华为WAF5000系列Web应用防火墙技术白皮书Word文档下载推荐.docx
《华为WAF5000系列Web应用防火墙技术白皮书Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《华为WAF5000系列Web应用防火墙技术白皮书Word文档下载推荐.docx(19页珍藏版)》请在冰豆网上搜索。
常见攻击手法
目前已知的应用层和网络层攻击方法很多,这些攻击被分为若干类。
下表列出了这些最常见的攻击技术,其中最后一列描述了华为WAF如何对该攻击进行防护。
攻击方式
描述
华为WAF的防护方法
跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。
通过检查应用流量,阻止各种恶意的脚本插入到URL,header及form中。
SQL注入
攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。
通过检查应用流量,侦测是否有危险的数据库命令或查询语句被插入到URL,header及form中。
命令注入
攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。
通过检查应用流量,检测并阻止危险的系统或软件平台命令被插入到URL,header及form中。
cookie/session劫持
Cookie/session通常用于用户身份认证,并且可能携带用户敏感的登陆信息。
攻击者可能被修改Cookie/session提高访问权限,或伪装成他人的身份登陆。
通过检查应用流量,拒绝伪造身份登录的会话访问。
参数(或表单)篡改
通过修改对URL、header和form中对用户输入数据的安全性判断,并且提交到服务器。
利用参数配置文档检测应用中的参数,仅允许合法的参数通过,防止参数篡改发生。
缓冲溢出攻击
由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。
如获取系统管理员的权限。
用户可以根据应用需求设定和限制数据边界条件,确保不危及脆弱的服务器。
日志篡改
黑客篡改删除日志以掩盖其攻击痕迹或改变Web处理日志。
.
通过检查应用流量,防止带有日志篡改的应用访问。
应用平台漏洞攻击
黑客通过获悉应用平台后,可以利用该平台的已知漏洞进行攻击。
当应用平台出现漏洞,且没有官方补丁时,同样面临被攻击的风险。
华为WAF将阻止已知的攻击,并提供安全策略规则升级服务,用户可以按计划进行安全应用策略升级。
同时,对于高级用户,华为WAF提供自定义规则库的添加,可以针对某些关键字,特殊应用做特殊安全处理。
CC攻击
通过CC攻击请求,以达到消耗应用平台资源异常消耗的一种攻击,最终造成应用平台拒绝服务。
通过请求速率和请求集中度多重检测算法可以有效的对CC攻击进行防御
HTTPS类攻击
一些狡猾的黑客通过HTTPS进行HTTPS类的攻击,由于SSL加密数据包无法进行有效的检测,导致通用的网络防火墙和普通Web应用防火墙无能为力。
支持用户上传HTTPS证书,在WAF进行第一轮认证,并对应用流量进行解密和侦测,对HTTPS类的所有攻击进行有效的拦截和防御。
现有防御技术
目前,很多企业采用网络安全防御技术对Web应用进行防护,如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施,然而这些方法难以有效的阻止Web攻击,且对于HTTPS类的攻击手段,更是显得束手无策。
2.1下一代防火墙
下一代防火墙可以实现对应用、用户、内容、威胁、时间、位置6个维度的全面感知,提供精细的业务访问控制和加速。
入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。
具备全面的防护功能,一机多能,有效降低管理成本。
精细的带宽管理和QoS优化能力有效降低企业的带宽租用费,确保关键业务体验。
持续、简单、高效地提供下一代网络安全。
但是无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器;
同样,如果某个攻击进行了加密或编码该防火墙也不能检测。
2.2入侵防御系统
IPS(IntrusionPreventionSystem)入侵防御系统具有对所保护的网络环境感知能力、深度应用感知能力、内容感知能力,以及对未知威胁的防御能力,实现了更精准的检测能力和更优化的管理体验。
