原文 http://netsecurity.51cto.com/art/201007/210932.htm
无论是基于Web的应用系统还是Web网站,他们都面临着各种各样且来源不定的安全威胁。他们有些是已被发现,并具有可识别的固定特征的;则是因网站的设计和代码,以及攻击者的行为习惯而异的。而所有这些都是Web应用系统和Web网站必须面对和解决的安全问题。
传统的技术手段。如防火墙和IPS都是基于已知的安全特征的安全检测和防护手段,而且它们只能做到网络,有的可以处理协议层数据包(新的技术)。但
是对于Web应用中大量采用,而同时又是被攻击的主要目标的动态页面是无能为力的。这是因为,动态页面本身就是没有固定模式的,所以针对它的攻击也是没有
固定特征的。
同时,必须注意到,完全依赖特征库的检测和防护技术,不可避免的具有很高的误报率和漏报率,并且在两者之间很难达到平衡。
目前,大多数网站采用的都是这种技术,它们也了解其中的问题,只是没有更好的技术来取代而已。而Imperva的SecureSphere Web应用防火墙采用新型防护手段,既有效地弥补了传统防护方式的不足,又具有很多新的特点。
作为新型的Web应用防火墙,SecureSphere的特点是基于正向模型——即,为模型的安全检测技术可以从根本上解决上述传统Web防护的问题,尤其是当两者结合的时候。
但同时,对于基于为模型的检测和防护,有几个关键的技术问题必须解决:
a.模型的产生必须是自动和动态的。——由于为模型包含的因素非常广泛,且数量众多,人工生成和维护的方式在实际使用中是完全不可行的;而且,会产生大量的误报。
必须和基本的反向模型向结合。因为反向模型可以屏蔽大量的基本攻击,而让基于为的机制解决更高级的攻击流量。
b.必须在防护的各个层次,以及时间上进关联分析。Ì
真正有危害的攻击通常会在多个层次,包括时间轴上表现出相当的关联性,通过关联分析可以极大的提高攻击辨识的能力,降低误报率。
另外,由于行为分析意味着大量的计算,产品在具体实现方面必须保证应有的性能,特别是在处理能力(Session Per Second)和时延方面(ms)。Imperva的Web防火墙采用独特的技术很好的解决了上述问题。
Imperva WAF的功能和特点
SecureSphere
WEB安全防护网关是专为了对WEB网站和基于WEB的服务器提供全方位防护而设计的。它的防护对象不仅包括普通的端口扫描、TCP Sync
Flood、已知的高级攻击手段如SQL注入等,还包括未知的、新出现的高级的攻击,如URL参数篡改、Cookie毒化等。同时还可以对管理核心数据的
后台数据库进行防护, 如下图所示:
SecureSphere的WAF G8包括以下方面的功能和特点:
Web应用防火墙功能
SecureSphere
系统保护用户的WEB应用攻击,例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击(详见列表)。动态评估技术自动创建WEB应用的使用
和结构的正向安全模型,包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互
时,SecureSphere 系统密切监视他们的活动,并与安全模型比较。任何攻击的企图都将被监测到,并被阻止。
Web服务防火墙功能
SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同SecureSphere系统的应用防火墙功能
一样,服务网关采用Imperva公司的动态评估技术建立合法应用行为的安全模型,包括XML
URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来,并加以阻止和防范
动态建模和自动策略
SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即,对访问的URL、动态页面传
递参数、Cookie传递的参数等进行监测,对比正常的访问行为基线;如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能
完成,无需人工干预,而且还可以根据Web应用的变化进行自适应调整。同时,管理人员还可以进行微调,以得到最优的“充分必要”的策略。
Web入侵防护系统(IPS)
SecureSphere
IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点(例如,IIS、Apache和
Windows 2000)。SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。
SecureSphere系统同时提供多网络协议的Snort兼容的特征库,符合http协议和来自“应用防御中心”–
Imperva自己内部的安全研究组织,的高级应用保护特征。SecureSphere 系统提供定时更新服务,确保安全保护的时效性。
多层次的防护及关联
◆SecureSphere不仅提供了创新的安全技术手段,如自动建模,防蠕虫扩散、高层协议检测;同时也整合了各种成熟的技术,如:网络防火墙、
入侵检测和防护。特别需要指出的是SecureSphere的入侵检测技术是专门针对Web服务的,除了基本的Snort特征库,还提供丰富的Web应用
和数据库应用的攻击特征库。
◆SecureSphere整合多种安全手段的目的不仅提供了多层次的安全防护,而且通过各个防护层次间内在的关联,可以极大的提高攻击识别的准确性,降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。
