信息安全技術(shù)與應(yīng)用（高學(xué)勤）課件 4.5 Web應(yīng)用防火墻

第5節(jié)Web應(yīng)用防火墻第4章目

錄01Web應(yīng)用防火墻簡(jiǎn)介02Web應(yīng)用防火墻的功能03Web應(yīng)用防火墻部署及應(yīng)用01Web應(yīng)用防火墻簡(jiǎn)介Web應(yīng)用防火墻的概念Web應(yīng)用防火墻（WebApplicationFirewall），簡(jiǎn)稱(chēng)：WAF。根據(jù)Gartner定義：什么是Web應(yīng)用防火墻？WAF是一種以保護(hù)Web應(yīng)用程序和API服務(wù)免受各種攻擊（包括自動(dòng)化攻擊（bot）、應(yīng)用層拒絕服務(wù)（httpflood）和常見(jiàn)Web安全漏洞攻擊等）為主要目標(biāo)的軟硬件系統(tǒng)。WAF一般提供基于規(guī)則的保護(hù)，也提供可靠的安全模型或異常檢測(cè)功能。Web應(yīng)用防火墻的工作過(guò)程WAF的工作過(guò)程解析HTTP請(qǐng)求（攻擊請(qǐng)求、業(yè)務(wù)請(qǐng)求）….….….進(jìn)行規(guī)則檢測(cè)（惡意訪問(wèn)過(guò)濾）做不同的防御動(dòng)作（攔截、放行、記錄）將防御過(guò)程記錄下來(lái)（日志）Web應(yīng)用防火墻的實(shí)現(xiàn)原理WAF通過(guò)5個(gè)模塊來(lái)實(shí)現(xiàn)防護(hù)功能配置模塊協(xié)議解析模塊規(guī)則模塊動(dòng)作模塊日志模塊Web應(yīng)用防火墻的實(shí)現(xiàn)原理配置模塊WAF引擎設(shè)置協(xié)議解析配置規(guī)則配置是否開(kāi)啟WAF：開(kāi)啟、關(guān)閉、僅記錄攔截方式：允許訪問(wèn)、拒絕訪問(wèn)、關(guān)閉鏈接、繼續(xù)處理部署方式：透明橋接、反向代理、透明代理、路由模式、檢測(cè)端口請(qǐng)求內(nèi)容：請(qǐng)求體、響應(yīng)體類(lèi)型支持的協(xié)議組成：請(qǐng)求頭、請(qǐng)求體、響應(yīng)頭、響應(yīng)體協(xié)議大小限制HTTP格式：協(xié)議版本、Cookie格式、參數(shù)內(nèi)置規(guī)則：?jiǎn)⒂?、停用?guī)則自定義規(guī)則：不同HTTP請(qǐng)求類(lèi)型，不同攔截方式，URI、POST、COOKIE，特征關(guān)鍵詞規(guī)則模板設(shè)置：內(nèi)置模板、自定義模板Web應(yīng)用防火墻的實(shí)現(xiàn)原理協(xié)議解析模塊協(xié)議解析配置1解析錯(cuò)誤處理2協(xié)議解析3請(qǐng)求體處理響應(yīng)體處理文件上傳處理解析錯(cuò)誤處理協(xié)議內(nèi)容限制協(xié)議編碼配置Multipart解析錯(cuò)誤X-www-form-urlencode解析錯(cuò)誤響應(yīng)體解析錯(cuò)誤請(qǐng)求頭解析請(qǐng)求體解析響應(yīng)頭解析響應(yīng)體解析Web應(yīng)用防火墻的實(shí)現(xiàn)原理規(guī)則模塊規(guī)則配置規(guī)則解析規(guī)則檢測(cè)規(guī)則信息：ID、規(guī)則名稱(chēng)、規(guī)則描述、攔截方式、告警等級(jí)、攻擊類(lèi)別、啟用狀態(tài)、更新時(shí)間規(guī)則模板變量部分：請(qǐng)求變量、響應(yīng)變量、客戶(hù)端變量、Server變量、時(shí)間變量、事務(wù)變量、其他操作符部分事物函數(shù)部分動(dòng)作部分操作符函數(shù)庫(kù)事務(wù)函數(shù)庫(kù)檢測(cè)控制流Web應(yīng)用防火墻的實(shí)現(xiàn)原理字符操作模式匹配、字符串操作校驗(yàn)URL編碼、utf8校驗(yàn)、xml校驗(yàn)、JSON校驗(yàn)、字節(jié)校驗(yàn)數(shù)字操作IP庫(kù)校驗(yàn)攻擊IP庫(kù)規(guī)則模塊-規(guī)則檢測(cè)操作符函數(shù)庫(kù)1事務(wù)函數(shù)庫(kù)2檢測(cè)控制流302Web應(yīng)用防火墻的實(shí)現(xiàn)原理動(dòng)作模塊01030405通過(guò)后續(xù)請(qǐng)求全部通過(guò)繼續(xù)繼續(xù)執(zhí)行下一個(gè)規(guī)則攔截?cái)r截本次http請(qǐng)求、斷開(kāi)連接、封IP、禁止對(duì)URI訪問(wèn)0607重定向重定向到honepot中主動(dòng)防御響應(yīng)體頁(yè)面注入防御代碼驗(yàn)證碼驗(yàn)證通過(guò)后才能繼續(xù)訪問(wèn)只記錄只記錄本次命中規(guī)則的細(xì)節(jié)??