Web应用安全解决方案.docx
- 文档编号:11411050
- 上传时间:2023-02-28
- 格式:DOCX
- 页数:17
- 大小:142.03KB
Web应用安全解决方案.docx
《Web应用安全解决方案.docx》由会员分享,可在线阅读,更多相关《Web应用安全解决方案.docx(17页珍藏版)》请在冰豆网上搜索。
Web应用安全解决方案
××Web应用安全解决方案
一、应用安全需求
针对Web的攻击
现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立部的业务应用系统,都离不开Web应用。
Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。
网络的发展历史也可以说是攻击与防护不断交织发展的过程。
目前,全球网络用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。
然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,他们针对Web和应用的攻击愈演愈烈,频频得手。
根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。
同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。
另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。
早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙的Web端口都必须处于开放状态。
”
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web主页、盗取管理员密码、破坏整个数据等等攻击。
而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
Web安全防
在Web应用的各个层面,都会使用不同的技术来确保安全性,如图示1所示。
为了保证用户数据传输到企业Web服务器的传输安全,通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问,所有不必要暴露的端口和非法的访问,在这里都会被阻止。
防火墙
IDS/IPS
DoS攻击
端口扫描
网络层
模式攻击
已知Web
服务器漏洞
跨站脚本
注入式攻击
恶意执行
网页篡改
Web服务器
数据库服务器
Web应用
应用服务器
图示1Web应用的安全防护
但是,即便有防火墙和IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟Web应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web应用必须的80和443端口,是一定要开放的。
可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。
而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。
然而我们看到的现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。
如图示3所示,在目前安全投资中,只有10%花在了如何防护应用安全漏洞,而这却是75%的攻击来源。
正是这种投资的错位也是造成当前Web站点频频被攻陷的一个重要因素。
75%
25%
10%
90%
Web应用
网络服务器
安全风险
安全投资
图示3安全风险和投资
Web漏洞
Web应用系统有着其固有的开发特点:
经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致Web应用出现了很多的漏洞。
另外,管理员对Web服务器的配置不当也会造成很多漏洞。
目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种,常见的攻击手段包括:
注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。
攻击目的包括:
非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。
二、产品概况
iGuard网页防篡改系统
iGuard网页防篡改系统采用先进的Web服务器核心嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)嵌于Web服务器部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
iGuard的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。
