郑爽梭子鱼WEB应用防火墙解决方案.docx
《郑爽梭子鱼WEB应用防火墙解决方案.docx》由会员分享,可在线阅读,更多相关《郑爽梭子鱼WEB应用防火墙解决方案.docx(53页珍藏版)》请在冰豆网上搜索。
WEB应用访问安全案例剖析
梭子鱼网络(中国)
郑
BarracudaNetworksConfidential
�爽
�
1
WEB应用究竟面临哪些威胁?
WEB2.0发展趋势,催生黑客攻击从网络层转移到应用层
·
·
·
·
�
web应用最为普遍
企业对外宣传、营销、甚至工作流程Web化
客户、员工、合作伙伴间通过web进行互动
web网站的安全包括三个特质:
保密性、完整性、可用性
Web网站是当前最主要的安全威胁
·75%的攻击针对WEB应用(Gartner)
§2008-04CNCERT/CC国家互联网应急中心监测到中国大陆被篡改网站
总数达61,228个,比去年增加了1.5倍。
(数据来源:
CNCERT)
4
国家计算机网络应急技术处理协调中心
发布政府类网站被攻击数据6月(3854)、7月统计
4000
3500
3000
2500
2000
1500
1000
500
�
政府类网站
网站
0
�
6月
�
7月
看一个美国的统计
·据最近的美国计算机安全协会(CSI)/美国联邦调查局(FBI)
的研究表明:
·接受调查的公司中有52%的公司的系统遭受过外部入侵,但事
实上他们中有98%的公司都装有防火墙。
·这些攻击为269家受访公司带来的经济损失——包括系统入侵、
滥用web应用系统、网页置换、盗取私人信息及拒绝服务共计
超过1.41亿美元。
·美国总统奥巴马曾公开在电视媒体上讲话,每年由于黑客的恶
意攻击,美国每年因此导致损失1000亿美金。
近期热点攻击事件
·
·
·
·
·
·
·
·
·
·
�
2008年6月,奥巴马竞选网站被攻击
2008年7月,美国某网站数百万客户资料被泄露
2008年10月,三鹿网站被改名为三聚氰胺网站
2008年,某著名网站被攻击,以校长名义发通告
2008年,中国大学生制作的反CNN网站被黑。
2009年2月,云南晋宁县政府网站被改为“躲猫猫”网站
2009年2月,法国驻华大使馆网站被黑。
2009年5月,上海车牌拍卖系统确实受到攻击
2009年5月,常州城市管理系统主页是城管、按摩女和黑帮的集合
2009年7月,新闻媒体播报的高校网页挂马问题等
7
为什么有这么多WEB攻击?
·
·
·
·
�
好奇心驱动
技术炫耀(技术学习、探索),如对政府类和安全管理相关类网站的攻击形式。
有组织利益驱动:
对中小企业,尤其是以网络为核心业务的企业,常采用有组织的
分布式拒绝服务攻击(DDoS)攻击等手段进行勒索,从而迫使企业接受相应条件,影
响企业正常业务的开展。
个人利益驱动对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用
户游戏账号、银行账号、密码等,窃取用户的私有财产。
如利用网络钓鱼
(Phishing)和网址嫁接(Pharming)等对金融机构、网上交易等站点进行网络仿冒,
在线盗用用户身份和密码;通过恶意网页、社交工程、电子邮件和信息系统漏洞等
方式传播恶意代码;利用间谍软件(spyware)和木马程序窃取用户的私有信息,严
重的可导致财产损失。
8
Web应用威胁都有什么呢?
员
工
窃取
中断
篡改
客户
�
黑客
�
伪装
有哪些常见的攻击方式?
2009年梭子鱼北方区计划
直接利用开发人员疏忽,将目录文件等关键对象信息获取
直接对象引用
上传恶意代码,控制目标网站
恶意文件执行
黑客通常通过将他们的请求进行编码,以此来伪装自己的身份
攻击隐藏
使用网络监听、篡改手段,盗取客户的登陆信息
Cookie窃取
攻击者能访问合法应用之外的数据或文件目录,导致数据泄露或被篡改
目录穿越
破坏程序的堆栈,使程序转而执行其它指令。
如获取系统管理员的权限
缓冲区溢出
将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权
命令注入
通过输入一段数据库查询代码窃取或修改数据库中的数据
SQL注入
攻击访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息
跨站脚本攻击
SQL注入
我们现有的安全部署能够阻止黑客对WEB应
用攻击吗?
