梭子鱼WEB应用防火墙WAF通用项目方案.docx

1、WEB应用安全项目建议书梭子鱼WEB应用防火墙通用方案文档修订记录标题WEB应用安全项目建议书-梭子鱼WEB应用防火墙通用方案文档类型产品文档 设计方案 实施文档 配置文档测试文档其他当前版本V1。0文档作者梭子鱼(中国)文档审阅创建日期2012/5/14文档名称WEB应用安全项目建议书-梭子鱼WEB应用防火墙通用方案更新者更新内容及版本更新时间潘渊文档建立2012/5/14文档说明此文档是由梭子鱼公司（中国）于2012年制定的内部文档.本文档仅就Barracuda Networks内部与相关合作伙伴和Barracuda Networks最终用户使用。版权说明本文档中出现的任何文字叙述、文档格

2、式、插图、照片、方法、代码等内容,除由特别注明，版权均属于Barracuda Networks所有，受到有关产权及版权法保护。任何个人、机构未经Barracuda Networks书面授权许可，不得以任何方式复制或引用本文档的任何片断。目录第一章前言4第二章WEB应用安全分析41。WEB应用漏洞定义42。攻击导致的后果53。企业组织所面临的安全挑战54.传统安全产品的缺陷6第三章梭子鱼WEB应用防火墙的技术优势71。梭子鱼应用防火墙工作原理72.梭子鱼应用防火墙三层防护机制8第四章XXX有限公司WEB应用安全需求分析及项目方案171。客户背景172。XXX公司的相关需求175。网络架构和部署1

3、86。梭子鱼型号的选择19第五章梭子鱼WEB应用防火墙产品国际评测211。奖项证明21第六章梭子鱼WAF客户情况22第一章 前言梭子鱼应用防火墙产品是一款集成化的产品，它能够在完全的获取和管理Web应用过程中进与出的每一个事务。同时它也是一款高性能,双向HTTP代理设备，允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则。梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统，应用防火墙通过终止,安全，加速web应用会话流量,提供给数据中心一个非常有价值的解决方案,来控制至关重要的web应用.梭子鱼产品的拓扑和管理是非常简单的。最重要的是,梭子鱼应用防火墙是完全遵循WAS

4、C和OWASP组织的协议来开发的。第二章 WEB应用安全分析1. WEB应用漏洞定义Web应用由于其具备以下以下特点,经常更改，不彻底的开发编写，没有经过严格的测试;导致web应用出现了大量的漏洞，这些漏洞甚至将整个企业服务器或网络暴露给了外界。企业不得不定期的检查服务器设备是否存在web应用漏洞,简单地测试，总结一些对策，以保护web应用不受攻击。下面列举一些最为典型的攻击类型，这些攻击将会导致非常严重的安全事件： 缓存溢出 差劲的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致一个攻击，借此，恶意代码将溢出到另外一个缓存中来执行恶意代码. 跨站点脚本攻击 攻击类型的代码

5、数据被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击 服务拒绝攻击 - 这种攻击会导致服务没有能力为正常业务提供服务 异常错误处理 错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。 有问题的或者不存在的session ID - 当session ID没有被正常使用时,攻击者可以破坏Web会话,并且实施多个攻击（通过冒用其他的可信任的凭证），借此来绕开认证机制. 命令注入 - 如果没有成功的阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容（SQL语

6、句)，应该保持简单，并且不应该还有可被执行的代码内容. 脆弱的认证 利用脆弱的认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严重的问题.通过正确的开发Web应用可以轻而易举的避免此问题. 未受保护的参数传递 利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,浏览器在将HTML传回给服务器之前，是不会修改这些参数的。 不安全的存储 对于Web应用程序来说，妥善的保存密码，用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。 非法输入 在数据被输入程序前忽略

7、对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。2. 攻击导致的后果各类关系国计民生的重要信息系统,如政府网站、媒体网站、或商用网站都可能遭受到SQL注入攻击、网页篡改,或是网页挂马。2008年北京奥运会将成为各方关注焦点，包括攻击者在内。来自Websense安全实验室的研究预测,围绕今年北京奥运,将极有可能针对奥运相关网站爆发大规模的DDoS攻击以及利用奥运网站媒体平台进行网页挂马。 一旦攻击得逞，必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能被用于恶意商业竞争，比

8、如通过篡改某知名媒体网站网页，发布对竞争对手不利的虚假信息。 网页挂马相对比较隐蔽，其攻击目标是各类网站的最终用户。首先攻击者在服务器端插入恶意代码。用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序,最终攻击者盗取客户端的敏感信息（如各类帐号密码),甚而可能用户主机沦为攻击者的肉鸡.这种情况下，Web服务器成为了传播网页木马的“傀儡帮凶，严重影响到网站的公信度。 遭受分布式拒绝服务攻击（DDoS)之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败。其服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，公司的信誉也会蒙受损失，

