web防火墙(WAF)定义,防篡改、防盗链、防DoS,WAF产品的技术路线,2007. 01,异常检测协议 WAF对HTTP的请求可执行某种异常检测,拒绝不符合Http标准的请求。甚至
5、, WAF还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。,增强的输入验证 很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览器只是一个用 户控制的简单工具,因此攻击者可以非常容易地绕过输入验证,直接将恶意代 码输入到WEB应用服务器。在服务端进行输入验证是解决上述问题的正确方 法。如果这个方法不能实现,还可以通过在客户和应用服务器之间增加代理, 让代理去执行Web页面上嵌入的JavaScript,实现输入验证。,Cookies保护 WAF通常会将cookies整个内容加密,或者是将整个cookies机制虚拟化。,抗入侵规避技术 基于网络的IDS对付WEB攻击的
6、问题就是攻击规避技术。WAF每次可 以看到整个HTTP请求,所以能够将动态请求和静态请求分别对待避免 所有类型的HTTP请求分片的攻击。这样WAF可以有足够的计算能力 对付各种攻击规避技术。,响应监视和信息泄露保护 信息泄露防护是我们给监视HTTP输出数据的一个名称。从原理上来说 它和请求监视是一样的,目的是监视可疑的输出,并防止可疑的HTTP 输出数据到达用户。另外,这个技术的另一项应用是发现成功入侵的 迹象。在攻击者没有完全掌控服务器而仅仅尝试WEB应用的安全漏洞 的情况下,这项技术可以起到防护效果。,Web应用的安全威胁,如何防范Web的安全威胁,如何选择Web防火墙产品,网御WAF的解
7、决方案,第一章,第二章,第三章,第四章,目录,“专攻专守”-保护Web应用安全,让每一个人放心的使用互联网!.,WAF产品之功能选择篇,Web虚拟服务 通过部署WAF来管理多个独立的Web应用,各Web应用可采用不同的安全策略,可在不修改用户网络架构的情况下增加新的应用,为多元化的Web业务运营机构提供显著的运营优势与便利条件。,策略A 代理模式 DoS防御 Web攻击防护 Web请求信息限制 Web敏感信息保护 Cookie防篡改 重点URL保护 网页防篡改,策略B 代理模式 Web攻击防护 Web请求信息限制 Web敏感信息防护 Cookie防篡改,策略C 桥模式 SSL代理 Web攻击防
8、护,用户,WAF,各类Web应用,WAF产品之功能选择篇,Web攻击防护 WAF需要防护基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、CGI扫描、间谍软件、灰色软件、网络钓鱼、漏洞扫描、SQL注入攻击及XSS攻击等常见的Web攻击。,用户,WAF,Web应用,基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击; CGI扫描、漏洞扫描等扫描攻击; SQL注入攻击、XSS攻击等Web攻击; 不断更新的Web应用防护事件库; 针对Web攻击事件阻断、报警; 提取Web攻击事件原始报文;,WAF产品之功能选择篇,应用层DOS攻击防护 WAF需要
9、防护带宽及资源耗尽型拒绝服务攻击。 XML DoS攻击防护是对HTTP请求中 的XML数据流进行合规检查,防止非法用户通过构造异常的XML文档对Web服务器进行 DoS攻击。,Syn Flood防护 XML DoS防护 针对Http请求中的XML数据流进行合规检查,防止异常的XML文档对Web服务器进行DoS攻击,用户,WAF,Web应用,WAF产品之功能选择篇,Web请求信息的安全过滤 针对HTTP请求,WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参 数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求,允许 进行丢弃或返回错误页面处理。,用户,W
10、AF,Web应用,针对Web请求深度检测,主动防御各种黑客攻击 请求长度 最大Cookie个数 HTTP协议参数最大个数、参数值最大长度、参数名最大长度 参数自学习 针对不合规请求,丢弃或返回错误页面,记录日志,WAF产品之功能选择篇,Web敏感信息防泄露 WAF应内置敏感信息泄露防护策略,可以灵活定义HTTP错误时返回的默认页面,避免 因为Web服务异常,而导致的敏感信息(如:Web服务器操作系统类型、Web服务器类 型、Web错误页面信息、银行卡卡号等)的泄露 。,用户,WAF,Web应用,隐藏Web敏感信息 服务器操作系统类型 Web服务器类型 Web错误页面信息 银行卡卡号信息:遵从P
11、CI-DSS信用卡行业数据标准,防止信用卡信息泄露,WAF产品之功能选择篇,Cookie防篡改 WAF产品能够针对Cookie进行签名保护,避免Cookie在明文传输过程中被篡改。用户 可指定需要重点保护的Cookie,对于检测出的不符合签名的请求,允许进行丢弃或删除 Cookie处理,同时记录相应日志。,用户,WAF,Web应用,Cookie签名:对关键Cookie进行签名保护,避免Cookie在明文传输过程中被篡改 配置HTTP only:保护Cookie不被JavaScript访问 配置Secure:告知浏览器在HTTPS时返回Cookie,在HTTP时不返回Cookie,WAF产品之功
