WAF和网页防篡改
WAF单页(NW 3000-10)
网康Web应用防火墙(Web Application Firewall, NS-WAF)是一款软硬件一体化、性能卓越的专业Web防护产品。
NS-WAF从事前WEB扫描、事中WEB防护、事后WEB防篡改等方面构建了“三位一体”的安全防护体系,为网站安全提供了有力的安全保障。
主要功能:1、精细化Web安全防护●防护7大类Web攻击威胁。
精细化的规则配置,发挥最大的安全防护功能,有效应对OWASP Top10定义的威胁及其变种。
2、完整网页防篡改解决方案●Web防火墙集中管理控制各个网页防篡改端点,并提供监控、同步、发布功能。
●基于文件驱动级保护技术,事件触发机制,确保系统资源不被浪费。
●支持Windows/Linux/Unix系统的网页防篡改。
3、Web扫描支持●提供Web漏洞扫描系统,定期对客户Web资源进行安全体检,从而进行事前防范和处理。
4、网页挂马主动诊断●提供网页挂马检测功能,全面检查网站各级页面中是否被植入恶意代码,防止客户端主机沦为攻击者的肉鸡,并有效防止客户端的敏感信息泄露。
5、专业DDOS防护●采用主动监测加被动跟踪相互结合的防护技术,能够高效地完成对DDoS攻击的过滤和防护。
6、HTTPS卸载/加速●针对SSL加密应用,WAF根据业务模型提供HTTPS卸载和HTTPS加速应用,从而保证服务器的安全性和可靠性。
7、HTTPS网守应用●提供HTTP转换成HTTPS的网守服务,为客户提供无缝HTTPS服务,最大保护客户数据安全性。
8、Web负载均衡、虚拟主机支持●五种负载均衡算法支持,分层架构的设计模型,将网络拓扑与应用安全分离,大大减轻管理员的负担。
9、高可靠性●双操作系统●双机HA10、立体化防护●构建多维防护体系,网络层、应用层4层Web安全扫描与检查,网页防篡改、Web安全扫描互动,网络层、应用层DDoS,构建立体式防护网络。
网康Web应用防火墙NW 3000-10 适用于:64个站点规模,1000M带宽的网络环境参数规格:NS-WAF 3000-10产品规格参数见下表:。
IPS 和WAF功能介绍
• 弱口令保护/防暴力破解
• 关键URL保护 • 应用信息隐藏 • HTTP出错页面隐藏 • HTTP(S)响应报文头隐藏 • FTP信息隐藏
• 多对象漏洞利用
扫描过程
攻击过程
破坏过程
用户/黑客
Web应用服务器
窃取内容
服务器外发内容过滤
•网页防篡改:静态、动态 •敏感信息过滤:身份证号、信 用卡号、财务数据等
特征编 官方补丁 深信服更新时 CVE 号 时间 间 cve-2011-1960 49023 8月9日 8月7日 cve-2011-1961 49027 8月9日 8月7日
49037 49039 49040 48985 49033 48255 49074 49002 49010 49005 49004 49477 49517 8月9日 8月9日 8月9日 8月9日 8月9日 8月17日 未提供 8月26日 9月13日 9月13日 9月13日 9月13日 9月13日 9月13日 8月7日 8月7日 8月7日 8月7日 8月7日 8月15日 8月15日 8月24日 9月11日 9月11日 9月11日 9月11日 9月11日 9月11日
WAF:动态攻击防护
SQL注入
支持各种注入方式和后台数据库类型
跨站脚本
支持存储式、反射式等各种跨站攻击方式检测
WebShell
防止Webshell后台木马的上传,并且予以阻断
命令注入和目录遍历
防范各种命令注入(各种脚本和系统名等)以及非法目录遍历攻击
应用层拒绝服务
利用应用层的弱点,进行拒绝服务攻击
IPS入侵防护系统
6G性能 us延迟
应用DDoS 防护
虚拟补丁库 2200+
掉电保护 Bypass
waf的应用场景
waf的应用场景WAF的应用场景随着互联网的发展,网络安全问题也日益突出。
网络攻击手段多种多样,其中Web攻击是最常见且威胁最严重的一种类型。
为了保护Web应用程序免受恶意攻击,WAF(Web应用程序防火墙)应运而生。
WAF作为一种网络安全设备,可以监控、过滤和阻止对Web应用程序的恶意攻击,有效保护Web应用程序的安全。
下面将介绍几个WAF的应用场景。
