WEB应用安全防护系统建设方案.docx
《WEB应用安全防护系统建设方案.docx》由会员分享,可在线阅读,更多相关《WEB应用安全防护系统建设方案.docx(29页珍藏版)》请在冰点文库上搜索。
WEB应用安全防护系统建设方案
Web应用安全防护系统
解决方案
郑州大学西亚斯国际学院
2013年8月
学校WEB应用安全防护
Web应用防护安全解决方案
一、需求概述
1.1背景介绍
随着学校对信息化的不断建设,已经具有完备的校园网络,学校部署了大量信息系统和网站,包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站,各业务应用系统都通过互联网平台得到整体应用,校园网出口已经部署了专用防火墙、流控等网络安全设备。
所有Web应用是向公众开放,特别是学校的门户网站,由于招生与社会影响,要求在系统Web保护方面十分重要。
1.2需求分析
很多人认为,在网络中不断部署防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,可以提高网络的安全性。
但是为何基于应用的攻击事件仍然不断发生?
其根本的原因在于传统的网络安全设备对于应用层的攻击防范,尤其是对Web系统的攻击防范作用十分有限。
目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。
所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。
IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。
但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
总体说来,容易导致学校Web服务器被攻击的主要攻击手段有以下几种:
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
SQL注入——构造SQL代码让服务器执行,获取敏感数据
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息
拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用户的访问
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
Cookie假冒——精心修改cookie数据进行用户假冒
学校WEB应用安全防护具体需求分析
学校对WEB应用安全防护非常重视,在内网部署有高端防火墙,同时内网部署有众多应用服务器,网络示意图如下:
通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,作为整体安全中不可缺少的重要模块,局限于自身产品定位和防护深度,不同有效的提供针对Web应用攻击的防御能力。
对于来自外网的各种各样的攻击方法,就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为,对其进行有效的检测、防护。
通过对学校内部网络目前在WEB应用存在的问题,我们看到学校在Web服务器安全防护时需要解决以下几个问题:
跨站脚本攻击
跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户,常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。
SQL注入攻击
由于代码编写不可能做到完美,因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据,造成用户资料的丢失、泄露和服务器权限的丢失。
缓冲区溢出攻击
由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,获得系统管理员权限。
CC攻击
CC攻击目前是最新出现针对Web系统的特殊攻击方式,通过构造特殊的攻击报文,以到达消耗应用平台的服务器计算资源为目的(其中以消耗CPU资源最为常见),最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给学校形象造成不可估量的损失。
拒绝服务攻击
通过DOS攻击请求,以到达消耗应用平台的网络资源为目的,最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给政府形象造成不可估量的损失。
Cookies/Seesion劫持
Cookies/Seesion通常用户用户身份认证,别且可能携带用户敏感的登录信息。
攻击者可能被修改Cookies/Seesion提高访问权限,或者伪装他人的身份登录。
1.3网络安全防护策略
1.3.1“长鞭效应(bullwhipeffect)”
网络安全的防护同管理学的“长鞭效应(bullwhipeffect)”具有相似的特性,就是要注重防患于未然。
因此,针对我们单位的特点,更要注重主动防护,在安全事件发生之前进行防范,减少网络安全事件发生的机会,达到:
“少发生、不发生”的目标。
1.3.2网络安全的“防、切、控(DCC)”原则
基于“长鞭效应”,我们的网络安全防护要从源头做起,采用“防、切、控(DCC)”的原则:
防:
主动防护,防护我们的服务器受到攻击者的主动攻击
外部敌对、利益驱动的攻击者,会对我们的网站、mail服务器进行各种主动攻击。
而这些主动攻击往往带有非常强的目的性和针对性,因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题,主要有:
防止Web服务器受到来自外部的攻击、非法控制、篡改;防止主、备mail服务器受到攻击、非法控制。
切:
切断来自外部危险网站的木马、病毒传播:
在网络中部分的Web服务器已经被黑客控制的情况下,Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行,防止服务器被黑客继续渗透。
因此,如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。
控:
控制无意识的信息泄露:
对于第三个要解决的问题是防止内部人员无意识的内部信息泄露,要保证接入网络的机器、设备是具有一定的安全防护标准,防止不符合要求的机器和设备接入网络,严格控制潜在的安全风险。
二、解决方案
2.
3.