公众每次访问网页时,都将网页容与数字水印进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页容不被公众浏览。
同时,iGuard的应用防护模块也对用户输入的URL地址和提交的表单容进行检查,任何对数据库的注入式攻击都能够被实时阻断。
iGuard以国家863项目技术为基础,全面保护的静态网页和动态网页。
iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用Web方式对后台数据库的篡改。
iGuard支持所有主流的操作系统,包括:
Windows、Linux、FreeBSD、Unix(Solaris、HP-UX、AIX);支持常用的Web服务器软件,包括:
IIS、Apache、SunONE、Weblogic、WebSphere等;保护所有常用的数据库系统,包括:
SQLServer、Oracle、MySQL、Access等。
iWall应用防火墙
iWall应用防火墙(Web应用防护系统)是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。
iWall应用防火墙实现了对Web站点特别是Web应用的保护。
它置于Web服务器软件中,通过分析应用层的用户请求数据(如URL、参数、、Cookie等),区分正常用户访问Web和攻击者的恶意行为,对攻击行为进行实时阻断和报警。
这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命令攻击等,黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害容安全的目的。
iWall应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。
iWall应用防火墙为软件实现,适用于所有的操作系统和Web服务器软件,并且完全对Web应用系统透明。
应用防火墙是现代网络安全架构的一个重要组成部分,它着重进行应用层的容检查和安全防御,与传统安全设备共同构成全面和有效的安全防护体系。
产品特性
篡改检测和恢复
iGuard支持以下篡改检测和恢复功能:
⏹支持安全散列检测方法;
⏹可检测静态页面/动态脚本/二进制实体;
⏹支持对注入式攻击的防护;
⏹网页发布同时自动更新水印值;
⏹网页发送时比较网页和水印值;
⏹支持断线/连线状态下篡改检测;
⏹支持连线状态下网页恢复;
⏹网页篡改时多种方式报警;
⏹网页篡改时可执行外部程序或命令;
⏹可以按不同容器选择待检测的网页;
⏹支持增强型事件触发检测技术;
⏹加密存放水印值数据库;
⏹支持各种私钥的硬件存储;
⏹支持使用外接安全密码算法。
自动发布和同步
iGuard支持以下自动发布和同步功能:
⏹自动检测发布服务器上文件系统任何变化;
⏹文件变化自动同步到多个Web服务器;
⏹支持文件/目录的增加/删除/修改/更名;
⏹支持任何容管理系统;
⏹支持虚拟目录/虚拟主机;
⏹支持页面包含文件;
⏹支持双机方式的冗余部署;
⏹断线后自动重联;
⏹上传失败后自动重试;
⏹使用SSL安全协议进行通信;
⏹保证通信过程不被篡改和不被窃听;
⏹通信实体使用数字证书进行身份鉴别;
⏹所有过程有详细的审计。
应用安全防护特性
请求特性限制
iWall可以对HTTP请求的特性进行以下过滤和限制:
⏹请求头检查:
对HTTP报文中请求头的名字和长度进行检查。
⏹请求方法过滤:
限制对指定HTTP请求方法的访问。
⏹请求地址过滤:
限制对指定HTTP请求地址的访问。
⏹请求开始路径过滤:
限制HTTP请求中的对指定开始路径地址的访问。
⏹请求文件过滤:
限制HTTP请求中的对指定文件的访问。
⏹请求文件类型过滤:
限制HTTP请求中的对指定文件类型的访问。
⏹请求版本过滤:
限制对指定HTTP版本的访问及完整性检查。
⏹请求客户端过滤:
限制对指定HTTP客户端的访问及完整性检查。
⏹请求过滤:
限制字段中含有的字符及完整性检查。
⏹鉴别类型过滤:
限制对指定HTTP鉴别类型的访问。
⏹鉴别过滤:
限制对指定HTTP鉴别的访问。
⏹容长度过滤:
限制对指定HTTP请求容长度的访问。
⏹容类型过滤:
限制对指定HTTP请求容类型的访问。
这些规则需要可以根据Web系统的实际情况进行配置和分站点应用。
请求容限制
iWall可以对HTTP请求的容进行以下过滤和限制:
⏹URL过滤:
对提交的URL请求中的字符进行限制。
⏹请求参数过滤:
对GET方法提交的参数进行检查(包括注入式攻击和代码攻击)。
⏹请求数据过滤:
对POST方法提交的数据进行检查(包括注入式攻击和代码攻击)。
⏹Cookie过滤:
对Cookie容进行检查。
⏹盗链检查:
对指定的文件类型进行参考域的检查。
⏹跨站脚本攻击检查:
对指定的文件类型进行参考开始路径的检查。
这些规则需要可以根据Web系统的实际情况进行配置和分站点应用。
指定站点规则
