梭子魚WEB應用防火墻高校網(wǎng)應用分析

為了響應2010年上海世博會網(wǎng)絡安全工作的號召，上海各高校都積極深入發(fā)展門戶網(wǎng)站的安全建設，推行信息公開，提高高校工作的透明度，充分發(fā)揮高校信息平臺對學生的學習和生活等各方面的幫助。其門戶網(wǎng)站()是該校電子門戶及辦公系統(tǒng)建設的重要組成部分，作為該校面向社會的窗口，發(fā)布學生信息，提供“網(wǎng)上辦公”、“在線通告”等業(yè)務，為老師和學生提供方便。來自Web的安全挑戰(zhàn)：隨著高校業(yè)務資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構(gòu)的重要信息暴露在越來越多的威脅中。根據(jù)了解該校門戶網(wǎng)站承載了各2級學院的網(wǎng)上業(yè)務，網(wǎng)頁以動態(tài)內(nèi)容居多。去年，該研究生院網(wǎng)站遭遇SQL群注(MassSQLInjection)攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，“HaCkeDBy:Skz0r_l337-Underground-Security”(意為：由Skz0r_l337-Underground-Security入侵)，各級頁面不再具有正常的觀感。訪問網(wǎng)站時還發(fā)現(xiàn)，該網(wǎng)站已被Google列為含有惡意代碼的網(wǎng)站。最為棘手的是：期間持續(xù)發(fā)生“網(wǎng)頁被篡改-恢復-再次被篡改-再次恢復…”的現(xiàn)象。間歇還伴隨有針對WEB服務器的DDoS攻擊，網(wǎng)站訪問峰值嚴重超過服務器正常所能處理的最大負荷。在提供解決方案之前，我們幫助用戶理清了一些應用層防火墻的基本概念：1.何謂應用層防火墻;2.梭子魚的應用層防火墻與傳統(tǒng)入侵檢測產(chǎn)品的區(qū)別;3.梭子魚Web應用防火墻WAF產(chǎn)品的防御攻擊特性;其次在該高校網(wǎng)站遭遇多重攻擊，網(wǎng)站陷入困境的時候梭子魚所提供的解決方案：1.能應對當前攻擊，且具備持續(xù)防護能力，對業(yè)務影響盡可能小，管理簡單;2.針對多臺核心WEB服務器提供防護;3.自動學習網(wǎng)頁應用結(jié)構(gòu);4.自動調(diào)整用戶習慣4.主動模式來過濾所有的WEB請求;5.提供簡明維護的平臺;解決方案：基于對梭子魚公司的信任，2010年在售前過程中，我們有幸對該學校負責人進行了一次長時間的技術溝通。我們首先解釋了幾項用戶關心的問題：1.何謂應用層防火墻梭子魚應用層防火墻(全稱，梭子魚WEB應用防火墻，即WAF)通過執(zhí)行應用會話內(nèi)部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協(xié)議或應用程序漏洞發(fā)動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊，強大的應用防火墻甚至能夠模擬代理成為網(wǎng)站服務器接受應用交付，形象的來說相當于給原網(wǎng)站加上了一個安全的絕緣外殼。2.應用層防火墻與傳統(tǒng)的入侵檢測設備之間具有本質(zhì)上的區(qū)別在TCP/IP模型中網(wǎng)絡流量從物理層到應用層是逐層遞交，入侵檢測設備(IPS)主要定位在分析傳輸層和網(wǎng)絡層的數(shù)據(jù)，而再往上則是復雜的各種應用層協(xié)議報文，而應用層防火墻(WAF)則僅提供對Web應用流量全部層面的監(jiān)管。IPS需要處理網(wǎng)絡中所有的流量，而WAF僅處理與Web應用相關的協(xié)議，其他的則給予轉(zhuǎn)發(fā)。3.梭子魚WEB應用防火墻可以防御的攻擊類型：1)SQL注入：一些應用程序通過復制Web客戶端輸入來創(chuàng)建數(shù)據(jù)庫查詢。黑客通過構(gòu)造一些應用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數(shù)據(jù)。2)跨站點腳本：黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字符串，導致Web服務器泄漏用戶名和密碼等信息。3)操作系統(tǒng)命令注入：一些應用程序從web輸入來創(chuàng)建操作系統(tǒng)命令，就像訪問一個文件和顯示文件內(nèi)容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創(chuàng)建輸入來顯示未經(jīng)授權的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。