Web應用安全防護系統解決方案

目錄TOC\o"1-4"\h\u一、需求概述 41.1 背景介紹 41.2 需求分析 41.3 網絡安全防護策略 71.3.1 “長鞭效應（bullwhipeffect）” 71.3.2 網絡安全的“防、切、控(DCC)”原則 8二、 解決方案 92.1Web應用防護系統解決方案 92.1.1黑客攻擊防護 92.1.2BOT防護 102.1.3應用層洪水CC攻擊及DDOS防御 112.1.4網頁防篡改 122.1.5自定義規則及白名單 132.1.6關鍵字過濾 132.1.7日志功能 142.1.8統計功能 162.1.9報表 182.1.10智能阻斷 182.2設備選型及介紹 192.3設備部署 21三、方案優點及給客戶帶來的價值 243.1解決了傳統防火墻、IPS不能解決的應用層攻擊問題 243.2合規性建設 243.3減少因不安全造成的損失 243.4便于維護 243.5使用狀況 253.5.1系統狀態 253.5.2入侵記錄示例 253.5.3網站統計示例 26四、Web應用防護系統主要技術優勢 274.1千兆高并發與請求速率處理技術 274.2攻擊碎片重組技術 274.3多種編碼還原與抗混淆技術 274.4SQL語句識別技術 274.5多種部署方式 274.6軟硬件BYPASS功能 27五、展望 28

學校WEB應用安全防護Web應用防護安全解決方案一、需求概述背景介紹隨著學校對信息化的不斷建設，已經具有完備的校園網絡，學校部署了大量信息系統和網站，包括OA系統、WEB服務器、教務管理系統、郵件服務器等50多臺服務器和100多個業務系統和網站，各業務應用系統都通過互聯網平臺得到整體應用，校園網出口已經部署了專用防火墻、流控等網絡安全設備。所有Web應用是向公眾開放，特別是學校的門戶網站，由于招生與社會影響，要求在系統Web保護方面十分重要。需求分析很多人認為，在網絡中不斷部署防火墻，入侵檢測系統（IDS），入侵防御系統（IPS）等設備，可以提高網絡的安全性。但是為何基于應用的攻擊事件仍然不斷發生？其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范，尤其是對Web系統的攻擊防范作用十分有限。目前的大多防火墻都是工作在網絡層，通過對網絡層的數據過濾（基于TCP/IP報文頭部的ACL）實現訪問控制的功能；通過狀態防火墻保證內部網絡不會被外部網絡非法接入。所有的處理都是在網絡層，而應用層攻擊的特征在網絡層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術檢查網絡數據中的應用層流量，和攻擊特征庫進行匹配，從而識別出以知的網絡攻擊，達到對應用層攻擊的防護。但是對于未知攻擊，和將來才會出現的攻擊，以及通過靈活編碼和報文分割來實現的應用層攻擊，IDS和IPS同樣不能有效的防護?？傮w說來，容易導致學校Web服務器被攻擊的主要攻擊手段有以下幾種：緩沖區溢出——攻擊者利用超出緩沖區大小的請求和構造的二進制代碼讓服務器執行溢出堆棧中的惡意指令SQL注入——構造SQL代碼讓服務器執行，獲取敏感數據跨站腳本攻擊——提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息拒絕服務攻擊——構造大量的非法請求，使Web服務器不能相應正常用戶的訪問認證逃避——攻擊者利用不安全的證書和身份管理非法輸入——在動態網頁的輸入中使用各種非法數據，獲取服務器敏感數據強制訪問——訪問未授權的網頁隱藏變量篡改——對網頁中的隱藏變量進行修改，欺騙服務器程序Cookie假冒——精心修改cookie數據進行用戶假冒