主要功能進(jìn)行日志記錄（用戶(hù)訪問(wèn)日志、攻擊日志）提供日志分析與攻擊溯源Web應(yīng)用防火墻的實(shí)現(xiàn)原理日志模塊02Web應(yīng)用防火墻的功能Web應(yīng)用防火墻的基本功能1.漏洞掃描2.Web業(yè)務(wù)可用性監(jiān)測(cè)3.外聯(lián)監(jiān)控4.Web應(yīng)用防護(hù)6.混合型攻擊防護(hù)7.惡意掃描防護(hù)8.DDOS/CC攻擊防護(hù)9.策略分組5.專(zhuān)業(yè)網(wǎng)頁(yè)防篡改10.高可用性11.服務(wù)器信息隱藏12.敏感信息過(guò)濾13.Web云加速14.軟硬件BTPASS功能15.動(dòng)態(tài)建模Web應(yīng)用防火墻的基本功能掃描的項(xiàng)目包括無(wú)效鏈接代碼泄露目錄遍歷入侵廣告目錄瀏覽郵箱地址泄露典型登錄頁(yè)面內(nèi)部IP泄露內(nèi)部目錄泄露內(nèi)部文件泄露SQL注入漏洞XSS腳本漏洞Web后門(mén)網(wǎng)頁(yè)掛馬程序錯(cuò)誤信息掃描過(guò)程功能·漏洞掃描掃描結(jié)果掃描報(bào)告可靠的數(shù)據(jù)支撐生成提供Web應(yīng)用防火墻的基本功能功能·Web業(yè)務(wù)可用性監(jiān)測(cè)對(duì)網(wǎng)頁(yè)主頁(yè)和指定頁(yè)面進(jìn)行頁(yè)面級(jí)可用性監(jiān)測(cè)。確保Web業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)營(yíng)和服務(wù)的正常提供。監(jiān)測(cè)的過(guò)程根據(jù)配置的檢測(cè)任務(wù)網(wǎng)站服務(wù)的可用性質(zhì)量目標(biāo)的URL請(qǐng)求執(zhí)行時(shí)間耗時(shí)結(jié)束時(shí)間狀態(tài)正常與否檢測(cè)指定的web應(yīng)用頁(yè)面測(cè)試監(jiān)控HTTP/HTTPS流量，對(duì)數(shù)據(jù)包內(nèi)容具有完全的訪問(wèn)控制權(quán)限。檢查所有流經(jīng)網(wǎng)絡(luò)的HTTP/HTTPSl流量，通過(guò)各類(lèi)防護(hù)引擎，策略控制識(shí)別黑Web攻擊應(yīng)用行為。系統(tǒng)監(jiān)控畫(huà)面Web應(yīng)用防火墻的基本功能功能·Web應(yīng)用攻擊防護(hù)SQL注入攻擊XSS跨站攻擊CSRF跨站請(qǐng)求偽造攻擊木馬病毒惡意爬蟲(chóng)盜鏈請(qǐng)求Web應(yīng)用防火墻的基本功能實(shí)現(xiàn)的過(guò)程SQL語(yǔ)句SQL注入特點(diǎn)SQL語(yǔ)法結(jié)構(gòu)根據(jù)SQL注入符合正常SQL語(yǔ)句不符合功能·Web應(yīng)用攻擊防護(hù)·SQL注入防護(hù)分析通過(guò)人工智能的方式識(shí)別“注入攻擊”使用的SQL語(yǔ)句。大幅度提高對(duì)SQL注入攻擊的識(shí)別率和準(zhǔn)確率。實(shí)現(xiàn)低漏報(bào)率，抗攻擊逃逸?？煞烙粗腟QL注入。Web應(yīng)用防火墻的基本功能爬蟲(chóng)分為搜索引擎爬蟲(chóng)和掃描程序爬蟲(chóng)。屏蔽特定的搜索引擎爬蟲(chóng)。屏蔽掃描程序爬蟲(chóng)。節(jié)省帶寬和性能。避免網(wǎng)站被惡意抓取頁(yè)面?；陉P(guān)聯(lián)分析技術(shù)進(jìn)行有效識(shí)別和阻斷告警。功能·Web應(yīng)用攻擊防護(hù)·爬蟲(chóng)防護(hù)Web應(yīng)用防火墻的基本功能屏蔽Web掃描器的檢測(cè)功能·惡意掃描防護(hù)Web應(yīng)用防火墻的基本功能Internet……網(wǎng)站服務(wù)器A網(wǎng)站服務(wù)器J網(wǎng)站服務(wù)器C網(wǎng)站服務(wù)器I網(wǎng)站服務(wù)器B網(wǎng)站服務(wù)器……云防線發(fā)起DDOS攻擊流量引入云防線進(jìn)行清洗流量預(yù)定閥值云防護(hù)模式有效分流和清洗動(dòng)態(tài)防護(hù)機(jī)制DDOS/CC攻擊達(dá)到切換進(jìn)行WAF功能·DDOS/CC攻擊聯(lián)合防護(hù)在httpheader里看到服務(wù)器構(gòu)建的信息，如：典型的響應(yīng)消息：Web應(yīng)用防火墻的基本功能功能·服務(wù)器信息隱藏在一些信息比如在404頁(yè)面，會(huì)輸出服務(wù)器版本和運(yùn)行的程序版本。