4)會話劫持：黑客通過猜測基于令牌格式知識的會話令牌的內(nèi)容來獲得登錄會話的權利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。5)篡改參數(shù)或URL：web應用程序通常在返回的的web頁面中嵌入?yún)?shù)和URL，或者用授權的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存，使Web服務器返回不應泄漏的信息。6)緩沖區(qū)溢出：應用程序代碼應該檢查輸入數(shù)據(jù)的長度，以確保輸入數(shù)據(jù)不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現(xiàn)應用程序不檢查溢出，并創(chuàng)建輸入來導致溢出。在部署過程中，針對高校網(wǎng)站的特性，梭子魚WAF提供了以下解決方案：1.WAF透明部署在防火墻和WEB服務器群及應用服務器之間(如下圖所示)，在網(wǎng)絡中即插即用，不改變網(wǎng)絡拓撲和網(wǎng)站業(yè)務流程，管理簡單;▲圖1：WAF部署方案2.WAF提供了針對核心WEB服務器群的防護;根據(jù)高校的網(wǎng)站部署的特點，一般大學站點都具有數(shù)十個主站點，同一臺服務器會同時具有幾個站點的特色，我們會區(qū)分各站點之間的不同屬性進行分類管理，例如：普通學生登陸的站點都是HTTP協(xié)議，而教師員工登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議，因此我們會設計一套HTTP協(xié)議的基本防御模版，而HTTPS協(xié)議我們會在基本保護的策略框架下，再啟用SSL加速的功能，來幫助提升用戶的訪問速度。3.WAF自動掃描網(wǎng)站結(jié)構(gòu);梭子魚WAF主動掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護規(guī)則，分析整個Web站點，并建立正常狀態(tài)模型。根據(jù)高校的網(wǎng)站設計的特點，一般高校網(wǎng)站中各學院站點的設計模版都比較固定化，梭子魚會主動尋找每一個小站點的樹型目錄和文件結(jié)構(gòu)，幫助防御不必要外網(wǎng)“窮舉型”的攻擊。4.WAF自動學習用戶習慣;WAF會自動調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習慣，例如在某個學院站點的通告欄上的發(fā)貼字數(shù)長度，會隨著用戶習慣逐漸增多。5.WAF調(diào)整主動模式來過濾所有的WEB請求;根據(jù)高校的網(wǎng)站防御的特點，一般高校的門戶網(wǎng)站都具有前端學生登陸信息平臺查看信息，后端管理人員發(fā)布學校最新動態(tài)、管理學生檔案、處理學生業(yè)務等等工作流。所以在網(wǎng)站前端我們過濾的總體策略都是過濾常規(guī)攻擊方式，并且對進入網(wǎng)站之后所有提交的數(shù)據(jù)和語句做限定，在網(wǎng)站后端管理平臺，一方面我們將限定指定的管理人員登陸，另一方面我們適當調(diào)整管理者登陸系統(tǒng)之后的限定權限，以免發(fā)生網(wǎng)站后端被攻擊的事件?；趯W習的主動模式目的是為了建立一個安全防護模型，一旦行為有差異則可以發(fā)現(xiàn)，比如隱藏的表單、限制型的Listbox值是否被篡改、輸入的參數(shù)類型不合法等，這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護模型動態(tài)調(diào)整防護策略。6.梭子魚提供簡明維護的平臺;經(jīng)過長期的了解和溝通，高校的網(wǎng)絡管理者非常青睞于梭子魚簡明的維護平臺和日志系統(tǒng)。一般經(jīng)過簡單的培訓，他們便可以輕松的查看網(wǎng)站的安全隱患和輕松的進行安全加固。效果及用戶評價：作為國內(nèi)權威專業(yè)電子商務研究機構(gòu)，包括B2B領域的阿里巴巴、網(wǎng)盛生意寶、中國制造網(wǎng)、慧聰網(wǎng)、環(huán)球資源、金銀島、一達通、敦煌網(wǎng)等企業(yè)；B2C領域的京東商城、當當網(wǎng)、卓越亞馬遜、新蛋中國、紅孩子、凡客誠品(VANCL)、麥考林(麥網(wǎng))、庫巴購物網(wǎng)、蘇寧易購、淘寶網(wǎng)、拍拍網(wǎng)、eBay易趣網(wǎng)、樂酷天、百度有啊、樂淘網(wǎng)、銀泰網(wǎng)、珂蘭鉆石網(wǎng)等；支付領域的支付寶、財付通、環(huán)迅支付、百付寶、