iWall可以分别为一台服务器上不同的站点制定不同的规则,站点区分的方法包括:
⏹不同的端口。
⏹不同的IP地址。
⏹不同的主机头名(即域名)。
可防的攻击
iWall组合以上限制特性,可针对以下应用攻击进行有效防御:
⏹SQL数据库注入式攻击。
⏹脚本源代码泄露。
⏹非法执行系统命令。
⏹非法执行脚本。
⏹上传假冒文件。
⏹跨站脚本漏洞。
⏹不安全的本地存储。
⏹资源盗链。
⏹应用层拒绝服务攻击。
对这些攻击更详细的描述见本文档第6章:
常见应用层攻击简介。
iGuard标准部署
两台服务器
部署iGuard至少需要两台服务器:
⏹发布服务器:
位于网中,本身处在相对安全的环境中,其上部署iGuard的发布服务器软件。
⏹Web服务器:
位于公网/DMZ中,本身处在不安全的环境中,其上部署iGuard的Web服务器端软件。
它们之间的关系如图示1所示。
iGuard
发布服务器软件
发布服务器
HTTP
FTP…
SSL
Intranet
DMZ
Internet
iGuard
Web服务器端软件
Web服务器
Internet
图示1iGuard两台服务器
发布服务器
发布服务器上运行iGuard的“发布服务器软件”(StagingServer)。
所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。
发布服务器上具有与Web服务器上的网页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上,文件/目录变更的方法可以是任意方式的(例如:
FTP、SFTP、RCP、NFS、文件共享等)。
网页变更后,“发布服务器软件”将其同步到Web服务器上。
发布服务器是部署iGuard时新增添的机器,原则需要一台独立的服务器;对于网页更新不太频繁的,也可以用普通PC机或者与担任其他工作的服务器共用。
发布服务器为PC服务器,其本身的硬件配置无特定要求,操作系统可选择Windows(一般)或Linux(大型,需选加Linux企业发布模块)。
Web服务器
Web服务器上除了原本运行的Web服务器软件(如IIS、Apache、SunONE、Weblogic、Websphere等)外,还运行有iGuard的“Web服务器端软件”,“Web服务器端软件”由“同步服务器”(SyncServer)和“防篡改模块”(AntiTamper)组成。
“iGuard同步服务器”负责与iGuard发布服务器通信,将发布服务器上的所有网页文件变更同步到Web服务器本地;“iGuard防篡改模块”作为Web服务器软件的一个插件运行,负责对Web请求进行检查和对网页进行完整性检查,需要对Web服务器软件作适当配置,以使其生效。
Web服务器是用户原有的机器,iGuard可适应于任何硬件和操作系统。
容管理系统
目前,大部分都使用了容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。
在的网络拓扑中,发布服务器部署在原有的容管理系统和Web服务器之间,图示2表明了三者之间的关系。
Web服务器
(Guard)
发布服务器
(Guard)
内容管理系统
(第三方软件)
Internet
图示2标准部署图
为一个已有的Web站点部署iGuard时,Web服务器和容管理系统都沿用原来的机器,而需要在其间增加一台发布服务器。
iGuard的自动同步机制完全与容管理系统无关的,适合与所有的容管理系统协同工作,而容管理系统本身无须作任何变动。
发布服务器上具有与Web服务器上的文件完全相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:
FTP、SFTP、RCP、NFS、文件共享等)。
网页变更后,发布服务器将其同步到Web服务器上。
无论什么情况下,不允许直接变更Web服务器上的页面文件。
iGuard一般情况下与容管理系统分开部署,当然它也可以与容管理系统部署在一台机器上,在这种情形下,iGuard还可以提供接口,与容管理系统进行互相的功能调用,以实现整合性更强的功能。
集群和冗余部署
Web站点运行的稳定性是最关键的。
iGuard支持所有部件的多机工作和热备:
可以有多台安装了iGuard防篡改模块和同步服务软件的Web服务器,也可以有两台安装了iGuard发布服务软件的发布服务器,如图示4所示。
它实现了2Xn的同步机制(2为发布服务器,n为Web服务器),当2或n的单点失效完全不影响系统的正常运行,且在修复后自动工作。
CMS
内容管理系统
iGuard
发布服务器(主)
iGuard
发布服务器(备)
主备通信
Web服务器1
Web服务器n
Intranet
DMZ
……
……
图示3集群和双机部署示意图
Web服务器多机和集群
iGuard发布服务器支持1对多达64台Web服务器的容同步,这些Web服务器的操作系统、Web服务器系统软件、应用脚本及网页容既可以相同也可以不同。
iGuard实现了异种系统架构下对不同容的统一管理。