前后台关联。
当今,Web服务系统发展的趋势是,除了提供静态信息的提供外,还提供与多种应用和服务的交互接口。网页交互和动态页面技术越来越多的扮演了核心的
角色。同时由于动态页面技术的灵活性,它也成为了Web攻击的热点,包括通过动态页面与后台数据库的连接关系,获取和篡改应用系统的核心信息,如账号密
码、用户信息、交易信息等。SecureSphere为Web网站和基于Web的应用提供全面安全防护,包括前台Web服务器和后台数据库;而且可以进行
实时的前后台关联。因此SecureSphere可以帮助发现攻击的真正发起源,可以防护通过后门对数据库发起的攻击,提高攻击发现的能力,以及精确的从
大量访问流量中阻断攻击流量。
Imperv WAF的部署:
配置原则
在为xxx用户配置Imperva公司的Web安全防护产品的时候,遵循一下的配置的基本原则:
◆功能性满足本项目的实际需要
◆可以支持现有应用系统,如数据库类型、本版等
◆处理性能满足系统的需要
◆对现有系统的无影响,包括;IP地址空间、路由规划、无需调整应用系统(如设置Proxy,安装软件等)
配置说明
鉴于以上的配置原则,针对xxx web保护项目的Web应用保护,采用Imperva 的SecureSphere系列中G4作为Web应用监控和防护网关。同时,为了提供统一的管理和配置平台,配置MX作为集中网管平台,对数据库应用监控和防护网关进行统一的管理。
G4有500Mbps的吞吐量,同时支持的交易数是16,000每秒,同时为了保证系统的可靠性,配备两台,用来监控和保护核心的Web应用,如果
一台出来问题,系统可以自动切换到另外一台。另外配备一台网管服务器MX,对两台数据库安全网关做统一的管理和配置。拓扑图如下所示:
分享到:
相关推荐
明御WEB应用防火墙产品配置手册V3.0.4.0
网神SecWAF 3600 应用防火墙(又名SecWAF应用防护系统),以下简称网神SecWAF,是自主知识产权的新一代安全产品,作为网关设备,防护对象为Web服务器,其设计目标为:分别针对安全漏洞、攻击手段及最终攻击结果进行...
“Safe3 Web Application Firewall"是国内知名安全组织保护伞网络基于新一代Web安全技术开发的全方位企业Web信息安全产品。 不仅能有效扫描各种WebShell,而且可以抵御各种Web攻击。 运行环境: 该软件能运行在...
统、安全配置检查工具、安全运营中心 (SOC)、服务器安全加固系统等 2 网络安全设备 防火墙 入侵检测系统 入侵防御系统 Web应用安全网关 漏洞扫描 网络审计 内网管理平台 安全运营中心(SOC) 3 防火墙技术 什么是...
WAF是使用Java开发的API网关,通过WAF构建在开源代理之上,所以说WAF易于使用的是 。特性安全拦截,支持各种分析检测,支持脚本(沙箱);流控/ CC防护,支持IP粒度,可扩展; HTTP代理,使用“中间人”式攻击支持...
Janusec应用网关(Janusec Application Gateway),提供WAF (Web Application Firewall, Web应用防火墙)、统一Web化管理入口、证书私钥保护,Web路由以及可扩展的负载均衡等功能,是应用安全领域的最佳实践。
本手册是SecGate 3600安全网关管理员手册中的一本,主要介绍如何通过WEB管理方式对SecGate 3600系列安全网关进行配置管理。 本手册适用于负责支持、维护SecGate 3600系列安全网关的安全管理员,是对SecGate 3600系列...
H3C SecPath Web应用防火墙系列 Web配置指导 H3C SecPath系列高端防火墙 Web配置手册 H3C WA系列无线局域网接入点设备Web网管 H3C WB系列无线网桥设备Web网管 H3C IPS WEB配置手册.pdf H3C WiNet系列以太网交换机_...
网神 3600—F3系列防火墙操作手册电子版。如果随机附赠的丢失了,可以看看。
基于nginx的安全Web应用程序网关,具有集成的Web应用程序防火墙,LetsEncrypt,fail2ban等::wink它被设计为面向公共互联网的纯反向代理。 当然,您也可以在内部使用它,但是您将无法使用LetsEncrypt,因为目前这...
防火墙原理 及DP防火墙产品配置,设计计算机网络相关知识
由于Intranet突破了传统的企业管理信息系统的系统模式,采用了多层的Client/Server模式,并利用业已成熟而广泛采用的Internet技术,因此,现代企业网络都采用以Web为核心应用,以TCP/IP、HTTP为传输协议,通过浏览器...
它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
Janusec应用程序网关Web管理该项目是用于Angular 9的的统一Web管理门户。 该项目是可选的,并且Janusec Application Gateway已经包含了该项目的分发文件。开发服务器Angular 9+是必需的。 使用janusec-admin网址编辑...
WEB 系统安全控制方案,网络配置、网关、防火墙、网络构架等。
提供快速,安全的应用交付/提供快速,安全的应用交付 Janusec应用网关简介PPT:中文: : 英文: : 主要特性快速交付:基于Web的配置(Web化配置) 安全性安全访问(Secure Access):一键启用HTTPS(一键启用HTTPS...
H3C_SecPath_虚拟多业务安全网关VFW1000_安装与启动指导-5W100-整本手册