414web应用防火墙WAF产品白皮书WAF.docx

1、414web应用防火墙WAF产品白皮书WAF2015-4-14web应用防火墙WAF-产品白皮书(WAF)D洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。 1.1深信服WEB应用防火墙SWAF 1.1.1产品设计理念 SWAF是面向WEB应用层设计，能够精确识别WEB应用和内容，具备完整安全防护能力，能够弥补传统防火墙和IPS在WEB攻击防护方面的不足，具有强劲应用层处理能力的全新网络安全设备。 SWAF不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、W

2、eb入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。SWAF可以为不同规模的行业用户数据中心提供更加全面、更高性能的WEB应用内容防护方案。更全面的内容级安全防护： 基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲 强化的WEB应用安全，支持多种SQL注入防范、XSS攻击、CSRF、权限控制等 双向内容检测，功能防御策略智能联动更高性能的应用层处理能力： 单次解析架构实现报文一次拆解和匹配 多核并行处理技术提升应用层分析速度 全新技术架构实现应用层万兆处理能力1.1.2产品功能特色1.1.2.1全面的应用安全防护能力1.1.2.1.1基于应用的深度漏洞攻击防御SWAF的灰度威胁关联分析

3、引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理：第一,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，如异常流量0.32、病毒蠕虫0.36等等，同时拟定一个威胁阀值，如阀值=1。 第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、攻击行为等

4、反馈给灰度威胁样本库。第三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值计算和阀值比较，例如某用户的行为组权重之和为1.24，超过了预设的阀值1，我们会认定此类事件为威胁事件。由此可见， 威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求，SWAF在两方面得以增强：第一，通过SWAF抓包，客户可以记录未知流量并提交给深信服的威胁探针云，在云中心，深信服专家会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威胁样

5、本库。 第二，深信服不断的循环验证和权重微调，形成了准确的权重知识库，为检测未知威胁奠定了基础。1.1.2.1.2强化的WEB攻击防护SWAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击，并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书（最高评级为5星，深信服SWAF为国内同类产品评分最高）主要功能如：1.1.2.1.3防SQL注入攻击SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injecti

6、on，即SQL注入。SWAF可以通过高效的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL注入攻击。1.1.2.1.4防XSS跨站脚本攻击跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目的。SWAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的恶意代码，从而保护用户的WEB服务器安全。1.1.2.1.5防CSRF攻击CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScrip

7、t脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。SWAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。1.1.2.1.6主动防御技术主动防御可以针对受保护主机接受的URL请求中带的参数变量类型，以及变量长度按照设定的阈值进行自动学习，学习完成后可以抵御各种变形攻击。另外还可以通过自定义参数规则来更精确的匹配合法URL参数，提高攻击识别能力。1.1.2.1.7应用信息隐藏SWAF对主要的服务器（WEB服务器、FTP服务器、邮件

8、服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。FTP信息隐藏：用于隐藏通过正常FTP命令反馈出的FTP服务器信息，防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。1.1.2.1.8URL防护Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过SWA

9、F提供的受限URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。1.1.2.1.9弱口令防护弱口令被视为众多认证类web应用程序的普遍风险问题，SWAF通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。1.1.2.1.10HTTP异常检测通过对HTTP协议内容的单次解析，分析其内容字段中的异常，用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法，有效过滤其他非法请求信息。1.1.2.1.11文件上传过滤由于web应用系统在开发时并没有完善的安全控制，对上传

10、至web服务器的信息进行检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。SWAF通过严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。1.1.2.1.12用户登录权限防护针对某些特定的敏感页面或者应用系统，如管理员登陆页面等，为了防止黑客访问并不断的进行登录密码尝试，SWAF可以提供访问URL登录进行短信认证的方式，提高访问的安全性。1.1.2.1.13缓冲区溢出检测缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令，甚至可以取得系统特权

11、，进而进行各种非法操作。SWAF通过对URL长度，POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。1.1.2.1.14智能DOS/DDOS攻击防护SWAF采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。1.1.2.1.15专业攻防研究团队确保持续更新SWAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库，可以全面识别各种应用层和内容级别

