NSFPRODWAF主机版V60WH产品白皮书.docx
- 文档编号:6167446
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:11
- 大小:247.81KB
NSFPRODWAF主机版V60WH产品白皮书.docx
《NSFPRODWAF主机版V60WH产品白皮书.docx》由会员分享,可在线阅读,更多相关《NSFPRODWAF主机版V60WH产品白皮书.docx(11页珍藏版)》请在冰豆网上搜索。
NSFPRODWAF主机版V60WH产品白皮书
绿盟WEB应用防火墙(主机版)
产品白皮书
©2022绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■商标信息
绿盟科技、NSFOCUS是绿盟科技的商标。
插图索引
一.前言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现,正深刻影响人们生活与工作的方式。
与此同时,信息安全的重要性也在不断提升。
目前,网页篡改问题成为各类网站极为关注的安全问题。
网页篡改,即通过一定攻击手段对网页内容进行非法修改。
一旦攻击得逞,一方面会影响WEB业务的正常开展,从而影响网站声誉甚而引发重大的政治影响和不良的社会影响。
另一方面,网页篡改可视为一种重要的晴雨表,用于评估网站上存在的可被利用漏洞。
面临来自网页篡改的安全挑战,早期国内市场主要有基于网页防篡改软件的解决方案,适用于静态网页环境。
随着现今WEB应用发生的巨大变化,对此类解决方案产生了动态网页环境下的防护需求。
本文内容将包含如下部分:
◆网页篡改现状
◆网页篡改防护解决思路
◆绿盟WEB应用防火墙(主机版)解决方案
二.网页篡改现状
三.概述
中国互联网络信息中心(CNNIC)《第24次中国互联网络发展状况统计报告》表明:
截至2009年6月30日,中国网民规模达到3.38亿人,普及率达到25.5%。
中国的域名总量达到16,259,562个,其中域名已有52,477个。
中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)达到306万个。
相较中国互联网持续快速的发展,国内网络安全基础设施建设、民众的网络安全意识培养处于滞后的状态,网络安全形势严峻。
来自《中国互联网网络安全报告(2008年上半年)》数据显示:
网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。
2008年上半年,中国大陆被篡改网站总数达到35113个,同比增加了23.7%。
2008年1月至6月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个。
与2007年上半年同期监测情况相比,增加了41%。
近期各类网络媒体对网页篡改问题曝光也比较多,从侧面表明日前国内对该问题的关注度。
还有一种相对比较隐蔽的网页篡改方式,即网页挂马,本质上这种方式也破坏了网页的完整性,只是攻击者出于经济利益考虑,未采用直观的篡改方式。
Google2008年数据表明,“过去10个月中,Google通过对互联网上几十亿URL进行抓取分析,发现有300多万个恶意URL。
其中,中国的恶意站点占到了总数的67%”。
网页被篡改的原因分为客观和主观两方面。
主观上,操作系统和应用的复杂性导致系统和应用漏洞层出不穷;传统网络防火墙产品工作在三、四层,缺乏对应用层的理解。
主观上各类网站建设和保护措施建设不同步,开发人员更关注业务的丰富性和快速提供,安全人员没能在开发前期介入,在维护阶段只能起到“消防队”的作用;还有不少网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。
四.攻击手段
当前,常见的网页篡改攻击手段主要有如下几种:
1.WEBShell:
利用上传木马等方式获取WEBShell,通过各种方式获取管理员权限后进行文件上传、修改等手段来篡改网页。
恶意人员通过WEBShell与服务器的数据交换都是通过80等WEB端口进行,因此可以穿越防火墙。
常用于攻击允许用户上传的网页系统。
2.非法上传:
恶意人员绕过管理员的限制,上传任意类型的文件或者在禁止写入的目录中写入文件。
3.SQL注入:
恶意人员利用网页系统的漏洞,在访问网页时构造特定的参数实现对WEB系统后台数据库的非法操作。
常用于非法修改动态网页数据。
4.跨站攻击:
恶意人员利用网页系统的漏洞,当用户提交数据与服务器进行交互时,攻击者将恶意脚本隐藏在用户提交的数据中,实现篡改服务器正常的响应页面。
