深信服科技
二代防火墻
第1章 概述
隨著互聯網技術的發展���,Web應用日益增多���,同時也面臨著Web濫用����、病毒泛濫和黑客攻擊等安全問題����,導致Web應用被篡改����、數據被竊取或丟失�����。根據Gartner的統計當前網絡上75%的攻擊是針對Web應用的���。攻擊者通過應用層協議進入組織內部�,如Web�、Web郵件���、聊天工具和P2P等攻擊企業網絡���。利用網上隨處可見的攻擊軟件���,攻擊者不需要對網絡協議的深厚理解基礎�����,即可完成諸如更換web網站主頁����,盜取管理員密碼����,破壞整個網站數據等等攻擊����。而這些攻擊過程中產生的網絡層數據�����,和正常數據沒有什么區別��。常見的威脅如下:
威脅名稱 威脅描述
非授權訪問 非授權用戶可能試圖訪問和使用非授權端口�����、應用類型以及資源
Web應用攻擊 惡意用戶可能通過構造特殊的HTTP/HTTPS請求����,對產品保護的web應用實施SQL注入���、XSS等web攻擊
暴力認證 惡意用戶可能通過反復猜測鑒別數據的方法�,從而獲取管理員權限
漏洞攻擊 惡意用戶可能利用產品本身或其所保護資產所存在的脆弱性�����,而對其發起遠程攻擊
敏感信息泄漏 用戶的敏感信息(如銀行卡賬號�����,身份證號����,手機號碼等)或者服務器關鍵文件(如數據庫信息文件����,服務器配置文件等)遭到有意或者無意的泄漏
信息篡改 惡意用戶篡改服務器文件��,使得服務器信息以非正常方式呈現
1.1 為什么需要WEB應用防火墻
1.1.1 傳統防火墻能否抵御WEB攻擊���?
防火墻作為一款歷史悠久的經典產品�,在IP/端口的網絡時代�,發揮了巨大的作用:合理的分隔了安全域���,有效的阻止了外部的網絡攻擊��。防火墻在設計時的針對性�,在當時顯然是網絡安全的最佳選擇�。但在網絡應用高速發展�����,網絡規劃復雜化的今天防火墻的不適應性就越發明顯��,從用戶對網絡安全建設的需求來看��,傳統防火墻存在以下問題:
傳統防火墻基于IP/端口�����,無法對WEB應用層進行識別與控制����,無法確定哪些WEB應用經過了防火墻����,自然就談不上對各類威脅進行有效防御了����。面對WEB應用層的攻擊�,防火墻顯得力不從心�,無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼�,比如病毒����、蠕蟲����、木馬等�。
傳統防火墻無法抵御來自WEB應用層的威脅��,自然就無法提供給用戶有效的安全策略制定依據���。傳統防火墻的防御能力有限導致了用戶對內網服務器的安全狀態沒有直觀的體現和把握��,缺乏安全信息的可視化��。