2.1Web应用防护系统解决方案
Web应用安全防护系统可以为学校Web服务器提供全方位的服务,主要保护功能包括以下几方面:
2.1.1黑客攻击防护
Web应用防护系统对黑客攻击防护功能,主要阻止常见的Web攻击行为,包括以下方面:
黑客已留后门发现,黑客控制行为阻止
SQL注入攻击(包括URL、POST、Cookie等方式的注入)
XSS攻击
Web常规攻击(包括远程包含、数据截断、远程数据写入等)
命令执行(执行Windows、Linux、Unix关键系统命令)
缓冲区溢出攻击
恶意代码
解决办法:
通过在Web服务器的前端部署Web应用防护系统,可以有效过滤Web攻击。
同时,正常的访问流量可以顺利通过。
Web应用防护系统,通过内置可升级、扩展的策略,可以有效的防止、控制Web攻击发生。
方案价值:
通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击,保障Web服务器的安全,降低资料被窃取、网站被篡改事件的发生。
2.1.2违反策略防护
Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面:
非法HTTP协议
URL-ACL匹配
盗链行为
2.1.2BOT防护
Web应用防护系统对互联网的应用访问控制主要包括以下几个方面:
爬虫蜘蛛行为
Web漏洞扫描器行为
2.1.3应用层洪水CC攻击及DDOS防御
Web应用防护系统的互联网应用流量控制主要包括以下几个方面:
1.UDPFlood
2.ICMPFlood
3.SYNFlood
4.ACKFlood
5.RSTFlood
6.CC攻击
7.DDOS攻击
方案价值:
Web应用防护系统全方位的封堵,节省带宽资源利用率,保证组织的业务相关应用得到极以流畅的进行。
2.1.4网页防篡改
本设备的网页防篡改功能,对网站数据进行监控,发现对网页进行任何形式的非法添加、修改、删除等操作时,立即进行保护,恢复数据并进行告警,同时记录防篡改日志。
支持的操作系统:
Windows、Linux(CentOS、Debian、Ubuntu)、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系统。
、
2.1.5自定义规则及白名单
自定义规则
设备不仅具有完善的内置规则,并且还支持用户根据自身需要自行定义规划,支持自符串快速查找与PCRE正则查找。
白名单
根据需要设定某些网站、URL针对防护设备直接放行。
2.1.6关键字过滤
本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。
2.1.7日志功能
Web应用防护系统不但提供强大的防护功能,且提供了十分详细的日志和报表功能,能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。
入侵报警日志
系统提供详细的安全防护日志:
包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。
日志查询
设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。
支持日志的导出及按时间进行日志自动的清理。
审计日志
对设备每次操作进行详细的记录
系统日志
可以记录设备的运行状况
2.1.8统计功能
网络入侵统计
该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况,以便快速掌握不同时期遭受网络攻击状况,判断网络攻击变化趋势。
网络流量统计
统计该页面统计各接口的流量情况,可以按天或月以折线图的形式显示出来。
了解本设备在该段时间内的网络流量情况。
浏览页面统计
该页面可以详细清楚地统计并显示每个web页面的访问次数,最后访问时间、浏览器情况,并可以分时间断来进行分析页面访问情况。
2.1.9报表
设备提供详细的基于图文的安全报表(按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等)并可以按事件攻击类型、周期、统计目标进行统计。
支持Html、Word、Pdf格式的输出。
定时去发送攻击报表等功能。
2.1.10智能阻断
该设备可以智能识别外来的攻击行为,根据自定义单位时间内触发安全规则次数的方式,自动阻断攻击源。
阻断的时间及次数均可自行定义。
2.2设备选型及介绍
根据对学校WEB应用安全防护需求的分析,采用WAF产品系列的Web防火墙管理设备,以下是要求的设备基本性能参数:
项目
技术要求
体系结构
1U,采用多核硬件架构
配置≥8个电口,配置2对电口Bypass
性能
单向HTTP吞吐量≥1000Mbps
最大并发会话数≥100万(内置规则全开,防护状态)
HTTP请求速率≥1,0000(内置规则全开,防护状态)
网络延迟≤0.05毫秒(内置规则全开,防护状态)
防护网站不限IP
