impervaweb安全防护网关vsfw_ips.docx

Imperva SecureSphere WEB 安全防护网关 — 真正的 Web 安全的解决之道 概述 Web 网站和基于 Web 网站的各项服务，既是一个重要的技术发展方向，同 时也是网络应用发展的趋势。 Web 技术一方面极大的方便和丰富了应用的提供， 提升了用户体验； 另一方面也为攻击提供了极大的方便。 在系统的接入和可利用 的漏洞方面，Web网站和基于 Web的应用比传统的应用软件系统，面临着更多 更广泛的安全威胁。 网站相关的技术非常多样，包括 HTML、JAVA、XML、SOAP、服务器、操 作系统、应用软件和丰富的网页编程技术 ,这些组成部分都可能成为各种安全事 件的对象 , 因此必须要采用专业的 Web 防火墙，而不是通用的安全产品来保证 Web服务的安全。 当前的主要网站保护方式缺陷 目前，网站的保护除了加强操作系统、服务器软件的补丁管理，以及在加强 代码安全性，主要的安全手段有，防火墙、入侵检测、路由器上的访问控制列表 以及某些主机上的防护－典型的如防网页篡改软件。 下面对这些手段的特点做简 要分析。 访问控制列表 访问控制列表限制了访问的服务端口和 IP 地址，可以限制攻击的来源，和 对关键服务的保障，如：Telnet等。这是网站保护必备的基本手段，但也只是基 本手段。 防火墙 防火墙除了提供访问控制列表的基本功能外， 还提供了网络层的丰富保护手 段：地址翻译，可以隐藏服务器的真实地址；状态检测，可以防止 TCP 协议的 盗用和诸如 TCP Sync Flood 这样的攻击；部分对高层协议的扩展可以对常用协 议的有效性进行检查。这些防护手段只能针对常见的基本的攻击手段。 入侵检测或网络层 DdoS 入侵防护系统 比较高级的攻击常常是专门针对网络、操作系统、常用应用软件的漏洞的 它们通常具有特定的“特征” ，如反复重复的访问行为、访问包含某个特定的字 符串等。这些特征可能出现在网络层、 传输层、表示层等。但是对于网站的防护， 有三个极大的缺陷： 一、入侵检测的特征库是针对各种网络攻击的， 其中专用于网站 WEB/HTTP 防护的只有极少的一部分。这对于层出不穷的攻击手段是远远不够的； 二、入侵检测都只对已知的、人所共知的攻击手段有效。而对于还未被发现 的（或又攻击者先发现的）攻击是无能为力的 三、入侵检测技术只能看到很少的 HTTP 内容，而高级的攻击行为正是通过 网页内部的某些缺陷进行攻击的。这些攻击行为对于入侵检测设备几乎 是不可见的。 四、 在防止Ddos攻击方面，IPS系统防止的只是基于网络层面的 Ddos攻击， 例如从某个IP来的TCP连接数不能超过多少个，但是由于它看不到TCP 里面的HTTP详细内容，所以无法做到HTTP应用层面的Ddos防护。 五、 对于每一个 Web 应用，其中会有大量的动态页面，而每个页面的 URL 参数、Cookie、表单的输入、存取方式都是不同的。在这种情况下动态 页面本身就是没有固定模式的，所以很多针对它的攻击也是没有固定特 征的，因此很难用IPS防住这些攻击。 六、 IPS 也不保持会话信息，很多与会话有关的攻击，比如 Cookie 篡改、会 话劫持，IPS都无能为力 防网页篡改 网页防篡改技术主要是针对篡改网页（通常是主页）的攻击方式。通常是通 过定期的检查所有网页的完整性， 有些还具有一定的自动纠正能力。 这种技术只 能保护静态页面， 而对于网页的管理权限的保护、 后台数据库的保护等也是无能 为力的。并且这是一种事后补救措施， 假如非法入侵者只是偷窃数据而不篡改页 面，这种方法就无法防护，对于 Web攻击的高级技术，如SQL注入和跨站脚本 攻击，这种技术更是无能为力。 SecureSphere 安全防护网关的基本功能 SecureSphere WEB 安全防护网关是专为了对 WEB 网站和基于 WEB 的服务器提供全方 位防护而设计的。它的防护对象不仅包括普通的端口扫描、应用层的 Ddos 、已知的高级攻 击手段如 SQL 注入等，还包括未知的、新出现的高级的攻击，如 URL 参数篡改、 Cookie 毒化等。同时还可以对管理核心数据的后台数据库进行防护。 SecureSphere的核心技术包括三个方面： 动态建模和自动策略 在这个层次建立了SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。 非常深入复杂的策略。即，对访问的 URL 、动态页面传递参数、 Cookie 传递的参数等进行 监测， 对比正常的访问行为基线； 如明显偏离正常行为模式则可产生告警和即时阻断。 策略 的产生主要由设备的自学习功能完成，无需人工干预，而且还可以根据 Web 应用的变化进 行自适应调整。同时，管理人员还可以进行微调，以得到最优的“充分必要”的策略。 在