套用防火牆

利用國際上公認的一種說法:Web套用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web套用提供保護的一款產品。

  • 中文名稱
    套用防火牆
  • 特    點
    異常檢測協定 增強的輸入驗證
  • 性    質
    防火牆
  • 對    象
    HTTP/HTTPS

定義

總體來說,Web套用防火牆的具有以下四大個方面的功能(參考WAF入門,對內容做了一些刪減及改編):

1)審計設備:用來截獲所有HTTP數據或者僅僅滿足某些規則的會話。

2)訪問控制設備:用來控制對Web套用的訪問,既包括主動安全模式也包括被動安全模式。

3)架構/網路設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。

4)WEB套用加固工具:這些功能增強被保護Web套用的安全性,它不僅能夠禁止WEB套用固有弱點,而且能夠保護WEB套用編程錯誤導致的安全隱患。

需要指出的是,並非每種被稱為Web套用防火牆的設備都同時具有以上四種功能。

同時WEB套用防火牆還具有多面性的特點。比如從網路入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火牆角度來看,WAF是一種防火牆的功能模組;還有人把WAF看作"深度檢測防火牆"的增強。(深度檢測防火牆通常工作在的網路的第三層以及更高的層次,而Web套用防火牆則在第七層處理HTTP服務並且更好地支持它。)

​特點

Web套用防火牆的一些常見特點如下。

1、異常檢測協定

Web套用防火牆會對HTTP的請求進行異常檢測,拒絕不符合HTTP標準的請求。並且,它也可以只允許HTTP協定的部分選項通過,從而減少攻擊的影響範圍。甚至,一些Web套用防火牆還可以嚴格限定HTTP協定中那些過於鬆散或未被完全制定的選項。

2、增強的輸入驗證

增強輸入驗證,可以有效防止網頁篡改、信息泄露、木馬植入等惡意網路入侵行為。從而減小Web伺服器被攻擊的可能性。

3、及時補丁

修補Web安全漏洞,是Web套用開發者最頭痛的問題,沒人會知道下一秒有什么樣的漏洞出現,會為Web套用帶來什么樣的危害。現在WAF可以為我們做這項工作了--只要有全面的漏洞信息WAF能在不到一個小時的時間內禁止掉這個漏洞。當然,這種禁止掉漏洞的方式不是非常完美的,並且沒有安裝對應的補丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。

(附註:及時補丁的原理可以更好的適用於基於XML的套用中,因為這些套用的通信協定都具規範性。)

4、基於規則的保護和基於異常的保護

基於規則的保護可以提供各種Web套用的安全規則,WAF生產商會維護這個規則庫,並時時為其更新。用戶可以按照這些規則對套用進行全方面檢測。還有的產品可以基於合法套用數據建立模型,並以此為依據判斷套用數據的異常。但這需要對用戶企業的套用具有十分透徹的了解才可能做到,可現實中這是十分困難的一件事情。

5、狀態管理

WAF能夠判斷用戶是否是第一次訪問並且將請求重定向到默認登錄頁面並且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件(比如登入失敗),並且在達到極限值時進行處理。這對暴力攻擊的識別和回響是十分有利的。

6、其他防護技術

WAF還有一些安全增強的功能,可以用來解決WEB程式設計師過分信任輸入數據帶來的問題。比如:隱藏表單域保護、抗入侵規避技術、回響監視和信息泄露保護。

套用

Web套用防火牆功能對比表格中,我們可以看出,目前Web套用防火牆的功能性還不統一,幾個廠商Web套用防火牆的主要功能項還有較大出入。另外,功能描述也不相同,有些同種的功能各個廠商廠商的描述各不相同。為了對廠商真實體現廠商產品功能,這一部分資料按各廠商介紹在表格中予以重現。還有一些廠商存在明顯的技術資料發布不全現象,這方面以思傑(Citrix)最具代表性。如果不是其網站產品介紹中存在"利用集成式套用防火牆增強了安全性"這一句話,和其英文網站上的相關介紹,我們幾乎認定其Citrix NetScaler產品僅是一款Web套用加速產品!所幸的是,在本次活動截止前一天,思傑市場人員將Citrix NetScaler中文資料發給了我們,才使得思傑Citrix NetScaler產品功能對比的項目不至於留白!

