20180618安信华Web应用防火墙产品介绍培训讲学.pptVIP

安信华Web应用防火墙产品介绍 刘燕岭 Web应用的威胁与需求 中国互联网中心对公共互联网环境中的网络安全事件按13个小类进行统计，分别是计算机病毒事件、蠕虫事件、木马事件、僵尸程序事件、域名劫持事件、网页仿冒事件、网页篡改事件、网页挂马事件、拒绝服务攻击事件、后门漏洞事件、非授权访问事件、垃圾邮件事件和其他网络安全事件。 木马事件数量最多，占公共互联网环境事件总数的比例为36.6%；其他数量较多的事件类型还有：僵尸程序事件、蠕虫事件和垃圾邮件事件，分别占22.7%、18.7%和17.4% Web应用的威胁与需求 散布虚假信息，危害社会秩序 【黑客动机】 第一类是出于政治、宗教目的，将常将境内政府部门网站作为重点攻击目标，攻击成功后通常会在网站留下宣扬其政治、宗教理念的文字或图片； 第二类是出于技术炫耀目的，攻击者篡改网站成功后留下大名，并留有调侃风格的文字或图片； 第三类则是在网站上留存后门页面，一是方便其以后再次进入，二则不排除其将该后门用于地下交易牟取非法利益的可能； Web应用的威胁与需求 2007年6月22日，公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号)，确定了信息安全等级保护制度的基本内容及各项工作要求。 2007年7月16日，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)，就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。 插件商 木马病毒作者 拿站黑客 破译/盗取邮箱 游戏工作室 流量商 Web应用的威胁与需求 Web网站早期开发者安全意识薄弱 第三方内容成风险源 SQL注入和XSS攻击 篡改Web系统数据 Cookie监听 安全威胁 客户端网络带宽滥用? SQL注入和XSS攻击都是利用了Web页面的脚本编写的不完善，导致攻击者可以提交精心构造的URL、FORM表单或POST信息，绕过数据库的权限认证（SQL注入攻击），或者是提交发布一些含有恶意脚本的内容，当潜在受害者访问了这些内容后，将会泄露自己的私密信息（XSS攻击）。正是由于这类攻击所利用的并不是通用漏洞，而是每个页面自己的缺陷，所以变种和变形攻击数量非常多，如果还是以常用方法进行检测，漏报和误报率将会极高。 恶意用户通过对Cookie监听破译用户证书，篡改从服务器传送到浏览器的cookie数据。网站常常将一些包括用户ID、口令、账号等的cookie存储到用户系统上，通过改变这些值，恶意的用户就可以访问不属于他们的账户。 传统安全产品的局限性 传统防火墙主要工作在四层以下，主要是基于包检测技术，不能实现对HTTP协议的精细控制； 防病毒产品不仅对Web应用程序中的漏洞难以识别，而且对网页中存在的恶意代码（网页木马）更是束手无策； IPS仅是对HTTP数据包有效负载的检测分析，并不能将所有的数据包还原组装成数据流或具体的内容进行基于关键字或具体内容的检测分析与特征提取。比如Cookie篡改、会话劫持，IPS都不能较好的进行防护； 网页防篡改软件（1）静态备份技术，不适用动态网站（2）无法应对SQL注入、XSS攻击等检测与拦截； 防火墙检测数据包包头信息进行访问控制 目 录 Web应用的威胁与需求 产品的技术架构 第一章 第二章 为客户提供更清洁的Internet内容 产品功能及特点 解决方案与案例 第三章 第四章 Web应用防火墙基本概念（WAF） Web应用防火墙基于对HTTP/HTTPS流量内容的实时检测分析，专为Web应用系统提供实时的防护： 具有HTTP应用代理，能够识别检测HTTP/HTTPS协议内容及具体数据的能力； 具有检测变形攻击的能力，如检测SSL加密流量中混杂的攻击； 检测数据表单输入的有效性，为web应用提供了一个外部输入的合规过滤机制，做到事前的检测过滤，安全性更为可靠； 验证HTTP/HTTPS协议会话的可靠性，弥补HTTP协议会话管理机制的缺陷，防御基于会话的攻击类型，如Cookie篡改及会话劫持等攻击； WAF产品的基本技术路线 技术路线 异常检测协议 WAF可严格限定HTTP协议中那些过于松散或未被完全制定的选项。 增强的输入验证 很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览器只 是一个用户控制的简单工具，因此攻击者可以非常容易地绕过输入验 证，直接将恶意代码输入到WEB应用服务器。在服务端进行输入验证 是解决上述问题的正确方法。如果这个方法不能实现，还可以通过在 客户和应用服务器之间增加代理，让代理去执行Web页面上嵌入的 JavaScript，实现输入验证。 Cookies保护 WAF通常会将co