梭子鱼Web应用防火墙技术原理.doc

一、Web应用防火墙介绍 1.1 Web应用防火墙简介 梭子鱼应用防火墙基于梭子鱼专利的NCOS体系，对HTTP请求进行终止、防护和加速。集中化GUI控制界面可以让系统的配置和管理变得十分简单。 特别是，梭子鱼应用防火墙完全符合WAFEC OWASP提出的标准。并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。 目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。下表列出了这些最常见的攻击技术，其中最后一列描述了梭子鱼WAF如何对该攻击进行防护： 攻击方式 描述 应用防火墙的防护方法 跨站脚本攻击 跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。 其防护方法是：通过检查应用流量，阻止各种恶意的脚本插入到URL, header及form中。 SQL 注入 攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。 防护方法是：通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL, header及form中。 命令注入 攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。 防护方法是：通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL, header及form中。 cookie/session中毒 Cookie通常用于携带用户敏感的登陆信息，但它可能被修改提高访问权限，或伪装成他人的身份登陆。 通过对cookie进行数据加密，签名和时间戳等技术防止其内容被窃取篡改。 参数（或表单）篡改 在URL、HTTP头和表中经常使用参数用于控制对敏感数据的有效访问。 利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生。 缓冲溢出攻击 由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限。 自动执行限制数据边界条件，确保不危及脆弱的服务器。 目录穿越攻击 攻击者能访问合法应用之外的数据或文件目录，导致数据泄露或被篡改。 利用应用配置文档，阻止含有路径穿越的访问，并强迫只能访问设计发布的网页，从而阻止非法访问不合法的网页或目录。 密码拦截 黑客很少尝试破解强编码数据如SSL，他们倾向于攻击那些临时的无防御的数据点，数据的加密和解密通常由多台设备配合进行，这种零散的结构为黑客对数据截取大开方便之门。 具备SSL安全防护机制，在任何环境下仅加密的流量才能通过网络，在结合DMZ区的防御机制，进一步减少单独某个设备漏洞暴露的可能性。 Cookie窃取 Cookie通常用来传输用户的登陆认证信息，它通常只是采用简单的编码如Base64，这样容易导致登陆信息被窃取。 对Cookie采用数据加密，签名和时间戳技术防止Cookie被窃取。 日志篡改 黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。. 将后端服务器的访问记录集中到梭子鱼Web应用防火墙上，通过数据签名和加密防止其被篡改。还可以按应用声称加密日志。 出错信息截获 黑客通过网站的某些出错信息能够分析网站的某些特征，进而找到攻击点。 梭子鱼web应用防火墙像防护罩一样，防止访问者获取来自服务器的出错信息造成无意的信息泄露。 攻击隐藏 黑客通常通过将他们的请求进行编码，以此来伪装自己的身份。 在检查之前对解密URL、Unicode和其他各种形式加密。 应用平台侦测 常见的攻击通常可以通过补丁来修补，但是很多情况下补丁并不及时，黑客在侦测了应用平台后，可以利用该平台的已知漏洞进行攻击。 梭子鱼将阻止已知的攻击，这样用户可以按计划打补丁，而不必时刻关注最新的补丁。 安全管理侦测 经验丰富的黑客会对安全管理系统下手，修改或者关闭某些安全策略（网络层、应用层都可能发生）。 通过安全的加密通道对所有的管理流量进行防护。 TCP碎片攻击 通过将一个攻击会话分片成多个TCP数据包可以使得一个攻击只扫描数据包而不扫描完整会话的检测。 对整个会话做深度检测，合并碎片重组数据以检测是否含有攻击。 DOS攻击 经验丰富的黑客会对安全管理系统下手，修改或者关闭某些安全策略（网络层应用层都可能发生）。 包括所有的网络层的DoS防护，包括防止 SYN cookie 和对客户端连接速率进行限制。 通过上表可以看到，Web应用防火墙可以从多个层面做到对Web服务器和SQL服务器的保护。而对于移动MDC机房的顾虑： 跨站脚本攻击 SQL注入攻击 网站侦测攻击 应用层DDOS攻击 恶意爬行攻击 Cookie窃取攻击 Cookie中毒攻击 信息泄露攻击 网页被篡改 梭子鱼WAF不仅仅是完成其中一项或者几项安全漏洞的填补，而