學校WEB應用安全防護具體需求分析學校對WEB應用安全防護非常重視，在內網部署有高端防火墻，同時內網部署有眾多應用服務器，網絡示意圖如下：通過以上機構的內網拓撲簡圖可見，機構內部眾多用戶和各種應用系統，通過位于外網接口的防火墻進行了防護和保障，對于來自外網的安全風險和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于自身產品定位和防護深度，不同有效的提供針對Web應用攻擊的防御能力。對于來自外網的各種各樣的攻擊方法，就必須采用一種專用的機制來阻止黑客對Web服務器的攻擊行為，對其進行有效的檢測、防護。通過對學校內部網絡目前在WEB應用存在的問題，我們看到學校在Web服務器安全防護時需要解決以下幾個問題：跨站腳本攻擊跨站腳本攻擊利用網站漏洞攻擊那些訪問學校Web服務器的用戶，常見的目的是竊取Web服務器訪問者相關的用戶登錄和認證信息。SQL注入攻擊由于代碼編寫不可能做到完美，因此攻擊者可以通過輸入一段數據庫查詢代碼竊取或者修改數據庫中的數據，造成用戶資料的丟失、泄露和服務器權限的丟失。緩沖區溢出攻擊由于缺乏數據輸入的邊界條件限制，攻擊者通過向程序緩沖區寫入超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他的指令，獲得系統管理員權限。CC攻擊CC攻擊目前是最新出現針對Web系統的特殊攻擊方式，通過構造特殊的攻擊報文，以到達消耗應用平臺的服務器計算資源為目的（其中以消耗CPU資源最為常見），最終造成應用平臺的拒絕服務，正常用戶無法訪問Web服務器，給學校形象造成不可估量的損失。拒絕服務攻擊通過DOS攻擊請求，以到達消耗應用平臺的網絡資源為目的，最終造成應用平臺的拒絕服務，正常用戶無法訪問Web服務器，給政府形象造成不可估量的損失。Cookies/Seesion劫持Cookies/Seesion通常用戶用戶身份認證，別且可能攜帶用戶敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高訪問權限，或者偽裝他人的身份登錄。網絡安全防護策略“長鞭效應（bullwhipeffect）”網絡安全的防護同管理學的“長鞭效應（bullwhipeffect）”具有相似的特性，就是要注重防患于未然。因此，針對我們單位的特點，更要注重主動防護，在安全事件發生之前進行防范，減少網絡安全事件發生的機會，達到：“少發生、不發生”的目標。網絡安全的“防、切、控(DCC)”原則基于“長鞭效應”，我們的網絡安全防護要從源頭做起，采用“防、切、控（DCC）”的原則：防：主動防護，防護我們的服務器受到攻擊者的主動攻擊外部敵對、利益驅動的攻擊者，會對我們的網站、mail服務器進行各種主動攻擊。而這些主動攻擊往往帶有非常強的目的性和針對性，因此我們當前如何防范惡意攻擊者的主動攻擊成為首要解決的問題，主要有：防止Web服務器受到來自外部的攻擊、非法控制、篡改；防止主、備mail服務器受到攻擊、非法控制。切：切斷來自外部危險網站的木馬、病毒傳播：在網絡中部分的Web服務器已經被黑客控制的情況下，Web應用防護系統可以有效的防止已經植入Web服務器的木馬的運行，防止服務器被黑客繼續滲透。因此，如何切斷被黑客攻擊以至于被控制的網站的木馬傳播成為當前的第二個主要解決問題?？兀嚎刂茻o意識的信息泄露：對于第三個要解決的問題是防止內部人員無意識的內部信息泄露，要保證接入網絡的機器、設備是具有一定的安全防護標準，防止不符合要求的機器和設備接入網絡，嚴格控制潛在的安全風險。