1.1.2 IPS設備能否抵御WEB攻擊��?
IPS只能針對操作系統或者應用軟件的底層漏洞進行防護�,缺乏針對Web攻擊威脅的防御能力�,對Web攻擊防護效果不佳����。缺乏攻擊事后防護機制����,不具備數據的雙向內容檢測能力�,對未知攻擊產生的后果無能為力����,如入侵防御設備無法應對來自于web網頁上的SQL�,XSS漏洞���,無法防御來自內網的敏感信息泄露或者敏感文件過濾等等���。
1.2 深信服WEB應用防火墻—SWAF
1.2.1 產品設計理念
SWAF是面向WEB應用層設計�,能夠精確識別WEB應用和內容�,具備完整安全防護能力����,能夠彌補傳統防火墻和IPS在WEB攻擊防護方面的不足�,具有強勁應用層處理能力的全新網絡安全設備����。
SWAF不但可以提供基礎網絡安全功能����,如狀態檢測�����、VPN�����、抗DDoS�、NAT等�;還實現了統一的應用安全防護����,可以針對一個入侵行為中的各種技術手段進行統一的檢測和防護�����,如應用掃描����、漏洞利用����、Web入侵����、非法訪問�����、蠕蟲病毒���、帶寬濫用����、惡意代碼等����。SWAF可以為不同規模的行業用戶數據中心提供更加全面����、更高性能的WEB應用內容防護方案�。
更全面的內容級安全防護:
? 基于攻擊過程的服務器保護��,防御黑客掃描����、入侵���、破壞三步曲
? 強化的WEB應用安全��,支持多種SQL注入防范���、XSS攻擊��、CSRF���、權限控制等
雙向內容檢測�,功能防御策略智能聯動
更高性能的應用層處理能力:
? 單次解析架構實現報文一次拆解和匹配
? 多核并行處理技術提升應用層分析速度
? 全新技術架構實現應用層萬兆處理能力
1.2.2 產品功能特色
1.2.2.1 全面的應用安全防護能力
1.2.2.1.1 基于應用的深度漏洞攻擊防御
SWAF的灰度威脅關聯分析引擎具備3000+條漏洞特征庫��、2500+Web應用威脅特征庫�,可以全面識別各種應用層和內容級別的單一安全威脅����;另外�,深信服憑借在應用層領域6年以上的技術積累����,組建了專業的安全攻防團隊����,可以為用戶定期提供最新的威脅特征庫更新�����,以確保防御的及時性����。
下圖為灰度威脅關聯分析引擎的工作原理:
第一,威脅行為建模,在灰度威脅樣本庫中�����,形成木馬行為庫�����、SQL攻擊行為庫���、病毒蠕蟲行為庫等數十個大類行為樣本���,根據他們的風險性我們初始化一個行為權重�����,如異常流量0.32�、病毒蠕蟲0.36等等����,同時擬定一個威脅閥值��,如閥值=1���。
第二��,用戶行為經過單次解析引擎后�����,發現攻擊行為����,立即將相關信息���,如IP�����、用戶��、攻擊行為等反饋給灰度威脅樣本庫���。
第三�����,在灰度威脅樣本庫中��,針對單次解析引擎的反饋結果�����,如攻擊行為�����、IP�、用戶等信息�����,不斷歸并和整理�,形成了基于IP�����、用戶的攻擊行為的表單����。
第四����,基于已有威脅樣本庫���,將特定用戶的此次行為及樣本庫中的行為組合����,進行權值計算和閥值比較����,例如某用戶的行為組權重之和為1.24�����,超過了預設的閥值1�����,我們會認定此類事件為威脅事件�����。
由此可見���, 威脅關聯分析引擎對豐富的灰度威脅樣本庫和權重的準確性提出了更高的要求���,SWAF在兩方面得以增強:
第一��,通過SWAF抓包���,客戶可以記錄未知流量并提交給深信服的威脅探針云���,在云中心���,深信服專家會對威脅反復測試��,加快灰度威脅的更新速度�����,不斷豐富灰度威脅樣本庫�����。
第二����,深信服不斷的循環驗證和權重微調����,形成了準確的權重知識庫�����,為檢測未知威脅奠定了基礎�。
1.2.2.1.2 強化的WEB攻擊防護
SWAF能夠有效防護OWASP組織提出的10大web安全威脅的主要攻擊��,并于2013年1月獲得了OWASP組織頒發的產品安全功能測試4星評級證書(最高評級為5星����,深信服SWAF為國內同類產品評分最高)主要功能如:
1.2.2.1.3 防SQL注入攻擊
