梭子鱼Web应用防火墙管理手册 博威特网络公司
第一章 简介 本章概述梭子鱼web应用防火墙,包括: ·概述 ·当前的防御技术 · Web站点的安全需求 ·梭子鱼web应用防火墙的目的 ·梭子鱼应用防火墙的性能
Introduction 7
1.1概述 Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶意程序的攻击目标,造成数据损失,网站篡改或其他安全威胁。当前的网络安全产品都不是基于web的安全防护产品,无法抵御各种Web攻击。因此那些重视或依赖web网站的企业必须考虑如何对各种变化多端的应用层攻击进行防护。 1.1.1常见攻击手法 目前已知的应用层和网络层攻击方法很多,这些攻击被分为若干类。下表列出了这些最常见的攻击技术,其中最后一列描述了梭子鱼Web应用防火墙如何对该攻击进行防护。 表 1.1:对不同攻击的 防御方法 攻击方式 跨站脚本攻击 描述 跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。 梭子鱼应用防火墙的防护方法 其防护方法是:通过检查应用流量,阻止各种恶意的脚本插入到URL, header及form中。 防护方法是:通过检查应用流量,侦测是否有危险的数据库命令或查询语句被插入到URL, header及form中。 SQL 注入 攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。 命令注入 攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。 防护方法是:通过检查应用流量,检测并阻止危险的系统或软件平台命令被插入到URL, header及form中。 通过对cookie进行数据加密,签名和时间戳等技术防止其内容被窃取篡改。 cookie/seesion中毒 Cookie通常用于携带用户敏感的登陆信息,但它可能被修改提高访问权限,或伪装成他人的身份登陆。 参数(或表单)篡改 在URL、HTTP头和表中经常使用参数用于控制对敏感数据的有效访问。 利用参数配置文档检测应用中的参数,仅允许合法的参数通过,防止参数篡改发生。 缓冲溢出攻击 由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。如获取系统管理员的权限。 自动执行限制数据边界条件,确保不危及脆弱的服务器。 目录穿越攻击 攻击者能访问合法应用之外的数据或文件目录,导致数据泄露或被篡改。 利用应用配置文档,阻止含有路径穿越的访问,并强迫只能访问设计发布的网页,从而阻止非法访问不合法的网页或目录。 8 Barracuda Web Site Firewall Administrator’s Guide
密码拦截 黑客很少尝试破解强编码数据如SSL,他们倾向于攻击那些临时的无防御的数据点,数据的加密和解密通常由多台设备配合进行,这种零散的结构为黑客对数据截取大开方便之门。 具备SSL安全防护机制,在任何环境下仅加密的流量才能通过网络,在结合DMZ区的防御机制,进一步减少单独某个设备漏洞暴露的可能性。 Cookie窃取 Cookie通常用来传输用户的登陆认证信息,它通常只是采用简单的编码如Base64,这样容易导致登陆信息被窃取。 对Cookie采用数据加密,签名和时间戳技术防止Cookie被窃取。 日志篡改 黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。. 将后端服务器的访问记录集中到梭子鱼Web应用防火墙上,通过数据签名和加密防止其被篡改。还可以按应用声称加密日志。 出错信息截获 黑客通过网站的某些出错信息能够分析网站的某些特征,进而找到攻击点。 梭子鱼web应用防火墙像防护罩一样,防止访问者获取来自服务器的出错信息造成无意的信息泄露。 攻击隐藏 黑客通常通过将他们的请求进行编码,以此来伪装自己的身份。 常见的攻击通常可以通过补丁来修补,但是很多情况下补丁并不及时,黑客在侦测了应用平台后,可以利用该平台的已知漏洞进行攻击。 在检查之前对解密URL、Unicode和其他各种形式加密。 应用平台侦测 梭子鱼将阻止已知的攻击,这样用户可以按计划打补丁,而不必时刻关注最新的补丁。 安全管理侦测 经验丰富的黑客会对安全管理系统下手,修改或者关闭某些安全策略(网络层、应用层都可能发生)。 通过安全的加密通道对所有的管理流量进行防护。 TCP碎片攻击 通过将一个攻击会话分片成多个TCP数据包可以使得一个攻击只扫描数据包而不扫描完整会话的检测。 对整个会话做深度检测,合并碎片重组数据以检测是否含有攻击。 DOS攻击
经验丰富的黑客会对安全管理系统下手,修改或者关闭某些安全策略(网络层应用层都可能发生)。 包括所有的网络层的DoS防护,包括防止 SYN cookie 和对客户端连接速率进行限制。