更好地保障客户应用和业务安全,实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。
虽然也可以对一些应用层攻击进行识别和防御,但是深度不够,无法实现网站防篡改、挂马检测和阻断等功能。
Web安全需求
企业对Web应用的安全防护主要包括如下需求:
部署简便,管理集中,操作简洁,性能影响甚微。
包括:
●对现有网络拓扑结构无影响。
●方便管理,无需进行复杂的配置。
●对现有Web服务器的访问速率不能造成太大的影响。
●对正常业务访问不能进行错误的拦截阻断。
Web应用防火墙的两个关键功能是,深入理解HTTP/HTTPS协议,可监测往返流量,能对Web流量进行安全控制。
Web数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。
专业的安全工具和方法应能适应这种动态环境,应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求。
3WAF产品介绍
华为WAF系列Web应用防火墙(简称:
华为WAF)提供高效的Web应用安全边界检查功能。
华为WAF整合了Web安全深度防御及站点隐藏等功能,能全方位的保护用户的Web数据中心。
通过对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测,提供了实时有效的入侵防护功能。
华为WAF充分考虑用户已有环境的差异性,对环境兼容性、应用多样性进行了深入的分析和总结。
3.1纵深防御
华为WAF结合多年研发经验,充分考虑Web应用系统可能存在的安全风险,通过对网络层、Web服务层、Web应用程序层、应用内容属性四个层面进行全方位安全分析与防御。
针对各个层面不同的安全属性,分别采取相互独立的安全防御技术针对性防御,从整体上提升Web应用的安全防御能力。
如下图所示华为WAF分别在网络层、Web服务层、应用程序层、应用内容四个层面全面的安全检测与防御。
3.1.1网络主机安全
Web应用安全与其他业务系统一样,安全与否取决于是否建立了完善的安全机制,因此网络层的安全也必不可少。
尤其是当前一些攻击行为以DMZ区跳板机、旁注、ARP欺骗等攻击手段的大量应用,网络主机安全显的尤为重要。
3.1.2Web服务安全透明代理
华为WAF采用当前最为主流的透明代理技术架构,以Web服务代理技术形成的天然屏障解决了传统网络重组技术的在系列难题,主要的技术优势表现在如下几个方面:
●解决了HTTP慢攻击等诸多网络层问题
传统入侵防御技术架构基于数据高速缓存分析机制,安全设备对流经的数据流量进行缓存分析,安全检测后针对缓存的数据包采取相应的安全措施。
HTTP慢攻击通常采用较长的时间分多个数据包构成一个完整的HTTP请求,而传统入侵防御技术引擎为了实现最低的安全检测延时,必须将缓存时间尽可能缩短,从而无法识别精心构架的HTTP慢攻击行为。
除此之外网络层诸如碎片包攻击行为也通常困绕传统入侵防御架构的Web应用防火墙。
华为WAF构建了双向的独立HTTP请求与服务,实现对每个HTTP事务级别的识别与转发。
如果环境中存在HTTP慢攻击行为,那么Web应用防火墙会等待这个HTTP请求数据完全到达或进行超时处理,其余正常的请求将被快速转发,彼此相互独立不受影响。
●实现了全面协议规范性审查
华为WAF可以严格遵守RFC标准或者允许具体应用微小的偏差来实现HTTP协议验证。
可实现快速的防御包括缓冲区溢出攻击、恶意编码、HTTP走私以及非法服务器操作在内的大量协议滥用行为。
华为WAF的部署可以有效的隐藏Web服务容器存在的安全问题,同时也可有效缓解针对Web服务容器发起的攻击,诸如针对Apache容器的分片下载DDOS攻击、针对PHP开发语言的DDOS攻击等。
代理架构的防护技术可以实现但不限于如下类型的安全过滤,并解决了跨包攻击、碎片包攻击等试图绕过安全检测的攻击行为:
1)双URL编码
URL编码是用于在HTTP请求字段(例如URL)中嵌入非打印字符或特殊字符的标准基本格式。
字符以百分符号("
%"
)后跟其值的16进制表示的形式表示(例如:
TAB字符的ASCII值为9,可以表示为"
%09"
)。
双URL编码是攻击者通过对攻击的URL多次应用URL编码,以绕过访问控制、授权和检测机制的一种规避技术。
例如:
在目录遍历攻击中,"
/"