您是否已经开始有如下担心?
·
·
·
·
·
�
网站被攻击
网站被篡改
被OWASP列举的前十位的攻击攻破
数据被窃取
怎么才能阻止下列攻击:
–跨站脚本攻击(XSS)
–SQL注入
–Cookie篡改
–缓存溢出
·网站需要达到PCI标准
我已经有了防火墙、ips等防护设备已经安全了吗?
Internet
�
移动MDC网络拓扑
�
新业
务测
试区
华为路由器
�
华为路由器
�
NetScreen
防火墙
�
Cisco
76XX
�
内嵌IPS
模块
�
防火墙
�
自由
业务
区
Switch
�
Si
�ADC平台
区
Allot
ADC-SI业
务区
Cisco
�Si
图例
单模光纤
多模光纤
超6类电缆
逻辑连接
�NetScreen
防火墙
�76XX
Switch
内嵌IPS
模块
�
托管区
系统管
理区
根据案例:
移动MDC分析
·Allot流量控制设备,透明模式部署。
·NetScreen防火墙:
1)NetSreen防火墙是目前比较普及的防火墙,功能强大,性能好。
2)拦截大部分网络层攻击,例如网络层的蠕虫攻击,DDOS攻击
3)通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中
·76XX交换机上内嵌IPS模块
4)完好的将ARP欺骗,2层的DDOS攻击阻挡
5)通过划分广播域的方法,将每个广播域的流量控制在本地,使病毒和
非法流量不会扩散到整个MDC机房网络中
从OSI模型角度出发,4层以下的攻击基本上可以被目前网络中的
安全设备完美的防御住。
IPS作用?
·6)通过对数据包的7层检测来阻挡应用层的攻击;
·7)通过特征匹配技术阻挡了大部分的主流攻击;
·8)IPS能够阻挡“整个网络”的非法流量;
增加网页防篡改系统能够解决web服务器的安全威胁吗?
网页防篡改
9)它能够在web服务器的网页被篡改后再恢复的系统,能够保证网站的完整
性
对一个至关重要的web应用来说现有安
全措施无能为力!
�
最终用户
防火墙只能阻断网络层的
攻击
�
80端口web流量仍然
能够通过
防火墙
入侵监测系统
SQL注入攻击
应用层Dos攻击
网站侦测攻击
恶意爬行攻击
�
信息泄漏
Cookie中毒
Cookie窃取
网页被篡改
�
Web应用
数据中心
攻击
局域网
为什么?
总结攻击特点:
大部分攻击在应用层
针对Web网站的恶意攻击
绝大部分都将封装为HTTP
请求
许多类型的攻击并不篡改
网页
黑客往往将攻击隐藏在
ssl内
攻击手段各种各样
�
传统防火墙:
防火墙工作在3、4层;
攻击从80或443端口顺利通
过防火墙检测;
IPS入侵检测:
IPS不会对包括跨站点脚本攻击
,SQL注入,命令注入,cookie密码
窃取,URL编码攻击,cookie篡改,
日志篡改等一系列攻击作出任何响
应。
IPS最明显的缺陷在于它不能终
止和处理SSL流量。
网页防篡改
对于攻击行为并不进行分析,也
不阻止攻击的发生。
WEB安全是否应该交给专业的七层应用防火
墙来进行策略防护呢?
梭子鱼WEB应用防火墙
·梭子鱼Web应用防火墙是应
用级的网站安全综合解决方
案,能帮助企业达到在线支
付级的网站安全标准。
具备
十大功能,十大技术,是
web应用防火墙的领导品牌。
·世界上唯一被ICSA在网络层
和应用层上通过认证的产品
19
WEB应用安全功能概述
·全面的WEB站点防护,降低商业风险
–各种攻击
–非法访问
–WEB站点伪装
–WEB站点篡改
–Outbound数据窃取防护
·应用传输加速
–缓存、压缩、TCP连接复用、SSL卸载和加速、负载均衡
·审计及合规
-帮助企业通过安全审计
-达到PCI(支付卡)应用安全规范要求
-美国萨班法案(Sar
升级会员 