万兆带宽给网络传输效率带来的跳跃式前进,以及大数据、移动互联网及网络视频等热门技术的快速发展,使得网络安全设备需要对流量进行更加深入与全面的分析,解决带宽增加所带来的新的安全挑战,网络安全也真正迈入万兆时代。
万兆网络环境下的Web安全威胁与防御
万兆网络时代的安全面临着性能的极大挑战,从低端防护到高端核心防护,从接入到汇聚,从数据中心到城域网等都需要高性能的设备来保障网络安全。
目前,主要的Web安全威胁有:SQL注入、XSS攻击、恶意扫描、CRSF跨站请求伪造、DoS攻击、网页挂马、网络钓鱼、后门、蠕虫攻击、Cookie篡改、网站盗链等。
其中,SQL注入与XSS攻击是目前存在的较为普遍、利用最为广泛、造成危害也最为严重的两类Web安全威胁。
另外,CRSF跨站请求伪造、恶意扫描、网站钓鱼等Web攻击与防护也越来越引起业界重视。
面对如此之多的Web安全威胁,我们需要采取哪些防护手段?传统的防护手段还可行吗?
防火墙、防病毒、IDS/IPS等都是已被广泛利用的传统的Web安全防护措施,尤其是防火墙的部署,阻挡了大部分来自网络层的攻击,但是面对目前日趋复杂的Web安全威胁,特别是万兆网络环境下Web安全问题,似乎显得有点心有余而力不足,无法识别与阻止正在流行的Web应用层攻击。
部署在网关处/Web服务器上的防病毒系统可以有效的进行病毒检测与防护,但是无法识别Web网站网页中存在的恶意代码,即网页挂马。因网页挂马通常表现为网页程序中的一段正常的脚本,只在执行的时候才可能下载有害程序或盗取受害者的隐私。同理,对于应用程序中的漏洞,防病毒系统更难以识别。
IDS/IPS作为防火墙的有利补充,加强了Web的安全防御能力。但是,IDS/IPS需要预先构造攻击特征库来匹配网络数据,技术本身存在一定的局限性。
与传统的防火墙及IDS/IPS不同,WAF(Web Application Firewall,Web应用防火墙)工作在应用层,对Web应用防护具有先天的技术优势。#p#
万兆网络安全产品市场需求
万兆网络环境下,用户对网络安全提出了新的需求,要求在保证网络安全性的同时保证网络的稳定性,能够有效的防御针对万兆的应用层攻击。目前,运营商、教育行业、互联网企业及政府的用户需求最为突出。
因应用层防火墙出现的时间较短,国内用户一度对其产生怀疑,而WAF产品对于网上支付等关键业务系统的防护效果也难以预估。于是用户心生困惑,不知是否有必要部署这类产品,如需要又该如何选购?
对此,启明星辰产品经理张元立表示从Web安全事件分析报告角度来看,部署WAF产品是非常必要的。另外,国外PCIDSS标准明确要求需部署WAF。
针对如何选购WAF产品,张元立给出了以下几点选购建议:1、安全厂商的选择。主要从产品是否能够有持续的维护,在WAF市场的排名,本地化及服务能力这几个方面来分析选择。2、Web的攻击防护能力。最好有专门的针对Web攻击防护的团队,3、设备的性能。有万兆的接口,及10G以上的性能。4、万兆的稳定性。不能影响到用户的业务,要保证网络的稳定。5、WAF安全服务团队的选择。在为用户部署WAF产品前,服务团队会对用户网站进行漏洞扫描测试,然后进行有针对性的部署。后期维护时,如果有专门的WAF服务团队,可以为用户进行产品的调优。
那么部署了新设备,老旧设备该如何处理呢?张元立表示IT产品使用通用准则为5年,老旧设备达到生命周期了就要进行更换,如未达到生命周期,可通过网络设备调整来节省开支,将新设备放置在核心位置,老旧设备放在综合业务环境使用。#p#
万兆WAF捍卫Web网站安全
启明星辰天清万兆WAF顺应客户需求,为客户提供在万兆环境下的WAF产品,捍卫Web网站安全。这类针对网站Web服务器的应用级入侵的防御系统,弥补了防火墙、IPS这类安全设备对Web应用攻击的防护能力不足的问题,提高了Web业务系统的安全性。
