原文 http://netsecurity.51cto.com/art/201007/214156.htm
谁是最佳选择?
Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体。在Web上“安家”的关
键业务系统中蕴藏的数据价值引起攻击者的青睐,网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低,也使得很多攻击带有盲目和随机性。比如利用
GoogleHacking原理的批量查找具有已知漏洞的应用程序,还有SQL批量注入和挂马等。但对于重要的Web应用(比如运营商或金融),始终有受
利益驱动的黑客进行持续的跟踪。
如果说传统的“大而全”安全防护产品能抵御大多数由工具产生的攻击行为,那么对于有针对性的攻击行为则力不从心。而WAF正是应需求而生的一款高端
专业安全产品,这也是市场需求细化的必然趋势。但由于其部署和功能方面与IPS有类似,有人提出疑问,为什么不能用IPS,或者说WAF与IPS有什么异
同?谁更适合保护Web服务器?
这些疑问其实是有道理的,差异化的产生在于高端需求是不同的,从而需要细化功能贴合具体需求和符合应用现状的产品,这也是用户需求是随着业务自身的发展所决定的。
保镖和保安
为了更好的理解两款产品差异性,我们先用这个保镖(WAF)和保安(IPS)比喻来描述。
大楼保安需要对所有进出大楼人员进行检查,一旦发现可疑人员则禁止他入内,但如果混进“貌似忠良”的坏人去撬保险柜等破坏行为,大楼保安是无能为力的。
私人保镖则是指高级别、更“贴身”的保护。他通常只保护特定的人员,所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等,因为被保护人的工
作是需要去面对不同的人,去不同的场合,保镖的职责不能因为危险就阻止、改变他的行为,只能去预见可能的风险,然后量身定做合适的保护方案。
这两种角色的区别在于保安保护的是整个大楼,他不需要也无法知道谁是最需要保护的人,保镖则是明确了被保护对象名单,需要深刻理解被保护人的个性特点。
图 1.1 保镖和保安
通过上面的比喻,大家应该明白两者的之所以会感觉相似是因为职责都是去保护,但差异在于职能定位的不同。从技术原理上则会根据定位来实现。下面通过几个层面来分析WAF和IPS的异同。
事件的时间轴
对于安全事件的发生,有三个时间点:事前、事中、事后。传统的IPS通常只对事中有效,也就是检查和防护攻击事件,其他两个时间点是WAF独有的。
图 1.2 事件时间轴
如上图所示,事前是指能在事件发生之前通过主动扫描检测Web服务器来发现漏洞,通过修复Web服务器漏洞或在前端的防护设备上添加防护规则等积极主动手段来预防事件发生。事后则是指即使Web服务器被攻击了,也必须有网页防篡改功能,让攻击者不能破坏网站数据。
为什么不能具备事中的100%防护能力?其实从以下几个方面就知道对于事中只能做到相对最佳防护而不能绝对,因为:
1. 软件先天是有缺陷的,包括应用到第三方的组件和函数库无法控制其安全性;
2. 应用程序在更新,业务是持续发展的、动态的,如果不持续监控和调整安全策略,也是会有疏漏的;
3. 攻击者永远在暗处,可以对业务系统跟踪研究,查找漏洞和防护缺陷,用各种变形繁杂的手法来探测,并用于攻击;
4. 任何防护设备都难以100%做到没有任何缺陷,无论是各种算法还是规则,都是把攻击影响降低到最小化。
所以需要用一个可闭环又可循环的方式去降低潜在的威胁,对于事中疏漏的攻击,可用事前的预发现和事后的弥补,形成环环相扣的动态安全防护。事前是用
扫描方式主动检查网站并把结果形成新的防护规则增加到事中的防护策略中,而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此,不能进一步修改和损坏网站
文件,对于要信誉高和完整性的用户来说,这是尤为重要的环节。
图 1.3 WAF安全闭环
如果仅仅是对于事件的时间轴有区别,那么还是可以采用其他产品来进行辅助,但关键的是事中的防护也是有深度的差异,那么下面我们来谈谈对于事中的差异。
事中,也就是实时防护,两者的区别在于一个是纵横度,一个是深度。IPS凸显的优势在于纵横度,也就是对于网络中的所有流量进行监管,它面对的是海