解決方案2.1Web應用防護系統解決方案Web應用安全防護系統可以為學校Web服務器提供全方位的服務，主要保護功能包括以下幾方面：2.1.1黑客攻擊防護Web應用防護系統對黑客攻擊防護功能，主要阻止常見的Web攻擊行為，包括以下方面：黑客已留后門發現，黑客控制行為阻止SQL注入攻擊（包括URL、POST、Cookie等方式的注入）XSS攻擊Web常規攻擊（包括遠程包含、數據截斷、遠程數據寫入等）命令執行（執行Windows、Linux、Unix關鍵系統命令）緩沖區溢出攻擊惡意代碼解決辦法：通過在Web服務器的前端部署Web應用防護系統，可以有效過濾Web攻擊。同時，正常的訪問流量可以順利通過。Web應用防護系統，通過內置可升級、擴展的策略，可以有效的防止、控制Web攻擊發生。方案價值：通過部署Web應用防護系統可以有效的防止黑客對于網站應用層的攻擊，保障Web服務器的安全，降低資料被竊取、網站被篡改事件的發生。2.1.2違反策略防護Web應用防護系統對互聯網的內容識別與控制主要包括以下幾個方面：非法HTTP協議URL-ACL匹配盜鏈行為2.1.2BOT防護 Web應用防護系統對互聯網的應用訪問控制主要包括以下幾個方面：爬蟲蜘蛛行為Web漏洞掃描器行為2.1.3應用層洪水CC攻擊及DDOS防御Web應用防護系統的互聯網應用流量控制主要包括以下幾個方面：UDPFloodICMPFloodSYNFloodACKFloodRSTFloodCC攻擊DDOS攻擊方案價值：Web應用防護系統全方位的封堵，節省帶寬資源利用率，保證組織的業務相關應用得到極以流暢的進行。2.1.4網頁防篡改本設備的網頁防篡改功能，對網站數據進行監控，發現對網頁進行任何形式的非法添加、修改、刪除等操作時，立即進行保護，恢復數據并進行告警，同時記錄防篡改日志。

支持的操作系統:Windows、Linux(CentOS、Debian、Ubuntu)、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系統。、2.1.5自定義規則及白名單自定義規則設備不僅具有完善的內置規則，并且還支持用戶根據自身需要自行定義規劃，支持自符串快速查找與PCRE正則查找。白名單根據需要設定某些網站、URL針對防護設備直接放行。2.1.6關鍵字過濾本設備支持針對網頁訪問進行單向或雙方關鍵字進行檢測與過濾。2.1.7日志功能Web應用防護系統不但提供強大的防護功能，且提供了十分詳細的日志和報表功能，能夠讓管理人員更加全面、快捷地了解整個設備運行及防護情況。入侵報警日志系統提供詳細的安全防護日志：包括攻擊時間、方式、來源IP、目的URL、物理地址、頁面訪問統計等。日志查詢設備提供基于時間、IP、端口、協議、動作、規則集、危害等級等多種查詢方式。支持日志的導出及按時間進行日志自動的清理。審計日志對設備每次操作進行詳細的記錄系統日志可以記錄設備的運行狀況2.1.8統計功能網絡入侵統計該設備頁面以柱狀圖的形式顯示指定月份所發生的所有入侵情況，以便快速掌握不同時期遭受網絡攻擊狀況，判斷網絡攻擊變化趨勢。網絡流量統計統計該頁面統計各接口的流量情況，可以按天或月以折線圖的形式顯示出來。了解本設備在該段時間內的網絡流量情況。瀏覽頁面統計該頁面可以詳細清楚地統計并顯示每個web頁面的訪問次數，最后訪問時間、瀏覽器情況，并可以分時間斷來進行分析頁面訪問情況。2.1.9報表設備提供詳細的基于圖文的安全報表（按攻擊類別、流量、主機、來源IP、目的URL攻擊方式、地位位置、webshell分析、頁面訪問次數等）并可以按事件攻擊類型、周期、統計目標進行統計。支持Html、Word、Pdf格式的輸出。定時去發送攻擊報表等功能。2.1.10智能阻斷該設備可以智能識別外來的攻擊行為，根據自定義單位時間內觸發安全規則次數的方式，自動阻斷攻擊源。阻斷的時間及次數均可自行定義。