12、能选择篇,网页防篡改 WAF产品可按照网页篡改事件发生的时序,事中,实时过滤HTTP请求中混杂的网页篡 改攻击流量(如SQL注入、XSS攻击等);事后,自动监控网站所有需保护页面的完整 性,检测到网页被篡改,第一时间对管理员进行告警,对外仍显示篡改前的正常页面,用 户可正常访问网站。,用户,WAF,Web应用,定期主动访问,备份最新正确页面 一旦检测出被保护URL被篡改,将正常页面返回给请求用户,屏蔽被篡改页面不被访问 无需在Web服务器上安装Agent,不影响用户Web业务,WAF产品之性能篇,优化产品的软件系统,使之在安全性与性能之争中协调一种最佳的效果,但最终会有超负荷的一刻。 另一种方
13、法就是采用一个性能优异的硬件架构,可获得事半功倍的效果。 采用多核架构的WAF产品,最大优势是保留了X86平台的高灵活性,同时具备与ASIC平台相当的高处理性能,通过增加核数,使线性提升硬件计算能力成为可能,更重要的是功耗也随之得到了控制。根据功耗对比测试,多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。,x86,ASIC,多核SoC,WAF产品之性能篇,WAF产品之服务篇,Web应用的安全威胁,如何防范Web的安全威胁,如何选择Web防火墙产品,网御WAF的解决方案,第一章,第二章,第三章,第四章,目录,“专攻专守”-保护Web应用安全,让每一个人放心的使用互联网!.,网御的解决
14、方案,传统的安全基础技术研究包括: 访问控制、身份认证及加解密算法、安全协议的分析 网络层的攻击与防范技术研究包括 研究攻击方法、系统漏洞,收集相应的资料,建立数据库等 应用层基础服务系统的安全整体策略研究包括: 服务系统的特殊性、相应的攻击手段特点、全面防范体系,系统抗毁恢复技术等。如:对如何保护Web服务器、Email服务器安全的研究、如何保障内外网安全隔离的研究,网御:黑客攻击与网络病毒研究联合实验室,网御的解决方案,网御WAF基于MIPS64的多核SoC(System on Chip)处理器,相比X86、NP、ASIC硬件平台,SoC多核硬件平台的最大优势是保留了X86平台的高灵活性,
15、同时具备与ASIC平台相当的高处理性能。通过增加核数,使线性提升硬件计算能力成为可能,更重要的是功耗也随之得到了控制。多核架构的主要优势为一颗芯片上集成了多个核,核与核之间可以协同工作,同时在各个核周边还集成了丰富的安全协处理硬件,如硬件加密、正则匹配和应用加速等,高集成度的特点简化了整体硬件板卡的复杂度和能耗。根据功耗对比测试,多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。,多核架构,网御的解决方案,保障网络的可用性: 以降低网络故障、网络攻击、不合规网络协议传输对Web应用的影响为目标,主要包含网 络访问控制、代理模式部署、协议合规、应用层DoS防护等功能。 保障Web应用的
16、安全性: 以Web安全防护为主要目标,主要包含HTTP/HTTPS应用防护、Web请求信息限制、Web敏感 信息防护、Cookie防篡改、网页防篡改、Web应用防护事件库升级等功能。 保障Web应用的快速访问: 以Web应用交付为主要目标,主要包含SSL卸载、多服务器负载均衡、Web服务器访问质量 监控等功能。,功能全面,网御的解决方案,集中管理与事件分析,网御WAF具备丰富的Web安全事件统计分析功能,包括:安全事件TOP5、服务器攻击次数TOP5、最近服务器访问量TOP5统计、事件级别与类别统计、源IP统计、URL统计等统计类型。 网御WAF具备详尽的Web安全事件报表功能,包括:基础报表(基础统计数据)、高级报表(多维度统计数据)、详细事件报表(事件的详细信息)等,既适用于运维人员对具体事件进行查询、分析,也适用于安全状况的分析与决策。,网御的解决方案,桥模式,代理模式,代理模式为
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 光伏支架基础微型桩打设及预埋螺栓浇筑施工组织设计方案
- 2025-2026学年小学体育街舞教学设计
- 2025-2026学年书法主笔教学设计
- 3 三角形的中位线教学设计初中数学北师大版2012八年级下册-北师大版2012
- 动物学试题及答案解析
- 2025-2026学年你一出现歌曲教学设计
- 入职水务集团思想报告(3篇)
- 2026教师个人年度思想工作总结(3篇)
- (2026年)英语教研组学期工作计划
- 宣传部社会宣传活动组织工作手册(标准版)
- 输血科质控小组工作制度
- 医学生求职简历模板
- 医护人员个人防护培训
- 浙江省杭州市2026年中考模拟英语试题八套附答案
- 机加工车间绩效考核制度
- 2025年国家开放大学电大本科《园艺植物育种学》期末试题及答案
- 输变电工程质量监督检查大纲
- GB 3608-2025高处作业分级
- 外墙施工挂篮施工方案
- 机电安全生产许可证办理流程
- 消防维保基础知识培训课件
评论
0/150
提交评论