5.利用OS漏洞:
恶意人员利用OS漏洞获取管理员权限,修改网页文件或者动态网页数据。
黑客网页篡改的攻击手段,从传统的网站入侵手段逐渐向应用层攻击手段演变。
后者攻击的门槛低、成本小而危害大。
目前在动态网页环境中,最为泛滥的攻击手段当属SQL注入和跨站脚本攻击。
五.MassSQL注入攻击造成网页篡改/挂马
对去年网络世界(NetworkWorld)的报导,人们记忆犹新。
2008年5月13日,在中国大陆、香港及台湾地区有数万个网站遭遇新一轮SQL注入攻击,并引发大规模挂马。
攻击原理如下图所示,黑客首先使用Google搜索引擎定位网页中包含的动态ASP脚本,测试脚本是否存在SQL注入漏洞并确定注入点,最终试图遍历目标网站后台SQLServer数据库的所有文本字段,插入指向恶意内容(即黑客控制的服务器)的链接。
攻击的整个过程完全自动化,一旦攻击得逞,这些自动插入的数据将严重破坏后台数据库所存储的数据,动态脚本在处理数据库中的数据时可能出错,各级页面不再具有正常的观感。
被攻击站点也可能成为恶意软件的分发点,访问这些网站的网民可能遭受恶意代码的侵袭,用户的系统被植入木马程序从而完全为攻击者控制。
图五.1MassSQLInjection攻击原理
六.网页篡改防护解决思路
七.WEB应用/技术发展
在因特网早期,WWW仅意味着提供静态网页内容的WEB站点,发展至今,WEB领域发展了很多崭新的应用,除了面向公众提供丰富、开放的服务,也被广泛用于企业内部,发挥关键的商业职能。
WEB应用采用了多个层面的技术,包括脚本语言(如PHP、ASP或Perl)、WEB应用平台技术(如J2EE或ASP.NET)、数据库以及其他的后端组件(如文件系统及目录服务),提供动态内容,即根据网站客户端访问条件的不同,动态生成剪裁过的个体内容。
图七.1WEB应用/技术发展
八.早期的网页篡改防护技术
从安全角度来看,早期的网页防篡改产品提供的是一种基于文件保护的事后补偿机制,即“网页文件完整性检测-恢复”。
事实上,这反映了用户的普遍意识:
既然实时防范存在较大难度、无法确保百分百的安全,那么“网页内容被篡改后对网页内容进行及时恢复、避免用户浏览到非法的网页内容”也是一种可接受的方案。
网页防篡改核心体现在网页篡改检测技术,主要分为三类:
外挂轮询技术、事件触发技术及核心内嵌技术,具体描述如下。
1.外挂轮询技术:
外挂轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。
2.核心内嵌技术:
核心内嵌技术是将篡改检测模块内嵌在WEB服务软件(如Apache/IIS)里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。
3.事件触发技术:
事件触发技术是利用操作系统的文件系统接口,在网页文件被修改时进行合法性检查,对于非法操作进行报警和恢复。
以上三类技术提供的都是事后补偿,检测是否有网页篡改这种结果出现,一旦检测到,就对非法页面进行阻断并做告警或恢复。
九.解决思路
我们可以看到网页篡改问题和其他安全问题一样,很难做到完全解决,因为面临的攻击者是“人”,而攻防是一个动态、持久过程。
因此,最为合理的解决方案是:
企业或组织付出合理的代价、尽最大可能降低网页篡改的风险。
这里有几点可以考虑。
第一,尽可能解决WEB应用自身存在的漏洞。
第二,做好事中防护,事中对来自用户端的请求做有效验证和检测是必要的,用于防护WEBShell、非法上传、SQL注入及跨站脚本等攻击。
考虑到攻防的动态变化,任何安全防护产品都不可能达到百分百的防护效果,那么,提供事后补偿机制是一个必要补充,即网页已经被篡改时,能及时、有效阻断非法页面发布,将风险降至最低。
我们还需要考虑“合理代价”的定义。
降低安全风险需要各类组织付出的代价除了对购买安全产品产生的直接成本,还需要考虑该产品的部署是否影响网站的正常业务流程、是否给维护人员带来较大的管理开销、是否影响WEB业务的性能。
此外,安全产品自身的安全性也极为重要,需要考虑安全产品部署环境自身的安全性。
综上考虑,理想的网页篡改防护系统应具备以下功能:
能够检测并阻止各种形式的网页篡改攻击(包括利用WEBShell等进行的文件篡改、SQL注入、跨站攻击、非法上传以及利用操作系统漏洞进行的网页篡改的攻击);能够发现各种形式攻击导致的网页篡改事件并进行恢复;具备完善的自我保护机制。
最终该网页篡改防护系统能够实现对以下内容的保护:
静态网页、动态网页声音、视频、图片以及允许从互联网访问的其他资源。
十.绿盟WEB应用防火墙(主机版)解决方案
一.
