第一篇:深信服下一代防火墙AF_技术白皮书_V4.0
NGAF技术白皮书文档密级:公开
深信服下一代防火墙NGAF 技术白皮书
深信服科技有限公司 www.xiexiebang.com 二零一四年四月 / 28
NGAF技术白皮书文档密级:公开
目录
目录..................................................................................................................................................2一、二、2.1 2.2 概述...................................................................................................................................4 为什么需要下一代防火墙...............................................................................................4 网络发展的趋势使防火墙以及传统方案失效...........................................................4 现有方案缺陷分析.......................................................................................................5 2.2.1 2.2.2 2.2.3 2.2.4三、四、4.1 4.2 单一的应用层设备是否能满足?...................................................................5 “串糖葫芦式的组合方案”...........................................................................5 UTM统一威胁管理..........................................................................................6 其他品牌下一代防火墙能否解决?...............................................................6
深信服下一代防火墙定位...............................................................................................6 深信服下一代防火墙—NGAF..........................................................................................7 产品设计理念...............................................................................................................7 产品功能特色...............................................................................................................7 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 可视的网络安全情况.......................................................................................7 强化的应用层攻击防护.................................................................................12 独特的双向内容检测技术.............................................................................17 智能的网络安全防御体系.............................................................................19 更高效的应用层处理能力.............................................................................20 涵盖传统安全功能.........................................................................................21 4.3 产品优势技术.............................................................................................................21 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 深度内容解析.................................................................................................21 双向内容检测.................................................................................................22 分离平面设计.................................................................................................22 单次解析架构.................................................................................................23 多核并行处理.................................................................................................24 智能联动技术.................................................................................................24 Regex正则引擎..............................................................................................24
五、部属方式.........................................................................................................................25
/ 28
NGAF技术白皮书文档密级:公开
5.1 5.2 5.3 5.4
六、互联网出口-内网终端上网........................................................................................25 互联网出口-服务器对外发布....................................................................................26 广域网边界安全隔离.................................................................................................26 数据中心.....................................................................................................................27 关于深信服.....................................................................................................................27
/ 28
NGAF技术白皮书文档密级:公开
一、概述
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代防火墙”——NGAF。
二、为什么需要下一代防火墙
2.1 网络发展的趋势使防火墙以及传统方案失效
近几年来,越来越多的安全事故告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设?安全建设的核心问题是什么?采用什么安全防护手段更为合适?已成为困扰用户安全建设的关键问题。
问题一:看不看得到真正的风险?
一方面,只有看到L2-7层的攻击才能了解网络的整体安全状况,而基于多产品组合方案大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案,就无法让客户看到网络和业务的真实的安全情况。
问题二:防不防得住潜藏的攻击?
一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一
/ 28
NGAF技术白皮书文档密级:公开
方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。
综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢?
2.2 现有方案缺陷分析
2.2.1
单一的应用层设备是否能满足?
1、入侵防御设备
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
2、Web应用防火墙
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对Web业务提供L2-L7层的整体安全防护。
2.2.2 “串糖葫芦式的组合方案”
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+„„的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:
一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;
二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未
/ 28
NGAF技术白皮书文档密级:公开
知攻击的情况下缺乏有效防御措施,还是存在被绕过的风险。
2.2.3
UTM统一威胁管理
2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如:FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人以上规模的大型企业使用。”
2.2.4 其他品牌下一代防火墙能否解决?
