無(wú)論是基于Web的應(yīng)用系統(tǒng)還是Web網(wǎng)站，他們都面臨著各種各樣且來(lái)源不定的安全威脅。他們有些是已被發(fā)現(xiàn)，并具有可識(shí)別的固定特征的；則是因網(wǎng)站的設(shè)計(jì)和代碼，以及攻擊者的行為習(xí)慣而異的。而所有這些都是Web應(yīng)用系統(tǒng)和Web網(wǎng)站必須面對(duì)和解決的安全問(wèn)題。

傳統(tǒng)的技術(shù)手段。如防火墻和IPS都是基于已知的安全特征的安全檢測(cè)和防護(hù)手段，而且它們只能做到網(wǎng)絡(luò)，有的可以處理協(xié)議層數(shù)據(jù)包（新的技術(shù)）。但是對(duì)于Web應(yīng)用中大量采用，而同時(shí)又是被攻擊的主要目標(biāo)的動(dòng)態(tài)頁(yè)面是無(wú)能為力的。這是因?yàn)椋瑒?dòng)態(tài)頁(yè)面本身就是沒(méi)有固定模式的，所以針對(duì)它的攻擊也是沒(méi)有固定特征的。

同時(shí)，必須注意到，完全依賴(lài)特征庫(kù)的檢測(cè)和防護(hù)技術(shù)，不可避免的具有很高的誤報(bào)率和漏報(bào)率，并且在兩者之間很難達(dá)到平衡。

目前，大多數(shù)網(wǎng)站采用的都是這種技術(shù)，它們也了解其中的問(wèn)題，只是沒(méi)有更好的技術(shù)來(lái)取代而已。而Imperva的SecureSphere Web應(yīng)用防火墻采用新型防護(hù)手段，既有效地彌補(bǔ)了傳統(tǒng)防護(hù)方式的不足，又具有很多新的特點(diǎn)。

作為新型的Web應(yīng)用防火墻，SecureSphere的特點(diǎn)是基于正向模型——即，為模型的安全檢測(cè)技術(shù)可以從根本上解決上述傳統(tǒng)Web防護(hù)的問(wèn)題，尤其是當(dāng)兩者結(jié)合的時(shí)候。

但同時(shí)，對(duì)于基于為模型的檢測(cè)和防護(hù)，有幾個(gè)關(guān)鍵的技術(shù)問(wèn)題必須解決：

a.模型的產(chǎn)生必須是自動(dòng)和動(dòng)態(tài)的?！捎跒槟Ｐ桶囊蛩胤浅V泛，且數(shù)量眾多，人工生成和維護(hù)的方式在實(shí)際使用中是完全不可行的；而且，會(huì)產(chǎn)生大量的誤報(bào)。

必須和基本的反向模型向結(jié)合。因?yàn)榉聪蚰Ｐ涂梢云帘未罅康幕竟?，而讓基于為的機(jī)制解決更高級(jí)的攻擊流量。

b.必須在防護(hù)的各個(gè)層次，以及時(shí)間上進(jìn)關(guān)聯(lián)分析。Ì

真正有危害的攻擊通常會(huì)在多個(gè)層次，包括時(shí)間軸上表現(xiàn)出相當(dāng)?shù)年P(guān)聯(lián)性，通過(guò)關(guān)聯(lián)分析可以極大的提高攻擊辨識(shí)的能力，降低誤報(bào)率。

另外，由于行為分析意味著大量的計(jì)算，產(chǎn)品在具體實(shí)現(xiàn)方面必須保證應(yīng)有的性能，特別是在處理能力(Session Per Second)和時(shí)延方面(ms)。Imperva的Web防火墻采用獨(dú)特的技術(shù)很好的解決了上述問(wèn)題。

【編輯推薦】

1. WAF——最專(zhuān)業(yè)的網(wǎng)站安全防護(hù)
2. web應(yīng)用防火墻(WAF)的安全原理與技術(shù)分析
3. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護(hù)解決方案

#p#

Imperva WAF的功能和特點(diǎn)

