您现在的位置是:首页 > IT基础架构 > 网络与安全 >
梭子鱼WEB应用防火墙给力“云”安全
摘要WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL 注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服...
WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL 注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,反而成为可以被低成本利用获取价值的一个途径。
下图:2010年十大WEB攻击统计
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
现在大量的黑客网站上面都提供了入侵WEB服务器的教程,而且大量的黑客工具随处可见,这使得攻击WEB服务器越来越容易,安全面临着严重的威胁!
我们看看当前网站安全状况,数字的增长速度令人震惊。具不完全统计,这几年中国大陆网站入侵导致网页被篡改成倍增长;2010年仅网页篡改已经是2007年的60倍,达到121623,这还不包含未被官方披露的数字。
还有很多网站被黑客所利用,进行网页挂马,导致浏览这些网页的人自动被种植木马。可以说经常上网人几乎都遭遇过网页木马,轻则使系统异常、成为黑客们的傀儡终端,重责导致个人敏感数据被盗。
很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。
黑客之所以能够攻击用户,都是利用了防火墙开放的端口,躲过防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统防火墙。据统计,目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统防火墙的防护效果,并不太理想,存在着以下不足之处:无法检测加密的Web流量;普通应用程序加密后,也能轻易躲过防火墙的检测;对于Web应用程序,防范能力不足……
传统防火墙的不足主要体现在:
1.主要工作在OSI 模型三、四层,基于IP 报文进行检测,控制对网络的访问。
2.在设计之初,就无需理解Web 应用程序语言如HTML 及XML,也无法理解
HTTP 会话。
3.无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。
4.为了保障对web应用的访问,防火墙会开放Web应用的80端口,这意味着
Internet上的任意IP都能直接访问Web应用。
5.状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据
包中,它仍然能通过防火墙到达应用服务器。
IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
为了更好的理解两款产品差异性,我们先用这个保镖(WAF)和保安(IPS)比喻来描述。
大楼保安需要对所有进出大楼人员进行检查,一旦发现可疑人员则禁止他入内,但如果混进"貌似忠良"的坏人去撬保险柜等破坏行为,大楼保安是无能为力的。
私人保镖则是指高级别、更"贴身"的保护。他通常只保护特定的人员,所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等,因为被保护人的工作是需要去面对不同的人,去不同的场合,保镖的职责不能因为危险就阻止、改变他的行为,只能去预见可能的风险,然后量身定做合适的保护方案。
这两种角色的区别在于保安保护的是整个大楼,他不需要也无法知道谁是最需要保护的人,保镖则是明确了被保护对象名单,需要深刻理解被保护人的个性特点。
通过上面的比喻,大家应该明白两者的之所以会感觉相似是因为职责都是去保护,但差异在于职能定位的不同。
入侵检测系统(IPS)的不足
1.IPS使用攻击特征数据库作为检测机制,只能捕获已知攻击。针对某种特殊应用设计的攻击,或者"零日攻击"它将不能防御。
2.黑客只需做少许修改,现有的特征库将不起作用。
3.SSL加密使IPS设备对所有的web攻击失效。
4.IPS不能对URL和Unicode编码流量规范化。当攻击进行了相应的编码后, IPS也将失去作用。
5.基于"允许除非明确否认"的模式对所有流量放行,IPS不可避免的会放行一些它无法识别的恶意流量。
6.IPS只知道包和请求,而不知道网络和应用。IPS不知道用户特定的网络和应用架构,因而无法根据用户的特定应用环境来制定基于应用的安全策略。
网页防篡改的弱点在于对于攻击行为并不进行分析,也不阻止攻击的发生。
不可否认,网页被篡改是目前最直观的Web安全问题,无论是政府网站、高校网站,还是运营商网站、企业网站,都曾出现过严重的网页篡改事件,这让网页防篡改产品开始映入人们的眼帘。
但网页防篡改系统是一种软件解决方案,它的防护效果直接,但是只能保护静态页面,而无法保护动态页面。
网页防篡改的不足
1.以"事后恢复"为基本原理,对于攻击行为并不进行分析,也不阻止攻击的发生。
2.许多类型的攻击并不篡改网页,如DDoS攻击、CC攻击、溢出攻击、cookie
窃取、密码拦截、数据窃取等,网站防篡改设备无能为力。
3.很多攻击有可能产生篡改行为,但多数情况并不会篡改网页,如SQL注入、
目录穿越等;即使是"事后恢复",网页防篡改产品也存在工作原理漏洞、
服务负载增加、检测机制绕开、连续篡改等安全问题。
Web应用防火墙是专门为保护基于Web的应用程序而设计的,从广义上来说,Web应用防火墙就是一些增强Web应用安全性的工具。Web服务器理应通过80端口传送数据包。所以所有发给支撑Web服务器系统80端口的数据包必须被允许通过防火墙。传统的防火墙没有办法测定一个地址指向正确的数据包是否包含威胁,但Web应用防火墙可以仔细检查数据包的内容来检测并阻止威胁。
下面我们就用一款现在业内比较普遍的Barracuda应用防火墙来举例,来看看应用防火墙是如何保护网站防止被恶意注入和篡改的了。
网络架构和部署:代理模式(也支持桥模式)
代理模式是Web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式,能够提供最佳的安全性能。
在此模式中,所有的数据端口都将被开启;端口WAN是对外的,直接面向因特网的端口。管理端口可以被分配到另一个网段,我们推荐将管理数据和实际的流量分离,避免因为实际流量和管理数据的冲突。
以下为示例拓扑图:
网络实现:
1、前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟ip将会和前端端口(eth1)进行绑定
2、客户的连接将会在设备上终止,进行安全检查和过滤
3、合法的流量将会WAN口建立新的连接到负载均衡设备
4、负载均衡进行流量的负载
5、代理模式可以开启所有的安全功能
工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势
对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升
预期数据的完整知识(Complete Knowledge of expected values),防止各种形式的SQL/命令注入,跨站式脚本攻击
实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失真。
梭子鱼策略WAF配置建议:
1.配置服务:配置VIP地址和真实服务器地址。
2.配置安全策略:开启主动防护模式。
3.开启URL防护策略:例如阻断SQL注入,跨站攻击等。
4.系统告警:一旦网站被攻击,梭子鱼马上能通过邮件进行告警。
梭子鱼以其功能强大,操作简便,性价比高等优势继成为全球邮件安全 和负载均衡市场领导者后,梭子鱼WEB应用防火墙通过在技术上的不断突破,占据市场的主体地位。
(本文不涉密)
责任编辑: