郑爽梭子鱼WEB应用防火墙解决方案.docx

郑爽梭子鱼WEB应用防火墙解决方案.docx

《郑爽梭子鱼WEB应用防火墙解决方案.docx》由会员分享，可在线阅读，更多相关《郑爽梭子鱼WEB应用防火墙解决方案.docx（53页珍藏版）》请在冰点文库上搜索。

WEB应用访问安全案例剖析

梭子鱼网络（中国）

郑

BarracudaNetworksConfidential

爽



1

WEB应用究竟面临哪些威胁？

WEB2.0发展趋势，催生黑客攻击从网络层转移到应用层

·

·

·

·



web应用最为普遍

企业对外宣传、营销、甚至工作流程Web化

客户、员工、合作伙伴间通过web进行互动

web网站的安全包括三个特质：

保密性、完整性、可用性

Web网站是当前最主要的安全威胁

·75%的攻击针对WEB应用（Gartner）

§2008-04CNCERT/CC国家互联网应急中心监测到中国大陆被篡改网站

总数达61,228个，比去年增加了1.5倍。

（数据来源：

CNCERT）

4

国家计算机网络应急技术处理协调中心

发布政府类网站被攻击数据6月（3854）、7月统计

4000

3500

3000

2500

2000

1500

1000

500



政府类网站

网站

0



6月



7月

看一个美国的统计

·据最近的美国计算机安全协会（CSI）/美国联邦调查局（FBI）

的研究表明：

·接受调查的公司中有52%的公司的系统遭受过外部入侵，但事

实上他们中有98%的公司都装有防火墙。

·这些攻击为269家受访公司带来的经济损失——包括系统入侵、

滥用web应用系统、网页置换、盗取私人信息及拒绝服务共计

超过1.41亿美元。

·美国总统奥巴马曾公开在电视媒体上讲话，每年由于黑客的恶

意攻击，美国每年因此导致损失1000亿美金。

近期热点攻击事件

·

·

·

·

·

·

·

·

·

·



2008年6月，奥巴马竞选网站被攻击

2008年7月，美国某网站数百万客户资料被泄露

2008年10月，三鹿网站被改名为三聚氰胺网站

2008年，某著名网站被攻击，以校长名义发通告

2008年，中国大学生制作的反CNN网站被黑。

2009年2月，云南晋宁县政府网站被改为“躲猫猫”网站

2009年2月，法国驻华大使馆网站被黑。

2009年5月，上海车牌拍卖系统确实受到攻击

2009年5月，常州城市管理系统主页是城管、按摩女和黑帮的集合

2009年7月，新闻媒体播报的高校网页挂马问题等

7

为什么有这么多WEB攻击？

·

·

·

·



好奇心驱动

技术炫耀（技术学习、探索），如对政府类和安全管理相关类网站的攻击形式。

有组织利益驱动：

对中小企业，尤其是以网络为核心业务的企业，常采用有组织的

分布式拒绝服务攻击（DDoS）攻击等手段进行勒索，从而迫使企业接受相应条件，影

响企业正常业务的开展。

个人利益驱动对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用

户游戏账号、银行账号、密码等，窃取用户的私有财产。

如利用网络钓鱼

（Phishing）和网址嫁接（Pharming）等对金融机构、网上交易等站点进行网络仿冒，

在线盗用用户身份和密码；通过恶意网页、社交工程、电子邮件和信息系统漏洞等

方式传播恶意代码；利用间谍软件（spyware）和木马程序窃取用户的私有信息，严

重的可导致财产损失。

8

Web应用威胁都有什么呢？

员

工

窃取

中断

篡改

客户



黑客



伪装

有哪些常见的攻击方式？

2009年梭子鱼北方区计划

直接利用开发人员疏忽，将目录文件等关键对象信息获取

直接对象引用

上传恶意代码，控制目标网站

恶意文件执行

黑客通常通过将他们的请求进行编码，以此来伪装自己的身份

攻击隐藏

使用网络监听、篡改手段，盗取客户的登陆信息

Cookie窃取

攻击者能访问合法应用之外的数据或文件目录，导致数据泄露或被篡改

目录穿越

破坏程序的堆栈，使程序转而执行其它指令。

如获取系统管理员的权限

缓冲区溢出

将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权

命令注入

通过输入一段数据库查询代码窃取或修改数据库中的数据

SQL注入