二.
三.
十一.概述
绿盟WEB应用防火墙(主机版),又名绿盟WEB应用防护系统,以下简称NSFOCUSWAF,提供“安全-成本”的最佳平衡点,沿用了绿盟NPRS(NSFOCUSProactiveandReactiveSecurity)安全建模的设计思路,提供了事中防护以及事后补偿的网页篡改防护综合解决方案:
事中,NSFOCUSWAF基于智能特征分析技术,对网页篡改所采用的主要攻击手段(如WEBShell、非法上传、SQL注入及XSS)进行检测并做有效阻断,从而有效防护对动态内容的篡改。
且依托于绿盟专业安全研究团队,能够及时跟踪、发现互联网上新出现的WEB应用攻击类型,并最优化防护技术,帮助用户对抗最新攻击。
事后,NSFOCUSWAF采用先进的WEB服务器核心内嵌技术以及增强型事件触发检测技术,提供事后补偿机制,实现对网页篡改的实时检测和恢复,保护WEB网站不响应被篡改内容并进行文件自动恢复。
十二.功能组件
NSFOCUSWAF由四个功能组件(如图4.1所示)组成,即集中管理服务器、网站服务器代理、备份服务器代理以及发布服务器代理,实现网页防篡改、入侵检测、网页自动发布及网页恢复等核心功能。
图十二.1NSFOCUSWAF组件
十三.集中管理服务器
集中管理服务器提供WEB界面对NSFOCUSWAF的所有组件进行集中统一管理,提供策略配置和分发、告警接收和查看、网站主机状态监控等功能。
集中管理服务器基于B/S架构,提供方便、快捷及高效的集中管理。
十四.网站服务器代理
网站服务器上部署网站服务器代理组件,该组件的主要作用是实现网页防篡改和恢复、入侵检测等核心功能,接收来自发布服务器上的发布代理的网页发布请求以进行网页发布。
各个模块的实现的主要功能如下:
4.检测模块:
主要功能是发现正在进行的网页篡改攻击或者已经成功的网页篡改攻击。
NSFOCUSWAF应用文件保护技术检测正在进行的针对静态网页或者动态网页脚本文件的篡改攻击;应用会话分析技术检测已经成功的针对静态网页或者动态网页文件的篡改攻击。
5.防护模块:
对检测到的正在进行的网页篡改攻击进行阻断,对已经成功的篡改攻击在发现时用合法文件进行恢复。
6.自保护模块:
保障网页篡改防护系统的安全,避免XX的卸载、关停等。
十五.发布服务器代理
发布服务器代理负责监视网站发布人员的发布行为,自动更新待发布的网页文件的水印到水印数据库中,通知网站服务器中的代理更新网页文件,并将待发布的文件自动同步到备份服务器中。
十六.备份服务器代理
备份服务器上的代理主要是对需要发布的网页文件进行备份以便遭到篡改后能进行恢复、接受来自网站服务器代理的网页恢复请求将备份的网页发送到网站进行恢复。
水印数据库可以部署在备份服务器上。
十七.产品核心技术
十八.WEB应用攻击防护技术
NSFOCUSWAF应用了先进的多维防护体系,对WEB应用攻击进行了广泛且深入的研究,固化了一套针对WEB应用防护的专用特征规则库,对当前国内主要的WEB应用攻击手段实现了有效的防护机制,应对黑客传统攻击(WEBShell及非法上传)以及新兴的SQL注入和跨站脚本等攻击手段,具体参见表4.1。
NSFOCUSWAF应对各类WEB安全威胁
威胁
描述
WAF应对措施
SQL注入
利用SQL注入漏洞,攻击者通过在URL、表格域,或其他的输入域中输入自己的SQL命令,以此改变查询属性,骗过Web应用程序,从而对数据库进行不受限的访问。
WAF基于特征分析,针对SQL注入,提供了有效识别、阻断并告警。