2.2設備選型及介紹根據對學校WEB應用安全防護需求的分析，采用WAF產品系列的Web防火墻管理設備，以下是要求的設備基本性能參數：項目技術要求體系結構1U，采用多核硬件架構配置≥8個電口，配置2對電口Bypass性能單向HTTP吞吐量≥1000Mbps最大并發會話數≥100萬（內置規則全開，防護狀態）HTTP請求速率≥1,0000（內置規則全開，防護狀態）網絡延遲≤0.05毫秒（內置規則全開，防護狀態）防護網站不限IP攔截方式至少包含4種方式：攔截、檢測、放行、攔截并阻斷；阻斷方式下，可設置阻斷時間，可手工解除阻斷入侵者記錄能夠記錄入侵攻擊詳細數據，至少包含：序號、攻擊時間、攔截原因、規則集名稱、危害等級、源IP地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、HTTP請求、URL等防御功能雙向檢測功能，能夠對流入流出數據進行檢測；具有默認的防護端口，并可指定防護端口；系統內置防護規則、并支持用戶自定義防護規則；白名單功能:能夠對特定的IP、域名、域名+URL設置白名單；HTTP請求類型允許與禁止：可對常用的HTTP請求設置允許或禁止通過Web攻擊防護SQL注入攻擊（包括URL、POST、Cookie等方式的注入）：攻擊者通過輸入數據庫查詢代碼竊取或修改數據庫中的數據、XSS攻擊、遠程、本地文件包含攻擊CSRF跨站請求、Web常規攻擊（包括遠程包含、數據截斷、遠程數據寫入等）、惡意掃描：攻擊者利用pangolin、Wvs等專業掃描攻擊工具對服務器進行掃描和攻擊、命令執行（執行Windows、Linux、Unix關鍵系統命令）、緩沖區溢出攻擊、關鍵文件下載、搜索引擎爬蟲（spider）、惡意代碼、信息偽裝、“零日”攻擊、本馬上傳：攻擊者利用黑客工具上傳Webshell以達到控制服務器的目的、WebShell檢測與攔截等負載均衡支持應用層負載均衡功能，并支持動態網站、流量分配防CC攻擊（選配）支持對CC攻擊的防護功能防DOS攻擊（選配）支持對DOS攻擊防護功能網頁防篡改（選配）支持對網頁的篡改并進行自動恢復，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系統漏洞掃描（選配）針對web服務器的SQL、XSS等漏洞進行掃描，并生成報告。數據庫防篡改（選配）數據庫防篡改：支持MSSQL、SQLSERVER等數據庫防篡改。高級訪問控制支持對內、外IP地址的精確控制，設置不同的防御方式（阻斷、過濾、檢測、放行）可靠性電口、光口硬件BYPASS、軟件BYPASS、可擴展支持端口匯聚、多機熱備；平均無故障時間≥100000h；支持日志自動清理功能：可在達到日志上限時通知管理員進行日志清理，如手動清理未實施，系統實行自動清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虛擬化部署等報表功能提供詳細的基于圖文的安全報表（入侵統計、按入侵類別統計、被攻擊主機、攻擊來源IP和地理位置、頁面訪問次數、網絡接口流量趨勢等）并可以按事件攻擊類型、周期、統計目標進行統計管理特性支持通過HTTPS初始化、設置、管理設備實時流量查看、入侵告警查看流量統計、入侵統計自定義規則查看管理支持入侵記錄、系統日志、審計日志導出功能、系統配置安全導入、導出功能支持內置規則升級、固件升級允許用戶自由定制規則，提供友好的定制模板報表系統、系統日志、審計日志產品資質獲得國家保密局涉密信息系統安全保密測評中心頒發的符合國家保密標準BMB13－2004《涉及國家秘密的計算機信息系統入侵檢測產品技術要求》的千兆《涉密信息系統產品檢測證書》獲得中國信息安全認證中心頒發的符合CNCA/CTS0050-2007《信息技術信息安全網站恢復產品認證技術規范》增強級認證《中國國家信息安全產品認證證書》公安部頒發的《計算機信息系統安全專用產品銷售許可證》國家漏洞中心提交漏洞證明文件2.3設備部署根據學校WEB應用安全防護Web服務器部署情況，我們建議通過透明網橋的部署模式來達到對Web服務器保護的目的。