2015-4-14web应用防火墙WAF 产品白皮书(WAF)

第1章概述

随着互联网技术的发展，Web应用日益增多，同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题，导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部，如Web、Web 邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，盗取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。常见的威胁如下：

1.1为什么需要WEB应用防火墙

1.1.1传统防火墙能否抵御WEB攻击？

防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然

是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：传统防火墙基于IP/端口，无法对WEB应用层进行识别与控制，无法确定哪些WEB应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。

传统防火墙无法抵御来自WEB应用层的威胁，自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握，缺乏安全信息的可视化。

1.1.2I PS设备能否抵御WEB攻击？

IPS只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

1.2深信服WEB应用防火墙—SWAF

1.2.1产品设计理念

SWAF是面向WEB应用层设计，能够精确识别WEB应用和内容，具备完整安全防护能力，能够弥补传统防火墙和IPS在WEB攻击防护方面的不足，具有强劲应用层处理能力的全新网络安全设备。

SWAF不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。SWAF可以为不同规模的行业用户数据中心提供更加全面、更高性能的WEB应用内容防护方案。

更全面的内容级安全防护：

基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲

强化的WEB应用安全，支持多种SQL注入防范、XSS攻击、CSRF、权限控制等

双向内容检测，功能防御策略智能联动

更高性能的应用层处理能力：

单次解析架构实现报文一次拆解和匹配

多核并行处理技术提升应用层分析速度

全新技术架构实现应用层万兆处理能力

1.2.2产品功能特色

1.2.2.1全面的应用安全防护能力

1.2.2.1.1基于应用的深度漏洞攻击防御

SWAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。

下图为灰度威胁关联分析引擎的工作原理：

第一,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，如异常流量0.32、病毒蠕虫0.36等等，同时拟定一个威胁阀值，如阀值=1。

第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、攻击行为等反馈给灰度威胁样本库。

第三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。

第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值计算和阀值比较，例如某用户的行为组权重之和为1.24，超过了预设的阀值1，我们会认定此类事件为威胁事件。

由此可见，威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求，SWAF在两方面得以增强：

第一，通过SWAF抓包，客户可以记录未知流量并提交给深信服的威胁探针云，在云中心，深信服专家会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威胁样本库。

第二，深信服不断的循环验证和权重微调，形成了准确的权重知识库，为检测未知威胁奠定了基础。

1.2.2.1.2强化的WEB攻击防护

SWAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击，并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书（最高评级为5星，深信服SWAF为国内同类产品评分最高）主要功能如：

1.2.2.1.3防SQL注入攻击

SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。SWAF可以通过高效的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL 注入攻击。

1.2.2.1.4防XSS跨站脚本攻击

跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目的。SWAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的恶意代码，从而保护用户的WEB服务器安全。

1.2.2.1.5防CSRF攻击

CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。SWAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF 的攻击代码，防止WEB系统遭受跨站请求伪造攻击。

1.2.2.1.6主动防御技术

主动防御可以针对受保护主机接受的URL请求中带的参数变量类型，以及变量长度按照设定的阈值进行自动学习，学习完成后可以抵御各种变形攻击。另外还可以通过自定义参数规则来更精确的匹配合法URL参数，提高攻击识别能力。

1.2.2.1.7应用信息隐藏

SWAF对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：

HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。

HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。