天融信Web应用防火墙方案白皮书.docx

天融信Web应用防火墙方案白皮书.docx

《天融信Web应用防火墙方案白皮书.docx》由会员分享，可在线阅读，更多相关《天融信Web应用防火墙方案白皮书.docx（40页珍藏版）》请在冰点文库上搜索。

天融信Web应用防火墙方案白皮书

天融信Web应用防火墙

方案白皮书

1产品功能描述

1.1WEB应用防火墙

1.1.1系统概述

借助互联网的发展，越来越多的医疗服务开始在互联网上提供入口，以提高就医体验和效率，如网上挂号预约、网上缴费等服务，可以大幅提高工作效率，并提高用户体验，节约用户排队等待的时间。

医疗服务的部分内容放到互联网上，需要将相关业务应用的入口如web应用服务器放到互联网上，而WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。

SQL注入、网页挂马等安全事件，频繁发生。

传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。

Web应用防护系统（WebApplicationFirewall,简称：

WAF）代表了一类新兴的信息安全技术，专门用于解决Web应用安全问题。

与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。

基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

1.1.2功能描述

⏹全面的攻击防御能力

WAF产品提供传统的基于规则的检测和主动防御两个引擎。

基于规则的保护是信息安全产品最主流的防护方法，虽然对于未知攻击和0day攻击缺少防护能力，但是对于大量的已知攻击可以提供精确的、细致的防护。

WAF产品提供了精细的防护规则包括：

●跨站脚本攻击

●扫描器防护

●SQL注入攻击

●操作系统命令注入

●远程文件包含攻击

●本地文件包含攻击

●目录遍历

●信息泄漏

●WebShell检测

●HTTP协议异常

●HTTP协议违规

●其他类型的攻击

除了基于规则的检测方法，WAF产品还应具备基于自学习建模的主动防御引擎。

对于URI和POST表单，WAF产品的主动防御引擎都可以学习到其参数的个数，以及每一个参数的类型和长度。

在学习一段时间之后（通常是一到两周），WAF产品可以建立目标服务器所有动态页面的正向模型。

在应用主动防御策略的条件下，所有不符合正向模型的参数都会被阻断，可有效的防御未知威胁和0day攻击。

⏹有效的缓解拒绝服务攻击

WAF产品整合了DDoS防御能力，采用分层的立体防御和业界领先的源信誉检测机制，可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。

WAF产品首先识别明显的攻击源，比如单个源流量明显异常，通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。

第二步也是整个DDoS防御的核心：

源信誉检测机制，该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来，阻断攻击流量，放行正常流量。

最后一步，当所有的正常流量的总和仍然超过了目标服务器的处理能力，为了保证服务器正常工作，通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。

通过这种分层的防御机制，使服务器不间断的对外提供服务，保障了业务的连续性。

⏹灵活的部署模式

WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。

在线串接部署虽然对用户网络有一定的侵入性，但WAF产品的高可靠性设计极大的缓解了这一影响。

在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。

而旁路检测完全没有侵入性，对用户的网络环境不造成任何影响，但旁路检测没有提供攻击阻断的能力。

在多个服务器对外提供相同服务的环境里面，WAF产品可以作为负载均衡器工作，并且提供了灵活的会话调度的能力和服务器状态检查能力。

在线串接部署时，WAF产品提供了多种网络层的接入方式，比如虚拟线、交换、路由。

虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络，是最简单最便捷的方式。

交换模式同时支持access、trunk两种方式，路由模式支持静态路由和策略路由，也就是说在用户预算受限时WAF产品可以在检测攻击的同时，充当交换机或者路由器。

⏹全64位ipv6支持

WAF产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。

全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率，所以WAF产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。

WAF产品中处理的所有ip地址均支持ipv4和ipv6地址，所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程，使得各种应用层攻击都无所遁形。

WAF产品还支持配置ipv6地址的主机管理、ipv6SNMP网管以及支持ipv6的日志服务器等增强功能。

⏹高可用性

WAF产品应采用双引擎设计，主检测引擎和影子检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行攻击检测。