大部分下一代防火墙只能看到除web攻击外的大部分攻击,极少部分下一代防火墙能够看到简单的WEB攻击,但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性;另外,大部分下一代防火墙防不住web攻击,也不对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。
三、深信服下一代防火墙定位
全球最具权威的IT研究与顾问咨询公司——Gartner,在2009年发布了一份名为《Defining the Next-Generation Firewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合的并不紧密。
结合目前国内的互联网安全环境来看,更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例,60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下,如果作为出口安全网关的防火墙不具备Web应用防护能力,那么在新出现的APT攻击的大环
/ 28
NGAF技术白皮书文档密级:公开
境下,现有的安全设备很容易被绕过,形同虚设,下一代防火墙做为一款融合型的安全产品,不能存针对基于Web的应用安全短板。做为国内下一代防火墙产品的领导者,和公安部第二代防火墙标准制定的参与者,深信服走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中,深信服下一代防火墙(Next-Generation Application Firewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。
四、深信服下一代防火墙—NGAF
4.1 产品设计理念
更精细的应用层安全控制:
贴近国内应用、持续更新的应用识别规则库
识别内外网超过1500多种应用、3000多种动作(截止2014年2月14日)支持包括AD域、Radius等8种用户身份识别方式 面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等 完整的终端安全保护,支持漏洞、病毒防护等
双向内容检测,功能防御策略智能联动 更高性能的应用层处理能力:
单次解析架构实现报文一次拆解和匹配 多核并行处理技术提升应用层分析速度 Regex正则表达引擎提升规则解析效率 全新技术架构实现应用层万兆处理能力
更完整的安全防护方案 可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
4.2 产品功能特色
4.2.1 可视的网络安全情况
/ 28
NGAF技术白皮书文档密级:公开
NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。4.2.1.1 可视化的网络应用 随着网络攻击不断向应用层业务系统转移,传统的网络层防火墙已经不能有效实施防护。因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有业务的安全可视化变得十分重要。NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。
NGAF的应用识别有以下几种方式:
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。4.2.1.2 可视化的业务和终端安全
NGAF可对经过设备的流量进行实时流量分析,相比主动漏洞扫描工具或者是市场的漏扫设备,被动漏洞分析最大的优势就在于能实时发现客户网络环境的安全缺陷,且不会给网
/ 28
NGAF技术白皮书文档密级:公开
络产生额外的流量。此模块设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,实时分析用户网络中存在的安全问题,为用户展现AF的安全防护能力。实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析: 底层软件漏洞分析
实时分析网络流量,发现网络中存在漏洞的应用,把漏洞的危害和解决方法通过日志和报表进行展示,支持的应用包括:HTTP服务器(Apache、IIS),FTP服务器(FileZilla),Mail服务器(Exchange),Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等 Web应用风险分析
针对用户WEB应用系统中存在的如下风险和安全问题进行分析:
1.SQL注入、文件包含、命令执行、文件上传、XSS攻击、目录穿越、webshell; 2.发现网站/OA存在的设计问题,包括: a)在HTTP请求中直接传SQL语句; b)在HTTP请求中直接传javascript代码;
c)URL包含敏感信息:如user、username、pass、password、session、jsessionid、sessionid等;
3.支持第三方插件的漏洞检测,如:媒体库插件jplayer,论坛插件 discuz,网页编辑器 fckeditor,freetextbox,ewebeditor,webhtmleditor,kindeditor等 Web不安全配置检测
各种应用服务的默认配置存在安全隐患,容易被黑客利用,例如,SQL Server 的默认安装,就具有用户名为sa,密码为空的管理员帐号。不安全的默认配置,管理员通常难以发觉,并且,随着服务的增多,发现这些不安全的配置就更耗人力。
NGAF支持常用Web服务器不安全配置检测,如Apache的httpd.conf配置文件,IIS的metabase.xml配置文件,nginx的web.xml和 nginx.conf配置文件,Tomcat的server.xml配置文件,PHP的php.ini配置文件等等,同时也支持操作系统和数据库配置文件的不安全配置检测,如Windows的ini文件,Mysql的my.ini,Oracle的sqlnet.ora等等。 弱口令检测
支持FTP,POP3,SMTP,Telnet,Web,Mysql,LDAP,AD域等协议或应用的弱口令检查。
/ 28
NGAF技术白皮书文档密级:公开
另外,NGAF还提供强大的综合风险报表功能。能够从业务和用户两个维度来对可网络中的安全状况进行全面评估,区分检测到的攻击和其中真正有效的攻击次数,并针对攻击类型,漏洞类型和威胁类型进行详细的分析给提供相应的解决建议,同时还能够针对预先定义好的业务系统进行威胁分析,还原给客户一个网络真实遭受到安全威胁的情况。4.2.1.3 智能用户身份识别 网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。NGAF提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于 IP 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。
1、映射组织架构
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
2、建立身份认证体系
本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 第三方认证:AD、LDAP、Radius、POP3、PROXY等; 单点登录:AD、POP3、Proxy、HTTP POST等;
