Web應用防火牆?Web安全閘道器?

2021-08-25 12:49:38 字數 3624 閱讀 5729

原文 

無論是基於web的應用系統還是web**,他們都面臨著各種各樣且**不定的安全威脅。他們有些是已被發現,並具有可識別的固定特徵的;則是因**的設計和**,以及攻擊者的行為習慣而異的。而所有這些都是web應用系統和web**必須面對和解決的安全問題。

傳統的技術手段。如防火牆和ips都是基於已知的安全特徵的安全檢測和防護手段,而且它們只能做到網路,有的可以處理協議層資料報(新的技術)。但 是對於web應用中大量採用,而同時又是被攻擊的主要目標的動態頁面是無能為力的。這是因為,動態頁面本身就是沒有固定模式的,所以針對它的攻擊也是沒有 固定特徵的。

同時,必須注意到,完全依賴特徵庫的檢測和防護技術,不可避免的具有很高的誤報率和漏報率,並且在兩者之間很難達到平衡。

目前,大多數**採用的都是這種技術,它們也了解其中的問題,只是沒有更好的技術來取代而已。而imperva的securesphere web應用防火牆採用新型防護手段,既有效地彌補了傳統防護方式的不足,又具有很多新的特點。

作為新型的web應用防火牆,securesphere的特點是基於正向模型——即,為模型的安全檢測技術可以從根本上解決上述傳統web防護的問題,尤其是當兩者結合的時候。

但同時,對於基於為模型的檢測和防護,有幾個關鍵的技術問題必須解決:

a.模型的產生必須是自動和動態的。——由於為模型包含的因素非常廣泛,且數量眾多,人工生成和維護的方式在實際使用中是完全不可行的;而且,會產生大量的誤報。

必須和基本的反向模型向結合。因為反向模型可以遮蔽大量的基本攻擊,而讓基於為的機制解決更高階的攻擊流量。

b.必須在防護的各個層次,以及時間上進關聯分析。ì

真正有危害的攻擊通常會在多個層次,包括時間軸上表現出相當的關聯性,通過關聯分析可以極大的提高攻擊辨識的能力,降低誤報率。

另外,由於行為分析意味著大量的計算,產品在具體實現方面必須保證應有的效能,特別是在處理能力(session per second)和時延方面(ms)。imperva的web防火牆採用獨特的技術很好的解決了上述問題。

imperva waf的功能和特點

securesphere web安全防護網關是專為了對web**和基於web的伺服器提供全方位防護而設計的。它的防護物件不僅包括普通的埠掃瞄、tcp sync flood、已知的高階攻擊手段如sql注入等,還包括未知的、新出現的高階的攻擊,如url引數篡改、cookie毒化等。同時還可以對管理核心資料的 後台資料庫進行防護, 如下圖所示:  

securesphere的waf g8包括以下方面的功能和特點:

web應用防火牆功能

securesphere 系統保護使用者的web應用攻擊,例如sql注入、cookie毒化、引數篡改、路徑遍歷以及更多攻擊(詳見列表)。動態評估技術自動建立web應用的使用 和結構的正向安全模型,包括url、http形式、引數、隱藏的域、cookie、事務id以及應答**等。當使用者和網路應用進行互動 時,securesphere 系統密切監視他們的活動,並與安全模型比較。任何攻擊的企圖都將被監測到,並被阻止。 

web服務防火牆功能

securesphere的網際網路服務閘道器主要針對xml、soap和wsdl等應用進行保護。如同securesphere系統的應用防火牆功能 一樣,服務閘道器採用imperva公司的動態評估技術建立合法應用行為的安全模型,包括xml url、soap行為、xml元素和xml屬性。所有篡改網路服務應用模式或者變數的企圖都會被識別出來,並加以阻止和防範

動態建模和自動策略

securesphere的防護的乙個創新是基於應用層互動內容的安全檢測。在這個層次建立了非常深入複雜的策略。即,對訪問的url、動態頁面傳 遞引數、cookie傳遞的引數等進行監測,對比正常的訪問行為基線;如明顯偏離正常行為模式則可產生告警和即時阻斷。策略的產生主要由裝置的自學習功能 完成,無需人工干預,而且還可以根據web應用的變化進行自適應調整。同時,管理人員還可以進行微調,以得到最優的「充分必要」的策略。

web入侵防護系統(ips)

securesphere ips對已知的攻擊和「第零日蠕蟲」的提供保護。這些攻擊通常針對web伺服器、應用伺服器和作業系統軟體的弱點(例如,iis、apache和 windows 2000)。securesphere的「第零日蠕蟲」自動評估技術可自動識別尚未定義特徵的攻擊。 securesphere系統同時提供多網路協議的snort相容的特徵庫,符合http協議和來自「應用防禦中心」– imperva自己內部的安全研究組織,的高階應用保護特徵。securesphere 系統提供定時更新服務,確保安全保護的時效性。