12、的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性认证（CVE Compatible）。深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队，作为微软的MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。1.1.2.1.16独特的双向内容检测技术1.1.2.1.17网关型网页防篡改网页防篡改是SWAF服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内

13、容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。SWAF通过网关型的网页防篡改（对服务器“0”影响），第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能，提供正常界面、友好界面、web备份服务器的重定向，保证用户仍可正常访问网站。SWAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。1.1.2.1.18可定义的敏感信息防泄漏SWAF提供可定义的敏感信息防泄漏功

14、能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码）1.1.2.1.19应用协议内容隐藏SWAF可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。1.1.3智能的安全防御体系1.1.3.1安全风险

15、评估与策略联动SWAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。1.1.3.2智能的防护模块联动智能的主动防御技术可实现SWAF内部各个模块之间形成智能的策略联动，如一个IP/用户持续向内网服务器发起各类攻击则可通过网络层防护策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。同时也使得管理员维护变得更为简单

16、，可实现无网管的自动化安全管理。1.1.3.3统一集中管理平台SWAF提供统一集中管理平台实现对分支各设备的集中监管，可实现各分支设备的硬件资源情况实时上报以及安全日志汇总，集中管理配置下发与远程独立配置，提高管理效率，简化运维成本。1.1.3.4灵活的应用部署方式SWAF支持多种部署模式，包括可以在互联网出口做代理网关，或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式，同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等，另外还提供了端口链路聚合功能，提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同

17、接口穿过设备的的非对称路由部署环境，SWAF也能灵活支持。1.1.3.5更高效的应用层处理能力为了实现强劲的应用层处理能力，SWAF抛弃了传统NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上，SWAF也放弃了多引擎，多次解析的架构，而采用了更为先进的一体化单次解析引擎，将漏洞、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。1.2产品优势技术1.2.1深度内容解析深信服SWAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可

18、以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。1.2.2双向内容检测深信服的双向内容检测技术，主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施，通过对服务器发起的请求以及服务器的回复包进行双向内容检测，使得敏感数据信息不被外发，黑客达不到攻击的最终目的。1.2.3分离平面设计深信服SWAF通过软件设计将网络层和应用层的数据处理分离，在底层通过应用识别模块为基础，对所有

19、网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层，如若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发。实现数据报文的高效，可靠处理。1.2.4单次解析架构要进行应用层威胁过滤，就必须将数据报文重组才能检测，而报文重组、特征检测都会极大地消耗内存和CPU。因此，SWAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎，针对每个数据包做到了只有一次报文重组和特征匹配，消除了重复性工作对内存和资源的占用，从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库，这项技术的难度在于需要找到一种全新的“特征语言”将漏洞、Web入侵、恶意代码

20、等威胁进行统一描述，这就好比是八个不同国家语言的人要想彼此无障碍交流，最笨的办法是学会7种语言，但明显不可行；因此，需要一种全新的国际语言来完成，从而提高可行性，又降低了工程的复杂度。1.3典型应用场景1.3.1互联网出口-服务器对外发布1.3.2数据中心综上，可以帮助客户解决以下安全风险：1.业务面向互联网，存在大量Web攻击2.服务器安全风险，操作系统、应用程序漏洞3.稳定性要求高，防止拒绝服务攻击4.网站形象保护，防止网页篡改5.数据内容保护，防止敏感信息外传第1章公司简介深信服公司成立于2000年，是中国最大的应用层网络设备供应商，致力于提供基于网络应用层的产品及解决方案。目前，全球有

21、超过21,000家用户正在使用深信服的产品。在中国入选世界500强的企业中，有85%以上的企业都是深信服的用户。截止2013年3月，深信服在全球共设有49个直属分支机构，分布在全球8个国家和地区，并拥有超过1400名员工。 作为中国应用层网络市场的领导者，深信服每年保持着50%以上的增长率，持续每年将总营收的15%投入到研发，并在深圳和北京设有研发中心。截至2013年3月，深信服共申请超过100项发明专利。同时，深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位。 深信服公司被评定为“国家规划布局内重点软件企业”，连续八年入选德勤“亚太地区高科技高成长500强”，连续两届荣获财富“卓越雇主中国最适宜工作的公司”。