强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。4.2.1.4 面向用户与应用的访问控制策略 当前的网络环境,IP不等于用户,端口不等于应用。而传统防火墙的基于IP/端口的控
/ 28
NGAF技术白皮书文档密级:公开
制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。
4.2.1.5 基于应用的流量管理 传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。
NGAF采用了队列流量处理机制:
首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,11 / 28
NGAF技术白皮书文档密级:公开
像skype、emule属于P2P类)然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。 基于应用/网站/文件类型的智能流量管理 NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
P2P的智能识别与灵活控制 封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
4.2.2 强化的应用层攻击防护
4.2.2.1 基于应用的深度入侵防御 NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理:
/ 28
NGAF技术白皮书文档密级:公开
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的 13 / 28
NGAF技术白皮书文档密级:公开
要求,NGAF在两方面得以增强: 第一,通过NGAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
4.2.2.2 强化的WEB攻击防护 NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如: 防SQL注入攻击 SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击 跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。防CSRF攻击 CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。主动防御技术 主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。另外还可以通过自定义参
/ 28
NGAF技术白皮书文档密级:公开
数规则来更精确的匹配合法URL参数,提高攻击识别能力。应用信息隐藏 NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如: HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。
FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。URL防护 Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。弱口令防护 弱口令被视为众多认证类web应用程序的普遍风险问题,NGAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。HTTP异常检测 通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。文件上传过滤 由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。用户登录权限防护 针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不断的进行登录密码尝试,NGAF可以提供访问URL登录进行短信认证的方式,提高访问的安全性。
/ 28
NGAF技术白皮书文档密级:公开
缓冲区溢出检测 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。NGAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。4.2.2.3 全面的终端安全保护
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。尤其是最近几年,互联网不断披露的一些安全事件都涉及到了一种新型,复杂,存在长期影响的攻击行为——APT。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT场景下,因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件的检测,传统防毒墙和杀毒软件更是形同虚设,因此需要一种全面的检测防护机制,用于发现和定位内部网络受病毒木马感染的机器。
APT检测
NGAF的APT检测功能主要解决的问题:针对内网PC感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。
NGAF的APT检测功能主要由两部分检测内容来实现: 1.远控木马检测
在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征,且行为过程不经由HTTP协议交互,故通过专门制作分析的应用特征来进行识别。如灰鸽子,炽天使,冰河木马,网络守望者等等。此种类型的木马也随深信服应用识别规则库的更新而更新。
2.僵尸网络检测
/ 28
NGAF技术白皮书文档密级:公开
僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达数十万,并且依然以每两周升级一次的速度进行更新。
除了APT攻击检测功能,深信服在终端安全防护方面还提供了基于漏洞和病毒特征的增强防护,确保终端的全面安全
终端漏洞防护 内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
终端病毒防护 NGAF提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,7z等)中的病毒,内置百万级别病毒样本,确保查杀效果。
4.2.2.4 专业攻防研究团队确保持续更新 NGAF的统一威胁识别具备4000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。深信服凭借在应用层领域7年以上的技术积累组建了专业的安全攻防团队,作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。
4.2.3 独特的双向内容检测技术
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案,对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。这种方式功能模块的分散,虽然能防护主流的攻击手段,但并不是真正意义上的统一防护。这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的 17 / 28