WAF可有效防护传统注入手段,以及规避(escape)检测手段。
跨站脚本
利用XSS漏洞,通过虚假的Web页面内容伪装用户的常用方法。
恶意攻击可以通过XSS来盗取用户的cookie,将用户引导至其他的恶意页面,并且向其提供虚假的内容。
WAF基于特征分析,检查过滤用户的请求数据,可阻断XSS攻击。
WEBShell
利用上传木马等方式获取WEBShell,通过各种方式获取管理员权限后进行文件上传、修改等手段来篡改网页。
恶意人员通过WEBShell与服务器的数据交换都是通过80等WEB端口进行,因此可以穿越防火墙。
常用于攻击允许用户上传的网页系统。
WAF基于特征分析,检查用户提交的参数数据。
非法上传
恶意人员绕过管理员的限制,上传任意类型的文件或者在禁止写入的目录中写入文件。
WAF基于特征分析,检查用户提交的参数数据,发现和阻断攻击。
黑客攻击技术是不断发展的,安全产品面对的是充满“智慧”的攻击者,WEB安全攻防是持续变化的过程。
攻击者可以调整攻击力度、采用新的攻击手段,突破攻击防护设备的性能极值,这对安全厂商的研究能力提出了严峻的挑战。
绿盟科技拥有一支强大的安全技术研究队伍,专职于安全攻击及防护技术的研究,能够及时跟踪、发现互联网上新出现的WEB应用攻击类型,并最优化防护技术,从而为客户提供对抗最新攻击的解决方案。
十九.网页挂马检测
网页挂马的直接受害者为终端用户,Web服务器作为被利用者,成为传播网页木马的“傀儡帮凶”。
对于Web服务器而言,最大隐患在于,多数情况网站实质已被入侵,只是攻击者出于经济利益考虑,未采用更为直观的网页篡改方式。
NSFOCUSWAF应用成熟的爬虫技术和网页挂马检测技术,全面检查网站各级页面中是否被植入恶意代码,确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。
该功能未采用复杂的虚拟机方式,而是应用了一种轻量级方案,最终以较简单、高效的方式实现了较高的网页挂马检测准确率。
二十.核心内嵌技术
所谓“核心内嵌”,即通过WEB服务器(IIS、Apache等)提供的框架接口在WEB服务器中嵌入一个过滤模块,该模块能够对进出WEB服务器的所有HTTP请求(GET/POST)和响应数据包进行合法性检查和修改,从而能够实现网页防篡改、入侵检测、可视页面不被篡改、自定义响应页面等功能。
二十一.文件保护技术
NSFOCUSWAF采用事件触发检测技术来实现文件保护技术,利用操作系统提供的文件系统底层接口,在网页文件被修改时(即触发了对网页文件的写入、删除等事件)进行合法性检查。
NSFOCUSWAF在接收到针对指定的网页文件的操作请求时,先检查这个请求是否来自合法的进程和用户;如果合法则向下层驱动传递,正常完成文件操作;如果该请求来自非法的进程或用户,则直接向上层返回拒绝,从而阻止了对相应文件的操作,达到防篡改的目的。
二十二.自动同步技术
为高效地进行网页的内容扫描、发布和恢复,NSFOCUSWAF采用了细粒度的异步机制,监视文件目录的变化,能自动将其同步到安装了WEB服务器代理的目标WEB服务器上,同时也能作为备份服务器提供自动网页恢复时的基准内容,减少人工干预。
二十三.跨平台支持
对于主机类产品而言,面临的一大挑战在于跨平台支持,以满足实际应用需求。
