Web应用防火墙?Web安全网关?

安全 应用安全
无论是基于Web的应用系统还是Web网站,他们都面临着各种各样且来源不定的安全威胁。他们有些是已被发现,并具有可识别的固定特征的;则是因网站的设计和代码,以及攻击者的行为习惯而异的。而所有这些都是Web应用系统和Web网站必须面对和解决的安全问题。

无论是基于Web的应用系统还是Web网站,他们都面临着各种各样且来源不定的安全威胁。他们有些是已被发现,并具有可识别的固定特征的;则是因网站的设计和代码,以及攻击者的行为习惯而异的。而所有这些都是Web应用系统和Web网站必须面对和解决的安全问题。

传统的技术手段。如防火墙和IPS都是基于已知的安全特征的安全检测和防护手段,而且它们只能做到网络,有的可以处理协议层数据包(新的技术)。但是对于Web应用中大量采用,而同时又是被攻击的主要目标的动态页面是无能为力的。这是因为,动态页面本身就是没有固定模式的,所以针对它的攻击也是没有固定特征的。

同时,必须注意到,完全依赖特征库的检测和防护技术,不可避免的具有很高的误报率和漏报率,并且在两者之间很难达到平衡。

目前,大多数网站采用的都是这种技术,它们也了解其中的问题,只是没有更好的技术来取代而已。而Imperva的SecureSphere Web应用防火墙采用新型防护手段,既有效地弥补了传统防护方式的不足,又具有很多新的特点。

作为新型的Web应用防火墙,SecureSphere的特点是基于正向模型——即,为模型的安全检测技术可以从根本上解决上述传统Web防护的问题,尤其是当两者结合的时候。

但同时,对于基于为模型的检测和防护,有几个关键的技术问题必须解决:

a.模型的产生必须是自动和动态的。——由于为模型包含的因素非常广泛,且数量众多,人工生成和维护的方式在实际使用中是完全不可行的;而且,会产生大量的误报。

必须和基本的反向模型向结合。因为反向模型可以屏蔽大量的基本攻击,而让基于为的机制解决更高级的攻击流量。

b.必须在防护的各个层次,以及时间上进关联分析。Ì

真正有危害的攻击通常会在多个层次,包括时间轴上表现出相当的关联性,通过关联分析可以极大的提高攻击辨识的能力,降低误报率。

另外,由于行为分析意味着大量的计算,产品在具体实现方面必须保证应有的性能,特别是在处理能力(Session Per Second)和时延方面(ms)。Imperva的Web防火墙采用独特的技术很好的解决了上述问题。

【编辑推荐】

  1. WAF——最专业的网站安全防护
  2. web应用防火墙(WAF)的安全原理与技术分析
  3. 看WEB应用防火墙的网站整体防护解决方案

#p#

Imperva WAF的功能和特点

SecureSphere WEB安全防护网关是专为了对WEB网站和基于WEB的服务器提供全方位防护而设计的。它的防护对象不仅包括普通的端口扫描、TCP Sync Flood、已知的高级攻击手段如SQL注入等,还包括未知的、新出现的高级的攻击,如URL参数篡改、Cookie毒化等。同时还可以对管理核心数据的后台数据库进行防护, 如下图所示:  

SecureSphere的WAF G8包括以下方面的功能和特点:

Web应用防火墙功能

SecureSphere 系统保护用户的WEB应用攻击,例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击(详见列表)。动态评估技术自动创建WEB应用的使用和结构的正向安全模型,包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互时,SecureSphere 系统密切监视他们的活动,并与安全模型比较。任何攻击的企图都将被监测到,并被阻止。 

Web服务防火墙功能

SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同SecureSphere系统的应用防火墙功能一样,服务网关采用Imperva公司的动态评估技术建立合法应用行为的安全模型,包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来,并加以阻止和防范

动态建模和自动策略

SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即,对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测,对比正常的访问行为基线;如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能完成,无需人工干预,而且还可以根据Web应用的变化进行自适应调整。同时,管理人员还可以进行微调,以得到最优的“充分必要”的策略。

Web入侵防护系统(IPS)

SecureSphere IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点(例如,IIS、Apache和Windows 2000)。SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 SecureSphere系统同时提供多网络协议的Snort兼容的特征库,符合http协议和来自“应用防御中心”– Imperva自己内部的安全研究组织,的高级应用保护特征。SecureSphere 系统提供定时更新服务,确保安全保护的时效性。