拦截方式
至少包含4种方式:
拦截、检测、放行、拦截并阻断;阻断方式下,可设置阻断时间,可手工解除阻断
入侵者记录
能够记录入侵攻击详细数据,至少包含:
序号、攻击时间、拦截原因、规则集名称、危害等级、源IP地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、HTTP请求、URL等
防御功能
双向检测功能,能够对流入流出数据进行检测;具有默认的防护端口,并可指定防护端口;系统内置防护规则、并支持用户自定义防护规则;白名单功能:
能够对特定的IP、域名、域名+URL设置白名单;HTTP请求类型允许与禁止:
可对常用的HTTP请求设置允许或禁止通过
Web攻击防护
SQL注入攻击(包括URL、POST、Cookie等方式的注入):
攻击者通过输入数据库查询代码窃取或修改数据库中的数据、XSS攻击、远程、本地文件包含攻击
CSRF跨站请求、Web常规攻击(包括远程包含、数据截断、远程数据写入等)、恶意扫描:
攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击、命令执行(执行Windows、Linux、Unix关键系统命令)、缓冲区溢出攻击、关键文件下载、搜索引擎爬虫(spider)、恶意代码、信息伪装、“零日”攻击、本马上传:
攻击者利用黑客工具上传Webshell以达到控制服务器的目的、WebShell检测与拦截等
负载均衡
支持应用层负载均衡功能,并支持动态网站、流量分配
防CC攻击(选配)
支持对CC攻击的防护功能
防DOS攻击(选配)
支持对DOS攻击防护功能
网页防篡改(选配)
支持对网页的篡改并进行自动恢复,支持主流的Windows、Linux、Unix、Solaris、AIX等操作系统
漏洞扫描(选配)
针对web服务器的SQL、XSS等漏洞进行扫描,并生成报告。
数据库防篡改(选配)
数据库防篡改:
支持MSSQL、SQLSERVER等数据库防篡改。
高级访问控制
支持对内、外IP地址的精确控制,设置不同的防御方式(阻断、过滤、检测、放行)
可靠性
电口、光口硬件BYPASS、软件BYPASS、可扩展支持端口汇聚、多机热备;平均无故障时间≥100000h;支持日志自动清理功能:
可在达到日志上限时通知管理员进行日志清理,如手动清理未实施,系统实行自动清理;
部署方式
支持即插即用,部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虚拟化部署等
报表功能
提供详细的基于图文的安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势等)并可以按事件攻击类型、周期、统计目标进行统计
管理特性
支持通过HTTPS初始化、设置、管理设备
实时流量查看、入侵告警查看
流量统计、入侵统计
自定义规则查看管理
支持入侵记录、系统日志、审计日志导出功能、系统配置安全导入、导出功能
支持内置规则升级、固件升级
允许用户自由定制规则,提供友好的定制模板
报表系统、系统日志、审计日志
产品资质
获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》
获得中国信息安全认证中心颁发的符合CNCA/CTS0050-2007《信息技术信息安全网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》
公安部颁发的《计算机信息系统安全专用产品销售许可证》
国家漏洞中心提交漏洞证明文件
2.3设备部署
根据学校WEB应用安全防护Web服务器部署情况,我们建议通过透明网桥的部署模式来达到对Web服务器保护的目的。
集中/集群式Web服务器部署
集群式/集中式Web服务:
集群式Web服务采用多台Web服务器负荷分担提供同一Web服务;集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内,但不同的Web服务器可能提供多样的Web服务。
这种情况多数应用于中大型企业的Web服务器模式,或者是IDC。
在这种网络结构下,可直接将“Web应用防火墙”串接在Web服务器群所在子网交换机前端,如下图显示:
部署方式:
WAF的WAN口与广域网的接入线路相连,一般是光纤、ADSL线路或者是路由器,WAF的LAN口(DMZ口)同局域网的交换机相连,所有对WEB服务器的访问请求都必须通过WAF设备。
半分散式WEB服务部署模式
半分散式Web服务:
在局域网中存在各种不同的Web应用服务,并且这些Web应用服务器分散在不同的子网中;比如:
公司有整体的Web服务集群,同时,各个部门还有各自的Web服务器,而这些服务器分布在不同的子网中,如果想对这些Web服务器进行保护,需要将“Web应用防火墙”部署在这些Web服务器所在网络的边缘,如下图显示:
部署方式:
WAF的WAN口同广域网接入线路相连,LAN口(DMZ口)同局域网交换机连接。
