信息安全|系統集成|軟件開發 | 全國服務熱線:028-87059958 | 移動電話:13808203880

Web應用防火墻

作者Web應用防火墻 發表日期:2020/10/22 14:36:36 瀏覽次數:

1.產品概述

1.1 產品背景

近些年,政府部門對于網站安全問題越來越重視,從2005年開始至今,公安部、國務院辦公廳、中央網絡安全和信息化領導小組都多次針對網站安全問題進行明確政策導向通知。2015年9月,由公安部、中央網信辦、工業和信息化部聯合發布“公信安2562號”通知,《黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》。此次網站安全整治行動是第一次由國家多部委聯合網站安全問題專項整改方案。

回顧2015年的安全事件,主要與篡改事件、數據庫拖庫、中間件系統漏洞、網站CMS漏洞等安全問題事件相關:

Apache的Struts2漏洞問題,自從2013年第一個Struts2漏洞被曝光之后,至到2016年4月份,最新的Struts2的S2-033遠程代碼執行漏洞又被曝光公布。

2015年2月11日,CMS系統漏洞導致桔子酒店、錦江之星、速八酒店,甚至高端萬豪酒店、麗思卡爾頓酒店、喜來登、洲際酒店等房客信息泄露,包括顧客姓名、身份證、手機號等大量涉及個人信息的信息泄露

同年6月,內蒙古財政廳發現其網站被人惡意攻擊篡改,被篡改的都是參加當年會計從業資格證考試的考生考試信息。黑客以篡改考試成績謀求經濟回報。

2016年4月中國高等教育學生信息網(學信網)遭受黑客攻擊,黑客竊取了大量大學生個人信息,導致大量學生個人信息遭到泄露。

1.2 常見安全問題

近幾年,網站安全事業頻繁被媒體報告,在烏云、補天等漏洞平臺的網站安全事件頻繁曝光,其中讓大家最直觀發現是“拖庫“事件、“網頁篡改”、網站漏洞(CMS漏洞)等安全問題。

1.2.1 “拖庫”事件

“拖庫”事件有專業名詞就是SQL注入攻擊。SQL注入的成因在于對用戶提交CGI參數數據未做充分檢查過濾,用戶提交的數據可能會被用來構造訪問后臺數據庫的SQL指令。如果這些數據過濾不嚴格就有可能被插入惡意的SQL代碼,從而非授權操作后臺的數據庫,導致敏感信息泄露、破壞數據庫內容和結構、甚至利用數據庫本身的擴展功能控制服務器操作系統。利用SQL注入漏洞可以構成對Web服務器的直接攻擊,還可能用于網頁掛馬。

幾乎所有SQL數據庫都是潛在易受攻擊的,但需要注意的是,并不是數據庫本身存在漏洞,而是互聯網網站開發人員在開發頁面時,沒有遵循安全代碼開發的要求所引起的。

1.2.2 網頁篡改

網頁篡改是最頻繁發生的網站安全事件,黑客為了達到政府目的或謀求經濟回報往往會對政府網站、電商網站進行篡改攻擊。從而達到自己的目的訴求。

網頁篡改事件的發生主要來源于網頁代碼編寫不規范、網站服務器植入后門程序(webshell等)。這些安全問題導致網頁可以被第三方輕易入侵,篡改網站內容、替換網站圖片、視頻文件等。

1.2.3 CMS漏洞

所有的網站維護都離不開CMS系統,很多網站開發商在開發時圖時效性,往往會使用公有代碼,導致安全問題頻繁出現。CMS系統是一個網站維護、內容更新的重要組成部分,一旦CMS系統出現安全問題,給網站會帶來致命的安全問題。

1.3Web應用防火墻

Web應用防火墻是網神公司重點打造的針對網站安全的防護產品。產品主要圍繞三個概念“重塑網站邊界”、“智能化防護理念”、“縱深防御體系”。

Web應用防火墻為網站服務器提供安全保障,提供Web防護、網頁防篡改、DDoS防護等多功能于一身的網站安全防護產品。

2.產品特色

2.1 重塑網站邊界

隨著網絡的高速的發展,網絡邊界越來越模糊。網站因與外界進行交互數據導致長期暴露在互聯網中。何為網站的邊界,實際以“網站”為中心,接入網站就是網站的邊界。 Web應用防火墻產品首先在網站服務器的物理前端進行防護,實現物理的第一道網站防護邊界。因網站需要與互聯網進行互聯。在互聯網中,Web應用防火墻在互聯網中架設第二道虛擬防護攔截,實現互聯網的第二道網站防護邊界。

 Web應用防火墻為網站安全啟到了重塑網站安全邊界的概念。實現物理與邏輯的雙重防護攔截手段。

2.2 智能化防護理念

傳統安全產品都有標準的特征庫,實際防護產品依靠的就是流量與特征庫進行特征匹配。當特征匹配上了就發現攻擊行為,進行防護攔截。

Web應用防火墻實現了智能化防護理念,以“云端”數據與“本地”數據進行數據交流,讓一個傳統的安全產品成為“安全防護的大腦”,實現自我判斷的人工智能防護效果。實現具有完全自動判斷能力的新一代網站安全防護產品。