1. 保护网站免受SQL注入攻击SQL注入攻击是指攻击者通过在Web应用程序的输入字段中插入恶意的SQL代码,从而获取或篡改数据库中的数据。
WAF可以检测到SQL注入攻击,并阻止恶意代码的执行,从而保护网站免受此类攻击。
2. 防止跨站脚本攻击跨站脚本攻击(XSS)是一种常见的Web攻击方式,攻击者通过在网页中插入恶意的脚本代码,使用户在浏览网页时执行该脚本,从而获取用户的敏感信息。
WAF可以检测到并过滤掉这些恶意脚本,防止用户受到XSS攻击。
3. 阻止恶意文件上传恶意文件上传是指攻击者通过Web应用程序的文件上传功能,上传恶意文件到服务器,从而危害网站的安全。
WAF可以检测到恶意文件上传并阻止该文件的上传,确保网站的安全性。
4. 保护敏感信息泄露Web应用程序中常常会涉及到用户的敏感信息,例如用户名、密码、银行卡号等。
如果这些信息泄露,将对用户造成严重的损失。
WAF 可以检测并阻止敏感信息的泄露,确保用户的信息安全。
5. 防止DDoS攻击分布式拒绝服务(DDoS)攻击是指攻击者通过多个计算机发起大量请求,占用目标服务器的资源,从而使正常用户无法正常访问网站。
WAF可以通过识别恶意流量并对其进行过滤,防止DDoS攻击对网站的影响。
6. 保护API安全随着移动应用的普及,API(应用程序接口)安全性变得越来越重要。
WAF可以对API进行保护,检测和阻止恶意请求,确保API的安全性和稳定性。
7. 防止应用程序漏洞利用Web应用程序中常常存在各种漏洞,例如未经身份验证访问、路径遍历、文件包含等。
WAF-web防御系统
WEB应用防护系统蓝盾信息安全技术股份有限责任公司2014年7月3日目录1.第一章WAF (2)1.1 产生背景 (2)1.2 应用功能 (2)审计设备 (2)访问控制设备 (3)架构/网络设计工具 (3)WEB应用加固工具 (3)1.3 特点 (3)异常检测协议 (3)增强的输入验证 (4)及时补丁 (4)基于规则的保护和基于异常的保护 (5)状态管理 (5)其他防护技术 (5)2.第二章BD-WAF (6)2.1蓝盾WEB应用防火墙简介 (6)2.2 BD-WAF 系统具备以下功能特性 (6)2.3 BD-WAF 的详细参数 (7)3.第三章绿盟WAF (11)3.1 绿盟W AF简介 (11)3.2 产品特点: (11)3.2 详细招标参数 (12)4.附录 (17)附录1. W AF(WEB应用防火墙)技术比较表 (17)附录2. 在选择W AF产品时,建议参考以下步骤: (18)第一章WAFWeb应用防护系统(也称:网站应用级入侵防御系统。
英文:Web Application Firewall,简称:WAF)。
利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
1.1 产生背景当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。
SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。
其中,中国大陆政府网站被篡改各月累计达4234个。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。
但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。
Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
WAF快速配置
系统维护
➢ 用户管理
系统中的管理用户分为三类:系统管理员、审计管理员、配置管理员,分别具有不同权限。
系统维护
➢ 系统升级
系统维护
➢ 系统诊断
其他配置
➢ 时间配置
其他配置
➢ HA配置
其他配置
➢ 告警配置
告警配置首先要进行邮件服务器的配置,才可以进行邮件告警,邮件服 务器配置类似于foxmail
其他配置
➢ 日志配置
常见故障排除
查询不到访问日志?
– 选择的查询日期是否正确? – 日志配置中是否打开记录日志的开关? – 该服务是否选择记录访问日志?
没有收到告警邮件?
– 是否配置攻击告警? – 邮件发送配置是否正确配置? – 网络是否正常? – DNS是否正确?
切换直通后,管理口无法访问WEB管理界面?