不同的是，正常情况下，数据流只上送到主检测引擎，影子检测引擎没有数据可以处理，相当于处于“待命”状态。

一旦主检测引擎出现故障无法处理数据报文，平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎，由于影子检测引擎处于准工作的“待命”状态，此时会即刻开始数据报文的检测工作，从而确保整个检测引擎的不间断工作，大幅提高了检测业务的可靠性。

WAF产品支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。

WAF产品支持主主、主备方式的双机热备功能，可以实现链路的高可用性

2产品硬件规格及性能参数

2.1WAF:

TWF-72138

配置说明

2U机架式结构；最大配置为26个接口；

4个10/100/1000BASE-T接口和4个SFP插槽，2个10/100/1000BASE-T接口（作为HA口和管理口）；

默认包括2个可插拨的扩展槽

双电源

性能描述

并发连接>200万

吞吐率>2000Mbps

硬件参数

尺寸：

460*426*89mm（2U）

电源：

100-240V，AC，（47-63HZ），4.5-2A，300W

平均无故障时间（MTBF）：

超过60，000小时

工作温度：

0~45℃

平台净重：

9.07KG

产品毛重：

12.68KG

符合的标准规范

环境保护GB/T9813-2000；

电磁辐射GB/T17618-1998；GB9254-2008

运输方式

快递、物流

其它要求

接地线的数量、线径：

1根,大于等于0.75平方毫米.

接地线数量、线径：

1根,线径大于等于0.75平方毫米.

接地电阻：

小于100毫欧

电源品牌：

新巨

电源型号：

R1S2-5300V4V

3产品测试方案

3.1WEB应用防火墙测试方案

3.1.1测试环境

测试拓扑

功能测试拓扑图：

3.1.2防护能力测试

攻防拓扑

跨站脚本（XSS）攻击防护

3.1.2.1.1XSS跨站攻击防护

测试分项目

XSS跨站攻击

测试目的

攻击者通过跨站攻击可以给网站增加恶意网页链接，或者向访问用户弹出推送钓鱼页面等，通过此测试来验证waf能否对跨站攻击（包括反射性跨站和存储型跨站）进行有效防护

测试步骤

1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。

2、登陆WebGoat服务器，在如下搜索框中输入跨站代码

3、执行SubmitSolution

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

测试报文

3.1.2.1.2XSS钓鱼攻击防护

测试分项目

XSS钓鱼攻击

测试目的

通过跨站攻击，攻击者修改HTTP页面源代码，实现记录用户认证信息等功能，通过此测试来验证waf对钓鱼攻击漏洞能否能做有效防护

测试步骤

1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、在如下页面输入XSS攻击内容：

src="http:

//localhost:

8080/WebGoat/attack?

Screen=5&menu=900&transferFunds=400"

id="myFrame"frameborder="1"marginwidth="0"

marginheight="0"width="800"scrolling=yesheight="300"

onload="document.getElementById（'frame2'）.src='http:

//localhost:

8080/WebGoat/attack?

Screen=5

&menu=900&transferFunds=CONFIRM';">

id="frame2"frameborder="1"marginwidth="0"

marginheight="0"width="800"scrolling=yesheight="300">

3、执行Submit

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

预期结果

测试结果

通过部分通过未通过未测试

备注

SQL注入攻击防护

3.1.2.1.3数字型SQL注入攻击防护

测试分项目

数字型SQL注入攻击

测试目的

SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。

简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏

测试步骤

1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、开启代理Webscarab，拦截如下页面后，对参数station的值进行修改，修改为101or1=1：

3、执行Acceptchanges

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

3.1.2.1.4字符型SQL注入攻击防护

测试分项目

字符型SQL注入攻击

测试目的

SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。

简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏

测试步骤

1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、在WebGoat服务器如下页面输入参数’or1=1-

3、执行Go！

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

3.1.2.1.5SQL盲注入攻击防护

测试分项目

SQL盲注入

测试目的

如果网站上有盲注入漏洞则攻击者可以做猜解用户名密码等探测，通过此测试来验证waf能否对盲注入漏洞能否能做有效防护

测试步骤

1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、在WebGoat服务器如下页面输入参数101AND1=1

3、执行Go！

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

系统命令注入攻击防护

测试分项目

系统命令注入攻击

测试步骤

1、TopWAF设备上开启安全策略-防护策略-OScommend攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、开启代理Webscarab，拦截如下页面后，对参数station的值进行修改，增加如下字段%22%26+netstat+-an+%26+ipconfig：