字符将会被编码为%252F,即两次应用URL编码的结果。
2)头名称中出现非法字节码字符
HTTP头名称包含HTTP标准禁止的字符。
这些通常是非打印的ASCII字符或其它特殊字符(例如"
<
"
、"
>
等)。
根据RFC(number=2616)允许的字符集来分别检查各个头名称。
3)参数名中出现非法字节字符
请求内容中的参数名称包含HTTP标准禁止的字符。
等)。
根据RFC(number=2616)允许的字符集来分别检查各个参数名称。
3.1.3Web应用安全三大核心技术
安全特征技术源自于对攻击样本的分析,从而形成人们常见的病毒特征库、木马特征库等,而这一切的基础是源于对安全攻击的分析与跟踪。
特征库的精确度通常受到两个重要因素的影响,其一攻击样本是否具有代表性,其二是运行环境的相对确定性,例如windows病毒特征库不能在Linux操作系统中直接使用。
Web应用程序不同于操作系统的规范和单一,因此针对Web应用层的安全特征通常会因为程序编码不规范而导致误判。
另一方面以安全特征匹配技术为基础的安全技术假定所有的请求都不安全,需要对所有的请求进行安全匹配,因此将会带来极大的检测负荷与访问延时。
华为结合多年专业Web应用安全研究的经验,采用白名单安全引擎与黑名单安全引擎相结合的方式工作,为华为WAF安全检测引擎技术架构示意图,实现了正常请求快速识别与转发,未知请求进行深度清洗的安全策略,实现了安全性与可用性的最佳结合。
●参数自学习建模与白名单安全技术
华为WAF引入了安全白名单技术,从而使华为WAF实现快速安全检测,与安全特征库不同,安全白名单并不是对Web攻击行为的分析与提取,而是对正常访问行为的分析与总结规律,从而实现了假定安全的检测逻辑。
不同网站有着各自独立的特性与访问规律,因此华为WAF的白名单安全特征采用了自学习建模技术,针对所防护的网站进行流量学习,在概率统计学为基础不断的安全分析与收敛,最终形成一套针对网站特性的安全白名单规则。
●黑名单安全技术
华为WAF提供默认的安全策略,对Web网站或应用进行严格的保护。
这些安全规则来自于Snort、CWE、OWASP组织,以及华为安全研究部对国内典型应用的深入研究成果。
除了默认的策略外,用户还可以创建客户化的策略。
每个策略下分为若干子策略:
Ø
HTTP协议合规性
SQL注入阻断
跨站点脚本攻击防护
表单/cookie篡改防护
DoS攻击防护
敏感信息泄漏
目录遍历
扫描器扫描
手工探测与渗透
恶意攻击
蠕虫攻击
应用层CC攻击
应用层流量攻击
请求包大小限制
限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。
正确配置请求限制还能减轻Dos攻击、缓冲区攻击。
HTTP/HTTPS请求方法限制
限制HTTP/HTTPS各种方法的访问,包括:
GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。
支持黑白名单的配置,可以设定可信的访问客户端IP(白名单)而不受安全策略规则的检测;
设定非法的访问客户端(黑名单),直接禁止其任何对Web服务器的访问。
用户自定义规则库
支持用户自定义规则库,用户可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。
同时,对于多字段,多条件的组合防护需求,华为WAF仍提供了自定义规则的解决方案。
●行为建模分析技术
华为WAF具有较强的用户访问行为建模分析技术,可以有效的解决如应用层CC攻击、盗链攻击、恶意商业数据抓取等攻击行为。
由于HTTP协议是一种无状态的协议,因此通过单次请求分析难以识别上述的攻击行为。
只有通过行为建模分析技术才能将访问者行为进行跟踪与分析,从而区分正常访问行为与上述访问的差异。
目前华为WAF已经广泛应用于国内知名企业的在线交易系统专用于防御上述三类常见应用攻击,详细信息可查看相关技术专刊。
3.1.4内容分析与响应检查
华为WAF内置了内容安全检测模块,可以实现提交敏感言论,敏感内容泄露的分析与阻断。
可以实现对中文词组的分析与检测,适用于需要限制提交敏感言论的论坛、留言板、在线业务系统等;
内置的防敏感内容泄露模块可以有效防御诸如以下的内容泄露:
手机号、身份证号码、信用卡卡号、邮件地址等,从而防止因为用户数据丢失而给企业带来的信任危机。
3.2快速应用交付
3.2.1TCP协议加速
