白皮书下载1 概述
1.1 Web安全现状
伴随着网络信息化的高速发展,Web平台渗透到各个行业及领域中,在给我们生活,生产带来便利的同时也产生了极大的风险。目前Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。基于这种形势,近年来,国内外网站频繁受到各式攻击,Web安全现状令人堪忧。
1.2 Web应用防火墙(WAF)
在Web安全问题急剧增加的推动下,迪普推出了专业的Web应用防火墙WAF3000。WAF3000是可有效增加Web应用安全系数的产品,部署在Web应用平台前端,为Web应用平台提供了一个忠实可靠的安全护卫。
2 WAF典型部署模式
2.1 透明模式
如下图所示,WAF3000不改变上下行设备配置,直接部署在两台已运行的设备之间。在透明模式下无需对现有网络结构进行调整,可做到即插即用。
图1 透明模式
透明部署模式特点:快速,简便,能够做到即插即用,先部署后配置。
2.2 反向代理模式
如下图所示,WAF3000部署网络主干中,客户端通过访问虚拟IP做代理访问后台服务器。
图2 反向代理模式
反向代理模式特点:需要预先规划好网络部署结构,可以开启负载均衡等功能。
2.3 旁路模式
如下图所示,WAF3000不直接串接进网络中,而是旁挂在交换机设备上,通过流量镜像方式对网络中的流量进行检测和告警。
图3 旁路部署模式
旁路部署模式特点:能够不改变原有网络拓扑结构,对原有业务可以无缝接入,但是只能做检测,不能直接阻断攻击。
3 全方位Web防护功能
3.1 参数攻击防护
OWASP新发布的的“Web应用十大安全风险”中,注入攻击(SQL注入、命令注入等)和XSS(Cross-Site Scripting跨站脚本攻击)位列其中,这两种攻击方式均是与HTTP请求或提交参数密切相关的。参数攻击防护的重要性可见一斑。
3.1.1 SQL注入攻击防护
SQL注入攻击通常是由于应用程序缺乏对输入数据进行校验所引起的。攻击者一般会把一段含有SQL语句的数据发送给Web服务器,再经由解释器将数据转恢复成指令执行。SQL注入攻击所造成的后果通常都很严重,一般整个数据库的信息都能被读取或篡改,甚至能够获得包括管理员在内的权限。通常攻击者都会先对SQL注入漏洞的判断,即寻找注入点;然后判断后台数据库类型,最后获取相关权限,进行真正有危险性的攻击。
DPtech WAF3000针对SQL注入攻击,提供了完善的攻击特征库,囊括了注入点寻找、猜测数据库类型、猜测权限结构、添加新数据库用户和系统用户、添加权限、猜测数据表结构、备份数据库、目录遍历、上传WebShell、备份日志等特征。同时,由于实际中攻击载荷可以出现在HTTP请求的任何位置,比如请求字符串、POST数据、Cookie、自定义或标准的HTTP头部以及URL路径的部分内容中,因此WAF3000可支持上述位置中存在威胁部分进行检测。当攻击者的攻击报文通过设备时,将会对报文流中潜在威胁的部分进行特征匹配,如果被识别为攻击特征,将针对这一报文进行告警和阻断,防止恶意请求对数据进行篡改。防御工作主要通过以下几个方面进行:
1、针对动态SQL语句及动态字符串构造参数攻击手段,DPtech WAF3000通过参数化语句来判断原有的动态查询语句是否存在威胁,这样既实现了防护,又拥有了相对现代数据库而言效率很高的优势;
2、针对客户端的不符合规范的输入问题,DPtech WAF3000进行输入验证,保证其符合在应用中定义的标准。针对这一问题主要采用了白名单和黑名单的方式,即对于简单的或已被确认为攻击性语句进行直接黑名单匹配,而对于配置的可信参数则配置为白名单不做处理;针对复杂的、潜在威胁的语句,对其进行语法及词法的分析来确认是否为安全性语句;
3、针对编码输出查询语句这一攻击方式,DPtech WAF3000针对不同的数据库进行了不同的解码处理,通过大量函数及算法来针对其进行解码,将潜在威胁的代码进行进一步安全检查,确认为攻击后进行丢包处理,从而有效的阻止恶意用户在特定的查询中利用SQL注入漏洞进行攻击,这种方法称为正向编码处理;而针对Web服务器的隐私信息,则通过反向编码对外隐藏服务器信息,如将IIS版本信息改为Apache版本信息,从而达到迷惑攻击者的目的。
图4 SQL注入攻击防护
3.1.2 XSS攻击防护