SecureSphere WEB安全防護(hù)網(wǎng)關(guān)是專(zhuān)為了對(duì)WEB網(wǎng)站和基于WEB的服務(wù)器提供全方位防護(hù)而設(shè)計(jì)的。它的防護(hù)對(duì)象不僅包括普通的端口掃描、TCP Sync Flood、已知的高級(jí)攻擊手段如SQL注入等，還包括未知的、新出現(xiàn)的高級(jí)的攻擊，如URL參數(shù)篡改、Cookie毒化等。同時(shí)還可以對(duì)管理核心數(shù)據(jù)的后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行防護(hù), 如下圖所示：  

SecureSphere的WAF G8包括以下方面的功能和特點(diǎn)：

Web應(yīng)用防火墻功能

SecureSphere 系統(tǒng)保護(hù)用戶(hù)的WEB應(yīng)用攻擊，例如SQL注入、Cookie毒化、參數(shù)篡改、路徑遍歷以及更多攻擊（詳見(jiàn)列表）。動(dòng)態(tài)評(píng)估技術(shù)自動(dòng)創(chuàng)建WEB應(yīng)用的使用和結(jié)構(gòu)的正向安全模型，包括URL、http形式、參數(shù)、隱藏的域、Cookie、事務(wù)ID以及應(yīng)答代碼等。當(dāng)用戶(hù)和網(wǎng)絡(luò)應(yīng)用進(jìn)行交互時(shí)，SecureSphere 系統(tǒng)密切監(jiān)視他們的活動(dòng)，并與安全模型比較。任何攻擊的企圖都將被監(jiān)測(cè)到，并被阻止。 

Web服務(wù)防火墻功能

SecureSphere的互聯(lián)網(wǎng)服務(wù)網(wǎng)關(guān)主要針對(duì)XML、SOAP和WSDL等應(yīng)用進(jìn)行保護(hù)。如同SecureSphere系統(tǒng)的應(yīng)用防火墻功能一樣，服務(wù)網(wǎng)關(guān)采用Imperva公司的動(dòng)態(tài)評(píng)估技術(shù)建立合法應(yīng)用行為的安全模型，包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網(wǎng)絡(luò)服務(wù)應(yīng)用模式或者變量的企圖都會(huì)被識(shí)別出來(lái)，并加以阻止和防范

動(dòng)態(tài)建模和自動(dòng)策略

SecureSphere的防護(hù)的一個(gè)創(chuàng)新是基于應(yīng)用層交互內(nèi)容的安全檢測(cè)。在這個(gè)層次建立了非常深入復(fù)雜的策略。即，對(duì)訪(fǎng)問(wèn)的URL、動(dòng)態(tài)頁(yè)面?zhèn)鬟f參數(shù)、Cookie傳遞的參數(shù)等進(jìn)行監(jiān)測(cè)，對(duì)比正常的訪(fǎng)問(wèn)行為基線(xiàn)；如明顯偏離正常行為模式則可產(chǎn)生告警和即時(shí)阻斷。策略的產(chǎn)生主要由設(shè)備的自學(xué)習(xí)功能完成，無(wú)需人工干預(yù)，而且還可以根據(jù)Web應(yīng)用的變化進(jìn)行自適應(yīng)調(diào)整。同時(shí)，管理人員還可以進(jìn)行微調(diào)，以得到最優(yōu)的“充分必要”的策略。

Web入侵防護(hù)系統(tǒng)（IPS）

SecureSphere IPS對(duì)已知的攻擊和“第零日蠕蟲(chóng)”的提供保護(hù)。這些攻擊通常針對(duì)WEB服務(wù)器、應(yīng)用服務(wù)器和操作系統(tǒng)軟件的弱點(diǎn)（例如，IIS、Apache和Windows 2000）。SecureSphere的“第零日蠕蟲(chóng)”自動(dòng)評(píng)估技術(shù)可自動(dòng)識(shí)別尚未定義特征的攻擊。 SecureSphere系統(tǒng)同時(shí)提供多網(wǎng)絡(luò)協(xié)議的Snort兼容的特征庫(kù)，符合http協(xié)議和來(lái)自“應(yīng)用防御中心”– Imperva自己內(nèi)部的安全研究組織，的高級(jí)應(yīng)用保護(hù)特征。SecureSphere 系統(tǒng)提供定時(shí)更新服務(wù)，確保安全保護(hù)的時(shí)效性。