天清万兆WAF由启明星辰自主研发、采用VXID专利算法技术的新一代Web安全防护与应用交付类应用安全产品,它具有五大关键功能:
万兆WAF功能一:Web攻击防护
如图所示, Web攻击防护主要包括:SQL注入攻击防护、XSS攻击防护、Web恶意扫描防护、应用层DoS(HTTP FLOOD)防护。
Web攻击防护功能图
◆关于天清万兆WAF是如何防御SQL注入攻击、XSS攻击以及恶意扫描的,详见:《天清万兆WAF防御SQL注入技术》《天清万兆WAF防御XSS攻击技术》《天清万兆WAF防御恶意扫描》。
◆应用层DoS(HTTP FLOOD)防护,天清万兆WAF能够有效识别出攻击行为和正常请求,在Web服务器受到 HTTP Flood 攻击时,过滤攻击行为,抑制异常用户对 Web 服务器的资源消耗,同时响应正常请求,确保Web业务的可用性及连续性。
同时,天清 WAG还能够针对 HTTP 请求中的 XML数据流进行合规检查,防止非法用户通过构造异常的XML文档对Web服务器进行DoS攻击。
万兆WAF功能二:Web非授权访问防护
◆CRSF攻击防御:通过为一个被保护的URL设定一个或者多个来源URL来实现防护。欲了解更多,详见:《天清万兆WAF防御跨站请求伪造(CSRF) 》。
◆Cookie篡改防护:针对Cookie进行签名保护,避免Cookie在明传输过程中被篡改,并可为Cookie强制添加httpponly属性及secure属性,从而实现进一步防护。
◆网站盗链防护:针对被保护网站的资源访问请求进行检测,判断请求是否包含在允许的访问来源范围内,如果不属于站内提交或信任站点提交,则会被视作网站盗链行为。
万兆WAF功能三:Web恶意代码防护
◆网页挂马防护:鉴于网页挂马下载和执行的多种复杂度,天清WAF主要针对网页标签链接中嵌入的链接内容进行检测,主要采用黑名单和异型检测两种技术。
◆WebShell防护:天清WAF针对恶意WebShell上传内置了主流WebShell库进行拦截。另外,基于Web文件上传控制功能,用户可定义禁止ASP或PHP页面文件上传,有效防护基于WebShell的恶意攻击。
万兆WAF功能四:Web应用合规
◆基于URL的访问控制:通过设定基于单一URL的源IP地址黑、白名单来控制用户针对单一URL的访问权限。
◆HTTP协议合规:对HTTP请求做合规性检查,不合规定的请求丢弃,符合的进行处理。
◆敏感信息泄露防护:灵活定义HTTP错误是返回的默认页面,避免因为微博服务异常,而导致的信息泄露。
◆文件上传下载控制:可指定文件类型、文件名、文件大小,从而有效保护Web服务器资源与文件访问安全。
◆Web表单关键字过滤:针对Webmail、网站论坛、网页Blog等上传内容的关键字过滤功能,进行内容清洗,从而保护Web服务器的内容健康与合规性、安全性。
万兆WAF功能五:Web应用交付
◆网页防篡改:按照网页篡改事件发生的时序,天清WAF提供事中防护以及事后补偿的在线防护解决方案。
◆基于URL的流量控制:根据Web服务器的处理性能对Web页面访问频率进行控制,确保一些性能消耗比较大的Web页面能在Web服务器承受的性能范围之内被访问。
◆Web应用加速:其主要目标是修改或优化TCP或其它协议、应用和数据流在网络上的行为,以缩短 Web 服务的响应时间。
◆多服务器负载均衡:支持多服务器负载均衡,在代理模式下,可以定义多个为同一个 IP 地址服务的内部服务器之间的权重,以充分利用计算资源。
目前,国内首款天清万兆WAF已被推出近一年时间,越来越多的客户开始部署Web网站安全防护产品。据全球知名咨询机构Frost & Sullivan发布的2012年度 WAF市场报告显示,启明星辰的天清WAF以25.2%的市场份额在中国市场名列前茅。
张元立表示,启明星辰将向更加专业化的Web安全方面发展,针对新的安全威胁提供更好的解决方案。并将于今年Q3推出超万兆WAF,解决超万兆流量下的Web网站防护需求。