集中/集群式Web服務器部署集群式/集中式Web服務：集群式Web服務采用多臺Web服務器負荷分擔提供同一Web服務；集中式Web服務主要體現在不同的Web服務器放置在同一網段或者相鄰的網段內，但不同的Web服務器可能提供多樣的Web服務。這種情況多數應用于中大型企業的Web服務器模式，或者是IDC。在這種網絡結構下，可直接將“Web應用防火墻”串接在Web服務器群所在子網交換機前端，如下圖顯示：部署方式：WAF的WAN口與廣域網的接入線路相連，一般是光纖、ADSL線路或者是路由器，WAF的LAN口（DMZ口）同局域網的交換機相連，所有對WEB服務器的訪問請求都必須通過WAF設備。半分散式WEB服務部署模式半分散式Web服務：在局域網中存在各種不同的Web應用服務，并且這些Web應用服務器分散在不同的子網中；比如：公司有整體的Web服務集群，同時，各個部門還有各自的Web服務器，而這些服務器分布在不同的子網中，如果想對這些Web服務器進行保護，需要將“Web應用防火墻”部署在這些Web服務器所在網絡的邊緣，如下圖顯示：部署方式：WAF的WAN口同廣域網接入線路相連，LAN口（DMZ口）同局域網交換機連接。同時保護處于內網不同網段的多個Web服務器。全分散式Web服務部署模式半分散式Web服務：在局域網中存在各種不同的Web應用服務，并且這些Web應用服務器分散在幾乎全部的子網中；比較常見的案例：IDC機房，這時，需要將“Web應用防火墻”部署在局域網邊緣，一般部署在主交換機同主路由器之間，如下圖顯示：部署方式：WAF的WAN口同廣域網接入線路相連，LAN口（DMZ口）同局域網交換機連接。同時保護處于內網的所有Web服務器及DB服務器。三、方案優點及給客戶帶來的價值通過Web應用防護系統在學校WEB應用安全防護的具體實施給客戶帶來以下價值：3.1解決了傳統防火墻、IPS不能解決的應用層攻擊問題傳統的網絡防火墻作為訪問控制設備，工作在OSI1-4層，基于IP報文進行狀態檢測、地址轉換、網絡層訪問控制等，對報文中的具體內容不具備檢測能力。因此，對Web應用而言，傳統的網絡防火墻僅提供IP及端口防護，對各類WEB應用攻擊缺乏防御能力。Web應用防護系統主要致力于提供應用層保護，通過對HTTP/HTTPS及應用層數據的深度檢測分析，識別及阻斷各類傳統防火墻無法識別的WEB應用攻擊。只要有網絡的地方就會有防火墻，但傳統的防火墻只是針對一些底層(網絡層、傳輸層)的信息進行阻斷，而WAF則深入到應用層，對所有應用信息進行過濾，這是二者的本質區別。WAF的運行基礎是應用層訪問控制列表。整個應用層的訪問控制列表所面對的對象是網站的地址、網站的參數、在整個網站互動過程中所提交的一些內容，包括HTTP協議報文內容，由于WAF對HTTP協議完全認知，通過內容分析就可知道報文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。3.2合規性建設學校WEB應用安全防護網站由于其社會地位和政治地位的特殊性，在公安部《計算機信息安全等級保護基本要求》中明確要求必須對所有外部網絡訪問行為進行入侵防范，訪問行為有相應的日志審計行為。Web應用防護系統不僅能完全防范非法用戶的入侵行為，更能提供完整的統計表報。3.3減少因不安全造成的損失Web應用防護系統可以防止黑