LAN口(ETH1)(接WEB服务器主机) 管理口(ETH5)(用于进行设备管理,可根据需要接入内网交换机) 带 外 口 (ETH4) ( 用 于 初 次 配 置 WAF 设 备 使 用 , 该 端 口 默 认 IP 为 : 192.168.45.1 且不能配置更改) 3、打开浏览器IE,用HTTPS方式连接WAF的带外口IP地址:https://192.168.45.1。 4、回车后出现如图所示界面,单击【是】,接受WAF证书加密的通道。
➢ 应用监控
状态监控
➢ 主机监控
日志报表
➢ 日志: 可根据需要按不同的查询条件进行查询
日志报表
➢ 报表 1、流量分析报表能直观的显示时段、每天、周、月的流量进行统计分析 2、访问者统计报表能对来自不同省市国家和地区的访问者进行统计 3、内容统计报表能对网站内容的访问次数及受众喜爱程度进行统计分析 4、攻击统计报表能根据需求对不同时段和来源的攻击进行统计分析,以使
WAF(WEB应用防火墙)资料
智恒联盟
19 | 28 NOV 2010 | Focus Web Security | 安全网络 信心倍增
常见安全漏洞—SQL Injection漏洞
❖ 漏洞简介
▪ WEB程序将客户端输入当作SQL语句执行
❖ 漏洞成因
▪ 对用户输入中包含的SQL关键字过滤不严
❖漏洞威胁
Web网站安全现状—政府网站安全现状
智恒联盟
28 | 28 NOV 2010 | Focus Web Security | 安全网络 信心倍增
Web网站安全现状—企业网站安全现况
智恒联盟
29 | 28 NOV 2010 | Focus Web Security | 安全网络 信心倍增
智恒联盟
来源:CNNIC
16 | 28 NOV 2010 | Focus Web Security | 安全网络 信心倍增
Web网站安全现状—Web应用相关的漏洞快速增长
智恒联盟
来源: ISS X-Force
17 | 28 NOV 2010 | Focus Web Security | 安全网络 信心倍增
❖ “政府网站,尤其是市县一级政府网络还非常脆弱,没有很强的网络维护队伍,这种情 况以后还会经常发生” -中国计算机学会理事吕京
❖ Google最近发表的一份研究报告显示,每1000个网页中约有1个是恶意网页,恶意网站 的地域来源67%是中国
❖ 2009年7月14日“Office内存破坏”0day漏洞和一周前爆发的MPEG-2视频0day漏洞, 这两大微软高危漏洞已导致近7000万人次遭攻击,超过20,000家网站被先后“挂马”。 由于微软两大0Day漏洞,国内被“挂马”的网站数已接近总数的1%。 -360公司
企业应用防火墙(WAF)解决方案
网站篡改,重创品牌形象
攻击者使用Hook、黑链等各种手段, 对网站内容进行篡改,常见的有变更 网站内容、更换展示信息等。这些篡 改行为往往会对业务可用性造成严重 影响,重创品牌形象。面临被监管单 位通报批评的风险。
数据时代引领者
02
应用防火墙WAF介绍
功能介绍
企业应用防火墙(WAF)功能介绍
OWASP常见攻击防御: 支持对OWASP 常见的攻击威胁,例如 SQL 注入、XSS 攻 击、 CSRF 攻击、命令注入、非法 HTTP 协议、路径穿越等攻击 CC攻击防御: WAF 具有强大的 CC 防御引擎通过多种算法有效识别各种 CC 攻击,并进行拦截阻断,保障 Web 系统的正常运行
数据时代引领者
安全防护功能
攻击概览
恶意/地区IP封禁
支持对安全事件进行定期告警 数据时代引领者
安全即生命
重保
数据时代引领者
法律、法规层面的要求细化
《网络安全法》正式实施 《等保2.0标准》正式发布
针对Web业务监管加强
监管单位现场检查 按照特定周期复查 年度/季度攻防演习
最新技术研讨
重保时期Web业务压力增大
两会等重要会议期间网络安全 重大节庆、活动期间网络安全保障
Web层面攻击影响恶劣
数据泄露,品牌信誉受损
刺探情报,敏感信息被盗
攻击者通过恶意爬虫,可以在几分钟 内盗取网站的核心内容,无论是黏贴 到其他网站使用、贩卖敏感信息、分 析商业竞争信息等行为,都会给政企 单位带来严重的损害。
WAF 防护核心WEB应用
WAF 防护核心WEB应用
WEB应用的重要性
随着互联网技术的发展,WEB应用越来越受到业务系统的重视,WEB应用已经与我们的核心业务系统密不可分。
如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。
WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。
WAF的价值
WEB价值重点体现在门户网站的时代时,我们所面临的安全威胁主要源自网站被黑或者网站被篡改,因此网页防篡改技术得到成长并大量使用。
应用推运系统架构革新,而系统架构的和革新推动安全技术的发展。
WEB应用防火墙也不例外,也是在现有WEB防护技术力日益无法满足业务的新需求时诞生的。
