Web应用安全解决方案Word格式文档下载.docx
《Web应用安全解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Web应用安全解决方案Word格式文档下载.docx(14页珍藏版)》请在冰豆网上搜索。
在Web应用各个层面,都会使用不同技术来确保安全性,如图示1所示。
为了保证用户数据传输到企业Web服务器传输安全,通信层通常会使用SSL技术加密数据;
企业会使用防火墙和IDS/IPS来保证仅允许特定访问,所有不必要暴露端口和非法访问,在这里都会被阻止。
图示1Web应用安全防护
但是,即便有防火墙和IDS/IPS,企业仍然不得不允许一部分通讯经过防火墙,毕竟Web应用目是为用户提供服务,保护措施可以关闭不必要暴露端口,但是Web应用必须80和443端口,是一定要开放。
可以顺利通过这部分通讯,可能是善意,也可能是恶意,很难辨别。
而恶意用户则可以利用这两个端口执行各种恶意操作,或者偷窃、或者操控、或者破坏Web应用中重要信息。
然而我们看到现实确是,绝大多数企业将大量投资花费在网络和服务器安全上,没有从真正意义上保证Web应用本身安全,给黑客以可乘之机。
如图示3所示,在目前安全投资中,只有10%花在了如何防护应用安全漏洞,而这却是75%攻击来源。
正是这种投资错位也是造成当前Web站点频频被攻陷一个重要因素。
图示3安全风险和投资
Web漏洞
Web应用系统有着其固有开发特点:
经常更改、设计和代码编写不彻底、没有经过严格测试等,这些特点导致Web应用出现了很多漏洞。
另外,管理员对Web服务器配置不当也会造成很多漏洞。
目前常用针对Web服务器和Web应用漏洞攻击已经多达几百种,常见攻击手段包括:
注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。
攻击目包括:
非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。
二、产品概况
iGuard网页防篡改系统
iGuard网页防篡改系统采用先进Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本实时检测和恢复,更可以保护数据库中动态内容免受来自于Web攻击和篡改,彻底解决网页防篡改问题。
iGuard篡改检测模块使用密码技术,为网页对象计算出唯一性数字水印。
公众每次访问网页时,都将网页内容与数字水印进行对比;
一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览。
同时,iGuard应用防护模块也对用户输入URL地址和提交表单内容进行检查,任何对数据库注入式攻击都能够被实时阻断。
iGuard以国家863项目技术为基础,全面保护网站静态网页和动态网页。
iGuard支持网页自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节安全,完全实时地杜绝篡改后网页被访问可能性,也杜绝任何使用Web方式对后台数据库篡改。
iGuard支持所有主流操作系统,包括:
Windows、Linux、FreeBSD、Unix(Solaris、HP-UX、AIX);
支持常用Web服务器软件,包括:
IIS、Apache、SunONE、Weblogic、WebSphere等;
保护所有常用数据库系统,包括:
SQLServer、Oracle、MySQL、Access等。
iWall应用防火墙
iWall应用防火墙(Web应用防护系统)是一款保护Web站点和应用免受来自于应用层攻击Web防护系统。
iWall应用防火墙实现了对Web站点特别是Web应用保护。
它内置于Web服务器软件中,通过分析应用层用户请求数据(如URL、参数、链接、Cookie等),区分正常用户访问Web和攻击者恶意行为,对攻击行为进行实时阻断和报警。
这些攻击包括利用特殊字符修改数据数据攻击、设法执行程序或脚本命令攻击等,黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全目。
iWall应用防火墙对常见注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效防护效果。
iWall应用防火墙为软件实现,适用于所有操作系统和Web服务器软件,并且完全对Web应用系统透明。
应用防火墙是现代网络安全架构一个重要组成部分,它着重进行应用层内容检查和安全防御,与传统安全设备共同构成全面和有效安全防护体系。
产品特性
篡改检测和恢复
iGuard支持以下篡改检测和恢复功能:
⏹支持安全散列检测方法;
⏹可检测静态页面/动态脚本/二进制实体;
⏹支持对注入式攻击防护;
⏹网页发布同时自动更新水印值;
⏹网页发送时比较网页和水印值;
⏹支持断线/连线状态下篡改检测;
⏹支持连线状态下网页恢复;
⏹网页篡改时多种方式报警;
⏹网页篡改时可执行外部程序或命令;
