WAF和网页防篡改

Байду номын сангаас
WAF的主要厂商
国内:安恒、绿盟、启明星辰、铱讯、天融信、 天泰、宝界、中软华泰 国外:飞塔、梭子鱼、Imperva、F5、citrix、 radware、Fortiweb

网页防篡改的基本原理

事件触发技术 使用程序对网站目录进行实时监控,稍有“风吹草动” 就进行检查是否是非法篡改。 核心内嵌技术（即“数字水印”或“数字指纹”） 在用户请求访问网页之后，在系统正式提交网页内 容给用户之前，对网页进行完整性检查。 文件过滤驱动技术 采用系统底层文件过滤驱动技术，拦截与分析IRP 流。
现代放篡改技术
过滤驱动技术＋事件触发技术 将篡改监测的核心程序通过微软文件底层驱动技术应用 到Web 服务器中，通过事件触发方式进行自动监测，对 文件夹的所有文件内容，对照其底层文件属性，经过内 置散列快速算法，实时进行监测，若发现属性变更，通 过非协议方式，纯文件安全拷贝方式将备份路径文件夹 内容拷贝到监测文件夹相应文件位置，通过底层文件驱 动技术，整个文件复制过程毫秒级，使得公众无法看到 被篡改页面，其运行性能和检测实时性都达到最高的水 准。页面防篡改模块采用Web 服务器底层文件过滤驱动 级保护技术，与操作系统紧密结合，所监测的文件类型 不限，可以是一个html 文件也可以是一段动态代码，执 行准确率高。
WEB应用防火墙 网页防篡改
2013年10月
常见的WEB安全漏洞
SQL Injection漏洞 逻辑错误漏洞 Cookie欺骗漏洞 跨站脚本漏洞 信息泄露漏洞 拒绝服务漏洞 访问控制错误漏洞

WAF的基本原理
代理服务 代理方式本身就是一种安全网关，基于会话的双向代理， 中断了用户与服务器的直接连接，适用于各种加密协议， 这也是Web的Cache应用中最常用的技术。代理方式防止 了入侵者的直接进入，对DDOS攻击可以抑制，对非预料 的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司 的WAF就是这种技术的代表。 模式匹配 是IDS中“古老”的技术，把攻击行为归纳成一定模式， 匹配后能确定是入侵行为，当然模式的定义有很深的学 问，各厂家都隐秘为“专利”。
防御架构
事前风险管 理
漏洞、挂 马扫描 关键字 检查
实时攻击防护
事后数据保 护
行为审计 报表订阅 邮件告警
WEB攻击
应用交付
网站加速 网站运行 状况监控
网页防 篡改
3种部署模式
旁路模式 旁路方式中，交换机上要配置一条静态路由，该路由的 目标地址是被保护的服务器，下一跳地址是WAF的WAN 口地址，将访问被保护服务器的流量牵引到WAF ；同时， 让WAF的WAN口与交换机连接的接口所属VLAN和服务器 与交换机连接接口所属VLAN相同， WAF清洗后的安全流 量走二层转发回注到服务器； 从服务器侧看到的转发 HTTP请求，源IP始终为WAF的WAN口IP地址，这样确保服 务器返回的HTTP Response流量始终经过WAF。 透明模式 路由模式

WAF的功能
总体来说，Web应用防火墙的具有以下四个方面的功能： 1. 审计设备 用来截获所有HTTP数据或者仅仅满足某些规则的会话 2. 访问控制设备 用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式 3. 架构/网络设计工具 当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。 4. WEB应用加固工具 这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点， 而且能够保护WEB应用编程错误导致的安全隐患。 但是，需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以 上四种功能。
特征识别 特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode， SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”， 但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别 就采用此方式，麻烦的就是每种攻击都自己的特征，数量比 较庞大。 算法识别 特征识别有缺点，人们在寻求新的方式。对攻击类型进行归 类，相同类的特征进行模式化，不再是单个特征的比较，算 法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL 注入、DDOS、XSS等都开发了相应的识别算法。算法识别是 进行语义理解，而不是靠“长相”识别。