如果说防篡改软件是一种基于文件管理的被动办法,那幺WAF则是从安全的本质出发,对威胁进行主动防御,并对WEB应用进行性能优化的最佳方案。
简单将防篡改软件理解为是文件恢复管理,而WAF则是分析处理不安全的访问行为,这些不安全的行为包括网页篡改事件、信息泄漏事件、信息窃取事件、信息失效事件等。
在中国WEB应用环境下的WAF通常也会具有网页防篡改的客户端,功能和市面的网页防篡改软件几乎相同。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WAF的主要厂商
国内:安恒、绿盟、启明星辰、铱讯、天融信、 天泰、宝界、中软华泰 国外:飞塔、梭子鱼、Imperva、F5、citrix、 radware、Fortiweb
网页防篡改的基本原理
事件触发技术 使用程序对网站目录进行实时监控,稍有“风吹草动” 就进行检查是否是非法篡改。 核心内嵌技术(即“数字水印”或“数字指纹”) 在用户请求访问网页之后,在系统正式提交网页内 容给用户之前,对网页进行完整性检查。 文件过滤驱动技术 采用系统底层文件过滤驱动技术,拦截与分析IRP 流。
现代放篡改技术
过滤驱动技术+事件触发技术 将篡改监测的核心程序通过微软文件底层驱动技术应用 到Web 服务器中,通过事件触发方式进行自动监测,对 文件夹的所有文件内容,对照其底层文件属性,经过内 置散列快速算法,实时进行监测,若发现属性变更,通 过非协议方式,纯文件安全拷贝方式将备份路径文件夹 内容拷贝到监测文件夹相应文件位置,通过底层文件驱 动技术,整个文件复制过程毫秒级,使得公众无法看到 被篡改页面,其运行性能和检测实时性都达到最高的水 准。页面防篡改模块采用Web 服务器底层文件过滤驱动 级保护技术,与操作系统紧密结合,所监测的文件类型 不限,可以是一个html 文件也可以是一段动态代码,执 行准确率高。
WAF的功能
总体来说,Web应用防火墙的具有以下四个方面的功能: 1. 审计设备 用来截获所有HTTP数据或者仅仅满足某些规则的会话 2. 访问控制设备 用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式 3. 架构/网络设计工具 当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。 4. WEB应用加固工具 这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点, 而且能够保护WEB应用编程错误导致的安全隐患。 但是,需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以 上四种功能。
防御架构
事前风险管 理
漏洞、挂 马扫描 关键字 检查
实时攻击防护
事后数据保 护
行为审计 报表订阅 邮件告警
WEB攻击
应用交付
网站加速 网站运行 状况监控
网页防 篡改
3种部署模式
旁路模式 旁路方式中,交换机上要配置一条静态路由,该路由的 目标地址是被保护的服务器,下一跳地址是WAF的WAN 口地连接的接口所属VLAN和服务器 与交换机连接接口所属VLAN相同, WAF清洗后的安全流 量走二层转发回注到服务器; 从服务器侧看到的转发 HTTP请求,源IP始终为WAF的WAN口IP地址,这样确保服 务器返回的HTTP Response流量始终经过WAF。 透明模式 路由模式
特征识别 特征就是攻击者的“指纹”,如缓冲区溢出时的Shellcode, SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”, 但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别 就采用此方式,麻烦的就是每种攻击都自己的特征,数量比 较庞大。 算法识别 特征识别有缺点,人们在寻求新的方式。对攻击类型进行归 类,相同类的特征进行模式化,不再是单个特征的比较,算 法识别有些类似模式识别,但对攻击方式依赖性很强,如SQL 注入、DDOS、XSS等都开发了相应的识别算法。算法识别是 进行语义理解,而不是靠“长相”识别。
WEB应用防火墙 网页防篡改
2013年10月
常见的WEB安全漏洞
SQL Injection漏洞 逻辑错误漏洞 Cookie欺骗漏洞 跨站脚本漏洞 信息泄露漏洞 拒绝服务漏洞 访问控制错误漏洞
WAF的基本原理
代理服务 代理方式本身就是一种安全网关,基于会话的双向代理, 中断了用户与服务器的直接连接,适用于各种加密协议, 这也是Web的Cache应用中最常用的技术。代理方式防止 了入侵者的直接进入,对DDOS攻击可以抑制,对非预料 的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司 的WAF就是这种技术的代表。 模式匹配 是IDS中“古老”的技术,把攻击行为归纳成一定模式, 匹配后能确定是入侵行为,当然模式的定义有很深的学 问,各厂家都隐秘为“专利”。