多層次的防護(hù)及關(guān)聯(lián)

◆SecureSphere不僅提供了創(chuàng)新的安全技術(shù)手段，如自動(dòng)建模，防蠕蟲(chóng)擴(kuò)散、高層協(xié)議檢測(cè)；同時(shí)也整合了各種成熟的技術(shù)，如：網(wǎng)絡(luò)防火墻、入侵檢測(cè)和防護(hù)。特別需要指出的是SecureSphere的入侵檢測(cè)技術(shù)是專(zhuān)門(mén)針對(duì)Web服務(wù)的，除了基本的Snort特征庫(kù)，還提供豐富的Web應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)用的攻擊特征庫(kù)。  

◆SecureSphere整合多種安全手段的目的不僅提供了多層次的安全防護(hù)，而且通過(guò)各個(gè)防護(hù)層次間內(nèi)在的關(guān)聯(lián)，可以極大的提高攻擊識(shí)別的準(zhǔn)確性，降低誤報(bào)率。這對(duì)于時(shí)時(shí)處于廣泛攻擊環(huán)境下的WEB服務(wù)系統(tǒng)是至關(guān)重要的。

前后臺(tái)關(guān)聯(lián)。  

當(dāng)今，Web服務(wù)系統(tǒng)發(fā)展的趨勢(shì)是，除了提供靜態(tài)信息的提供外，還提供與多種應(yīng)用和服務(wù)的交互接口。網(wǎng)頁(yè)交互和動(dòng)態(tài)頁(yè)面技術(shù)越來(lái)越多的扮演了核心的角色。同時(shí)由于動(dòng)態(tài)頁(yè)面技術(shù)的靈活性，它也成為了Web攻擊的熱點(diǎn)，包括通過(guò)動(dòng)態(tài)頁(yè)面與后臺(tái)數(shù)據(jù)庫(kù)的連接關(guān)系，獲取和篡改應(yīng)用系統(tǒng)的核心信息，如賬號(hào)密碼、用戶(hù)信息、交易信息等。SecureSphere為Web網(wǎng)站和基于Web的應(yīng)用提供全面安全防護(hù)，包括前臺(tái)Web服務(wù)器和后臺(tái)數(shù)據(jù)庫(kù)；而且可以進(jìn)行實(shí)時(shí)的前后臺(tái)關(guān)聯(lián)。因此SecureSphere可以幫助發(fā)現(xiàn)攻擊的真正發(fā)起源，可以防護(hù)通過(guò)后門(mén)對(duì)數(shù)據(jù)庫(kù)發(fā)起的攻擊，提高攻擊發(fā)現(xiàn)的能力，以及精確的從大量訪(fǎng)問(wèn)流量中阻斷攻擊流量。#p#

Imperv WAF的部署：

配置原則

在為xxx用戶(hù)配置Imperva公司的Web安全防護(hù)產(chǎn)品的時(shí)候，遵循一下的配置的基本原則： 

◆功能性滿(mǎn)足本項(xiàng)目的實(shí)際需要 

◆可以支持現(xiàn)有應(yīng)用系統(tǒng)，如數(shù)據(jù)庫(kù)類(lèi)型、本版等 

◆處理性能滿(mǎn)足系統(tǒng)的需要 

◆對(duì)現(xiàn)有系統(tǒng)的無(wú)影響，包括；IP地址空間、路由規(guī)劃、無(wú)需調(diào)整應(yīng)用系統(tǒng)（如設(shè)置Proxy，安裝軟件等）