SQL注入攻擊產生的原因是由于在開發web應用時���,沒有對用戶輸入數據的合法性進行判斷����,使應用程序存在安全隱患�����。用戶可以提交一段數據庫查詢代碼�����,根據程序返回的結果�����,獲得某些他想得知的數據�����,這就是所謂的SQL Injection��,即SQL注入�����。SWAF可以通過高效的URL過濾技術�,過濾SQL注入的關鍵信息�����,從而有效的避免網站服務器受到SQL注入攻擊���。
1.2.2.1.4 防XSS跨站腳本攻擊
跨站攻擊產生的原理是攻擊者通過向Web頁面里插入惡意html代碼�,從而達到特殊目的�����。SWAF通過先進的數據包正則表達式匹配原理��,可以準確地過濾數據包中含有的跨站攻擊的惡意代碼��,從而保護用戶的WEB服務器安全����。
1.2.2.1.5 防CSRF攻擊
CSRF即跨站請求偽造����,從成因上與XSS漏洞完全相同�,不同之處在于利用的層次上��,CSRF是對XSS漏洞更高級的利用�����,利用的核心在于通過XSS漏洞在用戶瀏覽器上執行功能相對復雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網站的會話�,攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互��,使攻擊者以受攻擊瀏覽器用戶的權限執行惡意操作���。SWAF通過先進的數據包正則表達式匹配原理����,可以準確地過濾數據包中含有的CSRF的攻擊代碼�,防止WEB系統遭受跨站請求偽造攻擊��。
1.2.2.1.6 主動防御技術
主動防御可以針對受保護主機接受的URL請求中帶的參數變量類型�����,以及變量長度按照設定的閾值進行自動學習��,學習完成后可以抵御各種變形攻擊��。另外還可以通過自定義參數規則來更精確的匹配合法URL參數�����,提高攻擊識別能力����。
1.2.2.1.7 應用信息隱藏
SWAF對主要的服務器(WEB服務器����、FTP服務器����、郵件服務器等)反饋信息進行了有效的隱藏�。防止黑客利用服務器返回信息進行有針對性的攻擊�����。如:
HTTP出錯頁面隱藏:用于屏蔽Web服務器出錯的頁面�����,防止web服務器版本信息泄露����、數據庫版本信息泄露��、網站絕對路徑暴露��,應使用自定義頁面返回���。
HTTP(S)響應報文頭隱藏:用于屏蔽HTTP(S)響應報文頭中特定的字段信息�����。
FTP信息隱藏:用于隱藏通過正常FTP命令反饋出的FTP服務器信息�,防止黑客利用FTP軟件版本信息采取有針對性的漏洞攻擊�����。
1.2.2.1.8 URL防護
Web應用系統中通常會包含有系統管理員管理界面以便于管理員遠程維護web應用系統�����,但是這種便利很可能會被黑客利用從而入侵應用系統����。通過SWAF提供的受限URL防護功能����,幫助用戶選擇特定URL的開放對象��,防止由于過多的信息暴露于公網產生的威脅����。
1.2.2.1.9 弱口令防護
弱口令被視為眾多認證類web應用程序的普遍風險問題��,SWAF通過對弱口令的檢查��,制定弱口令檢查規則控制弱口令廣泛存在于web應用程序中���。同時通過時間鎖定的設置防止黑客對web系統口令的暴力破解���。
1.2.2.1.10 HTTP異常檢測
通過對HTTP協議內容的單次解析����,分析其內容字段中的異常���,用戶可以根據自身的Web業務系統來量身定造允許的HTTP頭部請求方法��,有效過濾其他非法請求信息�����。
1.2.2.1.11 文件上傳過濾
由于web應用系統在開發時并沒有完善的安全控制��,對上傳至web服務器的信息進行檢查��,從而導致web服務器被植入病毒���、木馬成為黑客利用的工具��。SWAF通過嚴格控制上傳文件類型�����,檢查文件頭的特征碼防止有安全隱患的文件上傳至服務器��。同時還能夠結合病毒防護�����、插件過濾等功能檢查上傳文件的安全性����,以達到保護web服務器安全的目的��。
1.2.2.1.12 用戶登錄權限防護
針對某些特定的敏感頁面或者應用系統�����,如管理員登陸頁面等�,為了防止黑客訪問并不斷的進行登錄密碼嘗試�,SWAF可以提供訪問URL登錄進行短信認證的方式��,提高訪問的安全性��。
1.2.2.1.13 緩沖區溢出檢測