2.3 縱深防御體系

“縱深防御體系”一詞源于戰爭學概念,是指防御地區或防御部署的縱向深度。 Web應用防火墻產品把此體系放到了網站安全防護的理念中進行運用。實現了從漏洞到流量、再到系統本身的縱向深度防護體系。

Web應用防火墻實現以“事件”為中心的縱深防御體系。

首先,事前評估。根據黑客攻擊經驗,每次黑客在攻擊前都會對目標事物進行漏洞掃描。評估客戶網站在開發過程中,開發人員忽視的安全問題。

其次,事中防護。根據常見對黑客攻擊技術的研究,制作出了一套黑客Web攻擊行為的特征庫,針對黑客的攻擊流量進行逐一特征匹配,匹配上的流量就是黑客攻擊流量,此時進行Web安全過濾

然后,事后彌補。針對網站網頁頻繁被篡改事件的發生,提出多重防護組合模型:內核保護、本地備份、異地備份。客戶可以根據自身網神情況進行多種防護組合。

3.技術優勢

3.1 雙存儲結構

傳統的安全設備,軟件系統都是存儲在硬盤中,為了提高穩定傳統廠商都會使用企業級硬盤或是固態硬盤,因軟件系統長時間運行,硬盤反復讀寫數據,就是穩定性高的固態硬盤都會出現硬盤故障。

Web應用防火墻使用雙存儲硬件結構,使用傳統的硬盤只作為存儲日志,軟件系統使用專用的系統存儲卡來保障軟件穩定運行。

雙存儲結構屏蔽因硬盤故障導致系統不能啟動,雙存儲硬件結構設計,即使硬盤出現故障,軟件系統也能保障正常運行,只是因硬盤故障導致日志無法進行記錄。

3.2 串聯透明部署

隨著Web應用防火墻的不斷更新發展,從傳統的透明代理模式已經轉變為透明部署方式。透明部署方式就是 Web應用防火墻的工作在OSI七層模型中的第二層(數據鏈路層)。Web應用防火墻在第二層截獲數據包,對數據包的進行特征庫匹配,匹配上就是攻擊行為,直接把數據包丟棄。如果數據是正常的,過濾引擎重新構造Web和SQL事務生產數據包發送給后端的Web服務器。

透明部署方式是串聯在Web服務器的前端,在物理層面是Web服務器的前端多了一臺硬件設備。在網絡層面是Web服務器的前端沒有任何硬件設備。透明部署方式不改變客戶的網絡拓撲結構。Web服務器看到的都是瀏覽者的源地址,也不會給審計類安全產品造成無法工作等現象的出現。

3.3 自適應網絡

   傳統的Web應用防火墻都是人工輸入網站域名、網站服務器IP地址、服務器端口等相關詳細信息。網神Web安全團隊針對純透明部署方式的特性開發了自動學習功能,針對數據流中包含的相關數據進行自動分析和摘取。可以自動學習到網站域名、網站服務器IP地址、服務器端口等相關信息,并自動生成防護列表。降低人工輸入的繁瑣配置,避免造成因人工輸入錯誤導致網站無法防護的安全事件發生。

3.4 細粒度特征庫

 Web應用防火墻提供了細粒度的特征庫,產品支持HTTP協議效驗、Web特征庫(基于OWASP標準)、爬蟲規則、防盜鏈規則、跨站請求規則、文件上傳/下載、敏感信息、弱密碼檢測等多種細粒度檢測的特征庫匹配規則。

3.6 鏡像分析模式

網絡安全產品有IPS(入侵防御系統)和IDS(入侵檢測系統)。IPS(入侵防御系統)是串聯部署在網絡中的,主要是對網絡流量進行過濾。IDS(入侵檢測系統)是旁路部署在網絡中,對交換機接口鏡像出來的流量進行分析和監控預警。

網神Web安全團隊對Web應用防火墻進行綜合部署考慮,串聯在網絡中可以對應用層攻擊流量進行監測和阻攔。旁路部署可以對交換機的接口鏡像流量進行分析并進行告警功能。

3.5 泛域名防護

互聯網的網站各式各樣的,針對一些網站提供的個人主頁訪問系統。每個用戶都可以申請個人主頁,系統會根據個人主頁的名字自動生成域名。瀏覽者可以通過自動生成的域名直接訪問個人主頁。但是這些主頁的域名都是按照定義好的規則進行自動生成的。每天都有新用戶申請個人主頁。

Web應用防火墻推出泛域名防護機制,定義好網站生成的域名規則,自動生成的域名直接就受到Web安全保護。防護無需做任何添加的人工動作。快捷方便智能化提供網站安全防護機制

3.7 旁路阻斷模式

 Web應用防火墻自主開發的旁路阻斷模式,大部分的Web應用防火墻都是串聯部署在網絡中進行流量過濾的。但是有些客戶的網絡只允許旁路部署產品。 Web應用防火墻使用鏡像分析功能與交換機、網站服務器進行聯動,實現旁路部署阻斷Web攻擊行為。