將服務(wù)器版本信息、服務(wù)信息和漏洞信息進(jìn)行偽裝和隱藏。避免將服務(wù)器系統(tǒng)上的服務(wù)器信息與web軟件版本信息等一些關(guān)鍵信息透露給任何潛在的攻擊者。Web應(yīng)用防火墻的基本功能功能·敏感信息過(guò)濾12345動(dòng)態(tài)獲取各種網(wǎng)絡(luò)資源。根據(jù)輸入的搜索規(guī)則（關(guān)鍵詞）組合對(duì)于發(fā)表的信息進(jìn)行過(guò)濾與審核。及時(shí)、準(zhǔn)確定位涉密或敏感信息資源。防止重要的信息泄露或非法言論通過(guò)網(wǎng)站進(jìn)行傳播。同時(shí)記錄、跟蹤敏感信息的傳播行為，及時(shí)阻止、消滅此類(lèi)信息的傳播。Web應(yīng)用防火墻的基本功能注：關(guān)于WAF配置操作步驟，請(qǐng)參閱第四章/配置WAF實(shí)現(xiàn)安全防護(hù).mp4功能·動(dòng)態(tài)建模03Web應(yīng)用防火墻部署及應(yīng)用Web應(yīng)用防火墻的部署方式適用于需要在WAF上部署負(fù)載均衡的場(chǎng)景。反向代理模式下，路由器需要通過(guò)配置策略路由的方式，將被保護(hù)站點(diǎn)的流量先牽引到WAF設(shè)備（或WAF集群），WAF設(shè)備通過(guò)反向代理的方式，再將請(qǐng)求送至Web服務(wù)器。WAF防火墻Web服務(wù)器部署模式·反向代理模式Web應(yīng)用防火墻的部署方式特點(diǎn)是即插即用，一般適用于需要緊急部署WAF進(jìn)行防護(hù)的場(chǎng)景。透明模式下部署WAF，無(wú)需更改網(wǎng)絡(luò)及服務(wù)器配置，透明串接在防火墻和Web服務(wù)器群之間，即可對(duì)Web服務(wù)器群的出入流量進(jìn)行有效監(jiān)控，從而確保Web應(yīng)用的安全。WAF防火墻Web服務(wù)器部署模式·透明模式Web應(yīng)用防火墻的部署方式WAF支持路由模式部署，它與網(wǎng)橋透明代理的唯一區(qū)別就是該代理工作在路由轉(zhuǎn)發(fā)模式而非網(wǎng)橋模式，其它工作原理都一樣。由于工作在路由（網(wǎng)關(guān)）模式因此需要為WAF的轉(zhuǎn)發(fā)接口配置IP地址以及路由。WAF防火墻Web服務(wù)器部署模式·路由模式當(dāng)缺少Web服務(wù)器網(wǎng)關(guān)時(shí)，可進(jìn)行路由模式部署。Web應(yīng)用防火墻的部署方式WAF的混合部署模式，可把設(shè)備網(wǎng)口配置成反向代理模式和透明網(wǎng)橋模式共同工作，可提供多組透明橋。WAFWeb服務(wù)器2Web服務(wù)器1防火墻部署模式·混合模式適用于多個(gè)安全域的安全防護(hù)的場(chǎng)景。使用CC防護(hù)，實(shí)現(xiàn)基于session的，頻率控制，對(duì)超過(guò)頻率的請(qǐng)求，進(jìn)行滑塊驗(yàn)證使用BOT行為管理，通過(guò)對(duì)流量進(jìn)行分析，識(shí)別爬蟲(chóng)和機(jī)器人行為，減少垃圾流量訪問(wèn)DNSCC防護(hù)BOT管理GAAPGAAP業(yè)務(wù)架構(gòu)圖Web應(yīng)用防火墻的應(yīng)用案例某游戲企業(yè)Web應(yīng)用防火墻部署案例客戶(hù)情況核心需求：防CC攻擊防惡意賬號(hào)減少或者減緩垃圾流量訪問(wèn)，節(jié)約服務(wù)器和帶寬資源對(duì)高頻訪問(wèn)行為進(jìn)行限制和阻斷結(jié)合天御方案，對(duì)惡意賬號(hào)進(jìn)行處理客戶(hù)需求防護(hù)效果通過(guò)基于用戶(hù)級(jí)別CC防護(hù)，對(duì)惡意刷資源消耗接口、營(yíng)銷(xiāo)接口的行為進(jìn)行有效識(shí)別和攔截。本章對(duì)WAF進(jìn)行了詳細(xì)的分析，包括WAF的概念、WAF的實(shí)現(xiàn)原理，以及WAF的策略