配置說(shuō)明

鑒于以上的配置原則，針對(duì)xxx web保護(hù)項(xiàng)目的Web應(yīng)用保護(hù)，采用Imperva 的SecureSphere系列中G4作為Web應(yīng)用監(jiān)控和防護(hù)網(wǎng)關(guān)。同時(shí)，為了提供統(tǒng)一的管理和配置平臺(tái)，配置MX作為集中網(wǎng)管平臺(tái)，對(duì)數(shù)據(jù)庫(kù)應(yīng)用監(jiān)控和防護(hù)網(wǎng)關(guān)進(jìn)行統(tǒng)一的管理。

G4有500Mbps的吞吐量，同時(shí)支持的交易數(shù)是16,000每秒，同時(shí)為了保證系統(tǒng)的可靠性，配備兩臺(tái)，用來(lái)監(jiān)控和保護(hù)核心的Web應(yīng)用，如果一臺(tái)出來(lái)問(wèn)題，系統(tǒng)可以自動(dòng)切換到另外一臺(tái)。另外配備一臺(tái)網(wǎng)管服務(wù)器MX，對(duì)兩臺(tái)數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)做統(tǒng)一的管理和配置。拓?fù)鋱D如下所示：  

#p#

系統(tǒng)的管理

SecureSphere提供全分布式的三級(jí)網(wǎng)管架構(gòu)，包括： 第一層—業(yè)務(wù)探測(cè)和實(shí)施引擎，第二層—MX網(wǎng)管服務(wù)器，第三層—操作控制臺(tái)。這種結(jié)構(gòu)對(duì)于在xxx這樣的大型網(wǎng)絡(luò)系統(tǒng)中部署統(tǒng)一的安全策略具有至關(guān)重要的意義。  

圖 SecureSphere的完整部署的示例

SecureSphere 的管理服務(wù)器的主要特點(diǎn)包括：

◆圖形報(bào)告 - 完整的 Crystal Reports™ 包和與 攻擊摘要訪(fǎng)問(wèn)支持預(yù)配置報(bào)告和自定義報(bào)告。預(yù)配置報(bào)告使性能、合規(guī)性、安全警報(bào)及使用情況的異常情況一目了然。

圖 SecureSphere 在整個(gè)企業(yè)內(nèi)提供統(tǒng)一的報(bào)告。

◆統(tǒng)一的實(shí)時(shí)警報(bào)監(jiān)視 – 來(lái)自多個(gè) SecureSphere 安全層（動(dòng)態(tài)”業(yè)務(wù)模型”、IPS 等）的實(shí)時(shí)警報(bào)將被收集、按優(yōu)先級(jí)排序并在一個(gè)統(tǒng)一的視圖中顯示給管理員。警報(bào)通知可通過(guò)電子郵件、電話(huà)、呼機(jī)和 SNMP 消息發(fā)送。不需要連接到分布在數(shù)據(jù)中心的各個(gè)設(shè)備。來(lái)自多個(gè)網(wǎng)關(guān)的日志數(shù)據(jù)也將顯示在單個(gè)視圖中，并存儲(chǔ)在單個(gè) MX 管理服務(wù)器數(shù)據(jù)庫(kù)中。

◆警報(bào)審計(jì) – 來(lái)自多網(wǎng)關(guān)的警報(bào)將被收集并存儲(chǔ)于單個(gè) MX 管理服務(wù)器數(shù)據(jù)庫(kù)中。若要支持審計(jì)功能，只需點(diǎn)擊幾下鼠標(biāo)就可以根據(jù)多種參數(shù)來(lái)排序和搜索警報(bào)條目。即使是來(lái)自不同 SecureSphere 安全服務(wù)（IPS、動(dòng)態(tài)”業(yè)務(wù)模型”等）的特定用戶(hù)違規(guī)行為（由會(huì)話(huà) ID 或 IP 地址標(biāo)識(shí)），也可以被立即跟蹤。

◆智能攻擊摘要 – 智能攻擊摘要通過(guò)智能地將多個(gè)攻擊導(dǎo)致的一系列事件聚合為一個(gè)需采取措施的警報(bào)，從而提高管理員的工作效率。例如，相關(guān)掃描警報(bào)可聚合為一個(gè)攻擊警報(bào)，而不是成千上萬(wàn)個(gè)攻擊警報(bào)。如今，快速有效的響應(yīng)變得極為重要，而這種高度集中的信息能夠使管理員快速準(zhǔn)確地了解威脅聚合警報(bào)保留了形成警報(bào)的基本事件，以便進(jìn)行詳細(xì)分析。