3.8 威脅情報中心

 Web應用防火墻內置有威脅情報中心功能,實際就是Web應用防火墻制作了一個人工智能大腦,與云端實現數據交流。實現Web應用防火墻自主發現攻擊行為,并智能化判定對于攻擊行為的是阻斷或是放行

3.9 網站云防護

 Web應用防火墻產品實現了重塑網站防護邊界,在物理服務器的前端構建了硬件產品的物理網站防護邊界。在互聯網利用虛擬化技術構建了虛擬的網絡邊界網站防護體系。兩個網站防護邊界實現多層過濾,多層攔截的多邊界協同防護體系。

3.10 網頁防篡改

Web應用防火墻內置有網頁防篡改監控平臺,可以對網頁防篡改客戶端進行實時監控。當網頁防篡改客戶端與 Web應用防火墻的網絡中斷時,網頁文件會被自動鎖定,所有“寫”的權限進行封鎖,只有“讀”的權限。當網絡恢復中,所有相關權限會自動下發,網站正常恢復更新。

3.11 DDoS清洗

應用層除了SQL注入、XSS跨站腳本、信息泄露、溢出等攻擊方式外,還有像CC攻擊、flood攻擊等洪水攻擊方式。針對洪水攻擊方式,Web應用防火墻有DDoS清洗功能,主要是針對CC攻擊、Flood攻擊、并發連接數進行平均值和突發值進行設置。

當監測中網絡流量突破突發值的時候, Web應用防火墻會把流量降低至平均值。避免網站服務器因洪水攻擊造成CPU負載過高,無法對訪問流量進行處理導致服務器出現宕機現象

3.12 冗余螺旋系統

Web應用防火墻硬件出現掉電問題時,設備可以自動跳bypass,保障網絡暢通。但是如果軟件出現問題時,我們往往不知道如何處理。很多實踐證明,設備軟件出現異常問題,除了找專業人員進行處理之外。很多管理員對設備都無從下手。

Web應用防火墻內置冗余螺旋系統,針對軟件自身出現異常問題時,可以手工切換到另外一套系統,配置依然保存可以使用,保證軟件的正常運行和網站的安全防護。

3.13 bypass機制

 Web應用防火墻內置有bypass機制。bypass機制是由硬件bypass和軟件bypass組成。硬件bypass主要針對于誰被掉電后,設備本身沒有電力供應,設備會自動變為網絡直通。軟件bypass主要針對軟件性能問題,如果CPU、內存、軟件出現異常。軟件bypass功能會自動啟動。軟件會把所有通過第二層(OSI模型的數據鏈路層)直接變為數據轉發。

4.典型應用

4.1 拓撲圖

 Web應用防火墻系統屬于串聯部署產品,產品部署在網站服務器的前端。對外來訪問網站的流量進行過濾。 Web應用防火墻需要配置DNS服務器,可以實現威脅情報中心、網站云防護等功能。在網站服務器上按照客戶端,可以實現網頁防篡改功能。

                                               


4.2 總結

隨著Web應用的豐富,各類攻擊工具不斷的普遍和強大,互聯網上的安全隱患越來越多。隨著客戶核心業務系統對網絡依賴程度的增加,Web應用攻擊事件數量將會持續增長,損失嚴重程度也會劇增。因此,政府、企業等各類組織都必須有所對策以保護其投資、利潤和服務。

Web應用防火墻系統實現真正意義上的WEB安全解決方案,采用圍繞三個概念“重塑網站邊界”、“智能化防護理念”、“縱深防御體系”。產品提供了業界領先的Web應用攻擊防護能力,通過多種機制的分析檢測,網神的產品和技術能夠有效的阻斷攻擊,保證Web應用合法流量的正常傳輸,這對于保障業務系統的運行連續性和完整性有著極為重要的意義。同時,針對當前的熱點問題,如SQL注入攻擊、網頁篡改、網頁掛馬等,網神SecWAF 3600 Web應用防火墻按照安全事件發生的時序考慮問題,優化最佳安全-成本平衡點,有效降低安全風險。


聯系我們
地址:四川省成都市成華區萬科路9號凱德廣場
手機:13808203880(微信同號)
座機:028-87059958
聯系人:先生
郵箱:Qiu_np@aochinese.com
公司代理網絡產品:華為代理商 天融信 網絡安全 信銳無線 思科代理商 Juniper代理商 Aruba代理商 海康威視 視頻會議 信息安全 等級保護
關注奧華信息
幸运赛车前一有哪些技巧 彩的微信名 陕西快乐10分走势图快乐电子屏 龙王捕鱼游戏 五子棋练成之后怎么办 18选7中奖表 篮球让分胜负怎么玩法 篮球比分 理财产品有哪些 秒速时时彩历史开奖记录一点击进入 竟彩足球即时比分 大赢家比分网 资料库 美国石油期货走势 大发彩票网官方网站-点击进入 篮球比分直播90vs p3试机号排列三试机号今天 福彩3d出号走势图2元网