《A系列：Web应用安全网关(WAF)》课件.ppt

《《A系列：Web应用安全网关(WAF)》课件.ppt》由会员分享，可在线阅读，更多相关《《A系列：Web应用安全网关(WAF)》课件.ppt（37页珍藏版）》请在三一办公上搜索。

1、A系列：Web应用安全网关（WAF）,引言：网页防篡改,目 录,产品透明模式简单介绍,产品特色功能和优势,产品应用部署和选型,产品需求背景和定位,为什么需要WAF？-需求背景,hype cycle模型由Gartner总结:Web Application Firewall产品处于成长上升期。曲线中体现，最接近上量的产品为Web Application Firewall(WAF),Frost&Sullivan 2013年市场分析：WAF市场在未来几年内将会高速增长，复合增长率达到30.5%，2020年中国区市场规模约为13.6亿人民币。,Frost&Sullivan 分析：85%的用户认识到商业环

2、境中Web应用的重要性，这与IT发展大趋势以及WEB2.0技术日趋成熟是一致的；,政策驱动型目标客户金融行业,【政策法规驱动-（一）】,网上银行信息安全规范(银发201019号)要求对象:中国人民银行上海总部，各分行，营业管理部，各省会（首府）城市中心支行，副省级城市中心银行；各政策性银行，国有商业性银行，股份制商业银行，中国邮政储蓄银行；简要说明：1）是在网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面；2）分为基本要求和增强要求，基本要求为最低安全要求，增强要求为下发之日起的三年内应达到的安全要求；3）旨在

3、有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。,网上银行信息安全规范Web安全要求网银规范安全技术规范中明确Web应用安全:资源控制：编码规范约束：会话安全：源代码管理：防止敏感信息泄漏：防止SQL 注入攻击：防止跨站脚本攻击：防止拒绝服务攻击：,PCI-DSS规范PCI-DSS适用对象 PCI-DSS标准主要针对网上商家、金融机构、信用卡和借计卡处理商、卡公司和端点POS终端。根据v1.1规范：“存储、处理或传输主账号（PAN）时可以使用PCI-DSS规范。如果不存储、处理或传输P

4、AN，不能使用PCI-DSS规范。”如果机构通过基于Web的应用或接口直接进行或支持网上信用卡交易，必须遵守PCI规范。6.5 基于Open Web Application Security Project等安全编码指南开发所有的Web应用。查看自定义应用代码来识别编码漏洞。防御软件开发过程中普遍的编码漏洞，包括以下几方面：6.5.1 失效的输入 6.5.2 失效的接入控制（例如，恶意使用用户ID）6.5.3 失效的验证和会话管理（账户证书和会话cookie的使用）6.5.4 跨站点脚本（XSS）攻击 6.5.5 缓冲区溢出,【政策法规驱动-（二）】,6.5.6 注入缺陷（例如，结构化查询语言

5、（SQL）注入）6.5.7 不当的错误处理6.5.8 不安全的存储6.5.9 拒绝服务6.5.10 不安全的配置管理6.6 采用以下任意一种方法确保所有面向Web的应用免受已知的攻击：让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。在面向Web应用的前端安装应用层防火墙注意：这种方法一直被认为是最佳的做法，2008年6月30日以后这种做法成为一种必须的要求。,GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求要求对象:1）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；2）金融行业：金融监管机构、各大银行、证券、保险公司等 3）电

6、信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等 4）能源行业：电力公司、石油公司、烟草公司 5）企业单位：大中型企业、央企、上市公司等 6）其它有信息系统定级需求的行业与单位,政策驱动型目标客户等级保护,【政策法规驱动-（三）】,Web应用安全要求等级保护中相关Web应用安全要求:,以太信御Web安全解决方案 A系列：Web应用安全网关（WAF）,互联网安全保护技术措施规定（公安部令第82号）互联网安全保护技术措施规定 第四条互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有规定的除外。第七条互联网服务提供

7、者和联网使用单位应当落实以下互联网安全保护技术措施：（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；第九条提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；,【政策法规驱动-（四）】,中华人民共和国通信行业标准 移动互联网联网应用安全防护要求5.2.1.3.7 其他 1）应用技术手段检测和避免WEB业务系统域名、访问链路的异常、访问延迟、解析错误等情况，并有应急处理能力 2）应避免存在常见的WEB漏洞（如，