NSFOCUSWAF应用了多重技术,确保支持所有主流的操作系统(包括Windows、Linux、FreeBSD、Unix(Solaris、HP-UX、AIX、SGI))以及常用的WEB系统(包括IIS、Apache、SunONE、J2EE(Weblogic、WebSphere、Tomcat、Resin)等)。
二十四.自身安全性
NSFOCUSWAF能避免被非法关停或者卸载;具备卸载密码保护,并具备一定的自恢复功能。
NSFOCUSWAF采用数字水印库进行安全存储,避免网站被黑后,黑客拿到本地权限后修改水印库,破坏其完整性。
NSFOCUSWAF提供以下信息传输安全机制:
7.远程管理功能:
对远程管理信息进行加密传输;
8.仅管理员可指定备份服务器或备份指定文件及目录;
9.应用备份文件进行网页时,对备份文件进行加密传输。
二十五.强大的告警功能
NSFOCUSWAF提供强大的告警功能。
告警类型包括:
试图进行网页篡改的各种攻击行为;对可视内容的非法增加、删除、修改的行为;对关键资源的访问行为;非法上传文件等行为以及对监控保护进程进行关闭的行为。
告警内容须包括事件发生时间、事件类型、访问的资源、IP源地址等详细内容。
告警方式包括Email、声音或屏幕提示等形式。
二十六.丰富的审计功能
NSFOCUSWAF提供丰富的审计功能,对下列事件产生审计记录:
10.对保护内容进行增加、删除、修改和恢复等操作行为;
11.对保护内容进行访问等操作行为;
12.管理人员登陆后的操作行为。
同时,NSFOCUSWAF还对与系统自身安全相关的下列事件产生审计记录:
13.管理员登陆后进行的操作行为;
14.管理员的登录和退出等行为;
15.对安全策略进行添加、修改、删除等操作行为;
16.读取、修改、删除日志等操作行为;
17.对管理角色进行增加、删除和属性修改等操作行为;
18.对其他安全功能配置参数的设置或更新等行为。
二十七.NSFOCUSWAF部署
NSFOCUSWAF的四个组件的典型部署如图4.2所示,系统通过集中管理服务器实现对多个代理服务器的统一管理。
出于安全考虑,集中管理服务器、发布服务器、备份服务器都部署在内网。
这样部署的优势在于可扩展性好、安全性更高。
图二十七.1NSFOCUSWAF典型部署
也可以把集中管理服务器、发布服务器与备份服务器配置在同一台服务器,最大节约硬件成本。
二十八.结论
随着客户核心业务系统对WEB平台依赖程度的增加,WEB应用攻击事件数量将会持续增长,损失严重程度也会剧增。
当前,网页篡改成为国内网站客户高度关注的安全问题。
一方面由于网页篡改引发的恶劣影响,另一方面,网页篡改可视为一种重要的晴雨表,用于评估网站上存在的可被利用漏洞。
因此,政府、企业等各类组织都必须有所对策,降低网页篡改引发的风险。
绿盟WEB应用防护系统(主机版)从安全厂商的视角出发,关心网页篡改安全事件发生的前因后果,寻求最佳“安全-成本”平衡点,提供“标本兼治”的解决方案。
NSFOCUSWAF提供了业界领先的WEB应用攻击防护能力,通过多种机制的分析检测,有效的阻断网页篡改采用的主要攻击手段;且采用先进的WEB服务器核心内嵌技术以及增强型事件触发检测技术,提供事后补偿机制,实现对网页篡改的实时检测和恢复,保护WEB网站不响应被篡改内容并进行文件自动恢复。
NSFOCUSWAF还应用了多重技术机制保障,克服了主机类产品跨平台、自身安全性等可能的技术瓶颈,为客户提供一种可靠的网页篡改防护解决方案。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NSFPRODWAF 主机 V60WH 产品 白皮书