NGAF技术白皮书文档密级:公开
灰色地带,出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。
因此,“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
4.2.3.1 网关型网页防篡改 网页防篡改是NGAF服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。
/ 28
NGAF技术白皮书文档密级:公开
NGAF通过网关型的网页防篡改(对服务器“0”影响),第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web备份服务器的重定向,保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改部分基于网络字节流的检测与恢复,对服务器性能没有影响。
4.2.3.2 可定义的敏感信息防泄漏 NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码„„)4.2.3.3 应用协议内容隐藏 NGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。
4.2.4 智能的网络安全防御体系
/ 28
NGAF技术白皮书文档密级:公开
4.2.5.1 风险评估与策略联动 NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。4.2.5.2 智能的防护模块联动 智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。4.2.5.3 智能建模及主动防御
NGAF提供智能的自主学习以及自动建模技术,通过匹配防护URL中的参数,学习参数的类型和一般长度,当学习次数累积达到预设定的阈值时,则会加入到白名单列表,后续过来的请求只要符合改白名单规则则放行,不符合则阻断。可实现网络的智能管理,简化运维。
4.2.5
更高效的应用层处理能力
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层
/ 28
NGAF技术白皮书文档密级:公开
重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
4.2.6 涵盖传统安全功能
NGAF除了关注来自应用层的威胁以外,也涵盖了传统防火墙的所有基础功能,使得客户在使用原有传统防火墙的基础上可以实现无缝切换到下一代防火墙。4.2.4.1 智能DOS/DDOS攻击防护
NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。4.2.4.2 融合领先的IPSecVPN
NGAF融合了国内市场占有率第一的IPSec VPN模块,实现高安全防护、高投资回报的分支机构安全建设目标,并支持对加密隧道数据进行安全攻击检测,对通道内存在的IPS攻击威胁进行流量清洗,全面提升广域网隔离的安全性。4.2.4.3 统一集中管理平台
NGAF提供统一集中管理平台实现对分支各设备的集中监管,可实现各分支设备的硬件资源情况实时上报以及安全日志汇总,集中管理配置下发与远程独立配置,提高管理效率,简化运维成本。
4.2.4.4 灵活的应用部署方式
NGAF支持多种部署模式,包括可以在互联网出口做代理网关,或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式,同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等,另外还提供了端口链路聚合功能,提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境,NGAF也能灵活支持。
4.3 产品优势技术
4.3.1 深度内容解析
NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客
/ 28
NGAF技术白皮书文档密级:公开 的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。4.3.2 双向内容检测
深信服的双向内容检测技术,主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施,通过对服务器发起的请求以及服务器的回复包进行双向内容检测,使得敏感数据信息不被外发,黑客达不到攻击的最终目的。4.3.3 分离平面设计
/ 28
NGAF技术白皮书文档密级:公开
NGAF通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发。实现数据报文的高效,可靠处理。4.3.4 单次解析架构
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;
/ 28
NGAF技术白皮书文档密级:公开
因此,需要一种全新的国际语言来完成,从而提高可行性,又降低了工程的复杂度。4.3.5 多核并行处理
现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗? 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问,除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期,还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。4.3.6 智能联动技术
4.3.7 Regex正则引擎
/ 28
NGAF技术白皮书文档密级:公开
NGAF使用正则表达式对流量的内容进行匹配,正则表达式是一种识别特定模式数据的方法,可以精确识别网络中的攻击。但经我们研究分析,业界已有的正则表达式匹配方法,其速度一般比较慢,制约了AF设备整机速度的提高,为此,深信服设计并实现全新的Sangfor Regex正则引擎,把正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
整体而言,Sangfor Regex大幅降低了CPU占用率,提高AF的整机吞吐,从而更高速地处理客户业务数据,这项技术尤其适合对每秒吞吐量要求非常高的场合,如运营商,电商等。
五、部属方式
5.1 互联网出口-内网终端上网
安全需求:
单向访问,内网地址隐藏
带宽有限,实现灵活流控
多线路跨运营商,如何选择最优路径
防御来自互联网的威胁,如DOS/DDOS等
保护终端上网安全,防止遭受病毒、木马、蠕虫的攻击
/ 28
NGAF技术白皮书文档密级:公开
5.2 互联网出口-服务器对外发布
安全需求:
业务面向互联网,存在大量Web攻击
服务器安全风险,操作系统、应用程序漏洞
稳定性要求高,防止拒绝服务攻击
网站形象保护,防止网页篡改
数据内容保护,防止敏感信息外传
5.3 广域网边界安全隔离
安全需求:
接入环境复杂,用户存在安全组网要求
流量复杂,病毒木马易泛滥 / 28
NGAF技术白皮书文档密级:公开
人员复杂,需要精确访问控制
设备数量繁多,需要集中管理