量数据,下图的TCP/IP模型中网络流量从物理层到应用层是逐层递交,IPS主要定位在分析传输层和网络层的数据,而再往上则是复杂的各种应用层协议报
文,WAF则仅提供对Web应用流量全部层面的监管。
图 1.4 数据结构图
监管层面不同,如果面对同样的攻击,比如SQL注入,它们都是可以防护的,但防护的原理有区别,IPS基本是依靠静态的签名进行识别,也就是攻击特征,这只是一种被动安全模型。如下是一个Snort的告警规则:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:“SQL Injection - Paranoid”; flow:to_server,
established;uricontent:“.asp”;pcre:“/
(\%27)|(\‘)|(\-\-)|(%23)|(#)/i”;
classtype:Web-application-attack; sid:9099; rev:5;)
|
这里主要是检查在SQL注入中提交的元字符,包括单引号( ' )和双横( -- ),从而避免注入'1 or 1=1— 之类的攻击发生,但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查,于是又在规则里增加了其对应的十六进制编码后的字符串。
当然,要从签名特征来识别攻击要考虑的东西还很多,不仅元字符还有SQL关键字,包括:select insert update等,以及这些关键字的大小写变形和拼接,利用注释逃脱过滤,如下所示例:
使用大小写混杂的字符 :SeLecT fRom“
把空格符替换为TAB符或回车符 :select[TAB]from
关键词之间使用多个空格 :select from
字符串的数值编码 :0x414141414141 或 0x41004100410041004100
插入被数据库忽略的注释串 :sel/**/ect fr/**/om select/**/ from
使用数据库支持的一些字符串转换功能 :char(65) 或 chr(65)
使用数据支持的字符串拼接操作 :'sel'+'ect '+'fr'+'om’” 、“‘sel'||'ect
'||'fr'||'om'可以设想一下,如果要检测以上的变形字符后的攻击则需要增加相应的签名特征,但更重要的是要充分考虑转换编码的种类,上面示例
的snort的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查,如果对于变形后繁多的攻击种类,这是滞后的并且会造成签名臃肿。
对于比较粗浅的攻击方式两者都能防护,但市面上大多数IPS是无法对报文编码做多重转换的,所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。
而这恰恰又是WAF的优势,能对不同的编码方式做强制多重转换还原成攻击明文,把变形后的字符组合后在分析。那为什么IPS不能做到这个程度?同样还有对于HTTPS的加密和解密,这些我们在下节的产品架构中会解释。
产品架构
大家知道IPS和WAF通常是串联部署在Web服务器前端,对于服务器和客户端都是透明的,不需要做任何配置,似乎都是一样的组网方式,其实有很大差异。首先我们看看市面主流WAF支持的部署方式:
1、 桥模式
2、 路由模式
3、反向代理
4、旁路模式(非串联)
这两者串联部署在Web服务器前端时,市面上的大多数IPS均采用桥模式,而WAF是采用反向代理模式,IPS需要处理网络中所有的流量,而WAF仅处理与Web应用相关的协议,其他的给予转发,如下图:
图 1.5 多协议图
桥模式和反向代理模式的差异在于:桥模式是基于网络层的包转发,基本都没有协议栈,或只能简单的模拟部分协议栈,分析网络报文流量是基于单包的方
式,所以要处理分片报文、数据流重组、乱序报文、报文重传、丢包都不具备优势。同时网络流量中包括的协议种类是非常多的,每种应用层协议都有自身独特的协
议特征和格式要求,比如Ftp、SSH、Telnet、SMTP等,无法把各种应用流量放到应用层协议栈来处理。
绿盟科技WAF系统内嵌的协议栈是经过修改和优化的,能完全支持Http应用协议的处理,这意味着必须遵循RFC标准(Internet Requests For Comments)来处理Http报文,包括如下主要RFC:
◆ RFC 2616 HTTP协议语法的定义
◆ RFC 2396 URL语法的定义
◆ RFC 2109 Cookie是怎样工作的
◆ RFC 1867 HTTP如何POST,以及POST的格式
RFC中对Http的request行长度、URL长度、协议名称长度、头部值长度等都是有严格要求的,以及传输顺序和应用格式,比如Html参数
的要求、Cookie的版本和格式、文件上传的编码 multipart/form-data
encoding等,这些应用层内容只能在具有完整应用层协议栈的前提下才可正确识别和控制,对于不完整的丢包,重传包以及伪造的畸形包都会通过协议校验
机制来处理。
上一节提到的WAF对Https的加解密和多重编码方式的解码正是由于报文必须经过应用层协议栈处理。反之,IPS为什么做不到?是由于其自身的桥
模式架构,把Http会话”打碎“成多个数据包在网络层分析,而不能完整地从应用层角度来处理和组合多个报文,并且应用层协议繁多,全部去支持也是不现实
的,产品的定位并不需要这样。下一节的学习模式更是两者的截然不同的防护机制,而这一机制也是有赖于WAF的产品架构。
基于学习的主动模式
在前面谈到IPS的安全模型是应用了静态签名的被动模式,那么反之就是主动模式。WAF的防御模型是两者都支持的,所谓主动模式在于WAF是一个有
效验证输入的设备,所有数据流都被校验后再转发给服务器,能增加应用层逻辑组合的规则,更重要的是具备对Web应用程序的主动学习功能。
学习功能包括:
1. 监控和学习进出的Web流量,学习链接参数类型和长度、form参数类型和长度等;
2. 爬虫功能,爬虫主动去分析整个Web站点,并建立正常状态模型;
3. 扫描功能,主动去扫描并根据结果生成防护规则。
基于学习的主动模式目的是为了建立一个安全防护模型,一旦行为有差异则可以发现,比如隐藏的表单、限制型的Listbox值是否被篡改、输入的参数类型不合法等,这样在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。
结尾
WAF更多的特性,包括安全交付能力、基于cache的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等都表明这是一款不仅能
攻击防护,同时又必须在满足客户体验和机密数据防护的高度集成的专业产品。本文仅从产品特征的对比角度来分析了WAF的部分技术原理,但没否定IPS的价
值,毕竟两者在部署场景和功能上具有很大差异。
分享到:
相关推荐
总结来说,IPS与WAF各有侧重,IPS擅长网络级别的防护,而WAF则更擅长对Web应用的深度防御,两者结合使用可以形成多层次的安全防护体系。在选择和配置时,应根据实际需求和风险评估,合理部署和调整这两类设备的功能...
Web应用程序防火墙(WAF)是一种安全措施,旨在保护Web应用程序免受利用Web应用程序中的漏洞进行攻击的威胁。WAF对于网站运营者来说是一个非常重要的安全工具,特别是那些想要更好地保护其Web资产免受安全威胁的运营...
通过对WAF绕过检测技术的深入探讨,我们可以看到虽然WAF作为一种重要的Web应用安全防护工具,在实际应用中仍存在不少局限性和潜在的风险点。了解这些绕过技术不仅可以帮助安全人员更好地防御网络攻击,同时也为企业...
常见应用安全产品——web应用防火墙(WAF) 路由器 核心交换机 接入交换机 接入交换机 接入交换机 Web应用服务器群 WAF Web应用防火墙串联透明部署在Web服务器的前端,在物理层面是Web服务器的前端多了一台硬件设备...
2. Web应用防火墙(WAF):WAF作为Web安全的重要防护工具,可以过滤和阻挡针对应用程序的攻击。WAF的作用在于能够检测和拦截恶意流量,包括SQL注入、XSS攻击以及会话劫持等。 3. 入侵检测系统(IDS)与入侵防御系统...
WAF(web application firewall)的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗,并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称"WAF")。 什么是WAF? WAF是...