8、SQL注入、跨站脚本、CSRF等）；3）应能检测挂马、暗链等WEB业务系统入侵事件，并有应急处理能力。,【政策法规驱动-（五）】,国务院办公厅关于进一步加强政府网站管理工作的通知 国办函201140 号各省、自治区、直辖市人民政府，国务院各部委、各直属机构：四、规范管理，不断提升政府网站工作水平 政府网站管理单位要建立网站链接审批制度，严格审核把关；运行维护单位要定期检查链接的有效性，发现链接错误，要及时查明原因，加以更正。网站管理和运行维护单位要建立值班读网制度，安排值班人员每日登录网站读网，检查网站运行和页面显示是否正常，特别要认真审看重要稿件和重要信息，及时发现和纠正错情。要不断完善政府

9、网站防攻击、防篡改、防病毒等安全防护措施，做好日常巡检和监测，发现问题或出现突发情况要及时妥善处理。对于缺乏技术保障力量的政府网站，上级政府、部门和主管单位要主动协调有关方面提供技术支持，帮助其做好网站的安全防范工作。政府网站运行维护单位要按照信息安全等级保护的要求，定期对网站进行安全检查，及时消除隐患。,【政策法规驱动-（六）】,中央网络安全和信息化领导小组办公室文件（中网办发文【2014】1号）2014年5月9日发文关于加强党政机关网站安全管理的通知主要针对中央及各级党政机关网站其中第七部分为“加强党政机关网站技术防护体系建设”提到了建立以网页防篡改、域名防劫持，网站防攻击以及密码技术、身

10、份认证、访问控制、安全审计等为主要措施的网站安全防护体系提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。,【政策法规驱动-（七）】,防火墙的主要功能职责和局限,Port 80Port 443,“75%的安全事件由通过80端口进行的攻击造成”Information Week,防火墙需要开放80端口，无法保护通过80端口提供服务的Web服务器！防火墙和WAF协同关系,包过滤防火墙：检测数据包包头信息进行访问控制状态检测防火墙：根据IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段，对HTTP内容仍然无法识别。,IDS的主要工作职责和局限,IDS能对通用操作系统

11、、数据库漏洞进行检测，但无法保护个性化的Web网站IDS和WAF协同关系,检测数据包有效负载，比对特征进行攻击防御 IDS防御特征码主要针对通用的协议或应用漏洞，但是Web网站代码往往由用户自行编写，没有通用补丁IDS能识别网络协议，根据每个数据包作出允许还是拒绝的决定，但不还原识别具体的内容，例如不识别网页内容、URL参数、cookie内容、表单输入等。,IPS/NGFW的主要工作职责和局限,Gartner 2014分析报告,IPS/NGFW无法取代WAF，Gartner 2014分析报告中罗列功能IPS/NGFW防护效果不如WAF，IPS/NGFW和WAF协同关系,SQL注入,跨站脚本,网

12、页挂马,敏感信息泄露,目录遍历,SynFlood,XML Dos,Http Get Flood,攻击者,WEB服务器,FW,IDS、IPS、NGFW,网页篡改,信息窃取,非法入侵,拒绝服务,+,产品定位,SQL服务器,WAF的定位工作原理：WAF支持串行、反向代理、单臂部署模式，防御Web应用和数据库中的数据被攻击和篡改；关键价值：WEB应用防火墙（简称WAF),是专门针对网站防护所设计的安全产品；一句话介绍WAF：WAF可以对HTTP/HTTPS协议进行深入分析处理，弥补防火墙、IDS及IPS等传统安全产品对于WEB应用威胁防护上的缺陷；,目 录,产品透明模式简单介绍,产品特色功能和优势,产

13、品应用部署和选型,产品需求背景和定位,产品特色功能,Web攻击防护,VSID专有检测算法HTTP正向安全模型,SQL注入攻击防护,VXID专有检测算法HTTP正向安全模型,XSS攻击防护,专有检测算法特征检测自定义特征检测,爬虫,Web恶意扫描防护,CGI扫描,漏洞扫描,HTTP Flood防护CC攻击防护XML DoS防护,应用层DoS防护,产品优势功能：Web攻击防护,Web非授权访问防护,Cookie篡改防护,Cookie签名：对关键Cookie进行签名保护HTTP only：保护Cookie不被JavaScript访问Secure：浏览器在HTTP时不返回Cookie,CSRF攻击防护