数据内容保护,防止敏感信息越界传播
5.4 数据中心
安全需求:
数据、应用大集中,安全域需隔离
可用性要求高,万兆环境
访问权限要求高,控制非法访问
业务类型多样,数据库系统多
数据内容敏感,泄密风险需防范
六、关于深信服
深信服公司成立于2000年,是中国最大的应用层网络设备供应商,致力于提供基于网络应用层的产品及解决方案。目前,全球有超过21,000家用户正在使用深信服的产品。在中国入选世界500强的企业中,有85%以上的企业都是深信服的用户。截止2013年3月,深信服在全球共设有49个直属分支机构,分布在全球8个国家和地区,并拥有超过1400名员工。作为中国应用层网络市场的领导者,深信服每年保持着50%以上的增长率,持续每年将总营收的15%投入到研发,并在深圳和北京设有研发中心。截至2013年3月,深信服共申
/ 28
NGAF技术白皮书文档密级:公开
请超过100项发明专利。同时,深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位。深信服公司被评定为“国家规划布局内重点软件企业”,连续八年入选德勤“亚太地区高科技高成长500强”,连续两届荣获《财富》“卓越雇主——中国最适宜工作的公司”。
/ 28
第二篇:网神SecWAF 3600应用防火墙系统技术白皮书(防篡改)V2.2
应用防火墙系统
技术白皮书
Legendsec SecWAF 3600 Web Application Firewall
Technology Whitepaper
(LS-SP-T-WAF 1.0)
网御神州科技(北京)有限公司
网神 SecWAF 3600
网神 SecWAF 3600 应用防火墙系统技术白皮书
版权说明
本文的内容是网神 SecWAF 3600 应用防火墙系统技术白皮书。文中的资料、说明等相关内容的版权归网御神州科技(北京)有限公司所有和保留。本文中的任何部分未经网御神州科技(北京)有限公司(以下简称“网御神州”)许可,不得转印、影印或复印、发行。
2006-2010© 版权所有
网御神州科技(北京)有限公司
商标声明
本手册中所谈及的网御神州产品的名称是网御神州的商标。手册中涉及的其他公司的注册商标属各商标注册人所有,恕不逐一列明。
联系信息
北京海淀区上地开拓路 7 号先锋大厦二段 1 层
2Section 1F , Xianfeng Building , No.7 Kaituo Road , Shangdi Information Industray Base, Haidian District , Beijing 客服热线(Customer Service Hotline):400-610-8220
010-87002000 传真(Fax):010-62972896 邮编(Post Code):100085
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
目录 前言........................................................................................................5 2 系统简介....................................................................................................5 3 系统组成及特点.........................................................................................6
3.1 3.2 3.3 系统组成...........................................................................................6 系统功能特点....................................................................................7 主要技术功能....................................................................................8
第三代内核驱动防篡改技术.....................................................8 Web站点安全运行保障...........................................................9 部署结构灵活..........................................................................9 安全可靠增量发布...................................................................9 日志事件报警........................................................................10 操作管理安全、方便..............................................................10 网站动态自适应攻击防护......................................................10 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 4 主要技术实现...........................................................................................11 4.1 4.2 实现原理.........................................................................................11 核心优势描述..................................................................................13 基于内核驱动保护技术..........................................................13 动态网页脚本保护.................................................................14 连续篡改攻击保护.................................................................14 全方位兼容的安全自动增量发布............................................14 服务器安全运行可靠性管理...................................................15 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