使用Web应用防火墙(WAF)等工具,可以有效防御已知的SQL注入攻击模式。此外,为了进一步提高安全性,可以部署入侵检测系统(IDS)和入侵防御系统(IPS),以实时监控和响应可能的攻击行为。 文章最后强调,信息安全是一...
应定期进行安全审计,更新WAF规则库,同时结合入侵检测系统(IDS)和入侵预防系统(IPS)来提高防护水平。此外,代码审查和严格的权限管理也是防止Webshell入侵的有效手段。 总的来说,"过waf免杀大马最新版.zip"的...
WAF 的全称是 (Web Application Firewall)即Web 应用防火墙,简称 WAF 。Web 应用防火墙是通过执行一系列针对HTTP/HTTPS 的安全策略来 专门为Web 应用提供保护的一款产品。对于Web 应用系统的漏洞,可以使 用WAF ...
2 改建后网络拓扑 改造后网络拓扑如下: 说明: XX教育厅现有3条互联网链路接入INTERNET,抗拒绝服务系统ADS和安全审计系统以串 联方式部署在防火墙和核心交换之间,新增DMZ区防护链路由WEB应用防护系统(WAF)组 ...
该模型强调在数据到达数据库前就进行验证和清洗,通过建立一系列检测和防御机制,如使用Web应用防火墙(WAF)、部署入侵检测系统(IDS)和入侵防御系统(IPS)等手段,来主动识别和拦截潜在的SQL注入攻击。 在测试和验证...
7. **Web应用防火墙与入侵检测系统**:介绍Web应用防火墙(WAF)和入侵检测系统(IDS/IPS)的工作原理及配置,以及它们在保护Web应用中的作用。 8. **漏洞评估与渗透测试**:吴翰清先生分享了如何进行安全漏洞评估...
4. **Web应用防护**: 这包括使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)以及Web应用防火墙(WAF)等工具,以防止恶意流量对Web应用造成损害。 5. **Web服务器管理**: 了解如何配置和管理Web服务器,包括...
Web应用防火墙(WAF)是一种专门用于保护Web应用的安全技术,它通过实施一系列安全策略来防御攻击,保护Web服务器免受安全威胁。在互联网技术快速发展的背景下,Web应用成为了各种业务系统的核心组成部分,因此Web...
3. **Web应用防火墙 (WAF)**:WAF是一种用于保护Web应用程序免受常见攻击的防御措施,例如SQL注入、跨站脚本(XSS)等。在网络游戏中,WAF可以阻止针对服务器的恶意请求,保护服务的正常运行。 4. **DDoS防护**:网络...
开发者应遵循安全编码原则,如最小权限原则、输入验证、输出编码等,同时,利用如WAF(Web应用防火墙)和IDS/IPS(入侵检测/防御系统)提供额外防护。 6. **监控和响应** - 实施持续的安全监控,对异常活动进行...
扫描结果会生成相应的安全策略,如IPS规则和WEB应用防护规则,增强安全防护。 **风险分析配置**:用户可以在配置界面定义应用控制策略、IPS和WAF检测的源区域,指定目标IP,设置分析条件,以及选择需要扫描的弱密码...
- **防火墙与WAF**:部署Web应用防火墙等安全设备,可以有效阻止外部攻击。 ### 网络安全基础 #### 1. 网络安全概念 - **定义**:网络安全是指保护网络系统中的硬件、软件及其相关信息,使其不受未经授权的访问、...
本课程还介绍了深信服NGAF的优势,例如能够替代传统防火墙、IPS、AV、WAF等安全产品,提供完整的应用层安全防护功能。NGAF还具有智能的融合安全功能,能够实现各模块智能联动,并涵盖传统安全功能。
横向网络流量监控与检测是防止横向移动攻击的重要手段,通过IPS、WAF、Web应用安全检测等设备和技术进行全方位防御。 应急响应流程包括检测、抑制、根除和恢复四个阶段,每个阶段都需要有相应的策略和措施。此外,...