XSS指的是黑客在Web页面中增添一段恶意HTML代码,当用户访问该页或触发某项事件时,调用了嵌入在Web页面里面的HTML代码,从而达到恶意攻击的目的。DPtech WAF3000针对这类攻击构建了一个专业的特征库,其中包含脚本关键字、标签关键字、事件关键字等特征,规约出相关的正则表达式,发现Web页面存在恶意代码后进行阻断,从而使已经存在的恶意代码失去其相应的威胁。
图5 XSS攻击防护
3.1.3 命令注入防护
随着Web服务器平台的迅速发展,几乎所有的操作都可以通过Web服务器内置的接口完成。这些接口可以帮助用户依照开发者的意图执行特定程序或进行网络通信。如果攻击者向操作系统提交了专门设计的输入命令,就很有可能受到命令注入攻击。DPtech WAF3000产品针对这一问题设计了大量交互匹配算法,通过查找匹配各种操作系统命令及其常见变形规约、严格限制系统参数长度、阻断元字符等方式,能有效的阻止攻击者进行地各种形式下的命令注入攻击。
3.1.4 目录遍历攻击
目前很多Web功能可执行对文件系统进行读取或写入数据的操作,攻击者专门设计了各种输入方式,从而可越权访问各类文件,这就是目录遍历漏洞,攻击者可以利用这些漏洞进行读取大量机密信息、篡改重要信息等操作。DPtech WAF3000系列产品具有完备的特征库及精密的算法分析,能够通过对输入的语句进行智能分析,确认是否携带危险或潜在威胁,同时通过特征匹配来进一步确定其将带来的危险性,如果确定含有请求目录异常的行为,则将对这条恶意访问行为进行阻断防护。
3.2 HTTP协议攻击防护
3.2.1 HTTP请求正规化检查
目前攻击手法层出不穷,其中很多利用了协议盲点,通过诸如拆分攻击的形式进行恶意攻击。针对这种方式,DPtech WAF3000系列产品通过对HTTP协议请求方法,版本,协议格式等进行正规化校验,将格式不在正规化范围内的报文进行防护,从而达到了避免出现通过协议盲点进行拆分攻击的恶意攻击。
3.2.2 Cookie正规化检查
随着Cookie的出现与使用,大量攻击者开始关注这点,通过Cookie携带异常信息,修改或添加原有的数值,导致服务器无法正常的解析Cookie中的内容,这无疑是给用户带来巨大的麻烦。为解决这一问题,DPtech WAF3000系列产品将请求中Cookie 部分进行校验,防止通过畸形Cookie窃取服务器中用户私有信息或误导服务器做出错误的判定。
3.2.3 Cookie加密
服务器发送客户端报文中的Cookie值一般存放其内部生成的session值,这个数值就是确定客户端与服务器直接连接的钥匙,不允许被客户端或恶意使用者修改。如果Cookie被恶意篡改将使用户安全隐私信息被窃取,对客户及服务器造成不必要的损失。针对这一问题,DPtech WAF3000系列产品将通过对Cookie值进行摘要或者加密,通过HttpOnly方式禁止用户对Cookie进行查看修改,再将加密后的Cookie值返回客户端,防止客户端修改Cookie信息;同时针对攻击者进行的Cookie重放,对Cookie是否经过篡改进行了缜密的分析,严格摒弃这类报文通过设备访问服务器。从而达到对此危险进行防护。
图6 Cookie加密
3.3 缓冲区溢出攻击防护
缓冲区溢出攻击指的是利用缓冲区漏洞,对运行程序或系统进行破坏的攻击。正常情况下程序是不允许输入数据长度超出缓冲区长度,但是绝大多数程序都认为数据长度和我们为其申请的空间大小一致,这就给攻击留下了缓冲区溢出攻击的遍历条件。DPtech WAF3000系列产品能够对HTTP请求行和请求头双向流进行检测,通过特征检测和阈值阻断来保护Web服务器正常运作。
3.4 弱口令、暴力破解防护
针对服务器弱口令,DPtech WAF3000系列产品通过内置的评分算法对用户的密码进行检测,评分低于阈值时,将判定其为弱口令,提示用户及时修改密码,从而提高攻击者攻击的难度。
针对口令暴力破解,DPtech WAF3000系列产品通过精准算法对登录请求频率进行计算并统计,分析是否存在尝试暴力破解用户名密码的行为发生,从而及时做出正确的防护工作,防止用户密码被暴力破解。
3.5 应用层DDoS攻击防护
DDoS为分布式拒绝服务攻击,很多DoS攻击源同时攻击某台服务器就组成了DDoS攻击.,而应用层DDoS又有其特有的属性,通过对HTTP请求进行限制保护能够有效阻止DDoS攻击。DPtech WAF3000系列产品支持SYN Flood、HTTP Flood、XML DoS等常见DoS攻击防护。设备通过快速准确的算法计算单位时间内攻击源访问次数,如果超出规定阈值,将对攻击源进行阻断处理,同时通过实现一套专业算法,高效计算阈值的大小,从而对应用层DDoS攻击进行实时防护。