◆集中式策略分布 – 多網(wǎng)關(guān)的動(dòng)態(tài)”業(yè)務(wù)模型”、IPS 策略和系統(tǒng)參數(shù)集中存儲(chǔ)于 MX 管理服務(wù)器。更改在服務(wù)器上進(jìn)行，通過(guò)單擊可將這些更改自動(dòng)發(fā)布到多個(gè)網(wǎng)關(guān)。#p#

Imperva的WAF帶來(lái)的價(jià)值

采用Imperva的新型Web應(yīng)用防火墻，在提供一流防護(hù)的同時(shí)，還可以很大程度上減少安全管理人員的工作量，因?yàn)樗哂袆?dòng)態(tài)建模等很多自動(dòng)化的工具，可以大量簡(jiǎn)化防火墻的配置工作。

Imperva公司的動(dòng)態(tài)建模技術(shù)能夠建立合法應(yīng)用行為的模型，隨時(shí)間變化而逐漸適應(yīng)網(wǎng)絡(luò)應(yīng)用變化，始終保持SecureSphere系統(tǒng)應(yīng)用保護(hù)能力的時(shí)效性和準(zhǔn)確性。在很短時(shí)間內(nèi)，無(wú)須改變其原有數(shù)據(jù)中心結(jié)構(gòu)，SecureSphere系統(tǒng)的部署就能夠?qū)崿F(xiàn)的對(duì)攻擊行為的防護(hù)，也無(wú)須手工配置和調(diào)整。

除了動(dòng)態(tài)評(píng)估技術(shù)中提到的自動(dòng)化的規(guī)則定義，SecureSphere系統(tǒng)允許安全管理員根據(jù)網(wǎng)絡(luò)流量的具體特征定義規(guī)則。定制的規(guī)則需要手工配置，以實(shí)現(xiàn)模型或基于協(xié)議的規(guī)則不能或不方便實(shí)現(xiàn)的規(guī)則。

動(dòng)態(tài)評(píng)估是多層次安全保護(hù)機(jī)制的基礎(chǔ)，對(duì)所有應(yīng)用層面提供了完整的保護(hù)，包括網(wǎng)絡(luò)、服務(wù)器和應(yīng)用系統(tǒng)。Imperva公司的透明檢測(cè)技術(shù)具有一個(gè)G的分析能力，百萬(wàn)分之一秒級(jí)的延遲和高可用性滿(mǎn)足了大多數(shù)數(shù)據(jù)中心的安全需求。對(duì)于大規(guī)模部署，SecureSphere MX管理服務(wù)器采用集中式部署，提供流水線(xiàn)式配置、綜合管理、監(jiān)控和報(bào)表功能。由于SecureSphere系統(tǒng)提供廣泛的部署形式選項(xiàng)，它可以部署到任何環(huán)境，而無(wú)需更改其原有網(wǎng)絡(luò)結(jié)構(gòu)。

SecureSphere 系統(tǒng)保護(hù)用戶(hù)的WEB應(yīng)用攻擊，例如SQL注入、Cookie毒化、參數(shù)篡改、路徑遍歷以及更多攻擊（詳見(jiàn)列表）。動(dòng)態(tài)評(píng)估技術(shù)自動(dòng)創(chuàng)建WEB應(yīng)用的使用和結(jié)構(gòu)的正向安全模型，包括URL、http形式、參數(shù)、隱藏的域、Cookie、事務(wù)ID以及應(yīng)答代碼等。當(dāng)用戶(hù)和網(wǎng)絡(luò)應(yīng)用進(jìn)行交互時(shí)，SecureSphere 系統(tǒng)密切監(jiān)視他們的活動(dòng)，并與安全模型比較。任何攻擊的企圖都將被監(jiān)測(cè)到，并被阻止。  