9、而这种危害又常常是长期性的。 3. 企业组织所面临的安全挑战1. 公司在有限的时间和预算压力下，开发出的Web应用缺乏对安全的整体考虑开发人员，执行人员和测试人员都没有接受过专业的安全培训；他们大都关注于Web应用是否符合实际的需求。公司同时需要耗费其他资源来防止和限制对应用的错误使用。2. 相关的行业标准对Web应用安全起到了指导性的作用（1）MasterCard和Visa信用卡提出了所有存储，处理或者传输持卡人数据的成员机构，商业机构,服务提供商都必须符合Payment Card Industry （PCI） Data Security Standard。PCI标准强制所有涉及到持卡人数据

10、环境的Web软件和应用都必须基于安全的编码方针，并且必须符合Open Web Application Security Project （OWASP）的协议。（2）随着在其他行业中,软件安全需求意识的提高，这些指导方针对那些不安全的Web应用提出了挑战。4. 传统安全产品的缺陷传统网络防火墙和IPS是最常见的安全类产品，从工作机制和工作原理上,WEB应用防火墙和网络防火墙,IPS都是不同的产品,关注的安全点不同,造就了不同的工作模式和应用场景,通过下面的描述，可以很好的区分这3款产品的不同之处.与传统网络防火墙相比：这是工作在不同层面两类产品!第一代网络防火墙作为访问控制设备,主要工作在OSI

11、模型三、四层，基于IP报文进行检测。其产品设计无需理解HTTP会话，也就无法理解Web应用程序语言如HTML、SQL。因此，它不可能对HTTP通讯进行输入验证或攻击规则分析.针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，从80或443端口顺利通过防火墙检测。一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，如能根据TCP会话异常性及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中，但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。与IPS相比:这是防护技术和防护对象不同

12、的两类产品!相同点是，IPS和Web应用防火墙都是为防止网络攻击而设计的.不同的是IPS采用的是特征匹配技术、使用“允许除非明确阻断模式,其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用；IPS不能像Web应用防火墙那样进行主动防护，因此他不能防止“零日攻击”,也无法防止针对某个应用特制的攻击,如针对某个网站的命令注入或SQL注入攻击;IPS事实上也不会去理解HTTPS协议中的程序代码或报头设定，由于Web网站往往是特定开发的，IPS往往无法针对性的进行防御。第三章 梭子鱼WEB应用防火墙的技术优势梭子鱼应用防火墙特性梭子鱼应用防火墙通过反向代理（Proxy）帮助企业建起

13、防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在应用层（HTTP)上,确保内部服务器操作系统和TCP堆栈不直接暴露于Internet，保障Web应用的安全。1. 梭子鱼应用防火墙工作原理梭子鱼应用防火墙工作原理梭子鱼WEB应用防火墙 针对Web服务器的强大、应用层安全 代理出入流量、隔离Web服务器免受黑客攻击 防御常规的网络攻击 减少失效访问控制 提供流量管理和加速2. 梭子鱼应用防火墙三层防护机制梭子鱼应用防火墙三层防护机制1.终止会话终止Web应用防火墙进行TCP握手的优势（终止)：l 在发往真实服务器之前，完全控制会话,并实行安全策略 l 实现应用加速功能l 卸载诸如SSL

14、之类的运算状态网络防火墙拥有基于状态的网络防火墙的优势:l 实现传统网络防火墙的ACL，NAT，PAT等规则的设定l 保护内部网络免受24层的网络攻击:Prevent SYN floodPrevent too many halfopen connectionsPrevents port scanning and network reconnaissanceSSL 终止SSL终止的优势：l 卸载高强度计算的SSL加密，使应用服务器CPU占用率大大降低 l 自定义的局部网站加密,无需改动任何代码l 在进行内部网络之前，解密SSL加密数据HTTP协议合规化HTTP合规化的优势在于:l 强制符合标准化

15、协议l 自动解码，并识别和阻断被编码的数据HTTP包头重写HTTP包头重写可以：l 防止信息泄漏和扫描l 提供更得心应手得流量管理l 提供独一无二得应用层功能URL转换URL转换的优势:l 提供应用层伪装 l 针对客户只暴露一个简单的名称结构URL 速率控制URL速率控制能够帮助您实现：l 后端应用服务器收到指定速率的请求 l 防止应用服务器过载 l 提供一个控制应用的事务中心3. 安全应用伪装应用伪装能保护使您的应用和外界完全屏蔽：l 隐藏所有服务器，操作系统，应用服务，web服务的结构l 防止worms and bots 对应用进行扫描认证与授权l 拒绝/同意被认证授权的用户l 在URL级

16、别设置访问控制列表l 能为安全审计提供详细的日志和报表表格保护 表格保护能够：l 防止因为表格字段篡改而造成的攻击l 防止由于因为表格字段太长导致的缓存溢出l 防止SQL注入和命令注入攻击Cookie 保护 Cookie保护能够有效地:l 通过cookie加密来防止cookie偷窃 l 通过对会话cookie进行签名，防止cookie被篡改数据盗窃防护 数据盗窃防护能够:l 通过正确地给信息进行编码,保护机密资料 l 数据偷盗保护功能完全根据一些对私有数据保护协议而设计，比如HIPAA, GrammLeach-Bliley, and CA SB-1386。动态学习功能 （DAP）动态学习能力的