但是在產品功能項目差異大,內容不統一的情況下,用戶應該如何對產品進行選擇呢?下面我們就綜合分析一下,在選擇Web套用防火牆產品時,哪幾方面的信息是用戶最需要了解的。

1、產品宣傳

通過廠商的產品宣傳,可以了解廠商產品的市場定位,以及廠商對用戶套用需求的了解情況。從中可以初步分析廠商產品是否可以滿足用戶的實際套用需求。

2、產品功能介紹

在產品功能介紹中,可以粗略了解產品的各項功能,在經過對比後可以了解廠商產品的功能是否齊備,可否滿足用戶套用的需求。

3、產品評測報告

這是用戶容易忽略,某些廠商刻意忽略的重要信息。對於網路產品來講,市場定位容易描述,產品功能也可以相互借鑑,但具體的功能測試是很難仿造的。評測報告中的每個指標、每個數據都是廠商研發技術實力的最直觀體現,只有對產品技術具備最深入理解的廠商才可以在用戶面前交出一份令用戶滿意的評測報告!

4、售後服務

把售後服務放到產品銷售前面,就在於它的重要性。一般的網路產品往往會使用戶忽略售後服務的重要,質量過硬的網路產品有可能插電一次性設定後幾年都不需要變動。但是Web套用防火牆這類網路安全產品就全然不同了,層出不窮的網路威脅會時刻對其發出挑戰。沒有完善研發售後服務能力的廠商將無力面對這些威脅,這樣用戶的網路安全也就失去了相應的保障。

5、產品銷售

產品的銷售廠商在哪裡,從那裡可以得到什么樣的服務,技術支持能力如何……這些同樣也需要用戶在選擇產品時事先進行了解。

常見產品

·深信服NGAF下一代防火牆

NGAF是面向套用層設計,能夠精確識別用戶、套用和內容,具備完整安全防護能力,能夠全面替代傳統防火牆,並具有強勁套用層處理能力的全新網路安全設備。NGAF解決了傳統安全設備在套用管控、套用可視化、套用內容防護等方面的巨大不足,同時開啟所有功能後性能不會大幅下降。

NGAF 不但可以提供基礎網路安全功能,如狀態檢測、VPN、抗DDoS、NAT等;還實現了統一的套用安全防護,可以針對一個入侵行為中的各種技術手段進行統一的檢測和防護,如套用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、頻寬濫用、惡意代碼等。NGAF可以為不同規模的行業用戶的數據中心、廣域網邊界、網際網路邊界等場景提供更加精細、更加全面、更高性能的套用內容防護方案。

深信服NGAF下一代防火牆特點

更精細的套用層安全控制

當前網路環境中,套用已成為網路的主要載體,而網路安全的威脅更多的來源於套用層,這也使得用戶對於網路訪問控制提出更高的要求。如何精確的識別出用戶和套用、阻斷有安全隱患的套用、保證合法套用正常使用、防止連線埠盜用等問題,已成為現階段用戶對網路安全關注的焦點。但IP不等於用戶、連線埠不等於套用,傳統防火牆基於IP/連線埠的五元組訪問控制策略已不能有效的應對現階段網路環境的巨大變化。

NGAF採用獨創的套用可視化技術,可以根據套用的行為和特徵實現對套用的識別和控制,而不僅僅依賴於連線埠或協定,擺脫了傳統設備只能通過IP位址來控制的尷尬,即使加密過的數據流也能應付自如。

目前,NGAF可以識別700多種套用及其1000多種套用動作,還可以與多種認證系統(AD、LDAP、Radius等)、套用系統(POP3SMTP等)無縫對接,自動識別出網路當中IP位址對應的用戶信息,並建立組織的用戶分組結構;既滿足了普通網際網路邊界行為管控的要求,同時滿足了在區域網路數據中心和廣域網邊界的部署要求,可以識別和控制豐富的區域網路套用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對用戶套用系統更新服務的訴求,NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民防毒等軟體更新,保障在安全管控嚴格的環境下,系統軟體更新服務暢通無阻。

因此,通過套用可視化技術制定的L3-L7一體化套用訪問控制策略,可以為用戶提供更加精細和直觀化控制界面,在一個界面下完成多套設備的運維工作,提升工作效率。

更全面的內容級安全防護

網路安全與黑客技術的發展使得用戶面臨的威脅不再單單是一個病毒一個木馬、一次DOS攻擊這樣的簡單攻擊。黑客可採用豐富的工具,利用眾多的漏洞,結合多種攻擊手段進行混合型的破壞性攻擊,具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的套用訪問中,這種混合型安全威脅的出現也給網路安全建設提出新的要求:需要採用更全面的防護手段,防止安全短板被利用;需要深入到套用內容的安全防護,以識別和預防潛在威脅。