多层次的防护及关联

◆SecureSphere不仅提供了创新的安全技术手段,如自动建模,防蠕虫扩散、高层协议检测;同时也整合了各种成熟的技术,如:网络防火墙、入侵检测和防护。特别需要指出的是SecureSphere的入侵检测技术是专门针对Web服务的,除了基本的Snort特征库,还提供丰富的Web应用和数据库应用的攻击特征库。  

◆SecureSphere整合多种安全手段的目的不仅提供了多层次的安全防护,而且通过各个防护层次间内在的关联,可以极大的提高攻击识别的准确性,降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。

前后台关联。  

当今,Web服务系统发展的趋势是,除了提供静态信息的提供外,还提供与多种应用和服务的交互接口。网页交互和动态页面技术越来越多的扮演了核心的角色。同时由于动态页面技术的灵活性,它也成为了Web攻击的热点,包括通过动态页面与后台数据库的连接关系,获取和篡改应用系统的核心信息,如账号密码、用户信息、交易信息等。SecureSphere为Web网站和基于Web的应用提供全面安全防护,包括前台Web服务器和后台数据库;而且可以进行实时的前后台关联。因此SecureSphere可以帮助发现攻击的真正发起源,可以防护通过后门对数据库发起的攻击,提高攻击发现的能力,以及精确的从大量访问流量中阻断攻击流量。#p#

Imperv WAF的部署:

配置原则

在为xxx用户配置Imperva公司的Web安全防护产品的时候,遵循一下的配置的基本原则: 

◆功能性满足本项目的实际需要 

◆可以支持现有应用系统,如数据库类型、本版等 

◆处理性能满足系统的需要 

◆对现有系统的无影响,包括;IP地址空间、路由规划、无需调整应用系统(如设置Proxy,安装软件等)

配置说明

鉴于以上的配置原则,针对xxx web保护项目的Web应用保护,采用Imperva 的SecureSphere系列中G4作为Web应用监控和防护网关。同时,为了提供统一的管理和配置平台,配置MX作为集中网管平台,对数据库应用监控和防护网关进行统一的管理。

G4有500Mbps的吞吐量,同时支持的交易数是16,000每秒,同时为了保证系统的可靠性,配备两台,用来监控和保护核心的Web应用,如果一台出来问题,系统可以自动切换到另外一台。另外配备一台网管服务器MX,对两台数据库安全网关做统一的管理和配置。拓扑图如下所示:  

#p#

系统的管理

SecureSphere提供全分布式的三级网管架构,包括: 第一层—业务探测和实施引擎,第二层—MX网管服务器,第三层—操作控制台。这种结构对于在xxx这样的大型网络系统中部署统一的安全策略具有至关重要的意义。  

 

图 SecureSphere的完整部署的示例

SecureSphere 的管理服务器的主要特点包括:

◆图形报告 - 完整的 Crystal Reports™ 包和与 攻击摘要访问支持预配置报告和自定义报告。预配置报告使性能、合规性、安全警报及使用情况的异常情况一目了然。

 

图 SecureSphere 在整个企业内提供统一的报告。

◆统一的实时警报监视 – 来自多个 SecureSphere 安全层(动态”业务模型”、IPS 等)的实时警报将被收集、按优先级排序并在一个统一的视图中显示给管理员。警报通知可通过电子邮件、电话、呼机和 SNMP 消息发送。不需要连接到分布在数据中心的各个设备。来自多个网关的日志数据也将显示在单个视图中,并存储在单个 MX 管理服务器数据库中。

◆警报审计 – 来自多网关的警报将被收集并存储于单个 MX 管理服务器数据库中。若要支持审计功能,只需点击几下鼠标就可以根据多种参数来排序和搜索警报条目。即使是来自不同 SecureSphere 安全服务(IPS、动态”业务模型”等)的特定用户违规行为(由会话 ID 或 IP 地址标识),也可以被立即跟踪。

◆智能攻击摘要 – 智能攻击摘要通过智能地将多个攻击导致的一系列事件聚合为一个需采取措施的警报,从而提高管理员的工作效率。例如,相关扫描警报可聚合为一个攻击警报,而不是成千上万个攻击警报。如今,快速有效的响应变得极为重要,而这种高度集中的信息能够使管理员快速准确地了解威胁聚合警报保留了形成警报的基本事件,以便进行详细分析。

◆集中式策略分布 – 多网关的动态”业务模型”、IPS 策略和系统参数集中存储于 MX 管理服务器。更改在服务器上进行,通过单击可将这些更改自动发布到多个网关。#p#

