Web应用防火墙？Web安全网关？

原文  http://netsecurity.51cto.com/art/201007/210932.htm

 

无论是基于Web的应用系统还是Web网站，他们都面临着各种各样且来源不定的安全威胁。他们有些是已被发现，并具有可识别的固定特征的；则是因网站的设计和代码，以及攻击者的行为习惯而异的。而所有这些都是Web应用系统和Web网站必须面对和解决的安全问题。

传统的技术手段。如防火墙和IPS都是基于已知的安全特征的安全检测和防护手段，而且它们只能做到网络，有的可以处理协议层数据包（新的技术）。但 是对于Web应用中大量采用，而同时又是被攻击的主要目标的动态页面是无能为力的。这是因为，动态页面本身就是没有固定模式的，所以针对它的攻击也是没有 固定特征的。

同时，必须注意到，完全依赖特征库的检测和防护技术，不可避免的具有很高的误报率和漏报率，并且在两者之间很难达到平衡。

目前，大多数网站采用的都是这种技术，它们也了解其中的问题，只是没有更好的技术来取代而已。而Imperva的SecureSphere Web应用防火墙采用新型防护手段，既有效地弥补了传统防护方式的不足，又具有很多新的特点。

作为新型的Web应用防火墙，SecureSphere的特点是基于正向模型——即，为模型的安全检测技术可以从根本上解决上述传统Web防护的问题，尤其是当两者结合的时候。

但同时，对于基于为模型的检测和防护，有几个关键的技术问题必须解决：

a.模型的产生必须是自动和动态的。——由于为模型包含的因素非常广泛，且数量众多，人工生成和维护的方式在实际使用中是完全不可行的；而且，会产生大量的误报。

必须和基本的反向模型向结合。因为反向模型可以屏蔽大量的基本攻击，而让基于为的机制解决更高级的攻击流量。

b.必须在防护的各个层次，以及时间上进关联分析。Ì

真正有危害的攻击通常会在多个层次，包括时间轴上表现出相当的关联性，通过关联分析可以极大的提高攻击辨识的能力，降低误报率。

另外，由于行为分析意味着大量的计算，产品在具体实现方面必须保证应有的性能，特别是在处理能力(Session Per Second)和时延方面(ms)。Imperva的Web防火墙采用独特的技术很好的解决了上述问题。

Imperva WAF的功能和特点

SecureSphere WEB安全防护网关是专为了对WEB网站和基于WEB的服务器提供全方位防护而设计的。它的防护对象不仅包括普通的端口扫描、TCP Sync Flood、已知的高级攻击手段如SQL注入等，还包括未知的、新出现的高级的攻击，如URL参数篡改、Cookie毒化等。同时还可以对管理核心数据的 后台数据库进行防护, 如下图所示：  

SecureSphere的WAF G8包括以下方面的功能和特点：

Web应用防火墙功能

SecureSphere 系统保护用户的WEB应用攻击，例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击（详见列表）。动态评估技术自动创建WEB应用的使用 和结构的正向安全模型，包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互 时，SecureSphere 系统密切监视他们的活动，并与安全模型比较。任何攻击的企图都将被监测到，并被阻止。 

Web服务防火墙功能

SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同SecureSphere系统的应用防火墙功能 一样，服务网关采用Imperva公司的动态评估技术建立合法应用行为的安全模型，包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来，并加以阻止和防范

动态建模和自动策略

SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即，对访问的URL、动态页面传 递参数、Cookie传递的参数等进行监测，对比正常的访问行为基线；如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能 完成，无需人工干预，而且还可以根据Web应用的变化进行自适应调整。同时，管理人员还可以进行微调，以得到最优的“充分必要”的策略。

Web入侵防护系统（IPS）

SecureSphere IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点（例如，IIS、Apache和 Windows 2000）。SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 SecureSphere系统同时提供多网络协议的Snort兼容的特征库，符合http协议和来自“应用防御中心”– Imperva自己内部的安全研究组织，的高级应用保护特征。SecureSphere 系统提供定时更新服务，确保安全保护的时效性。

多层次的防护及关联

◆SecureSphere不仅提供了创新的安全技术手段，如自动建模，防蠕虫扩散、高层协议检测；同时也整合了各种成熟的技术，如：网络防火墙、 入侵检测和防护。特别需要指出的是SecureSphere的入侵检测技术是专门针对Web服务的，除了基本的Snort特征库，还提供丰富的Web应用 和数据库应用的攻击特征库。  

◆SecureSphere整合多种安全手段的目的不仅提供了多层次的安全防护，而且通过各个防护层次间内在的关联，可以极大的提高攻击识别的准确性，降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。

前后台关联。  

当今，Web服务系统发展的趋势是，除了提供静态信息的提供外，还提供与多种应用和服务的交互接口。网页交互和动态页面技术越来越多的扮演了核心的 角色。同时由于动态页面技术的灵活性，它也成为了Web攻击的热点，包括通过动态页面与后台数据库的连接关系，获取和篡改应用系统的核心信息，如账号密 码、用户信息、交易信息等。SecureSphere为Web网站和基于Web的应用提供全面安全防护，包括前台Web服务器和后台数据库；而且可以进行 实时的前后台关联。因此SecureSphere可以帮助发现攻击的真正发起源，可以防护通过后门对数据库发起的攻击，提高攻击发现的能力，以及精确的从 大量访问流量中阻断攻击流量。

Imperv WAF的部署：

配置原则

在为xxx用户配置Imperva公司的Web安全防护产品的时候，遵循一下的配置的基本原则： 

◆功能性满足本项目的实际需要 

◆可以支持现有应用系统，如数据库类型、本版等 

◆处理性能满足系统的需要 

◆对现有系统的无影响，包括；IP地址空间、路由规划、无需调整应用系统（如设置Proxy，安装软件等）

配置说明

鉴于以上的配置原则，针对xxx web保护项目的Web应用保护，采用Imperva 的SecureSphere系列中G4作为Web应用监控和防护网关。同时，为了提供统一的管理和配置平台，配置MX作为集中网管平台，对数据库应用监控和防护网关进行统一的管理。

G4有500Mbps的吞吐量，同时支持的交易数是16,000每秒，同时为了保证系统的可靠性，配备两台，用来监控和保护核心的Web应用，如果 一台出来问题，系统可以自动切换到另外一台。另外配备一台网管服务器MX，对两台数据库安全网关做统一的管理和配置。拓扑图如下所示：