白皮書下載1 概述
1.1 Web安全現狀
伴隨着網絡信息化的高速發展,Web平臺滲透到各個行業及領域中,在給我們生活,生產帶來便利的同時也產生了極大的風險。目前Web業務的安全面臨着兩級分化極其嚴重的形勢:一方面Web業務的易操作化,使得Web業務面向了更廣泛的人群,人們大多不具備基本的網絡安全意識,使得對於網絡上的陷阱疏於防範,易於無意識的成為被攻擊對象;另一方面,由於信息化的快速發展,網絡上各種資料、工具可以極其方便的被查閱和下載,這使得各種攻擊工具極易在網絡上進行傳播,對於攻擊者要求的技術知識逐漸降低,甚至不需要任何網絡和Web基礎即可按照攻擊軟件說明對網站服務器進行攻擊。基於這種形勢,近年來,國內外網站頻繁受到各式攻擊,Web安全現狀令人堪憂。
1.2 Web應用防火墻(WAF)
在Web安全問題急劇增加的推動下,迪普推出了專業的Web應用防火墻WAF3000。WAF3000是可有效增加Web應用安全系數的產品,部署在Web應用平臺前端,為Web應用平臺提供了一個忠實可靠的安全護衛。
2 WAF典型部署模式
2.1 透明模式
如下圖所示,WAF3000不改變上下行設備配置,直接部署在兩臺已運行的設備之間。在透明模式下無需對現有網絡結構進行調整,可做到即插即用。
圖1 透明模式
透明部署模式特點:快速,簡便,能夠做到即插即用,先部署後配置。
2.2 反向代理模式
如下圖所示,WAF3000部署網絡主幹中,客戶端通過訪問虛擬IP做代理訪問後臺服務器。
圖2 反向代理模式
反向代理模式特點:需要預先規劃好網絡部署結構,可以開啟負載均衡等功能。
2.3 旁路模式
如下圖所示,WAF3000不直接串接進網絡中,而是旁掛在交換機設備上,通過流量鏡像方式對網絡中的流量進行檢測和告警。
圖3 旁路部署模式
旁路部署模式特點:能夠不改變原有網絡拓撲結構,對原有業務可以無縫接入,但是只能做檢測,不能直接阻斷攻擊。
3 全方位Web防護功能
3.1 參數攻擊防護
OWASP新發布的的“Web應用十大安全風險”中,註入攻擊(SQL註入、命令註入等)和XSS(Cross-Site Scripting跨站腳本攻擊)位列其中,這兩種攻擊方式均是與HTTP請求或提交參數密切相關的。參數攻擊防護的重要性可見一斑。
3.1.1 SQL註入攻擊防護
SQL註入攻擊通常是由於應用程序缺乏對輸入數據進行校驗所引起的。攻擊者一般會把一段含有SQL語句的數據發送給Web服務器,再經由解釋器將數據轉恢復成指令執行。SQL註入攻擊所造成的後果通常都很嚴重,一般整個數據庫的信息都能被讀取或篡改,甚至能夠獲得包括管理員在內的權限。通常攻擊者都會先對SQL註入漏洞的判斷,即尋找註入點;然後判斷後臺數據庫類型,最後獲取相關權限,進行真正有危險性的攻擊。
DPtech WAF3000針對SQL註入攻擊,提供了完善的攻擊特征庫,囊括了註入點尋找、猜測數據庫類型、猜測權限結構、添加新數據庫用戶和系統用戶、添加權限、猜測數據表結構、備份數據庫、目錄遍歷、上傳WebShell、備份日誌等特征。同時,由於實際中攻擊載荷可以出現在HTTP請求的任何位置,比如請求字符串、POST數據、Cookie、自定義或標準的HTTP頭部以及URL路徑的部分內容中,因此WAF3000可支持上述位置中存在威脅部分進行檢測。當攻擊者的攻擊報文通過設備時,將會對報文流中潛在威脅的部分進行特征匹配,如果被識別為攻擊特征,將針對這一報文進行告警和阻斷,防止惡意請求對數據進行篡改。防禦工作主要通過以下幾個方面進行:
1、針對動態SQL語句及動態字符串構造參數攻擊手段,DPtech WAF3000通過參數化語句來判斷原有的動態查詢語句是否存在威脅,這樣既實現了防護,又擁有了相對現代數據庫而言效率很高的優勢;
2、針對客戶端的不符合規範的輸入問題,DPtech WAF3000進行輸入驗證,保證其符合在應用中定義的標準。針對這一問題主要采用了白名單和黑名單的方式,即對於簡單的或已被確認為攻擊性語句進行直接黑名單匹配,而對於配置的可信參數則配置為白名單不做處理;針對復雜的、潛在威脅的語句,對其進行語法及詞法的分析來確認是否為安全性語句;
3、針對編碼輸出查詢語句這一攻擊方式,DPtech WAF3000針對不同的數據庫進行了不同的解碼處理,通過大量函數及算法來針對其進行解碼,將潛在威脅的代碼進行進一步安全檢查,確認為攻擊後進行丟包處理,從而有效的阻止惡意用戶在特定的查詢中利用SQL註入漏洞進行攻擊,這種方法稱為正向編碼處理;而針對Web服務器的隱私信息,則通過反向編碼對外隱藏服務器信息,如將IIS版本信息改為Apache版本信息,從而達到迷惑攻擊者的目的。
圖4 SQL註入攻擊防護
3.1.2 XSS攻擊防護
XSS指的是黑客在Web頁面中增添一段惡意HTML代碼,當用戶訪問該頁或觸發某項事件時,調用了嵌入在Web頁面裏面的HTML代碼,從而達到惡意攻擊的目的。DPtech WAF3000針對這類攻擊構建了一個專業的特征庫,其中包含腳本關鍵字、標簽關鍵字、事件關鍵字等特征,規約出相關的正則表達式,發現Web頁面存在惡意代碼後進行阻斷,從而使已經存在的惡意代碼失去其相應的威脅。
圖5 XSS攻擊防護
3.1.3 命令註入防護
隨着Web服務器平臺的迅速發展,幾乎所有的操作都可以通過Web服務器內置的接口完成。這些接口可以幫助用戶依照開發者的意圖執行特定程序或進行網絡通信。如果攻擊者向操作系統提交了專門設計的輸入命令,就很有可能受到命令註入攻擊。DPtech WAF3000產品針對這一問題設計了大量交互匹配算法,通過查找匹配各種操作系統命令及其常見變形規約、嚴格限製系統參數長度、阻斷元字符等方式,能有效的阻止攻擊者進行地各種形式下的命令註入攻擊。
3.1.4 目錄遍歷攻擊
目前很多Web功能可執行對文件系統進行讀取或寫入數據的操作,攻擊者專門設計了各種輸入方式,從而可越權訪問各類文件,這就是目錄遍歷漏洞,攻擊者可以利用這些漏洞進行讀取大量機密信息、篡改重要信息等操作。DPtech WAF3000系列產品具有完備的特征庫及精密的算法分析,能夠通過對輸入的語句進行智能分析,確認是否攜帶危險或潛在威脅,同時通過特征匹配來進一步確定其將帶來的危險性,如果確定含有請求目錄異常的行為,則將對這條惡意訪問行為進行阻斷防護。
3.2 HTTP協議攻擊防護
3.2.1 HTTP請求正規化檢查
目前攻擊手法層出不窮,其中很多利用了協議盲點,通過諸如拆分攻擊的形式進行惡意攻擊。針對這種方式,DPtech WAF3000系列產品通過對HTTP協議請求方法,版本,協議格式等進行正規化校驗,將格式不在正規化範圍內的報文進行防護,從而達到了避免出現通過協議盲點進行拆分攻擊的惡意攻擊。
3.2.2 Cookie正規化檢查
隨着Cookie的出現與使用,大量攻擊者開始關註這點,通過Cookie攜帶異常信息,修改或添加原有的數值,導致服務器無法正常的解析Cookie中的內容,這無疑是給用戶帶來巨大的麻煩。為解決這一問題,DPtech WAF3000系列產品將請求中Cookie 部分進行校驗,防止通過畸形Cookie竊取服務器中用戶私有信息或誤導服務器做出錯誤的判定。