当一个TCP连接开始传输数据时,由于并不知道双方通道的带宽,所以为了最大利用带宽。
传输是一个逐渐加速的过程,起初,假设带宽是一个比较小的值,通过另一端的反馈来逐渐增大对带宽的估计值。
通过增大该估计值,TCP允许在未收到反馈时传输更多的包(即在途的包数目),最终该值达到稳定值,接近带宽,这个过程为TCP慢启动,这个时间的长短,直接影响了用户的Web体验
华为WAF通过优化与客户端的TCP协议栈,优化后使得传输速度大幅度提升,特别是电信联通之间往返时间较长时,效果非常明显。
3.2.2高速缓存
华为WAF为了提高被保护系统的访问速度,同时消除WAF过滤分析过程中带来的延时,定制提供了应用加速功能,通过高速缓存和相关算法镜像及管理相关的静态内容,一旦有用户访问,客户端直接通过WAF缓存中获取,避免了用户重复通过Web服务器并进行协议解析等相关操作,从而加快了访问速度,减轻了Web服务器的负担。
3.3安全监控与服务发现
为了更好的监控Web应用防火墙自身状态以及所防护的对象的安全状态,华为WAF通过自动服务发现、安全态势监测、自身健康度监测等多个方面进行全面的监测与展现。
3.3.1自动服务发现
通常情况下管理员需要手工指定Web应用防火墙需要防护哪些Web应用,当有大量的网站群需要防护时,或者具有复杂的域名对应关系时通常难以手工对服务进行确认。
另一方面数据中心的Web服务可能随着业务的增加而不断有新的服务开启,此时我们的安全管理员可能并未被告知,因此Web服务的监测与自动发现有助于Web应用的安全管理。
开启华为WAF服务自动发现功能,可轻松实现Web应用防火墙部署的即插即用,不需复杂的环境调研和现场确认,加载自动发现的服务对象即可实现快速安全防护策略的部署。
3.3.2安全监控
如下图所示,华为WAF实现了基于安全事件级别的安全监控,通过对安全日志分析、攻击者跟踪等手段,将最具有危害的行为、最需要处理的事件展现给管理员,实现高效管理。
3.3.3性能监控
Web应用系统与传统网络特性不一样,决定业务系统的关键性能指标通常不是由网络流量或带宽所决定,而是由HTTP每秒处理事务数决定。
除此之外Web应用系统中通常用负载均衡器的性能指标来衡量业务系统的性能,因此WAF本身的性能情况,业务系统的性能情况均可通过WAF直观的展现出来,有利于管理员对业务系统性能情况的总体了解,并有利于业务系统出现故障时辅助分析定位问题。
3.4多种接口兼容
3.4.1SNMP接口
可远程监测WAF的运行状态,支持SNMP_V2、V3版本,如CPU、内存、磁盘、端口速率等信息的状态检测,当设备出现异常时可在第一时间发现。
3.4.2Syslog接口
将日志输送到Syslog服务器或安管平台,结合安管产品可关联分析黑客的整个攻击过程,日志中包含攻击时间、攻击IP、攻击行为、URL地址、攻击特征、攻击工具等信息。
3.4.3邮件与短信告警接口
华为WAF内置邮件与短信告警接口,检测到入侵攻击行为时可自动将告警信息发送到管理员邮箱或管理员手机中。
3.4.4WebService接口
安全管理员面对的安全产品越来越多,需要配置和管理的任务越来越重,因此新引入的安全产品能否接入到统一安全管理平台是衡量一款安全产品可管理性的重要指标。
华为WAF针对用户的这种需要开放了WebService接口,可将WAF接入到统一的安全管理平台中,便于日常维护。
4
功能特点
华为WAF具有使网站更安全、使访问更快速、使运维更简单三大功能特点。
4.1使网站更安全
4.1.1双模式安全引擎
采用白名单与黑名单相结合的方式实现安全引擎,白名单可以快速识别安全的请求提升了访问性能,黑名单基于特征匹配技术的深入识别,可以将缓存绕过白名单检测的攻击行为。
4.1.2黑名单安全技术
这些安全规则来自于Snort、CWE、OWASP组织,以及华为安全研究院对国内典型应用的深入研究成果。
华为WAF内置了30余类的通用Web攻击特征,集成了580多个类别的攻击特征,全面覆盖了Web应用安全存在的主要安全威胁,通过规则库匹配技术实现各类SQL注入、跨站、挂马、CC、扫描器等攻击的安全防护,同时低误报率、低漏报率。
同时,华为WAF支持自定义规则。
4.1.3白名单安全技术
华为WAF白名单安全技术通过对正常访问行为的分析与总结规律,从而实现了假定安全的检测逻辑。
由于不同网站有着各自独立的特性与访问规律,因此华为WAF的白名单安全特征采用了自学习建模技术,针对所防护的网站进行流量学习,在概率统计学为基础不断的安全分析与收敛,最终形成一套针对网站特性的安全白名单规则。