NGAF融合了漏洞防護、web安全防護、病毒防護等多種安全技術,具備2000+條漏洞特徵庫、數十萬條病毒、木馬等惡意內容特徵庫、1000+Web套用威脅特徵庫,可以全面識別各種套用層和內容級別的各種安全威脅。通過灰度威脅關聯分析技術將數據包還原的內容進行全面的威脅檢測,並可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析,從而精確定位出一個黑客的攻擊行為,有效阻斷威脅風險的發生。灰度威脅識別技術改變了傳統IPS等設備防禦威脅種類單一,威脅檢測經常出現漏報、誤報的問題,可以幫助用戶最大程度減少風險短板的出現,保證業務系統穩定運行。

此外,深信服憑藉在套用層領域6年以上的技術積累,組建了專業的安全攻防團隊,可以為用戶定期提供最新的威脅特徵庫更新,以確保防禦的及時性。

更高性能的套用層處理能力

性能和安全往往是傳統安全設備是無法權衡的問題。尤其在套用層安全防護功能開啟時,該問題尤為明顯。在頻寬不斷提升、威脅不斷增多的網路環境下,用戶不得不在兩者做出艱難的選擇。

為了實現強勁的套用層處理能力,NGAF拋棄了傳統防火牆NP、ASIC等適合執行網路層重複計算工作的硬體設計,採用了更加適合套用層靈活計算能力的多核並行處理技術;在系統架構上,NGAF也放棄了UTM多引擎,多次解析的架構,而採用了更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多套用層威脅統一進行檢測匹配,從而提升了工作效率,實現了萬兆級的套用安全防護能力。

更完整的安全防護方案

只提供基於套用層安全防護功能的方案,並不是一個完整的安全方案。對於用戶來說,還需要採購基礎網路層的安全設備(FW、VPN),既增加了成本,也增加了組網複雜度、提升了運維難度。從技術角度來說,一個黑客完整的攻擊入侵過程包括了網路層和套用層、內容級別等多個層次方式方法,如果將這些威脅割裂開處理進行防護,各種防護設備之間缺乏智慧型的聯動,很容易出現"三不管"的灰色地帶,出現防護真空。

NGAF涵蓋傳統防火牆、IPS的主要功能,內部能夠實現核心級聯動,是一個"L2-L7完整的安全防護產品"。這也是Gartner定義的"額外的防火牆智慧型"實現的前提,做到真正的核心級聯動,才能為用戶的業務系統提供一個安全防護的"銅牆鐵壁"。

· 梭子魚WEB套用防火牆

梭子魚WEB套用防火牆,即WAF通過執行套用會話內部的請求來處理套用層,它專門保護Web套用通信流和所有相關的套用資源免受利用Web協定或應用程式漏洞發動的攻擊。套用防火牆可以阻止將套用行為用於惡意目的的瀏覽器和HTTP攻擊,強大的套用防火牆甚至能夠模擬代理成為網站伺服器接受套用交付,形象的來說相當於給原網站加上了一個安全的絕緣外殼。

2.套用層防火牆與傳統的入侵檢測設備之間具有本質上的區別

在TCP/IP模型中網路流量從物理層到套用層是逐層遞交,入侵檢測設備(IPS)主要定位在分析傳輸層和網路層的數據,而再往上則是複雜的各種套用層協定報文,而套用層防火牆(WAF)則僅提供對Web套用流量全部層面的監管。IPS需要處理網路中所有的流量,而WAF僅處理與Web套用相關的協定,其他的則給予轉發。

3.梭子魚WEB套用防火牆可以防禦的攻擊類型:

1)SQL注入:一些應用程式通過複製Web客戶端輸入來創建資料庫查詢。黑客通過構造一些應用程式沒有仔細檢查和會被拒絕的字元串,來獲取返回的機密數據。

2)跨站點腳本:黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字元串,導致Web伺服器泄漏用戶名和密碼等信息。

3)作業系統命令注入:一些應用程式從web輸入來創建作業系統命令,就像訪問一個檔案和顯示檔案內容。如果輸入的字元串沒有仔細檢查機制,黑客就可以創建輸入來顯示未經授權的數據、修改檔案或系統參數。

4)會話劫持:黑客通過猜測基於令牌格式知識的會話令牌的內容來獲得登錄會話的權利。這使得黑客能接管會話並可以得到原來的用戶帳戶信息。

5)篡改參數或URL:web應用程式通常在返回的的web頁面中嵌入參數和URL,或者用授權的參數更新快取。黑客可以修改這些參數、URL或快取,使Web伺服器返回不應泄漏的信息。

6)緩衝區溢出:應用程式代碼應該檢查輸入數據的長度,以確保輸入數據不會超出剩餘的緩衝區和修改相鄰的存儲。黑客很快就會發現應用程式不檢查溢出,並創建輸入來導致溢出。

其它詞條