緩沖區溢出攻擊是利用緩沖區溢出漏洞所進行的攻擊行動����?����?梢岳盟鼒绦蟹鞘跈嘀噶?�,甚至可以取得系統特權�����,進而進行各種非法操作���。SWAF通過對URL長度���,POST實體長度和HTTP頭部內容長度檢測來防御此類型的攻擊�。
1.2.2.1.14 智能DOS/DDOS攻擊防護
SWAF采用自主研發的DOS攻擊算法��,可防護基于數據包的DOS攻擊�����、IP協議報文的DOS攻擊�����、TCP協議報文的DOS攻擊��、基于HTTP協議的DOS攻擊等���,實現對網絡層�、應用層的各類資源耗盡的拒絕服務攻擊的防護����,實現L2-L7層的異常流量清洗��。
1.2.2.1.15 專業攻防研究團隊確保持續更新
SWAF的統一威脅識別具備3000+條漏洞特征庫��、數十萬條病毒����、木馬等惡意內容特征庫�、2000+Web應用威脅特征庫����,可以全面識別各種應用層和內容級別的各種安全威脅��。其漏洞特征庫已通過國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審�����,獲得CVE兼容性認證(CVE Compatible)�。
深信服憑借在應用層領域6年以上的技術積累組建了專業的安全攻防團隊�����,作為微軟的MAPP(Microsoft Active Protections Program)項目合作伙伴��,可以在微軟發布安全更新前獲得漏洞信息��,為客戶提供更及時有效的保護�����,以確保防御的及時性���。
1.2.2.1.16 獨特的雙向內容檢測技術
1.2.2.1.17 網關型網頁防篡改
網頁防篡改是SWAF服務器防護中的一個子模塊����,其設計目的在于提供的一種事后補償防護手段�,即使黑客繞過安全防御體系修改了網站內容��,其修改的內容也不會發布到最終用戶處�����,從而避免因網站內容被篡改給組織單位造成的形象破壞�、經濟損失等問題�����。
SWAF通過網關型的網頁防篡改(對服務器“0”影響)�����,第一時間攔截網頁篡改的信息并通知管理員確認��。同時對外提供篡改重定向功能��,提供正常界面��、友好界面��、web備份服務器的重定向��,保證用戶仍可正常訪問網站����。SWAF網站篡改防護功能使用網關實現動靜態網頁防篡改功能�����。這種實現方式相對于主機部署類防篡改軟件而言����,客戶無需在服務器上安裝第三方軟件���,易于使用和維護�����,在防篡改部分基于網絡字節流的檢測與恢復��,對服務器性能沒有影響��。
1.2.2.1.18 可定義的敏感信息防泄漏
SWAF提供可定義的敏感信息防泄漏功能���,根據儲存的數據內容可根據其特征清晰定義�����,通過短信��、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取����。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別�����、報警并阻斷����,防止大量敏感信息被非法泄露��。(如:用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼……)
1.2.2.1.19 應用協議內容隱藏
SWAF可針對主要的服務器(WEB服務器���、FTP服務器����、郵件服務器等)反饋信息進行了有效的隱藏����。防止黑客利用服務器返回信息進行有針對性的攻擊�。如:HTTP出錯頁面隱藏����、響應報頭隱藏���、FTP信息隱藏等�����。
1.2.3 智能的安全防御體系
1.2.3.1 安全風險評估與策略聯動
SWAF基于時間周期的安全防護設計提供事前風險評估及策略聯動的功能����。通過端口��、服務�、應用掃描幫助用戶及時發現端口����、服務及漏洞風險����,并通過模塊間的智能策略聯動及時更新對應的安全風險的安全防護策略�����。幫助用戶快速診斷電子商務平臺中各個節點的安全漏洞問題��,并做出有針對性的防護策略�����。
1.2.3.2 智能的防護模塊聯動
智能的主動防御技術可實現SWAF內部各個模塊之間形成智能的策略聯動��,如一個IP/用戶持續向內網服務器發起各類攻擊則可通過網絡層防護策略暫時阻斷IP/用戶��。智能防護體系的建立可有效的防止工具型�����、自動化的黑客攻擊�,提高攻擊成本�,可抑制APT攻擊的發生����。同時也使得管理員維護變得更為簡單�����,可實現無網管的自動化安全管理��。
