《A系列：Web应用安全网关(WAF)》课件.ppt

1、A系列：系列：Web应用安全网关（应用安全网关（WAF）引言：网页防篡改目 录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位 hype cycle模型由Gartner总结:Web Application Firewall产品处于成长上升期。曲线中体现，最接近上量的产品为Web Application Firewall(WAF)Frost&Sullivan 2013年市场分析：WAF市场在未来几年内将会高速增长，复合增长率达到30.5%，2020年中国区市场规模约为13.6亿人民币。Frost&Sullivan 分析：网上银行信息安全规范(银发201019号)要求对象

2、:中国人民银行上海总部，各分行，营业管理部，各省会（首府）城市中心支行，副省级城市中心银行；各政策性银行，国有商业性银行，股份制商业银行，中国邮政储蓄银行；简要说明：1）是在网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面；2）分为基本要求和增强要求，基本要求为最低安全要求，增强要求为下发之日起的三年内应达到的安全要求；3）旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。网上银行信息安全规范Web安

3、全要求网银规范安全技术规范中明确Web应用安全:a)资源控制：b)编码规范约束：c)会话安全：d)源代码管理：e)防止敏感信息泄漏：f)防止SQL 注入攻击：g)防止跨站脚本攻击：h)防止拒绝服务攻击：PCI-DSS规范PCI-DSS适用对象 PCI-DSS标准主要针对网上商家、金融机构、信用卡和借计卡处理商、卡公司和端点POS终端。根据v1.1规范：“存储、处理或传输主账号（PAN）时可以使用PCI-DSS规范。如果不存储、处理或传输PAN，不能使用PCI-DSS规范。”如果机构通过基于Web的应用或接口直接进行或支持网上信用卡交易，必须遵守PCI规范。6.5 基于Open Web Appl

4、ication Security Project等安全编码指南开发所有的Web应用。查看自定义应用代码来识别编码漏洞。防御软件开发过程中普遍的编码漏洞，包括以下几方面：6.5.1 失效的输入 6.5.2 失效的接入控制（例如，恶意使用用户ID）6.5.3 失效的验证和会话管理（账户证书和会话cookie的使用）6.5.4 跨站点脚本（XSS）攻击 6.5.5 缓冲区溢出6.5.6 注入缺陷（例如，结构化查询语言（SQL）注入）6.5.7 不当的错误处理6.5.8 不安全的存储6.5.9 拒绝服务6.5.10 不安全的配置管理 6.6 采用以下任意一种方法确保所有面向Web的应用免受已知的攻击：

5、让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。在面向Web应用的前端安装应用层防火墙注意：这种方法一直被认为是最佳的做法，2008年6月30日以后这种做法成为一种必须的要求。GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 要求对象:1）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；2）金融行业：金融监管机构、各大银行、证券、保险公司等 3）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等 4）能源行业：电力公司、石油公司、烟草公司 5）企业单位：大中型企业、央企、上市公司等 6）其它有信息系统定级需

6、求的行业与单位 Web应用安全要求等级保护中相关Web应用安全要求:GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求应用安全7.1.4.2访问控制a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；f)应依据安全策略严格控制用户对敏感标记重要信息资源的操作应用安全7.1.4.3安全审计a)应提供覆盖到每个用户的安全审计功能，对应用系统重要的安全事件进行审计；应用安全7.1.4.8软件容错a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系

7、统设定要求；应用安全7.1.4.9资源控制d)应能对一个时间段内可能的并发会话连接数进行限制f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；以太信御Web安全解决方案 A A系列：系列：WebWeb应用安全网关（应用安全网关（WAFWAF）规范要求规范要求 WAF WAF 解决方案解决方案 7.1.4.2访问控制，a)以太信御应用防火墙提供全面的应用分析，可针对各种网页应用对象进行规则设置，进行精细化的访问控制和用户控制。7.1.4.2访问控制，b)访问控制可完全针对各种资源访问的主体和客体，并可进行各种关系的逻辑与、或、非等操作。7.1.4.2访问控制，f)提供敏感信息防护功能