4.2.6 4.2.7 4.2.8 4.2.9 部署实施操作简单.................................................................15 不影响原有网络结构..............................................................15 安全传输...............................................................................16 支持多虚拟目录.....................................................................16 4.2.10 支持多终端............................................................................16 4.2.11 支持日志导出查询.................................................................16 4.2.12 动态防护模块的实现..............................................................16 5 部署结构..................................................................................................18
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
声明
1.文中所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,网神恕不另行通知。2.网神保留在没有任何通知或提示的情况下对资料内容进行修改的权利。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书 前言
网神SecWAF 3600应用防火墙系统(以下简称SecWAF)是北京网御神州科技有限公司(以下简称:网御神州)精心研发专门针对网站篡改攻击的一款防护产品,SecWAF的主要功能是通过微软文件底层驱动技术对Web 站点目录提供全方位的保护以及通过URL攻击过滤进行动态防护,防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。SecWAF保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站的非法修改的问题,是高效、安全、易用的新一代的网页防篡改系统。
本手册适合的对象:《网神SecWAF 3600应用防火墙系统技术白皮书》适用于希望了解本产品技术特性和使用的相关人员。本手册共五章,第一章 前言,第二章 系统简介,第三章 系统组成及特点,第四章 主要技术实现,第五章 部署结构。系统简介
近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展,网站建设得到了空前发展,与此同时随着网民数量的快速增长,通过网站来了解新闻、在线处理业务、查询关键信息等对网站的发展也起到了关键性的促进作用,网站的社会舆论效益逐步显现,已经引起了社会的广泛关注。然而不幸的是,黑客强烈的表现欲望,国内外各种非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多,复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。另外,攻击工具泛滥且向智能自动化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的黑客攻击,攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
网神SecWAF 3600应用防火墙系统由北京网御神州科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术,网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展,第三代网页防篡改技术较之以前的技术有几个特点,响应速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明,SecWAF 已经成为信息化建设中网站安全建设最佳解决方案。SecWAF 适用领域:政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站;
网页防篡改技术的发展经过几年的发展已经进入了第三代技术,多因子检测时代,较前两代技术,第三代技术在安全性以及效率方面更为可靠。
图2-1技术发展路线图 系统组成及特点
3.1 系统组成
SecWAF系统包含三个部分:监控客户端、管理中心服务器和管理客户端,各部分功能如下:
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
1.监控客户端(Monitor Client)安装在Web站点服务器上,安装完后即后台自动运行,无界面,主要用于监控站点攻击状态,执行管理中心所配置的策略,有效阻止各类篡改攻击;
2.管理中心服务器(Center Server)建议部署在独立PC服务器上,若所管理的web服务器数量较少,也可以同时部署在管理客户端;主要用于用户管理,策略下发,日志监控,以及发布各监控客户端安全策略;此程序以后台服务模式运行,无程序界面。3.管理控制台(Console)部署在网管员任意一台计算机,主要用于登录管理中心服务器,进行管理;
图3-1 系统结构示意图
各组件之间通信采取完全加密传输,包括数据传输,用户认证等,确保通信的保密性;
说明:备份可信端程序用于网站内容发布及更新,程序与监控客户端(Monitor Client)一样,根据策略进行角色定义。3.2 系统功能特点
所有的Web网站都需要进行页面内容的保护,防止非授权人员随意篡改内容,对于一些更新快、容量大、权威性的网站就更需如此。外部网站因需要被公众访问而暴露于因特网上,因此最容易成为黑客的攻击目标。虽然目网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
前已有防火墙、入侵检测等安全防范手段,但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。SecWAF 通过服务器文件访问底层驱动技术,对保护的对象(静态网页、动态执行脚本、文件夹)实时监测其属性,一旦发现更改立刻阻断非法篡改操作,阻止网页文件被修改,并实时通知管理客户端。此外,在系统遭受极限攻击发生文件篡改现象,系统也会自动从可信端进行有效文件恢复,彻底地保证了网页内容不被篡改。
该系统对于各类网站的安全,特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象,有着重要意义。尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间,各行各业的网站遭受不法份子的破坏以及国外黑客攻击的几率大大增加;各类金融银行、证券机构积极开展网上金融业务,如遭受篡改,不仅仅是形象受损信誉度降低,还会带来巨大的经济损失;尤其是在国家发生一些重大热点社会事件的时候,常常伴有大量相关网站遭受篡改并且发布虚假消息,带来严重的社会影响,而消除这些影响的经济和时间代价将巨大。因此,网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。SecWAF系统具备多项核心技术,简单归纳如下: 技术先进,采用第三代防篡改技术,安全、稳定、可靠; 采取先进的多重防护技术,杜绝篡改;