SecureSphere Web應(yīng)用防火墻可保護(hù)攻擊列表：

WEB服務(wù)防火墻

SecureSphere的互聯(lián)網(wǎng)服務(wù)網(wǎng)關(guān)主要針對(duì)XML、SOAP和WSDL等應(yīng)用進(jìn)行保護(hù)。如同SecureSphere系統(tǒng)的應(yīng)用防火墻功能一樣，服務(wù)網(wǎng)關(guān)采用Imperva公司的動(dòng)態(tài)評(píng)估技術(shù)建立合法應(yīng)用行為的安全模型，包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網(wǎng)絡(luò)服務(wù)應(yīng)用模式或者變量的企圖都會(huì)被識(shí)別出來(lái)，并加以阻止和防范。

入侵防護(hù)系統(tǒng)（IPS）

SecureSphere IPS對(duì)已知的攻擊和“第零日蠕蟲(chóng)”的提供保護(hù)。這些攻擊通常針對(duì)WEB服務(wù)器、應(yīng)用服務(wù)器和操作系統(tǒng)軟件的弱點(diǎn)（例如，IIS、Apache和Windows 2000）。SecureSphere的“第零日蠕蟲(chóng)”自動(dòng)評(píng)估技術(shù)可自動(dòng)識(shí)別尚未定義特征的攻擊。 SecureSphere系統(tǒng)同時(shí)提供多網(wǎng)絡(luò)協(xié)議的Snort兼容的特征庫(kù)，符合http協(xié)議和來(lái)自“應(yīng)用防御中心”– Imperva自己內(nèi)部的安全研究組織，的高級(jí)應(yīng)用保護(hù)特征。SecureSphere 系統(tǒng)提供定時(shí)更新服務(wù)，確保安全保護(hù)的時(shí)效性。

網(wǎng)絡(luò)防火墻

SecureSphere集成的網(wǎng)絡(luò)防火墻用于防范未授權(quán)用戶(hù)、危險(xiǎn)的協(xié)議、通常的網(wǎng)絡(luò)層攻擊以及蠕蟲(chóng)感染。訪(fǎng)問(wèn)控制策略支持協(xié)議/IP地址組合的控制列表，以避免數(shù)據(jù)中心暴露給不必要的用戶(hù)，或者限制危險(xiǎn)的協(xié)議，例如Telnet、pcAnywhere或者是SQL。

SecureSphere擴(kuò)展至數(shù)據(jù)庫(kù)

SecureSphere系統(tǒng)可以擴(kuò)展到應(yīng)用數(shù)據(jù)庫(kù)的保護(hù)，包括對(duì)Oracle、MS-SQL Server，DB2（包括主框架）和Sybase數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。SecureSphere 數(shù)據(jù)庫(kù)安全防護(hù)功能能夠同時(shí)防范外部攻擊和內(nèi)部人員的濫用，提供了數(shù)據(jù)中心的端到端防御。

無(wú)與倫比的準(zhǔn)確性

SecureSphere包括了動(dòng)態(tài)的正向（白名單）和反向（黑名單）安全模式。即時(shí)攻擊有效驗(yàn)證(IAV)立刻根據(jù)兩種模式中的一種驗(yàn)證和阻止所有已知的違規(guī)行為。對(duì)于不明顯的復(fù)雜攻擊，Imperva專(zhuān)利的關(guān)聯(lián)攻擊驗(yàn)證(CAV)技術(shù)把多層次的違規(guī)記錄關(guān)聯(lián)起來(lái)，事后從合法用戶(hù)訪(fǎng)問(wèn)行為中分離出來(lái)。CAV技術(shù)能夠把來(lái)自SecureSphere系統(tǒng)中所有安全記錄的相關(guān)信息關(guān)聯(lián)起來(lái)，得到獨(dú)立安全產(chǎn)品無(wú)法達(dá)到的準(zhǔn)確程度。#p#

Imperva的WAF的性能及其他參數(shù)  

【編輯推薦】

1. WAF——最專(zhuān)業(yè)的網(wǎng)站安全防護(hù)
2. web應(yīng)用防火墻(WAF)的安全原理與技術(shù)分析
3. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護(hù)解決方案