⏹可以按不同容器选择待检测网页;
⏹支持增强型事件触发检测技术;
⏹加密存放水印值数据库;
⏹支持各种私钥硬件存储;
⏹支持使用外接安全密码算法。
自动发布和同步
iGuard支持以下自动发布和同步功能:
⏹自动检测发布服务器上文件系统任何变化;
⏹文件变化自动同步到多个Web服务器;
⏹支持文件/目录增加/删除/修改/更名;
⏹支持任何内容管理系统;
⏹支持虚拟目录/虚拟主机;
⏹支持页面包含文件;
⏹支持双机方式冗余部署;
⏹断线后自动重联;
⏹上传失败后自动重试;
⏹使用SSL安全协议进行通信;
⏹保证通信过程不被篡改和不被窃听;
⏹通信实体使用数字证书进行身份鉴别;
⏹所有过程有详细审计。
应用安全防护特性
请求特性限制
iWall可以对HTTP请求特性进行以下过滤和限制:
⏹请求头检查:
对HTTP报文中请求头名字和长度进行检查。
⏹请求方法过滤:
限制对指定HTTP请求方法访问。
⏹请求地址过滤:
限制对指定HTTP请求地址访问。
⏹请求开始路径过滤:
限制HTTP请求中对指定开始路径地址访问。
⏹请求文件过滤:
限制HTTP请求中对指定文件访问。
⏹请求文件类型过滤:
限制HTTP请求中对指定文件类型访问。
⏹请求版本过滤:
限制对指定HTTP版本访问及完整性检查。
⏹请求客户端过滤:
限制对指定HTTP客户端访问及完整性检查。
⏹请求链接过滤:
限制链接字段中含有字符及完整性检查。
⏹鉴别类型过滤:
限制对指定HTTP鉴别类型访问。
⏹鉴别帐号过滤:
限制对指定HTTP鉴别帐号访问。
⏹内容长度过滤:
限制对指定HTTP请求内容长度访问。
⏹内容类型过滤:
限制对指定HTTP请求内容类型访问。
这些规则需要可以根据Web系统实际情况进行配置和分站点应用。
请求内容限制
iWall可以对HTTP请求内容进行以下过滤和限制:
⏹URL过滤:
对提交URL请求中字符进行限制。
⏹请求参数过滤:
对GET方法提交参数进行检查(包括注入式攻击和代码攻击)。
⏹请求数据过滤:
对POST方法提交数据进行检查(包括注入式攻击和代码攻击)。
⏹Cookie过滤:
对Cookie内容进行检查。
⏹盗链检查:
对指定文件类型进行参考域检查。
⏹跨站脚本攻击检查:
对指定文件类型进行参考开始路径检查。
指定站点规则
iWall可以分别为一台服务器上不同站点制定不同规则,站点区分方法包括:
⏹不同端口。
⏹不同IP地址。
⏹不同主机头名(即域名)。
可防范攻击
iWall组合以上限制特性,可针对以下应用攻击进行有效防御:
⏹SQL数据库注入式攻击。
⏹脚本源代码泄露。
⏹非法执行系统命令。
⏹非法执行脚本。
⏹上传假冒文件。
⏹跨站脚本漏洞。
⏹不安全本地存储。
⏹网站资源盗链。
⏹应用层拒绝服务攻击。
对这些攻击更详细描述见本文档第6章:
常见应用层攻击简介。
iGuard标准部署
两台服务器
部署iGuard至少需要两台服务器:
⏹发布服务器:
位于内网中,本身处在相对安全环境中,其上部署iGuard发布服务器软件。
⏹Web服务器:
位于公网/DMZ中,本身处在不安全环境中,其上部署iGuardWeb服务器端软件。
它们之间关系如图示1所示。
Internet
图示1iGuard两台服务器
发布服务器
发布服务器上运行iGuard“发布服务器软件”(StagingServer)。
所有网页合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。
发布服务器上具有与Web服务器上网页文件完全相同目录结构,发布服务器上任何文件/目录变化都会自动和立即地反映到Web服务器相应位置上,文件/目录变更方法可以是任意方式(例如:
FTP、SFTP、RCP、NFS、文件共享等)。
网页变更后,“发布服务器软件”将其同步到Web服务器上。
发布服务器是部署iGuard时新增添机器,原则需要一台独立服务器;
对于网页更新不太频繁网站,也可以用普通PC机或者与担任其他工作服务器共用。
发布服务器为PC服务器,其本身硬件配置无特定要求,操作系统可选择Windows(一般网站)或Linux(大型网站,需选加Linux企业发布模块)。
Web服务器
Web服务器上除了原本运行Web服务器软件(如IIS、Apache、SunONE、Weblogic、Websphere等)外,还运行有iGuard“Web服务器端软件”,“Web服务器端软件”由“同步服务器”(SyncServer)和“防篡改模块”(AntiTamper)组成。
“iGuard同步服务器”负责与iGuard发布服务器通信,将发布服务器上所有网页文件变更同步到Web服务器本地;
“iGuard防篡改模块”作为Web服务器软件一个插件运行,负责对Web请求进行检查和对网页进行完整性检查,需要对Web服务器软件作适当配置,以使其生效。
Web服务器是用户网站原有机器,iGuard可适应于任何硬件和操作系统。
内容管理系统
目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生全过程,包括网页编辑、审