完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品; 汲取广大网管员建议,操作及其简便,大大提高工作人员效率; 对服务器安全性能实时监控,确保服务器安全稳定运行;
对Web服务运行状态进行安全监控,保证Web服务不受异常事件干扰; 不限制网站发布服务器类型,实现高可用性和高扩展性;
支持所有主流操作系统,与Web发布服务类型无关,与CMS系统无缝结合; 支持保护Web服务器配置文件,杜绝网站指向遭到修改;
3.3 主要技术功能
3.3.1 第三代内核驱动防篡改技术
基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
内核级事件触发技术,大大减少系统额外开支; 完全防护技术,支持大规模连续篡改攻击防护;
系统后台自动运行,支持断线状态下阻止篡改;
内核出站校验技术完全杜绝被篡改内容被外界浏览;
支持单独文件、文件夹及多级文件夹目录内容篡改保护;
3.3.2 Web站点安全运行保障
保护Web服务器的相关重要配置文件不被篡改; 服务器性能监控阀值报警,预知攻击发生;
服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作; 服务器进程黑白名单许可控制,防止挂马攻击或后门程序运行;
支持服务器多种远程管理功能,紧急情况下便于管理,如远程接管、远程唤醒、远程关机、远程用户注销等;
支持监测服务器当前系统防火墙,防病毒的使用情况和版本,提高监测服务器的综合防护能力;
3.3.3 部署结构灵活
支持多站点、跨平台分布式部署,统一集中管理功能; 支持大规模虚拟机、双机热备网站系统部署架构;
支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多,多对多等各类灵活网站架构;
3.3.4 安全可靠增量发布
支持网页文件自动上传功能和增量发布,无需人工干涉;
支持异地文件快速同步功能和断点续传功能,极大的增加网站可维护性;
支持网页自动同步新增、修改、删除、下载等功能;
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
3.3.5 日志事件报警
自动检测文件攻击记录,并实时记入日志,支持导出excel报表;
支持服务运行状态记录,并实时记入日志,支持导出excel报表;
支持多种告警方式,日志告警、邮件告警或定制其他告警方式; 自身操作审计日志记录,详细记录操作管理员的操作管理行为;
3.3.6 操作管理安全、方便
支持多用户分权管理功能,方便操作;
系统C/S结构,确保高可靠性;
支持多个策略管理,策略设置支持即时生效,无需重启;
数据传输采用加密传输,安全可靠;
支持网页格式类型分类,便于分类管理;
系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配置,大大提高工作效率;
3.3.7 网站动态自适应攻击防护
支持SQL注入攻击防护;
支持跨站脚本攻击防护;
支持对系统文件的访问防护;
支持特殊字符构成的URL利用防护;
支持对危险系统路径的访问防护;
支持构造危险的Cookie攻击防护;
各类攻击的变种防护;
支持自定义检测库;
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书 主要技术实现
4.1 实现原理
我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进行自动监测,对文件夹的所有文件内容(包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高水准。
图4-2内核文件防护技术原理图
在整个系统功能设计在不同的层面实现各种功能,确保系统的有效运行。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
图4-3 功能设计分层示意图
快速同步通道处理,主要用于网站内容更新及修复网页文件用途,在多服务器负载均衡应用时快速同步通道技术将显得尤为重要,确保网站的内容最迅速的更新至外网web服务器上。同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。
图4-4发布同步原理图
为了保证网站遭受各类攻击均不影响网站的正常运行和内容发布,SecWAF 在内部实现了一套完整的内容恢复机制,将参照以下示意图步骤进行同步和恢复。该功能将大大增强网站文件的真实可靠性。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
图4-5 校验实现原理图
当发生网页遭受到意外恶意破坏时,系统将自动启用文件安全性校验模块,主要对比网页文件指纹ID,将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化,则从可信备份端进行实时恢复,确保文件的真实可靠性。
4.2 核心优势描述
4.2.1 基于内核驱动保护技术
内核事件触发保护机制,确保系统资源不被浪费,不同于其他防篡改软件的Web事件触发机制,SecWAF的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术,与操作系统紧密结合的。即使服务器遭受黑客攻击取得操作管理员权限也无法对被保护内容实施保护,这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多,断线篡改后无法恢复等一系列风险。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
4.2.2 动态网页脚本保护
目前的网站越来越多地使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网页由网页脚本和内容组成:网页脚本以文件形式存在于Web 服务器上;网页内容则取自于数据库。一般来说,数据库处在内部网中,没有外部地址,而且可以只接受来自内部指定地址的访问,因此一般不会受到攻击。而存在于Web 服务器上的动态网页脚本则与静态网页一样,容易受到攻击。
采用文件驱动级技术的系统,可以直接从Web 服务器上得到动态网页脚本,不受变化的内容影响,因而能够像静态网页一样保护动态网页脚本。
4.2.3 连续篡改攻击保护
对于大规模连续的篡改,SecWAF防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了应有工作效率。而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时,需要每次通过应用层插件计算校验匹配,由于不能阻止篡改发生,这些软件需要不停的重复恢复原始网页内容,极大的占用系统资源和网络资源,并可能造成显示错误页给访问用户。
4.2.4 全方位兼容的安全自动增量发布