8、，可对预先定义好的敏感数据和重要信息资源进行监测和泄露保护。7.1.4.3安全审计，a）以太信御WAF提供全局用户跟踪功能，可有效识别每一个应用用户，并根据应用用户设置对应的安全规则。7.1.4.8软件容错，a）以太信御WAF提供http协议合规自学习功能，可自动学习应用系统正常的输入数据格式、长度等，并可在不修改应用的情况下，利用WAF来规范数据输入的有效性。7.1.4.9资源控制，d）以太信御WAF可根据需要控制用户对应用访问的每秒最大请求数、每秒最大速率，避免应用层DDos的攻击7.1.4.9资源控制，f）以太信御WAF并可根据第三方网页应用漏洞扫描工具对现有应用进行安全渗透检查，发现弱

9、点后，可直接对WAF进行虚拟补丁。互联网安全保护技术措施规定（公安部令第82号）互联网安全保护技术措施规定 第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有规定的除外。第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能

10、够自动恢复；中华人民共和国通信行业标准 移动互联网联网应用安全防护要求移动互联网联网应用安全防护要求 5.2.1.3.7 其他 1）应用技术手段检测和避免WEB业务系统域名、访问链路的异常、访问延迟、解析错误等情况，并有应急处理能力 2）应避免存在常见的WEB漏洞（如，SQL注入、跨站脚本、CSRF等）；3）应能检测挂马、暗链等WEB业务系统入侵事件，并有应急处理能力。国务院办公厅关于进一步加强政府网站管理工作的通知 国办函201140 号 各省、自治区、直辖市人民政府，国务院各部委、各直属机构：四、规范管理，不断提升政府网站工作水平 政府网站管理单位要建立网站链接审批制度，严格审核把关；运行

11、维护单位要定期检查链接的有效性，发现链接错误，要及时查明原因，加以更正。网站管理和运行维护单位要建立值班读网制度，安排值班人员每日登录网站读网，检查网站运行和页面显示是否正常，特别要认真审看重要稿件和重要信息，及时发现和纠正错情。要不断完善政府网站防攻击、防篡改、防病毒等安全防护措施，做好日常巡检和监测，发现问题或出现突发情况要及时妥善处理。对于缺乏技术保障力量的政府网站，上级政府、部门和主管单位要主动协调有关方面提供技术支持，帮助其做好网站的安全防范工作。政府网站运行维护单位要按照信息安全等级保护的要求，定期对网站进行安全检查，及时消除隐患。中央网络安全和信息化领导小组办公室文件（中网办发文

12、【2014】1号）2014年5月9日发文关于加强党政机关网站安全管理的通知主要针对中央及各级党政机关网站其中第七部分为“加强党政机关网站技术防护体系建设”提到了建立以网页防篡改、域名防劫持，网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。Port 80Port 443“75%的安全事件由通过80端口进行的攻击造成”Information Week防火墙需要开放80端口，无法保护通过80端口提供服务的Web服务器！防火墙和WAF协同关系包过滤防火墙：检测数据包包头信息进行访问控制状态检测防火墙：根据IP报文之间

13、的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段，对HTTP内容仍然无法识别。IDS能对通用操作系统、数据库漏洞进行检测，但无法保护个性化的Web网站IDS和WAF协同关系检测数据包有效负载，比对特征进行攻击防御 IDS防御特征码主要针对通用的协议或应用漏洞，但是Web网站代码往往由用户自行编写，没有通用补丁IDS能识别网络协议，根据每个数据包作出允许还是拒绝的决定，但不还原识别具体的内容，例如不识别网页内容、URL参数、cookie内容、表单输入等。Gartner 2014分析报告IPS/NGFW无法取代WAF，Gartner 2014分析报告中罗列功能IPS/NGF

14、W防护效果不如WAF，IPS/NGFW和WAF协同关系SQL注入跨站脚本网页挂马敏感信息泄露目录遍历SynFloodXML DosHttp Get Flood攻击者WEB服务器FWIDS、IPS、NGFW网页篡改信息窃取非法入侵拒绝服务+SQL服务器WAF的定位工作原理工作原理：WAF支持串行、反向代理、单臂部署模式，防御Web应用和数据库中的数据被攻击和篡改；关键价值关键价值：WEB应用防火墙（简称WAF),是专门针对网站防护所设计的安全产品；一句话介绍一句话介绍WAF：WAF可以对HTTP/HTTPS协议进行深入分析处理，弥补防火墙、IDS及IPS等传统安全产品对于WEB应用威胁防护上的缺