同时保护处于内网不同网段的多个Web服务器。
全分散式Web服务部署模式
半分散式Web服务:
在局域网中存在各种不同的Web应用服务,并且这些Web应用服务器分散在几乎全部的子网中;比较常见的案例:
IDC机房,这时,需要将“Web应用防火墙”部署在局域网边缘,一般部署在主交换机同主路由器之间,如下图显示:
部署方式:
WAF的WAN口同广域网接入线路相连,LAN口(DMZ口)同局域网交换机连接。
同时保护处于内网的所有Web服务器及DB服务器。
三、方案优点及给客户带来的价值
通过Web应用防护系统在学校WEB应用安全防护的具体实施给客户带来以下价值:
3.1解决了传统防火墙、IPS不能解决的应用层攻击问题
传统的网络防火墙作为访问控制设备,工作在OSI1-4层,基于IP报文进行状态检测、地址转换、网络层访问控制等,对报文中的具体内容不具备检测能力。
因此,对Web应用而言,传统的网络防火墙仅提供IP及端口防护,对各类WEB应用攻击缺乏防御能力。
Web应用防护系统主要致力于提供应用层保护,通过对HTTP/HTTPS及应用层数据的深度检测分析,识别及阻断各类传统防火墙无法识别的WEB应用攻击。
只要有网络的地方就会有防火墙,但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,而WAF则深入到应用层,对所有应用信息进行过滤,这是二者的本质区别。
WAF的运行基础是应用层访问控制列表。
整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容,包括HTTP协议报文内容,由于WAF对HTTP协议完全认知,通过内容分析就可知道报文是恶意攻击还是非恶意攻击。
IPS只是做部分的扫描,而WAF会做完全、深层次的扫描。
3.2合规性建设
学校WEB应用安全防护网站由于其社会地位和政治地位的特殊性,在公安部《计算机信息安全等级保护基本要求》中明确要求必须对所有外部网络访问行为进行入侵防范,访问行为有相应的日志审计行为。
Web应用防护系统不仅能完全防范非法用户的入侵行为,更能提供完整的统计表报。
3.3减少因不安全造成的损失
Web应用防护系统可以防止黑客通过各种方式获取系统的管理员权限,避免黑客获得管理员权限篡改Web服务器主页,或者以服务器为跳板攻击局域网内其他服务器。
可以防止因代码编写不规范,造成数据库服务器被SQL注入攻击,黑客获得数据库中的用户数据。
3.4便于维护
Web应用防护系统连续工作时间为>120000小时,能保证在夜间及节假日等无人值守时刻也能保护Web服务器。
减少管理员的工作负担。
同时B/S设计架构方便管理员进行规
则设置,参数配置。
系统管理员不必随时关注系统补丁升级,发现漏洞可以在Waf的防护下慢慢的修补。
3.5使用状况
3.5.1系统状态
3.5.2入侵记录示例
3.5.3网站统计示例
四、Web应用防护系统主要技术优势
4.1千兆高并发与请求速率处理技术
Web应用防护系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
并提供每秒超过8万个HTTP请求的七层深度包检测的能力。
在网站数量超过500的情况下,仍然能够提供高带宽吞吐与极低的网络带宽延迟。
4.2攻击碎片重组技术
通过独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
而的Web应用防护系统可以准确的模拟TCP/IP栈进行完整重组数据包。
4.3多种编码还原与抗混淆技术
Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释、混淆等方式绕过检测引擎。
内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。
4.4SQL语句识别技术
Web应用防护系统可以通过人工智能的方式识别”注入攻击”中使用的SQL语句,识别SQL语法结构,而不是通过简单的select/insert/update等简单的SQL关键词的字符串匹配。
在对攻击的识别和准确率上可以大大提升。
4.5多种部署方式
Web应用防护系统能应用于各种复杂的网络环境中,可以分别保护单台或者多台Web服务器,DB数据库。
可以采用网桥模式,混合部署模式,旁路反向代理模式。
可以方便、灵活的应对客户网络环境的变化。
4.6软硬件BYPASS功能
Web防火墙支持在断电、硬件故障等特殊情况下,仍然能保持网络的畅通,避免了因为故障造成的网络无法访问,给单位和用户带来不必要的损失。
硬件Bypass
硬件Bypass
Ø外部突然断电时,自动直连
Ø来电后自动启动时,自动直连
Ø硬件启动、重启时,自动直连
软件Bypass
五、展望
随着Web2.0的大量应用和云计算的应用,云安全日益重要,Web应用安全防护系统需要日趋完善,更快速更安全的一站式防火墙是高校的需要。
升级会员 