14、,被保护URL,允许“访问被保护URL的来源地址”,其它来源地址,网站盗链防护,产品优势功能：Web非授权访问防护,Web恶意代码防护,以太信御云,恶意脚本,恶意脚本防护,网页挂马,网页挂马防护,WebShell,WebShell防护,恶意URL库,WebShell特征库,专有检测算法,产品优势功能：Web恶意代码防护,Web应用合规,文件上传下载控制,HTTP请求长度HTTP协议参数最大个数、参数值最大长度、参数名最大长度最大Cookie个数单一URL最大长度、查询字符串最大长度,HTTP协议合规,服务器类型信息,Web错误页面信息,身份证信息,敏感信息泄露防护,银行卡卡号信息,基于URL的

15、访问控制,Web表单关键字过滤,文件大小、文件名大小,反动,诋毁,不良,敏感,192.168.13.0192.168.14.0,192.168.21.0192.168.22.0,产品优势功能：Web应用合规,Web应用交付,Weighted Round RobinRound RobinLeast Connections,多服务器负载均衡,Web应用加速,Cache Memory,网页防篡改,返回先前保存的正确页面,出现网页被篡改情况,无需在服务器安装Agnet，不影响业务应用,基于URL的流量控制,每秒最大请求数每秒最大速率,产品优势功能：Web应用交付,研究漏洞机理研究新攻击特征,研究攻击躲

16、避机理设计抗躲避机制/算法,发现新漏洞,ADLABTM,CVECNCVE,CERTCNCERT/CC,披露信息安全事件,M2S-远程监控,Web攻击特征无法精确定义,客户/其它厂家,披露漏洞,研发中心,列入Web应用防护事件库精确识别Web攻击,基于Web攻击躲避机理的精确识别程序包,在线升级引擎，加载新算法快速响应最新Web攻击,Web攻击事件特征可被精确定义,信息安全博士后工作站,图例,人/组织,资源,使命,价值,公司优势-Web应用防护事件库，快速响应最新攻击,目 录,产品透明模式简单介绍,产品特色功能和优势,产品应用部署和选型,产品需求背景和定位,某省运营商网络拓扑图部署网络特点：通过

17、虚拟防火墙对流量进行分配，使WAF达到集群防护效果WAF部署在核心位置核心功能的运用特点：SSL卸载，对HTTPS流量进行攻击检测。对其他运营商省的借鉴意义：运营商网络部署环境要求WAF支持集群，可以考虑该部署方式对HTTPS流量进行攻击检测需求,产品实际应用-某省运营商行业部署（一）,二级数据中心,二级数据中心,产品实际应用-某省运营商行业部署（二）,某省运营商网络拓扑图部署网络特点WAF产品部署在防火墙和交换机之间核心功能的运用特点：防护运营商总部对各省运营商Web网站进行Web漏洞扫描检查防护Web网站遭受攻击对其他运营商省的借鉴意义：运营商总部对各省运营商进行Web漏洞检查,服务器区,

18、DMZ区,核心交换,防火墙,某金融客户全网部署网络特点WAF主主模式部署WAF部署在核心交换机和防火墙之间核心功能的运用特点：敏感信息保护，防止网站重要资产如：银行卡、身份证等重要信息泄露PCI-DSS规范的安全内容防护对其他银行的借鉴意义：主主模式部署需求Web网站攻击防护需求PCI-DSS规范检查防护需求,产品实际应用-某金融行业部署,二级数据中心,I/O,I/O,实时进程监控,分析进程1,分析进程2,物理接口,硬件异常/断电 Bypass启动无源通道,WatchDog探测CPU、MEM、CHIP等硬件状态,物理接口,分析引擎进程,进程异常BYPASS启动异常恢复BYPASS关闭,Internet,Web服务器,Bypass 充分保障Web业务连续性,目 录,产品透明模式简单介绍,产品特色功能和优势,产品应用部署和选型,产品需求背景和定位,进入网络配置接口透明桥，点击新建。,进入对象管理地址对象，点击新建,