多層次的防護及關聯

◆securesphere不僅提供了創新的安全技術手段,如自動建模,防蠕蟲擴散、高層協議檢測;同時也整合了各種成熟的技術,如:網路防火牆、 入侵檢測和防護。特別需要指出的是securesphere的入侵檢測技術是專門針對web服務的,除了基本的snort特徵庫,還提供豐富的web應用 和資料庫應用的攻擊特徵庫。  

◆securesphere整合多種安全手段的目的不僅提供了多層次的安全防護,而且通過各個防護層次間內在的關聯,可以極大的提高攻擊識別的準確性,降低誤報率。這對於時時處於廣泛攻擊環境下的web服務系統是至關重要的。

前後臺關聯。  

當今,web服務系統發展的趨勢是,除了提供靜態資訊的提供外,還提供與多種應用和服務的互動介面。網頁互動和動態頁面技術越來越多的扮演了核心的 角色。同時由於動態頁面技術的靈活性,它也成為了web攻擊的熱點,包括通過動態頁面與後台資料庫的連線關係,獲取和篡改應用系統的核心資訊,如賬號密 碼、使用者資訊、交易資訊等。securesphere為web**和基於web的應用提供全面安全防護,包括前台web伺服器和後台資料庫;而且可以進行 實時的前後臺關聯。因此securesphere可以幫助發現攻擊的真正發起源,可以防護通過後門對資料庫發起的攻擊,提高攻擊發現的能力,以及精確的從 大量訪問流量中阻斷攻擊流量。

imperv waf的部署:

配置原則

在為***使用者配置imperva公司的web安全防護產品的時候,遵循一下的配置的基本原則: 

◆功能性滿足本專案的實際需要 

◆可以支援現有應用系統,如資料庫型別、本版等 

◆處理效能滿足系統的需要 

◆對現有系統的無影響,包括;ip位址空間、路由規劃、無需調整應用系統(如設定proxy,安裝軟體等)

配置說明

鑑於以上的配置原則,針對*** web保護專案的web應用保護,採用imperva 的securesphere系列中g4作為web應用監控和防護網關。同時,為了提供統一的管理和配置平台,配置mx作為集中網管平台,對資料庫應用監控和防護網關進行統一的管理。

g4有500mbps的吞吐量,同時支援的交易數是16,000每秒,同時為了保證系統的可靠性,配備兩台,用來監控和保護核心的web應用,如果 一台出來問題,系統可以自動切換到另外一台。另外配備一台網管伺服器mx,對兩台資料庫安全閘道器做統一的管理和配置。拓撲圖如下所示:  

web應用安全閘道器

1.基於web和資料庫結合的b s 瀏覽器 伺服器結構 架構應用已經廣泛使用於企業內部和外部的業務系統中,web系統發揮著越來越重要的作用。2.web應用程式漏洞的存在更加普遍,隨著web應用技術的深入普及,web應用程式漏洞發掘和攻擊速度越來越塊,基於web漏洞的攻擊更容易被利用。1.篡改web系...

防火牆 UTM 安全閘道器

寫在最前 安全產品系列目錄 目錄 總述 用於邊界安全防護的許可權控制和安全域的劃分 防外不防內,隔離區域 配置策略,按需劃分,最小授權原則 產品簡介 採用應用層安全防護理念,同時結合先進的多核高速資料報併發處理技術,研發而成的下一代邊界安全產品。其核心理念是立足於使用者網路邊界,建立起以應用為核心的...

Web安全閘道器與下一代防火牆該如何選擇

web安全閘道器與下一代防火牆該如何選擇?對於已經部署過企業級防火牆的企業而言,進一步部署web安全閘道器將會大大將強企業的深度內容安全保護能力,兩者並非簡單的取代關係。在今年8月份gartner發布的資訊保安報告中顯示,ngfws從原理上看,的確超越了普通防火牆的狀態埠與協議過濾機制,其內部可以執...