3、执行Acceptchanges

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

信息泄露防护

测试分项目

信息泄露

测试目的

当数据库或者网站无法执行用户或黑客进行的操作时往往会提示友好的提示信息，此信息中可能包含数据库厂商信息、版本信息、表信息、用户信息、网站容器版本信息等各种信息，当TopWAF检测到此种信息返回时应能阻断信息的返回并给出安全提示

测试步骤

1、TopWAF设备上开启安全策略-防护策略-Infoleak攻击防护开关（因默认上传策略中不允许jsp文件，须将上传策略关闭）在web防护-服务器策略将相应安全策略进行绑定。

2、本地生成内容为<%java.io.Filefile=newjava.io.File（"E:

\\WebScarab\\guest.txt"）;

file.createNewFile（）;%>的jsp文件

3、上传到WebGoat如下页面中，上传步骤2中jsp文件：

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

本地文件包含防护

测试分项目

本地文件包含

测试目的

本地文件包含攻击是一种常见的web漏洞,应用程序在使用文件包含函数时（fopen,include,require等），由于对用户的输入缺乏验证,导致攻击者可以包含一个本地文件，如系统配置文件，TopWAF需要对该类型攻击进行防护。

测试步骤

1、TopWAF设备上开启安全策略-防护策略-LFI攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、开启代理Webscarab，拦截如下页面后，对参数File的value修改为../../../../conf/tomcat-users.xml：

3、执行Acceptchanges

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

CSRF攻击防护

测试分项目

CSRF攻击防护

测试目的

攻击者利用网站对合法用户的网页浏览器的信任，劫持用户当前已登录的Web应用程序的会话，迫使用户浏览器将伪造的HTTP请求（包括该用户的会话Cookie和其他认证信息）发送到已登录的Web应用程序，执行非用户本意的操作

测试步骤

1、TopWAF设备上对csrf配置对应csrf防护策略，referer值为http:

//172.18.34.44/WebABC/attack，请求方法为全部

2、打开如下webgoat页面，在webscared上查看referer值为http:

//172.18.34.44/WebGoat/attack?

Screen=52&menu=900，输入任意参数：

3、执行Submit

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

网络爬虫防护

测试分项目

网络爬虫防护

测试目的

爬虫占用大量网络带宽，对服务器影响极大。

TopWAF能及时检测到网络爬虫并进行阻断或告警处理，保护服务器不受爬虫影响。

测试步骤

1、首先TopWAF设备上进行服务器对象-爬虫-爬虫组配置，其中sogou属于内置爬虫，在web防护-服务器策略将相应安全策略进行绑定。

3、将配置的爬虫组绑定到安全策略-爬虫防护中：

4、点击任意webgoat界面，使用webscareb触发user-agent

为SogouPicSpider/3.0（+

/help/webmasters.htm#07），如下所示：

5、执行Acceptchanges。

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

盗链防护

测试分项目

盗链防护

测试目的

防止别人通过一些技术手段绕过本站的资源展示页面，盗用本站的资源，让绕开本站资源展示页面的资源链接失效的技术。

开启防盗链功能后，因为屏蔽了那些盗链的间接资源请求，从而可以大大减轻服务器及带宽的压力。

测试步骤

1、配置TopWAF设备安全策略-防盗链功能，增加webgoat服务器的站点名:

http:

//172.18.34.44/WebGoat/attack，在web防护-服务器策略将相应安全策略进行绑定。

2、打开任意webgoat页面，使用webscarb将referer值配置为与步骤1中webgoat站点名不同值，如配置为http:

//172.18.34.42/WebGoat/attack：

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

恶意文件上传防护

测试分项目

恶意文件上传

测试目的

黑客在查找到网站管理入口及网站后台用户名密码后，往往根据网站的asp上传解析漏洞，通过将.asp的木马文件修改后缀名为图片等合法格式进行上传，以达到绕过网站后台上传格式要求的目的。

