Web应用防火墙

一．前言

Web应用平台的应用范围有哪些？

随着计算及业务逐渐向数据中心高度集中发展，Web业务平台已经在各类政府、企业机构的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用，很多企业都将应用架设在Web平台上，Web成为一种普适平台。

 

Web应用带来的威胁有什么？

Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和Web程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

当前网络上75%的攻击是针对Web应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到Web安全问题的重要性，但传统安全设备（防火墙/IPS）解决Web应用安全问题存在局限性，而整改网站代码需要付出较高代价从而变得较难实现。同时，很多关系国计民生的重要网站，面临监管机构安全合规的要求。

 

如何解决Web应用安全问题？

面对来势汹汹的Web安全威胁，政府、企业为了保护好自身的Web服务器绞尽脑汁。Web服务器在交互性增强的同时，也带来了更高的网络危险性、混乱性和复杂性。

l         如何防止Web服务器、数据库服务器被窃取信息？

l         如何验证用户提交数据的安全性？

l         如何防止黑客上传木马、控制服务器？

 

Web应用防火墙的出现，给当前的安全市场打了一针兴奋剂，Web应用安全的问题迎刃而解。各政府、企业纷纷要求安装Web应用防火墙。

 

二．来自Web的安全威胁

根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上，2/3的 Web 站点都相当脆弱，易受攻击。另外，在今年4月国家计算机网络应急技术处理协调中心最新发布的报告中指出，“2007年度，网络仿冒、网页恶意代码、网站篡改等增长速度接近200%。”而随着Web2.0应用的推广，相关安全问题逐渐凸显，针对该类网站的攻击事件也在不断增多，常见来自Web的安全威胁有几下几种：

 

1．  SQL注入

2．木马上传

3．远程溢出

4．XSS

5．本地、远程包含漏洞利用

6．重要信息窃取

7．验证、认证绕过

8．Cookie、Session劫持

9．网站挂马

10．应用层DOS攻击

 

三．部署方式

“铱迅Web应用防火墙”支持多种灵活的部署方式，如透明网桥模式、单机模式、旁路反向代理模式。其中，“铱迅 Web应用防火墙”的透明网桥模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，“铱迅 Web应用防火墙”相当于一根网线串入网络中，对Web攻击进行防御。

 

       “铱迅Web应用防火墙”的透明网桥模式，与其他同类产品相比，有着先天的优势：

 

	透明网桥	反向代理
支持超过65535个并发连接	支持超过百万以上	一般不高于3万
数据处理延时	几乎无延时	有一定延时
最大访问速率	最大1000Mbps	一般在500Mbps
修改网络数据报文	不修改	需要修改
对交换机负载	负载低	负载高
获取访问者真实IP	能获取到真实IP	无法获取真实IP

 

1．透明网桥模式

透明网桥模式指在两台运行的设备中间插入“铱迅 Web应用防火墙”，但是对流量并不产生任何影响。在透明网桥模式下，“铱迅Web应用防火墙”阻断Web应用层攻击，而让其他的流量通过。透明网桥模式是部署最为简便的方式。透明网桥模式是透明的，所以不会干预任何网络中的设备。

 

2．单机模式

       单机模式下，“铱迅Web应用防火墙”只要串入Web服务器的前端即可进行防护，同时并不影响Web服务器的其他应用。

3．旁路反向代理模式

旁路反向代理模式，可以将“铱迅Web应用防火墙”与Web服务器置于内网的交换机下，访问Web服务器的所有请求都通过“铱迅Web应用防火墙”流入流出。然而，这种模式下，Web服务器无法获取访问者的真实IP，需要借助HTTP报文中设置相应的字段来表示访问者IP，这样需要修改原有的HTTP报文。

四．软、硬件Bypass方式

“铱迅Web应用防火墙”在特殊情况下，如断电、硬件故障等，仍然能够保持网络的畅通。具有硬件、软件双Bypass方式。

1．硬件Bypass

l         外部突然断电时，自动直连

l         来电后自动启动时，自动直连

l         硬件启动、重启时，自动直连

2．软件Bypass

l         固件故障自动恢复

故障时自动直连，故障清除后取消直连

l         固件升级、规则升级

升级固件、规则时自动直连，升级成功后取消直连

  

 

五．防护功能

“铱迅Web应用防火墙”可以给您的Web服务器提供应用层的全方位的保护，功能包括：

1．黑客攻击防护

l         SQL注入攻击（包括URL、POST、Cookie等方式的注入）

l         XSS攻击

l         Web常规攻击（包括远程包含、数据截断、远程数据写入等）

l         命令执行（执行Windows、Linux、Unix关键系统命令）

l         缓冲区溢出攻击

l         恶意代码

 

2．违反策略防护

l         非法HTTP协议

l         URL-ACL匹配

l         盗链行为

3．BOT防护

l         爬虫（蜘蛛）行为

l         Web漏洞扫描器行为

 

4．应用层洪水攻击

l         SYN Flood

l         ACK Flood

 

 

六．高级功能

1．自定义规则

提供用户编写自己的规则；

支持字符串快速查找与PCRE正则查找。

2．白名单

设定某些网站、URL等对于Web应用防火墙直接放行。

3．关键词过滤

双向、单向（可选）替换关键词为****

 

4．自动通知

       在内置存储空间快接近最大容量时发送电子邮件提醒用户。

       用户可以手工导出日志或者清空过去的部分日志。

（注：若用户不予清理，防火墙将执行自动清理过去的部分日志）

 

 

5．防火墙拦截方式设置

阻断------拦截尝试入侵的数据报文，并将入侵者的IP封掉一段时间。

包过滤----拦截尝试入侵的数据报文，不阻断入侵者的IP。

全部放行--停用本防火墙，对所有数据报文一律放行。

　

6．防火墙过滤端口设置

用户可以自己填写需要过滤的HTTP端口。

如需要过滤80端口以外，还可以选择过滤8080端口。

7．防火墙检测方向设置

       用户可以选择检测双向的数据或者流入的数据。

8．阻断时间设置

       用户可以设置检测到攻击后，对某个IP的阻断时间。

 

 

七．统计功能

1．入侵统计

2．网络流量统计

3．浏览页面统计

4．系统状态

 

 

八．日志分析

1．告警日志

       对每次攻击记录包括攻击时间、攻击者的IP、物理地址等。

 

 

2．审计日志

       对Web应用防火墙硬件的每次操作进行记录。

3．系统日志

       记录硬件防火墙的运行状态。

 

 

九．数据备份、导出

1．入侵日志导出

2．审计日志导出

3．系统日志导出