攻击访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息

跨站脚本攻击

SQL注入

我们现有的安全部署能够阻止黑客对WEB应

用攻击吗？

您是否已经开始有如下担心？

·

·

·

·

·



网站被攻击

网站被篡改

被OWASP列举的前十位的攻击攻破

数据被窃取

怎么才能阻止下列攻击：

–跨站脚本攻击（XSS）

–SQL注入

–Cookie篡改

–缓存溢出

·网站需要达到PCI标准

我已经有了防火墙、ips等防护设备已经安全了吗？

Internet



移动MDC网络拓扑



新业

务测

试区

华为路由器



华为路由器



NetScreen

防火墙



Cisco

76XX



内嵌IPS

模块



防火墙



自由

业务

区

Switch



Si

ADC平台

区

Allot

ADC-SI业

务区

Cisco

Si

图例

单模光纤

多模光纤

超6类电缆

逻辑连接

NetScreen

防火墙

76XX

Switch

内嵌IPS

模块



托管区

系统管

理区

根据案例：

移动MDC分析

·Allot流量控制设备，透明模式部署。

·NetScreen防火墙：

1）NetSreen防火墙是目前比较普及的防火墙，功能强大，性能好。

2）拦截大部分网络层攻击，例如网络层的蠕虫攻击，DDOS攻击

3）通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中

·76XX交换机上内嵌IPS模块

4）完好的将ARP欺骗，2层的DDOS攻击阻挡

5）通过划分广播域的方法，将每个广播域的流量控制在本地，使病毒和

非法流量不会扩散到整个MDC机房网络中

从OSI模型角度出发，4层以下的攻击基本上可以被目前网络中的

安全设备完美的防御住。

IPS作用？

·6）通过对数据包的7层检测来阻挡应用层的攻击；

·7）通过特征匹配技术阻挡了大部分的主流攻击；

·8）IPS能够阻挡“整个网络”的非法流量；

增加网页防篡改系统能够解决web服务器的安全威胁吗？

网页防篡改

9）它能够在web服务器的网页被篡改后再恢复的系统，能够保证网站的完整

性

对一个至关重要的web应用来说现有安

全措施无能为力！



最终用户

防火墙只能阻断网络层的

攻击



80端口web流量仍然

能够通过

防火墙

入侵监测系统

SQL注入攻击

应用层Dos攻击

网站侦测攻击

恶意爬行攻击



信息泄漏

Cookie中毒

Cookie窃取

网页被篡改



Web应用

数据中心

攻击

局域网

为什么？

总结攻击特点：

大部分攻击在应用层

针对Web网站的恶意攻击

绝大部分都将封装为HTTP

请求

许多类型的攻击并不篡改

网页

黑客往往将攻击隐藏在

ssl内

攻击手段各种各样



传统防火墙：

防火墙工作在3、4层；

攻击从80或443端口顺利通

过防火墙检测；

IPS入侵检测：

IPS不会对包括跨站点脚本攻击

，SQL注入，命令注入，cookie密码

窃取，URL编码攻击，cookie篡改，

日志篡改等一系列攻击作出任何响

应。

IPS最明显的缺陷在于它不能终

止和处理SSL流量。

网页防篡改

对于攻击行为并不进行分析，也

不阻止攻击的发生。

WEB安全是否应该交给专业的七层应用防火

墙来进行策略防护呢？

梭子鱼WEB应用防火墙

·梭子鱼Web应用防火墙是应

用级的网站安全综合解决方

案，能帮助企业达到在线支

付级的网站安全标准。

具备

十大功能，十大技术，是

web应用防火墙的领导品牌。

·世界上唯一被ICSA在网络层

和应用层上通过认证的产品

19

WEB应用安全功能概述

·全面的WEB站点防护，降低商业风险

–各种攻击

–非法访问

–WEB站点伪装

–WEB站点篡改

–Outbound数据窃取防护

·应用传输加速

–缓存、压缩、TCP连接复用、SSL卸载和加速、负载均衡

·审计及合规

-帮助企业通过安全审计

-达到PCI（支付卡）应用安全规范要求

-美国萨班法案（SarbanesOxley）及其他合规性要求

BarracudaNetworksConfidential



20

·需求6.5:

开发安全的应用程序

·需求6.6:

审核应用安全安全性

–选择1:

专业公司进行代码审核

–选择2:

部署应用防火墙



·厂商/咨询顾问的解决方案

·作为RFI/RFP模版

十大功能、十大技术

十大功能

网站隐身

网站防篡改

网站主动防攻击

网站防信息泄露

网站防DDoS、CC攻击

网站负载均衡

网站加速

网站安全访问

网站安全审计

网站安全合规



十大技术

反向代理

应用层深度包检测技术

基于规则的攻击模式匹配技术

http数据标准化技术

Cookie加密签名及重放保护技术

IP复用、缓存、压缩等加速技术

认证授权代理技术

数据窃取防护技术

高可用性综合技术

智能模式学习技术

技术原理

·TCP进程代理（TCPSessionFullProxy）

·Net防火墙

·NAT,ACL,PAT

·进程维护（NormalizeSession）

·协议遵从（ProtocolCompliance）

·SSL加密／解密

·HTTP信头重写

·URL翻译

终止



·网站隐藏,防爬行,Web地址转换

·AAA

·应用防DoS

·SQL/命令注入

·DAP（GlobalandSession）

·URLACLs

·Forms及Cookie窃取

·REGEX保护

安全



·TCPPooling

·缓存,GZIP压缩

·SSL卸载,重新加密

·应用及服务器健康检查

·内容交换（ContentSwitching）

·负载均衡

·记录、监控、报告

加速

用户

©2008博威特网络技术（上海）有限公司。

版权所有，不得转载。



Web应用

技术原理

·

·

·

·

·



识别并分析http会话；

策略防护

学习网站结构

加速

双向过滤

三步实现应用安全

1.保护应用基础架构

ü隐藏

üCookie安全

üWeb地址转换

2.根据应用强化安全

ü动态应用建模

3.弹性安全策略

ü颗粒度极小，可高度自定义的Web访问控制列表

©2008博威特网络技术（上海）有限公司。

版权所有，不得转载。

超细颗粒度

·根据IP或应用设置安全规则（网络防火墙、某些UTM设

备）

·根据URL设置安全策略（web服务器、代理服务器）

·根据HTTP报头设置安全策略（如请求方式、session、

cookie各报头参数等）

·根据页面参数（如表单参数、HTML元素、）

·上述各等级颗粒度的组合策略。

BarracudaNetworksConfidential



26

流量优化技术领先

·基于专利的NCOS操作系统，系统强壮，处理效率高。

·综合采用TCP复用、缓存、压缩、负载均衡等技术，提

高服务器响应速度，提升用户体验。

·七层内容交换根据http报头进行内容分发。

（也可以根

据URL进行内容分发。

）

BarracudaNetworksConfidential



27

针对MDC案例来看

Internet



移动MDC测试网络拓扑



新业

务测

试区

华为路由器



华为路由器



NetScreen

防火墙



Cisco

76XX



内嵌IPS

模块



防火墙



自由

业务

区

Switch



Si

ADC平台

区

Allot

ADC-SI业

务区

Cisco

Si

图例

单模光纤

多模光纤

NetScreen

防火墙

76XX

Switch



内嵌IPS

模块



托管区

超6类电缆

逻辑连接



NC2000

系统管

理区

保护服务器的类型

服务名称

服务描述

服务器数量

服务器类型

WAP

无线应用网站

1

WEB

Cai-ling

彩铃业务网站

1

WEB

Menhu

门户网站服务器

5

WEB

Pushumail

Pushmail服务器

2

WEB

Wireless

无线业务服务器

3

WEB

DNS

域名解析服务器

1

防护策略

数据库防护：

针对wap客户信息数据，进行了SQL注入策略配置。

Cookie安全防护：

梭子鱼可以使用NC2000来对Cookie进行加密，在加密的过程中，

NC2000会在Cookie中加入自己的标识位，这样黑客就算劫持到了会话也是无法解密的。

如果黑

客通过解密再加密的方式盗取Cookie，或者通过Cookie重放攻击，冒充用户本身的话，NC2000

会通过IP地址进行Cookie来源的认证。

网站隐藏：

NC2000可以开启WebsiteCloaking功能，防止黑客查看源代码中的服务器版本、Asp、.net版本

自动建模：

NC2000具有强大的学习功能，可以与后台的服务器进行自动建模的操作，这个过程不需要

人为的干预。

学习完毕以后，NC2000上将有整个网站的架构和具体的URL。

应用层ddos防护：

通过识别Session，限制速率；对消耗服务器的同样访问进行时间/次数限制；对

TCP－IP链接做各种检查

请求限制（RequestLimits）

安全

标准化数据

d5opx;ÐÓGE]Ì€³óâ=·

[Zܾç­Ù‰Vð„'‰<½

#Ôm]èæoª5Zòˆ!

0^Ý£kê

ØmtÈ‘œín‘k»A

H>'5@Ì¿êÜ°Ýè;u

³7JMµ4[ø´Èò¾ømá¼



../partners/

%2ffinance%2frec%2f/finance/rec/

DecryptSSL



Normalize

?

%2e%2e%2fpartners%2Fe

?

请求限制

请求限制主要是对请求中的报头

信息进行参数长度的限制，阻断

超出限制范围的请求，保证免遭

缓冲溢出等恶意攻击。

站点信息隐藏

黑客



PROBLEM

Easytodiscoveragold

mineofcluesaboutapp

应用防火墙

Whiskerscanning

Servers:

MicrosoftNOTIISDETERMINE

Windowsreturnednodata

FrontPage/5.0.2.2623

VulnerableURL:

Nonefound

VulnerableURL:

cgi-bin/code.php3

VulnerableURL:

cgi-bin/admin.php3



对外部访问隐身

Web服务器类型

应用服务器类型

操作系统

版本号

WebApplications

版本更新程度

已知安全漏洞

IP地址

工作站信息

environment

Whiskerscanning

4.0COULD

Server2000SP2

加快应用的响应时间

Bandwidth

Consumption

Application

ResponseTime



NetContinuum

Server

Performance

·

·

·

·

·



缓存

压缩

TCP连接复用

SSL卸载和加速

负载均衡

30–400%响应速度的提升以及完善应用安全



CPUUtil%

黑客攻击过程及梭子鱼防护

攻击对象扫描：

端口、服务器

类型、应用程

序版本、数据

库类型等

网站隐身



网站结构分析

及文件目录探

测

URL全局防护，

防止对文件或

目录的非法访

问



查找攻击点并

尝试攻击，如

SQL注入、跨

站点脚本、溢

出攻击等

应用层攻击分

析，主动防御

攻击



偷窃或暴力攻

击

Cookie防篡改，

防DDoS攻击、