3.6 多种策略防护方式
为达到更安全可靠的防护工作,DPtech WAF3000系列产品支持多种策略防护方式设有多重黑白名单,有效的避免大量攻击。
■ URL黑白名单策略防护
通过URL黑白名单可以对用户限访问网站服务器路径范围进行严格限制,对重要网页进行有效、可靠的保护。
■ User-agent黑白名单策略防护
能够通过查找匹配用户信息字段,判定是否为非法用户请求,及时有效地阻断非法用户请求,以确保网站服务器的安全。
■ 用户请求细粒化配置防护
DPtech WAF3000系列产品支持对用户请求方法,协议版本,参数范围及长度,请求报头长度,提交数据长度,还可以通过正则表达式对请求URL参数进行正规化限制。支持对请求头域及实体进行检查,可进行严格限制预定义及自定义头部字段长度,头域最大个数,头部长度及请求及应答实体长度。通过以上细粒化配置可以有效跟踪各种攻击方式,并及时做出有效的防护措施。
■ 黑名单联动
DPtech WAF3000系列产品支持对源IP地址请求被阻断的频率进行统计分析,将超过所设置阈值范围内的源IP地址加入黑名单中,从而实现了黑名单自动更新功能,更加有力的阻断其进一步对Web服务器进行攻击。
3.7 敏感关键词过滤及服务器信息防护
■ 非法关键字过滤
DPtech WAF3000系列产品通过配置策略,能够有效地隐藏或阻断用户提交信息或网页中包含的敏感关键词,同时可以通过对上述信息进行正则表达式匹配,为用户提供简单方便的使用方法,有效地防止非法内容发布。
■ 爬虫行为智能过滤
随着Web服务的高速发展,网络爬虫数量急剧增加,消耗大量服务器资源,影响服务器访问速度,DPtech WAF3000系列产品能够对访问服务器的爬虫进行分类阻断,摒弃不需要的被访问的爬虫,防止此类消耗巨大服务器资源的事件发生。
■ 服务器敏感信息防护
目前网络中存在大量的嗅探性攻击,这类攻击并不会对服务器产生直接影响,但通过此类攻击可以获得大量服务器内部返回的重要信息,为攻击者下一步攻击提供了遍历条件。DPtech WAF3000系列产品能够有效地过滤服务器返回给客户端报文中涉及的基本信息,诸如服务器版本号,应用类型等,有效的阻止黑客利用此类信息进行后续的攻击。
■ 服务器错误信息替换
为防止上文提及的嗅探性攻击,DPtech WAF3000系列产品对服务器的错误信息返回进行过滤,隐藏或摒弃涉及服务器安全的信息返回至客户端,有效地防止攻击者搜集服务器错误信息,做到对攻击的“事前”防护。
■ 关键文件防护
在服务器中往往都存放着具有安全隐私性信息的文件,此类文件是严格保密类文件,但服务器很少会主动对此类文件进行防护,DPtech WAF3000系列产品能够通过算法对涉及此类关键文件访问及下载请求进行阻断。防止攻击者通过搜集服务器残留的测试脚本,目录文件,残旧数据库等分析服务器漏洞或窃取用户信息。
■ 恶意文件上传防护
目前大量网站论坛中提供给客户上传文件的功能,这种做法十分危险,DPtech WAF3000系列产品通过对上传文件进行缜密地检查,精准的字典匹配,高效率地防止攻击者通过绕过认证等限制上传木马,病毒等恶意行为。
■ CSRF攻击防护
CSRF(Cross-Site Request Forgery)即跨站点伪造请求攻击。攻击者可以用受害者名义伪造请求报文发送给被攻击对象,从而实现越权访问。DPtech WAF3000系列产品通过缜密的算法对访问防护页面的请求报文的特定字段进行分析处理,判定识别出访问者是否通过伪造身份进行安全攻击,如果确定其为攻击将其阻断,从而达到防护的目的。
4 网页防篡改功能
4.1 网页篡改防护功能
目前有很多企业部门存在一些不需要经常变动,但又是非常重要的网页。针对这类重要网页DPtech WAF3000系列产品提供了网页防篡改功能,对重要网页进行篡改防护。如果该防护页面出现被正常或恶意篡改时,设备将会发送上一次原有页面内容至客户端,并产生告警信息。这样用户就可以对本次修改进行有效性检查,确认其是否遭受恶意篡改。如有被恶意篡改现象出现可及时恢复原有内容,而如果是正常的页面修改,则可确认更新此网页,从而安全高效的对网页篡改攻击进行了防护。
4.2 网站篡改恢复功能
DPtech WAF3000系列产品支持对网站整体目录进行防护。通过与服务器进行交互后获取网站整体目录结构及内容,采用高效精准的算法进行学习记忆相关内容,根据客户实际需要进行相关防护工作。在网站目录或文件发生异常变化时,产生告警信息,并在规定时间内恢复原目录结构及文件内容。