华为WAF通过白名单安全技术有效防护0day等攻击,误报率低。
同时,大大提高了网站访问性能,避免特征库黑名单技术带来的局限性,如规则库的庞大及复杂,对管理员的安全技术水平要求高等。
4.1.4IP信誉库
华为WAF内置IP信誉库,IP信誉库中包含恶意的IP地址,如果有恶意的IP地址访问网站,WAF就会进行告警或阻断。
4.1.5区域访问控制
华为WAF内置IP地址库(中国+全球国家),可以有效对某区域的IP进行控制。
4.1.6智能防护
华为WAF自动跟踪攻击者的行为,对于攻击者IP自动进行锁定,降低网站被入侵的风险。
4.1.7CC精准防护
华为WAF采用独创的检测算法对CC攻击进行防护。
支持多重检测算法,独创的集中度和速率双重检查算法,减小误判实现精准防护,可基于URL、请求头字段、目标IP、请求方法等多种组合条件进行检测,检测对象支持IP或IP+URL或者IP+User-agent算法,IP可支持NAT前的地址解析;
支持挑战模式,客户端访问时WAF发起JS挑战验证是真实客户还是CC工具发起的访问;
支持根据流量模型监控流量是否异常,按需开启CC防护策略;
支持基于地理位置的识别,可设置不同地理区域的防护单元;
支持CC慢攻击的防护;
支持CC规则的IP白名单功能。
4.1.8虚拟补丁
华为WAF支持将第三方扫描工具的扫描结果导入WAF并生成策略规则。
4.2使访问更快速
4.2.1服务优先原则的高性能算法
WAF产品产生延时的最主要环节是特征匹配阶段,特征匹配范围越广、算法越复杂、特征数量越多其防护能力理论上将会越好,同时造成的业务延时也将最大。
而且基于黑名单签名技术的WAF产品正常请求者的延时影响最大。
华为WAF产品采用了白名单签名技术,对正常的请求只需要进行一次特征匹配即可实现快速转发,从而极大的降低了黑名单匹配数百条甚至上万条特征匹配带来的业务延时。
4.2.2多种加速方案
除安全检测方面的性能优化之外,华为WAF产品还提供了多种加速方案,从而使部署WAF后的整体效果不是访问延时增加了,反而具有减小访问延时的明显差异。
4.2.3高速缓存
华为WAF支持将jgp、html、txt等静态文件进行缓存,用户访问这些静态文件时,WAF可以直接将本地的静态文件返回给客户端。
4.3使运维更简单
WAF产品属应用层安全产品,国外也称为程序防火墙,因此需要管理人员对程序代理有一定理解,对各常见Web开发语言非常熟悉才能用好产品。
这无形中增加了运维人员的技术要求和人员资源本成。
华为WAF产品充分利用服务自发现、策略自学习、安全日志自动分析与挖掘技术实现了智能、便捷的管理与维护。
4.3.1服务自发现
Web站点的主要属性有网络IP地址、服务端口、访问域名,特别是有虚拟主机的环境中如果域名对应关系配置失误将导致业务访问错误跳转,而且很难分析出原因。
使用华为WAF可自动发现这些重要的服务属性,只需将WAF接入网络即可即插即用。
4.3.2策略自学习建模
WAF产品的策略涉及诸如cookie、URI、POST内容、响应状态码等复杂的HTTP协议属性,常规情况下的策略调整稍有不当会导致业务不能正常使用,或者产生新的漏洞可被直接入侵。
华为WAF策略中的自学习模建技术采用对访问流量的自学习和概率统计算法实现自动生成,使管理人员可以投入更多精力来保障业务的使用,勿需投入大量时间学习WAF本身的使用。
4.3.3策略规则在线更新
华为WAF支持策略规则的在线更新功能。
4.3.4支持PCI-DSS报表功能
华为WAF支持对网站的合规扫描功能,并且可以将扫描结果以PDF、HTML、Word的方式导出。
4.3.5规则误判分析
华为WAF可以对海量的告警日志进行分析,并生成分析的结果,一键完成规则的调整避免规则的误判。
部署模式
4.4透明直连模式
透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的Web服务器的IP地址及端口,就可以实现对Web应用业务的安全检测。
同时在透明直连模式下,华为WAF支持各种Vlan环境的安全检测和防护功能。
4.5反向代理
反向代理下有两种模式,代理模式和牵引模式。
反向代理—代理模式是通过网络防火墙将WAF的业务口地址映射到外网,用户访问的是WAF的业务口地址,流量经过WAF清洗完成之后,WAF再将流量发给服务器,服务器上看到的是WAF的IP
升级会员 