当多台Web服务器作镜像集群时,iGuard对于能够严格保证多台Web服务器容相同。
当单台Web服务器失效时,由于Web服务器集群前端通常有负载均衡设备,因此,它并不影响公众访问。
同时,它的失效也不影响iGuard发布服务器向其他正常工作的Web服务器提供容同步。
在失效期间,iGuard发布服务器会尝试连接这台Web服务器,一旦它修复后重新工作,即可自动进行连接,并自动进行容同步。
因此,Web服务器的单点失效不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。
发布服务器双机
iGuard支持发布服务器双机协同工作,即一台主发布服务器和一台热备发布服务器。
在这种部署情形下,容管理系统(CMS)需要将容同时发布到两台iGuard服务器上。
在正常状态下,iGuard主发布服务器工作,由它对所有Web服务器进行容同步。
显然,热备发布服务器失效不影响系统运作,一旦在它修复后可以从主发布服务器恢复数据,进入正常热备状态。
主发布服务器如果失效(即不发心跳信号),热备发布服务器会接管工作,由它对所有Web服务器进行容同步。
当主发布服务器修复后,两机同时工作,经过一段时间的数据交接时间,热备发布服务器重新进入热备状态。
因此,iGuard发布服务器的单点失效也不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。
iWall标准部署
iWall由以下两个模块组成:
⏹应用防护模块。
iWall的核心防护模块,嵌于Web系统(Web服务器软件)中,与Web服务器一起运行。
⏹配置管理模块。
iWall的配置生成程序,在独立管理员机器上运行,仅在系统管理员需要改变iWall配置时才使用。
两者之间没有通信连接。
仅通过一个配置文件交换数据,即:
配置管理模块生成一个配置文件,将它复制到Web服务器上供应用防护模块使用。
它们的关系如图示5-1所示。
图示51部署示意图
采取这种配置方式的优点在于:
⏹避免直接在Web服务器上修改配置,不给黑客可乘之机。
⏹避免在Web上新开管理网络端口,不增加新的安全隐患。
⏹在多个Web服务器镜像时,可以快速生成统一配置。
三、“××”Web应用安全部署方案
系统现状
拓扑图
“××”目前的网络拓扑图如图示4所示。
图示4系统现状拓扑图
要点
⏹Web容既有全静态站点,也有动态应用站点;
⏹Web服务器的操作系统为SunSalaris;
安全隐患
目前这个系统在网页容方面存在如下安全隐患:
⏹网页篡改:
没有部署网页防篡改系统,静态网页一旦被黑客篡改,没有检查、报警和恢复机制。
⏹应用防护:
没有应用防护机制,容易遭受各类web攻击,例如注入式、跨站、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等。
部署实施
拓扑图
“××”部署Web应用安全产品的网络拓扑图如图示5所示。
图示5部署拓扑图
要点
⏹增加:
新增一台PC服务器(iGuard发布服务器),其上部署iGuard发布服务器软件以及iWall配置管理模块。
⏹增加:
在Web服务器上部署iGuard同步服务器和防篡改模块以及iWall应用防护模块,并开放指定端口。
⏹变更:
CMS容管理系统的目标发布地址由各Web服务器改为iGuard发布服务器。
⏹双机部署(可选):
为避免单点失效,两台iGuard发布服务器可以作双机部署。
发布流程
1)CMS容管理系统将网页文件发布到iGuard发布服务器上。
2)iGuard发布服务器检测到文件变化,生成数字水印,将这些文件和数字水印发布到Web服务器上。
3)Web服务器接收到这些文件,并将水印存放在安全数据库中。
防篡改流程
4)公众浏览网页。
5)如果是动态应用,防篡改模块对提交容进行检查,如果是注入攻击,则请求不交给Web应用处理,直接返回错误。
6)Web服务器取得网页容后,交给防篡改模块进行检测。
7)防篡改模块计算出这个网页的数字水印,并与安全数据库中的数字水印相比对。
8)如果水印比对失败即表明当前网页已被篡改,系统通知发布服务器重新发布网页到Web服务器(自动恢复),同时向监管者报警。
安全增强
⏹网页防篡改:
任何对Web服务器上的非法网页篡改将在网页浏览时被检测出来,并得到实时报警和恢复。
⏹应用防护:
各类常见针对web应用的攻击都将被即时阻止。
软件清单
基本产品
产品号
型号
操作系统类型
数量
GN-3
iGuard标准版
Solaris
WS-3
iWall标准版
Solaris
企业发布模块(可选)
产品号
名称
说明
数量
GE-1
多CPU支持
支持多处理器水印计算
GE-2
多线程发布
8线程发布,大幅提升发布速度
GE-3
Linux
发布服务器采用Linux系统,提高可靠性
GE-4
双机
双机主备工作,提供容错能力,避免单点失效
1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Web 应用 安全 解决方案