2015-4-14web应用防火墙WAF产品白皮书(WAF).docxVIP

概述随着互联网技术的发展，Web应用日益增多，同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题，导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部，如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，盗取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。常见的威胁如下：威胁名称威胁描述非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源Web应用攻击恶意用户可能通过构造特殊的HTTP/HTTPS请求，对产品保护的web应用实施SQL注入、XSS等web攻击暴力认证恶意用户可能通过反复猜测鉴别数据的方法，从而获取管理员权限漏洞攻击恶意用户可能利用产品本身或其所保护资产所存在的脆弱性，而对其发起远程攻击敏感信息泄漏用户的敏感信息（如银行卡账号，身份证号，手机号码等）或者服务器关键文件（如数据库信息文件，服务器配置文件等）遭到有意或者无意的泄漏信息篡改恶意用户篡改服务器文件，使得服务器信息以非正常方式呈现为什么需要WEB应用防火墙传统防火墙能否抵御WEB攻击？防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：传统防火墙基于IP/端口，无法对WEB应用层进行识别与控制，无法确定哪些WEB应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。传统防火墙无法抵御来自WEB应用层的威胁，自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握，缺乏安全信息的可视化。IPS设备能否抵御WEB攻击？ IPS只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。深信服WEB应用防火墙—SWAF 产品设计理念SWAF是面向WEB应用层设计，能够精确识别WEB应用和内容，具备完整安全防护能力，能够弥补传统防火墙和IPS在WEB攻击防护方面的不足，具有强劲应用层处理能力的全新网络安全设备。SWAF不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。SWAF可以为不同规模的行业用户数据中心提供更加全面、更高性能的WEB应用内容防护方案。更全面的内容级安全防护： ?基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲?强化的WEB应用安全，支持多种SQL注入防范、XSS攻击、CSRF、权限控制等双向内容检测，功能防御策略智能联动更高性能的应用层处理能力：?单次解析架构实现报文一次拆解和匹配?多核并行处理技术提升应用层分析速度?全新技术架构实现应用层万兆处理能力产品功能特色全面的应用安全防护能力基于应用的深度漏洞攻击防御SWAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理：第一,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，如异常流量0.32、病毒蠕虫0.36等等，同时拟定一个威胁阀值，如阀值=1。 第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、攻击行为等反馈给灰度威胁样本库。第三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合