15、陷；目 录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位产品特色功能产品特色功能对用户的实际作用和价值对用户的实际作用和价值SQL注入防护1、防御用户的Web站点被黑客攻击篡改2、防御用户的Web站点后台数据被窃取3、防御用户的Web站点敏感信息泄露Web恶意扫描防护1、防御爬虫工具对用户Web网站进行抓取2、防御CGI工具对用户Web网站进行扫描试探性攻击3、防御Web扫描工具对用户Web网站进行漏洞扫描探测XSS攻击防护1、防御用户的Web站点被黑客攻击挂马2、防御用户的Web站点cookie信息被窃取3、防御用户的Web站点敏感信息泄露HTTP协议合规1、HT

16、TP合规性规则是基于正常流量对网站的各个字段进行自学习建模，防御用户的Web站点被未知的攻击URL流量控制1、防御用户的某些URL遭遇到CC攻击2、防御用户的某个URL遭遇到大量用户访问，导致服务器系统资源大量被占用客户端识别1、客户网络环境有经过NAT地址转换，且WAG设备部署在NAT地址转换设备之后时，源IP地址都被转换，WAG设备将会启用客户端识别技术来有效识别攻击源IP VSID专有检测算法专有检测算法 HTTP正向安全模型正向安全模型SQL注入攻击防护注入攻击防护 VXID专有检测算法专有检测算法 HTTP正向安全模型正向安全模型XSS攻击防护攻击防护 专有检测算法专有检测算法 特征

17、检测特征检测 自定义特征检测自定义特征检测Web恶意扫描防护恶意扫描防护 HTTP Flood防护防护 CC攻击防护攻击防护 XML DoS防护防护应用层应用层DoS防护防护Cookie篡改防护篡改防护 Cookie签名：签名：对关键Cookie进行签名保护 HTTP only：保护Cookie不被JavaScript访问 Secure：浏览器在HTTP时不返回CookieCSRF攻击防护攻击防护 Round RobinRound RobinLeast Connections多服务器负载均衡多服务器负载均衡Web应用加速应用加速Cache Memory网页防篡改网页防篡改返回先前保存的正确页面

18、出现网页被篡改情况无需在服务器安装无需在服务器安装Agnet，不影响业务应用，不影响业务应用基于基于URLURL的流量控制的流量控制每秒最大请求数每秒最大速率公司优势-Web应用防护事件库，快速响应最新攻击目 录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位某省运营商网络拓扑图部署 网络特点：通过虚拟防火墙对流量进行分配，使WAF达到集群防护效果WAF部署在核心位置 核心功能的运用特点：SSL卸载，对HTTPS流量进行攻击检测。对其他运营商省的借鉴意义：运营商网络部署环境要求WAF支持集群，可以考虑该部署方式对HTTPS流量进行攻击检测需求二级数据中心二级数据中心某

19、省运营商网络拓扑图部署 网络特点WAF产品部署在防火墙和交换机之间 核心功能的运用特点：防护运营商总部对各省运营商Web网站进行Web漏洞扫描检查防护Web网站遭受攻击 对其他运营商省的借鉴意义：运营商总部对各省运营商进行Web漏洞检查服务器集群服务器区Web服务器DMZ区核心交换防火墙某金融客户全网部署 网络特点WAF主主模式部署WAF部署在核心交换机和防火墙之间 核心功能的运用特点：敏感信息保护，防止网站重要资产如：银行卡、身份证等重要信息泄露PCI-DSS规范的安全内容防护 对其他银行的借鉴意义：主主模式部署需求Web网站攻击防护需求PCI-DSS规范检查防护需求二级数据中心Bypass 充分保障Web业务连续性目 录产品透明模式简单介绍产品特色功能和优势产品应用部署和选型产品需求背景和定位 进入网络配置 接口接口 透明桥，点击新建。透明桥，点击新建。进入对象管理 地址对象，点击新建地址对象，点击新建