上传成功则黑客将获取webshell，再进行提权黑客将可以获取服务器最高管理权限，服务器沦陷。

测试步骤

1、配置TopWAF设备安全策略-文件上传限制，上传文件类型无jsp格式，在web防护-服务器策略将相应安全策略进行绑定。

2、本地生成内容为<%java.io.Filefile=newjava.io.File（"E:

\\WebScarab\\guest.txt"）;

file.createNewFile（）;%>的jsp文件

3、执行startupload：

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

敏感数据防护

测试分项目

敏感数据防护

测试目的

信用卡、身份证、电话等信息涉及个人隐私，Web服务器为用户响应敏感数据会带来用户信息的安全隐患

测试步骤

1、在服务器对象-数据类型中配置敏感数据类型为16位，校验类型为信用卡，正则为\d{16};配置TopWAF设备安全策略-高级设置-敏感数据设置替换字符为*，替换位置为+4，在web防护-服务器策略将相应安全策略进行绑定。

2、在网页上输入真实的信用卡号。

3、将输入信息提交至服务器。

预期结果

提交后的网页显示信用卡号前4位被*号代替，敏感数据进行了防护

测试结果

通过部分通过未通过未测试

备注

双重编码还原

测试分项目

双重编码

测试目的

攻击者提交双重URL编码的请求试图绕过TopWAF等防护设备，如果Web应用程序错误的对请求做了额外的解码，将会形成攻击。

测试步骤

1、开启TopWAF设备安全策略-高级设置-检测多重编码开关，在web防护-服务器策略将相应安全策略进行绑定。

2、开启代理Webscarab，拦截如下页面后，在URL中增加%2527：

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

HTTP协议合规性检测

测试分项目

HTTP协议合规性检测

测试目的

HTTP协议合规功能是指根据HTTP报文的结构中的不同参数，对客户端发起的HTTP请求报文进行限制，拦截非法请求，保证服务器安全稳定运行。

测试步骤

1、开启TopWAF设备安全策略-HTTP协议合规-开关，配置最大请求头为10，在web防护-服务器策略将相应安全策略进行绑定：

2、登陆webgoat任意页面

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

参数自学习功能

测试分项目

自学习功能

测试目的

动态智能适应收集网络环境特征，精确规范用户在Web网站中提交信息的行为，有效防护提交攻击参数行为。

测试步骤

1、开启服务器策略中自学习功能，安全策略中自学习功能使用默认配置即可

2、在webgoat上打开如下页面并点击提交,：

3、打开自学习报告页面查看自学习参数：

4、手动将自学习结果设置为学习完成，且配置参数最大长度，由于要下一步骤只是构造请求体参数攻击，故只针对请求体参数进行最大长度规则配置，此步骤尤其注意设置完参数最大长度后，要将学习结果设置为学习完成，学习状态也要设置为学习完成，然后点击保存，生成参数防护规则：

5、回到步骤2中的页面，点击确定后，使用webscare进行参数修改，增加参数值长度或将参数值设置为符号等异常值，&"<>,?

sd/.fsmdf.：

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

请求参数防护

测试分项目

请求参数

测试目的

在Web应用系统中大部分参数类型和内容都比较确定，例如部分的参数为数字类型、布尔类型等，通过对参数的限制，可以防御已知或者未知的攻击。

测试步骤

1、开启TopWAF设备安全策略-请求参数开关，配置最多请求参数为2个，在web防护-服务器策略将相应安全策略进行绑定。

2、开启代理Webscarab，拦截如下页面后，对URL参数增加&admin=true：

3、执行acceptchanges

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

备注

自定义防护策略

测试分项目

自定义策略

测试目的

自定义策略涵盖对HTTP报文的各部分内容特征进行灵活精准匹配的条件，管理员一旦掌握恶意行为的特征，通过简单操作即可配置抵御该恶意行为的规则。

测试步骤

1、配置TopWAF设备安全策略-自定义策略，添加处理阶段为请求头，处理动作为拒绝，添加变量为REQUEST_URL，匹配正则中输入需要进行防护的字段如：

REQUEST_URL为WebGoat/attack

2、配置TopWAF设备服务器策略，将该自定义策略所在安全策略进行绑定

3、，从客户端进行对服务器webgoat访问（使用wireshark抓包查看请求的报文中须含有WebGoat/attack字段，若匹配到此字段