17、优势:l 不需要设定相关的规则来阻挡攻击,能够自动学习判断 l 如果后台应用调整了，不需要来对应用防火墙进行相对应的调整SQL和OS 命令注入防护l 防止SQL注入l 防止OS命令注入l 防止跨站点脚本攻击l 无需改动应用代码4. 加速缓存缓存的优势在于：l 加快客户响应速度l 减少后台服务器的CPU占用率GZIP 压缩提供压缩能够帮助我们：l 很大程度上的加速应用交付l 降低带宽90%的使用l 提高web速度30l 使后台服务器原本需要执行的压缩处理过程转嫁到应用防火墙上TCP 连接池TCP连接池的优势:l 减少后台服务的CPU占用快响应时间率7层内容交换7层内容交换的优势在于：l 分组规则

18、实现的负载均衡，缓存以及压缩能够有效地提高响应速度和降低CPU占用率l 失败连接地重定向l 重定向内容请求到最适合的后台服务器负载均衡l 内建高性能和可靠性设计l 添加和删除服务器对整个服务没有任何影响l 对无效服务器的访问进行重定向第四章 XXX有限公司WEB应用安全需求分析及项目方案1. 客户背景企业,公司或者组织需要将Web应用安全作为一部分，包括在他们的安全管理部署之中。据统计，90%的外部访问应用,如今，还是直接面向web服务器，其中的三分之二具有可以被攻击的漏洞,能够是黑客轻易的控制和破坏服务器和服务.因为Web应用是可以使用浏览器进行外部访问的服务,攻击者可以轻而易举的绕开边界安

19、全设备，通常这些设备对80和443的端口都没有做任何限制。因此我们推荐XXX公司使用梭子鱼应用防火墙来实现对Web应用漏洞的检测和防护. 此处为公司背景、网络状况简介2. XXX公司的相关需求1 对包括SQL注入，命令注入，缓存溢出，跨站点脚本攻击等数十种已知的web应用攻击进行有效的防护,不影响正常的web应用流量以及其他的应用流量2 对未知的web应用攻击能够有效地防护，并伴随智能学习能力3 实现双向过滤能力4 实现站点的虚拟化，实现后台真实服务器和真实域名对外界的非可见性5 SSL offloading功能,加速SSL流量6 连接复用功能,实现TCP连接池7 应用防火墙热备功能,避免单点

20、故障，实现stateful failover8 多种认证机制的支持，包括LDAP，AAA，RADIUS，AD etc9 多种部署方式，简单管理，提供图形化界面10 符合PCIDSS，OWASP，WASC协议标准11 无需改动现有的web应用代码梭子鱼应用防火墙产品是一款集成化的产品,它能够在完全的获取和管理Web应用过程中进与出的每一个事务.同时它也是一款高性能，双向HTTP代理设备,允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则.梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统,应用防火墙通过终止，安全,加速web应用会话流量，提供给数据中心一个非常有价值的解

21、决方案,来控制至关重要的web应用。梭子鱼产品的拓扑和管理是非常简单的.最重要的是,梭子鱼应用防火墙是完全遵循WASC和OWASP组织的协议来开发的。5. 网络架构和部署双臂代理模式(推荐）双臂代理模式是web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式，能够提供最佳的安全性能。在此模式中，所有的数据端口都将被开启；端口eth1是对外的，直接面向因特网的端口;端口eth2将会和内部的设备（交换机等）进行连接，是面向内部的。管理端口可以被分配到另一个网段，我们推荐将管理数据和实际的流量分离，避免因为实际流量和管理数据的冲突.以下为示例拓扑图：网络实现:1 WAN端口和LAN端口位

22、于不同的网段，所有外部客户将会和应用虚拟IP地址进行连接，此虚拟ip将会和前端端口（Wan）进行绑定2 客户的连接将会在设备上终止，进行安全检查和过滤3 合法的流量将会由后端端口(Lan）建立新的连接到负载均衡设备4 负载均衡进行流量的负载5 双臂代理模式可以开启所有的安全功能Note：此种部署模式，会暂时性的造成应用的不可访问性。可以根据实际需求，在部署过程中，局部分层次的进行。6. 梭子鱼型号的选择梭子鱼WEB应用防火墙有五个型号,分别适用于从小型企业,大中型企业,到运营商等不同情况的用户.根据XXX公司提供的HTTP吞吐量，我们推荐采用MODEL 860型号的产品部署梭子鱼WEB安全解决方案。梭子鱼WEB应用防火墙 MODEL860产品主要性能：处理能力：HTTP吞吐量为600Mbps提供各种网络安全应用防护手段；增强安全性网络访问控制集成；提供应用交付功能；第五章 梭子鱼WEB应用防火墙产品国际评测1. 奖项证明13第六章 梭子鱼WAF客户情况1 全球众多梭子鱼WEB应用防火墙客户;2 国内客户遍布各个行业 WEB应用安全项目建议书 第13页 Barracuda Networks China