其他考虑因素 对web应用不当的安全设置或管理可能会对web站点的性能及使用性产生不良的影响,主要包括如下几个方面: ·深度数据分析和处理可能导致性能明显下降。 ·如果误用规则导致正常用户也不能访问。 ·冗长复杂的配置可能导致各种小错误发生。 ·低效的负载均衡方式导致处理瓶颈。 ·复杂的不可靠的灾难或冗余机制导致可用性危机。
10 Barracuda Web Site Firewall Administrator’s Guide
现有的防御技术 目前,很多企业采用网络安全防御技术对Web应用进行防护,如综合采用网络防火墙,IDS,加强补丁管理,升级软件等措施,然而这些方法难以有效的阻止Web攻击。 传统网络防火墙 第一代网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法阻止Web攻击,不论这些攻击来自防火墙内部的还是外部,因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对web应用的访问,防火墙会开放Web应用的80端口,这意味着Internet上的任意IP都能直接访问Web应用,因此web及其应用服务器事实上是无安全检测和防范的。 状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。它能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器;同样,如果某个攻击进行了加密或编码该防火墙也不能检测。 入侵检测系统(IDS) 入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的,它不能阻止攻击,也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击,此外,可以通过加密,TCP碎片攻击以及其他方式绕过入侵检测系统的防御。 加固应用程序安全 安全性可以直接写入应用程序中,许多公司也采用这种方法。但是应用程序级的安全难度很大,也需要花费大量的时间。根据美国国防部的研究,平均1000行代码中有15个漏洞,快捷键、调试工具、漏洞百出的代码以及马虎的文档注释等都增加了安全风险,很多情况下开发者都是充忙的完成程序,而将代码安全放在了第二位,这更加增大了程序的风险性。
11 Introduction
补丁管理 已知的软件程序漏洞可以通过及时打补丁实现安全,然而,每次都能及时打上补丁是难以做到的。大多数用户都面临两难选择,要么发现并对每一个漏洞打补丁,要么仅打上比较重要的补丁而留下潜在的安全隐患。此外,补丁不能对未知的安全威胁进行防范,补丁也不能修补那些因为管理不当或配置不当造成的系统漏洞。 补丁的最大挑战是,对于客户化的应用,软件的开发者倾向于采用最新型的结构并按照最佳应用安全方式编程,如确认输入到某个表或cookie中的值是否正确,而应用程序往往建构在多个平台之上的,包括Web服务器、应用服务器、数据库服务器、以及以前的一些系统,因此要实现补丁安全几乎难以做到。 对于商业应用软件而言,其IT架构安全必须依赖供应商,通常仅针对一些已知的安全威胁有补丁,而对于新型的、危险性大的漏洞却难以及时打上补丁,打上补丁的时间总是滞后于用户的期望,甚至有时可能需要登上6个月才能对某个安全漏洞打上补丁,对于一个复杂的数据中心而言,用户不得不从很多供应商那里获得各种各样的补丁,因此补丁管理是一件非常麻烦的事情。
uction 12 Introd
Web安全需求 企业 对Web应用的安全防护有如下需求:网络边界简便部署、集中化的管理、减少开销、简化操作,包括: ·对终端服务器或应用程序改动越少越好。 ·减少时刻更新补丁的需要。 ·快速安全地配置一个新应用。 Web网站安全需要能对数据包进行深度检测,只有Web应用防火墙才能符合上述需求。 深层次扫描 具备深度检测功能的防火墙能够在OSI模型中的4-7层阻断攻击包,深度包检测防火墙具备状态检测防火墙的功能,如支持网络层的ACLs,支持检测TCP会话的状态,支持TCP攻击预防,支持包的拆分重组。此外还具备一下四点功能: ·应用层信息解密:攻击可以隐藏在URL编码、Unicode或SSL编码的数据中,深度检测防火墙能解密特定的应用协议。最明显的例子就是SSL数据解密。如果防火墙不能解密SSL,就相当于敞开了攻击之门 ·正常的流量一般遵循一定的标准。在进行安全规则匹配检查时,深度防火墙能将所有流量转化为正常规范的编码方式。在HTTP流量中,意味着编码为Unicode、UTF或十六进制的文本。否则,防火墙无法对不同格式的流量对规则安全匹配检查,很多情况下,黑客就是采用不同的编码方式来伪装攻击的。 ·应用协议遵从:深度检测防火墙具备协议探测功能,能识别HTTP、SMTP、POP3、DNS、IMAP和FTP。只有遵从RFC标准的流量才被许可。 ·双向检测:深度检测防火墙能对流向或流出Web服务器的流量进行检测及应用策略。双向且同时对全部的包进行分析,包括HTTP 头、URL、表和信体。 Web应用防火墙 Web应用防火墙和传统的网络防火墙相比既有相似的地方也有明显的区别。 应用防火墙也拥有传统防火墙的功能(ACL和NAT),称之为网络地址转换(Web Address Translation)。在web中,人们使用URL而非IP地址,您可以使用Web ACL(WACL)和WAT转换URL,就像您使用ACL和NAT一样。传统的防火墙依靠连接表阻断或允许某个流量;Web应用防火墙则依据web应用ACL的深层次扫描结果阻断或允许某个流量。 Web应用防火墙的两个关键功能是,可监测访问流量,能对web流量进行安全控制。Web数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境,应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求。
Introdu
梭子鱼Web应用防火墙的作用 梭子鱼Web应用防火墙(简称梭子鱼)提供高效的Web应用安全边界检查功能。图1.2 描述了梭子鱼Web应用防火墙的网络部署结构。梭子鱼Web应用防火墙整合了所有的Web安全防御功能,能全方位的保护用户的Web数据中心。梭子鱼能对所有Web流量进行深度检测,在网络层和应用层两方面提供了广泛的入侵防护功能。 典型的部署方式是将梭子鱼Web应用防火墙串联防火墙的后面如下图所示,(也有其他部署方式)
图 1.1: 典型的梭子鱼Web应用防火墙部署方式
梭子鱼Web应用防火墙深度检测功能能检测应用层数据,可以根据某个应用或某组应用设定访问规则。梭子鱼Web应用防火墙能够对数据进行双向检测,定义一套许可的应用流量规则,并在许可前记录相关的访问日志。梭子鱼Web应用防火墙提供了最为全面的应用安全防护。 梭子鱼Web应用防火墙前面板有两个接口,用于连接web服务,后端有一个管理口,用于管理梭子鱼设备。这样能确保管理员不能直接访问web站点,所有的web访问都需要经过梭子鱼的扫描防护。梭子鱼在运行时,web流量不会经过管理口,因此攻击者也无法进入到web应用防火墙系统,通过攻击web应用防火墙来攻击用户的网站。通过这样的物理分割,系统安全性得到了充分的保障。 梭子鱼Web应用防火墙存储的是高度机密的数据,如密钥和证书等,这些存在硬盘上的数据是完全加密的。 14 Barracuda Web Site Firewall Administrator’s Guide