3.2.3 Cookie加密
服務器發送客戶端報文中的Cookie值一般存放其內部生成的session值,這個數值就是確定客戶端與服務器直接連接的钥匙,不允許被客戶端或惡意使用者修改。如果Cookie被惡意篡改將使用戶安全隱私信息被竊取,對客戶及服務器造成不必要的損失。針對這一問題,DPtech WAF3000系列產品將通過對Cookie值進行摘要或者加密,通過HttpOnly方式禁止用戶對Cookie進行查看修改,再將加密後的Cookie值返回客戶端,防止客戶端修改Cookie信息;同時針對攻擊者進行的Cookie重放,對Cookie是否經過篡改進行了缜密的分析,嚴格摒棄這類報文通過設備訪問服務器。從而達到對此危險進行防護。
圖6 Cookie加密
3.3 緩沖區溢出攻擊防護
緩沖區溢出攻擊指的是利用緩沖區漏洞,對運行程序或系統進行破壞的攻擊。正常情況下程序是不允許輸入數據長度超出緩沖區長度,但是絕大多數程序都認為數據長度和我們為其申請的空間大小一致,這就給攻擊留下了緩沖區溢出攻擊的遍歷條件。DPtech WAF3000系列產品能夠對HTTP請求行和請求頭雙向流進行檢測,通過特征檢測和阈值阻斷來保護Web服務器正常運作。
3.4 弱口令、暴力破解防護
針對服務器弱口令,DPtech WAF3000系列產品通過內置的評分算法對用戶的密碼進行檢測,評分低於阈值時,將判定其為弱口令,提示用戶及時修改密碼,從而提高攻擊者攻擊的難度。
針對口令暴力破解,DPtech WAF3000系列產品通過精準算法對登錄請求頻率進行計算並統計,分析是否存在嘗試暴力破解用戶名密碼的行為發生,從而及時做出正確的防護工作,防止用戶密碼被暴力破解。
3.5 應用層DDoS攻擊防護
DDoS為分布式拒絕服務攻擊,很多DoS攻擊源同時攻擊某臺服務器就組成了DDoS攻擊.,而應用層DDoS又有其特有的屬性,通過對HTTP請求進行限製保護能夠有效阻止DDoS攻擊。DPtech WAF3000系列產品支持SYN Flood、HTTP Flood、XML DoS等常見DoS攻擊防護。設備通過快速準確的算法計算單位時間內攻擊源訪問次數,如果超出規定阈值,將對攻擊源進行阻斷處理,同時通過實現一套專業算法,高效計算阈值的大小,從而對應用層DDoS攻擊進行實時防護。
3.6 多種策略防護方式
為達到更安全可靠的防護工作,DPtech WAF3000系列產品支持多種策略防護方式設有多重黑白名單,有效的避免大量攻擊。
■ URL黑白名單策略防護
通過URL黑白名單可以對用戶限訪問網站服務器路徑範圍進行嚴格限製,對重要網頁進行有效、可靠的保護。
■ User-agent黑白名單策略防護
能夠通過查找匹配用戶信息字段,判定是否為非法用戶請求,及時有效地阻斷非法用戶請求,以確保網站服務器的安全。
■ 用戶請求細粒化配置防護
DPtech WAF3000系列產品支持對用戶請求方法,協議版本,參數範圍及長度,請求報頭長度,提交數據長度,還可以通過正則表達式對請求URL參數進行正規化限製。支持對請求頭域及實體進行檢查,可進行嚴格限製預定義及自定義頭部字段長度,頭域最大個數,頭部長度及請求及應答實體長度。通過以上細粒化配置可以有效跟蹤各種攻擊方式,並及時做出有效的防護措施。
■ 黑名單聯動