SecWAF集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹,减少人工干预,并且支持传统的FTP、网络共享等,本系统支持高速上传功能,同样也支持网页备份到指定文件夹的功能,方便维护人员对网站进行日常维护。SecWAF可以无缝的和所有内容管理系统相结合并且不需要做任何修改,大大方便与用户管理和部署。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
4.2.5 服务器安全运行可靠性管理
SecWAF系统可以监控服务器当前的运行状态,监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息,使用户能够及时响应意外事件,并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。包括: 1)保护web服务器自身配置; 2)服务器cpu使用阀值报警; 3)服务器内存使用阀值报警;
4)监控服务运行状态,并提供应用服务发生异常后的停止,重启等联动操作; 5)服务器进程黑白名单设置,实现防止后门木马程序的运行;
6)支持服务器多种远程管理功能,远程接管、远程唤醒、远程关机、远程用户注销等; 7)可以实时监测服务器当前服务、进程、系统日志; 8)可以服务器当前系统防火墙,防病毒的使用情况和版本。
4.2.6 部署实施操作简单
具备基本windows操作系统使用人员,仅需要10分钟时间,即可按照使用说明书部署完整套网神Web应用防火墙系统,部署完毕后,进行简单配置即可运行;若在系统组建之间有防火墙或其他访问控制设备,建议与网管人员配合在防火墙上配置相应规则,实现安全通信,可以自由设定相应的端口,避免在Web服务器上开启其他端口。
4.2.7 不影响原有网络结构
该系统的架构采用C/S 方式,安全可靠,Center Server端和Console端可以安装在任意指定的系统上,管理告警客户端本地无存储数据,日志只在需要时进行导出excel 进行查询,可大大降低了用户投资;
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
4.2.8 安全传输
合法网页的安全传输是系统安全的一个重要环节,SecWAF使用了高安全强度的工业标准的128位加密技术,保证了信息传输过程中完整性和私密性,且用户登录认证且采用加密传输,防止传输过程中用户信息泄露。
4.2.9 支持多虚拟目录
SecWAF能够自动、实时监控多个子文件夹内容,各子文件夹包含多个网站可同时进行监测,网页文件支持数以万计,且对系统性能没有任何影响。
4.2.10 支持多终端
SecWAF支持同服务器端程序对多个web被监控服务器端网站进行维护,用户可以在任意时刻任意进行扩展,只需要购买相应的Monitor端License即可。
4.2.11 支持日志导出查询
系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。SecWAF除了对篡改记录进行记录外,还记录了操作日志,方便用户导出查询和统计。包括:
1.对受保护网页文件和目录进行添加、删除、修改的日志; 2.监控策略的开启和关闭的日志; 3.管理员的登录日志;
4.对监控策略进行更改的日志;
5.对管理员进行增加,删除和属性修改的操作日志; 6.对功能配置参数的修改日志。
4.2.12 动态防护模块的实现
动态防护模块通过嵌入web发布服务软件,对各类URL请求进行攻击代码过滤,可以抵挡网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
各类SQL注入、跨站、构造类代码攻击,防止对后台数据库进行猜解、破坏、挂马等攻击。
网御神州科技(北京)有限公司
/ 22
网神 SecWAF 3600 应用防火墙系统技术白皮书 部署结构
SecWAF 部署方式较为灵活,监控代理客户端(Monitor Client),管理中心服务器(Center Server)和管理客户端(Console)三部分,可以部署在三个不同的系统上,也可以部署在同一台系统上,用户根据需要灵活进行设计,以下介绍三种典型部署结构:
第一种部署方式见图“网神Web应用防火墙系统典型部署示意图-1”:这种部署为常见部署方式,常见于政府网站和大型企事业单位,WEB服务器位于内部网中,在防火墙DMZ区(非军事化区),第一步:在DMZ区任意一台服务器(可以是防病毒服务器或者防火墙管理服务器)安装管理中心服务器(Center Server,IP地址为:172.16.1.100)部分,并设定外部管理连接端口(默认为5366);第二步:将监控端(Monitor Client)安装于多个WEB服务器(172.16.1.X)上,并制定管理中心服务器地址(如172.16.1.100),并设定管理端口(默认为5367);第三步,在内部管理区域,任意pc安装管理客户端(Console)部分; 若要保证通信,还需要在防火墙上配置管理中心服务器(Center Server,IP地址为:172.16.1.100)端口(默认为5366),需将端口镜像到WEB外部。
第二种部署方式见图“网神Web应用防火墙系统典型部署示意图-2”,这类部署主要突出网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
了该系统部署的灵活性,将Center Server部分也同时部署在WEB站点上,在没有额外可用服务器的情况下,节省了服务器资源,保护了用户投资。但我们建议此时需要及时修改初始维护密码,并保持器一定的复杂度。
网御神州科技(北京)有限公司/ 22
网神 SecWAF 3600 应用防火墙系统技术白皮书
第三种部署方式见图“网神Web应用防火墙系统典型部署示意图-3”也常见于政府网站和大型企事业单位,WEB服务器位于IDC托管中心的防火墙DMZ区(非军事化区),第一步:在DMZ区数据库服务器(也可以是防病毒服务器或者防火墙管理服务器)安装管理中心服务器(Center Server,IP地址为:172.16.1.100)部分,并设定外部管理连接端口(默认为5366);第二步:将监控端(Monitor Client)安装于多个WEB服务器(172.16.1.X)上,并制定管理中心服务器地址(如172.16.1.100),并设定管理端口(默认为5367);第三步,在内网管理区域,任意pc安装管理客户端(Console)部分; 若要保证通信,还需要在防火墙上配置管理中心服务器(Center Server,IP地址为:172.16.1.100)端口(默认为5366)镜像到外部,便于Console登陆管理。(因WEB站点为了外部Internet访问,已经做IP地址转换,无需做额外配置)。
网御神州科技(北京)有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书
注:若将Center Server部分安装在内网时,则需要首先将管理中心Center Server端口(默认为5366)也需要镜像到外网部分,IP地址也需要做相应地址转换(NAT);然后在 IDC托管中心的防火墙上将监控端(Monitor Client)的端口5367及IP地址镜像到外部,并指定远程管理的外部NAT转换后的地址。该部署比较复杂,需要网管员积极配合。
网御神州科技(北京)有限公司/ 22
![下载深信服下一代防火墙AF_技术白皮书_V4.0[精选合集]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 