《网络安全技术与实践》课件 清华 第9章 Web 应用防火墙.pptx

第9章 Web 应用防火墙 目录Content1Web 应用防火墙基础知识2Web 应用防火墙的部署模式3Web应用防火墙配置 01使用GPG加密Linux文件 9.1.1 Web 应用防火墙概念1.Web 应用防火墙产生的背景 过去企业通常会采用防火墙，作为安全保障的第一道防线；网络防火墙只是在第三层（网络层）有效的阻断一些数据包，无法防护应用层攻击；即右图所示，网络防火墙可以防护ARP攻击、SYN-Flood攻击、ACK-Flood攻击、UDP-Flood攻击等，而不能防护SQL注入、XSS、命令注入等攻击，而随着WEB应用的功能越来越丰富的时候，WEB服务器因为其强大的计算能力，处理性能，蕴含较高的价值，成为主要的被攻击目标（第五层应用层）。而传统防火墙在阻止利用应用程序漏洞进行的攻击方面，却没有办法；在此背景下，Web应用防火墙应运而生。 9.1.1 Web 应用防火墙概念2.web 应用防火墙的定义 WAF称为WEB应用防火墙，是通过执行一系列针对HTTP，HTTPS的安全策略来专门对WEB应用提供保护的一款产品。WAF初期是基于规则防护的防护设备；基于规则的防护可以提供各种WEB应用的安全规则，WAF生产商去维护这个规则库，并实时为其更新，用户按照这些规则，可以对应用进行全方面的保护。 但随着攻防双方的不断过招，攻击者也摸清了，这一套传统的防御体系，随着使用各种各样的绕过技巧，打破了这套防线，和所有的防护思路一样，有一个天生的缺陷，就是难以拦截未知的攻击，因此技术的革新也是必然的。 在这几年WAF领域出现了很多新的技术，譬如通过数据建模学习企业自身业务，从而阻拦与其业务特征不匹配的请求；或者使用智能语音分析引擎，从语音本质去了解。无论是用已知漏洞攻击利用程序，还是未知攻击，都可以精准的识别。 9.1.2 Web 应用防火墙工作原理 对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，为Web应用提供防护，也称作应用防火墙，是网络安全纵深防御体系里重要的一环。WAF对请求的内容进行规则匹配、行为分析等识别出恶意行为，并执行相关动作，这些动作包括阻断、记录、告警等。WAF工作在Web服务器之前，对基于HTTP协议的通信进行检测和识别。通俗的说，WAF类似于地铁站的安检，对于HTTP请求进行快速安全检查，通过解析HTTP数据，在不同的字段分别在特征、规则等维度进行判断，判断的结果作为是否拦截的依据从而决定是否放行。WAF可以用来屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。一般针对的是应用层而非网络层的入侵，从技术角度应该称之为Web IPS。其防护重点是SQL注入。 9.1.3 常见的Web攻击手段 OWASP(Open Web Application Security Project）开放式Web应用程序安全项目在2017版web应用的十大威胁安全报告年中统计Top 10 web安全风险，其中SQL注入占比最高，其他的常见的web攻击手段有失效身份认证、敏感信息泄露、XML外部实体、失效的访问控制、安全配置错误、XSS跨站脚本等等。1.SQL注入攻击 SQL注入攻击是指将不受信任的数据作为命名货查询的一部分发送到解析器时，会产生注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或者访问数据，攻击者通过发送SQL操作语句，达到获取信息、篡改数据库、控制服务器等目的。是目前最常见的注入攻击之一，也是目前非常流行的Web攻击手段。 9.1.3 常见的Web攻击手段2.XSS跨站攻击跨站脚本（XSS）攻击是指攻击者通过向URL或其他提交内容插入脚本，来实现客户端脚本执行的目的。XSS攻击主要包含反射型XSS、存储型XSS、DOM型XSS三种攻击。反射型XSS：在搜索引擎中输入含脚本的查询内容后，查询结果页面中会出现脚本内容。通常要结合社会工程学欺骗用户执行。存储型XSS：在某论坛中攻击者新建一个帖子，在提交文本框时输入了脚本内容。当其他用户打开这个帖子时，其中包含的脚本内容被执行。DOM型XSS：网页中包含如下脚本内容，其中含有window.location.href对象document.write（input id=\a\ value=\+window.location.href+\），攻击者可以直接在原始地址后添加脚本内容。 9.1.3 常见的Web攻击手段3.失效的身份认证失效的身份认证是通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其它用户的身份。 影响根据应用程序领域的不同，可能会导致欺诈以及用户身份盗窃、泄露法律高度保护的敏感信