DPtech WAF3000系列產品支持對源IP地址請求被阻斷的頻率進行統計分析,將超過所設置阈值範圍內的源IP地址加入黑名單中,從而實現了黑名單自動更新功能,更加有力的阻斷其進一步對Web服務器進行攻擊。
3.7 敏感關鍵詞過濾及服務器信息防護
■ 非法關鍵字過濾
DPtech WAF3000系列產品通過配置策略,能夠有效地隱藏或阻斷用戶提交信息或網頁中包含的敏感關鍵詞,同時可以通過對上述信息進行正則表達式匹配,為用戶提供簡單方便的使用方法,有效地防止非法內容發布。
■ 爬蟲行為智能過濾
隨着Web服務的高速發展,網絡爬蟲數量急劇增加,消耗大量服務器資源,影響服務器訪問速度,DPtech WAF3000系列產品能夠對訪問服務器的爬蟲進行分類阻斷,摒棄不需要的被訪問的爬蟲,防止此類消耗巨大服務器資源的事件發生。
■ 服務器敏感信息防護
目前網絡中存在大量的嗅探性攻擊,這類攻擊並不會對服務器產生直接影響,但通過此類攻擊可以獲得大量服務器內部返回的重要信息,為攻擊者下一步攻擊提供了遍歷條件。DPtech WAF3000系列產品能夠有效地過濾服務器返回給客戶端報文中涉及的基本信息,諸如服務器版本號,應用類型等,有效的阻止黑客利用此類信息進行後續的攻擊。
■ 服務器錯誤信息替換
為防止上文提及的嗅探性攻擊,DPtech WAF3000系列產品對服務器的錯誤信息返回進行過濾,隱藏或摒棄涉及服務器安全的信息返回至客戶端,有效地防止攻擊者搜集服務器錯誤信息,做到對攻擊的“事前”防護。
■ 關鍵文件防護
在服務器中往往都存放着具有安全隱私性信息的文件,此類文件是嚴格保密類文件,但服務器很少會主動對此類文件進行防護,DPtech WAF3000系列產品能夠通過算法對涉及此類關鍵文件訪問及下載請求進行阻斷。防止攻擊者通過搜集服務器殘留的測試腳本,目錄文件,殘舊數據庫等分析服務器漏洞或竊取用戶信息。
■ 惡意文件上傳防護
目前大量網站論壇中提供給客戶上傳文件的功能,這種做法十分危險,DPtech WAF3000系列產品通過對上傳文件進行缜密地檢查,精準的字典匹配,高效率地防止攻擊者通過繞過認證等限製上傳木馬,病毒等惡意行為。
■ CSRF攻擊防護
CSRF(Cross-Site Request Forgery)即跨站點偽造請求攻擊。攻擊者可以用受害者名義偽造請求報文發送給被攻擊對象,從而實現越權訪問。DPtech WAF3000系列產品通過缜密的算法對訪問防護頁面的請求報文的特定字段進行分析處理,判定識別出訪問者是否通過偽造身份進行安全攻擊,如果確定其為攻擊將其阻斷,從而達到防護的目的。
4 網頁防篡改功能
4.1 網頁篡改防護功能
目前有很多企業部門存在一些不需要經常變動,但又是非常重要的網頁。針對這類重要網頁DPtech WAF3000系列產品提供了網頁防篡改功能,對重要網頁進行篡改防護。如果該防護頁面出現被正常或惡意篡改時,設備將會發送上一次原有頁面內容至客戶端,並產生告警信息。這樣用戶就可以對本次修改進行有效性檢查,確認其是否遭受惡意篡改。如有被惡意篡改現象出現可及時恢復原有內容,而如果是正常的頁面修改,則可確認更新此網頁,從而安全高效的對網頁篡改攻擊進行了防護。
4.2 網站篡改恢復功能
DPtech WAF3000系列產品支持對網站整體目錄進行防護。通過與服務器進行交互後獲取網站整體目錄結構及內容,采用高效精準的算法進行學習記憶相關內容,根據客戶實際需要進行相關防護工作。在網站目錄或文件發生異常變化時,產生告警信息,並在規定時間內恢復原目錄結構及文件內容。