Imperva的WAF带来的价值

采用Imperva的新型Web应用防火墙,在提供一流防护的同时,还可以很大程度上减少安全管理人员的工作量,因为它具有动态建模等很多自动化的工具,可以大量简化防火墙的配置工作。

Imperva公司的动态建模技术能够建立合法应用行为的模型,随时间变化而逐渐适应网络应用变化,始终保持SecureSphere系统应用保护能力的时效性和准确性。在很短时间内,无须改变其原有数据中心结构,SecureSphere系统的部署就能够实现的对攻击行为的防护,也无须手工配置和调整。

除了动态评估技术中提到的自动化的规则定义,SecureSphere系统允许安全管理员根据网络流量的具体特征定义规则。定制的规则需要手工配置,以实现模型或基于协议的规则不能或不方便实现的规则。

动态评估是多层次安全保护机制的基础,对所有应用层面提供了完整的保护,包括网络、服务器和应用系统。Imperva公司的透明检测技术具有一个G的分析能力,百万分之一秒级的延迟和高可用性满足了大多数数据中心的安全需求。对于大规模部署,SecureSphere MX管理服务器采用集中式部署,提供流水线式配置、综合管理、监控和报表功能。由于SecureSphere系统提供广泛的部署形式选项,它可以部署到任何环境,而无需更改其原有网络结构。

SecureSphere 系统保护用户的WEB应用攻击,例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击(详见列表)。动态评估技术自动创建WEB应用的使用和结构的正向安全模型,包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互时,SecureSphere 系统密切监视他们的活动,并与安全模型比较。任何攻击的企图都将被监测到,并被阻止。  

SecureSphere Web应用防火墙可保护攻击列表:

 

WEB服务防火墙

SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同SecureSphere系统的应用防火墙功能一样,服务网关采用Imperva公司的动态评估技术建立合法应用行为的安全模型,包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来,并加以阻止和防范。

入侵防护系统(IPS)

SecureSphere IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点(例如,IIS、Apache和Windows 2000)。SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 SecureSphere系统同时提供多网络协议的Snort兼容的特征库,符合http协议和来自“应用防御中心”– Imperva自己内部的安全研究组织,的高级应用保护特征。SecureSphere 系统提供定时更新服务,确保安全保护的时效性。

网络防火墙

SecureSphere集成的网络防火墙用于防范未授权用户、危险的协议、通常的网络层攻击以及蠕虫感染。访问控制策略支持协议/IP地址组合的控制列表,以避免数据中心暴露给不必要的用户,或者限制危险的协议,例如Telnet、pcAnywhere或者是SQL。

SecureSphere扩展至数据库

SecureSphere系统可以扩展到应用数据库的保护,包括对Oracle、MS-SQL Server,DB2(包括主框架)和Sybase数据库进行保护。SecureSphere 数据库安全防护功能能够同时防范外部攻击和内部人员的滥用,提供了数据中心的端到端防御。

无与伦比的准确性

SecureSphere包括了动态的正向(白名单)和反向(黑名单)安全模式。即时攻击有效验证(IAV)立刻根据两种模式中的一种验证和阻止所有已知的违规行为。对于不明显的复杂攻击,Imperva专利的关联攻击验证(CAV)技术把多层次的违规记录关联起来,事后从合法用户访问行为中分离出来。CAV技术能够把来自SecureSphere系统中所有安全记录的相关信息关联起来,得到独立安全产品无法达到的准确程度。#p#

Imperva的WAF的性能及其他参数  

【编辑推荐】

  1. WAF——最专业的网站安全防护
  2. web应用防火墙(WAF)的安全原理与技术分析
  3. 看WEB应用防火墙的网站整体防护解决方案
责任编辑:许凤丽 来源: 互联网
相关推荐

2010-08-30 13:01:00

2011-03-25 11:18:51

2010-07-28 18:21:04

2011-03-25 11:06:46

2010-10-25 12:07:51

2011-09-13 20:09:53

2011-03-11 16:53:21

2009-05-25 15:18:52

2010-08-10 14:54:28

2012-12-04 09:29:23

2010-09-29 14:10:20

2011-03-15 10:32:05

2009-11-24 09:18:32

Blue CoatWeb安全网关Web威胁

2009-12-25 12:21:56

2010-07-12 11:41:55

2009-04-02 10:51:58

2011-05-10 09:17:01

2011-02-15 18:38:49

2011-02-17 18:30:25

2010-03-01 16:02:20

点赞
收藏

51CTO技术栈公众号