一。前言
Web应用平台的应用范围有哪些?
随着计算及业务逐渐向数据中心高度集中发展,Web业务平台已经在各类政府、企业机构的核心业务区域,如电子政务、电子商务、运营商的增值业务等中得到广泛应用,很多企业都将应用架设在Web平台上,Web成为一种普适平台。
Web应用带来的威胁有什么?
Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和Web程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
当前网络上75%的攻击是针对Web应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到Web安全问题的重要性,但传统安全设备(防火墙/IPS)解决Web应用安全问题存在局限性,而整改网站代码需要付出较高代价从而变得较难实现。同时,很多关系国计民生的重要网站,面临监管机构安全合规的要求。
如何解决Web应用安全问题?
面对来势汹汹的Web安全威胁,政府、企业为了保护好自身的Web服务器绞尽脑汁。Web服务器在交互性增强的同时,也带来了更高的网络危险性、混乱性和复杂性。
* 如何防止Web服务器、数据库服务器被窃取信息?
* 如何验证用户提交数据的安全性?
* 如何防止黑客上传木马、控制服务器?
Web应用防火墙的出现,给当前的安全市场打了一针兴奋剂,Web应用安全的问题迎刃而解。各政府、企业纷纷要求安装Web应用防火墙。
二。来自Web的安全威胁
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上,2/3的 Web 站点都相当脆弱,易受攻击。另外,在今年4月国家计算机网络应急技术处理协调中心最新发布的报告中指出,“2007年度,网络仿冒、网页恶意代码、网站篡改等增长速度接近200%。”而随着Web2.0应用的推广,相关安全问题逐渐凸显,针对该类网站的攻击事件也在不断增多,常见来自Web的安全威胁有几下几种:
1. SQL注入
2.木马上传
3.远程溢出
4.XSS
5.本地、远程包含漏洞利用
6.重要信息窃取
7.验证、认证绕过
8.Cookie、Session劫持
9.网站挂马
10.应用层DOS攻击
三。部署方式
“铱迅Web应用防火墙”支持多种灵活的部署方式,如透明网桥模式、单机模式、旁路反向代理模式。其中,“铱迅Web应用防火墙”的透明网桥模式尤为出色,管理员在不需要修改原网络拓扑结构的情况下,“铱迅Web应用防火墙”相当于一根网线串入网络中,对Web攻击进行防御。
“铱迅Web应用防火墙”的透明网桥模式,与其他同类产品相比,有着先天的优势:
透明网桥
反向代理
支持超过65535个并发连接
支持超过百万以上
一般不高于3万
数据处理延时
几乎无延时
有一定延时
最大访问速率
最大1000Mbps
一般在500Mbps
修改网络数据报文
不修改
需要修改
对交换机负载
负载低
负载高
获取访问者真实IP
能获取到真实IP
无法获取真实IP
1.透明网桥模式
透明网桥模式指在两台运行的设备中间插入“铱迅Web应用防火墙”,但是对流量并不产生任何影响。在透明网桥模式下,“铱迅Web应用防火墙”阻断Web应用层攻击,而让其他的流量通过。透明网桥模式是部署最为简便的方式。透明网桥模式是透明的,所以不会干预任何网络中的设备。
2.单机模式
单机模式下,“铱迅Web应用防火墙”只要串入Web服务器的前端即可进行防护,同时并不影响Web服务器的其他应用。
3.旁路反向代理模式
旁路反向代理模式,可以将“铱迅Web应用防火墙”与Web服务器置于内网的交换机下,访问Web服务器的所有请求都通过“铱迅Web应用防火墙”流入流出。然而,这种模式下,Web服务器无法获取访问者的真实IP,需要借助HTTP报文中设置相应的字段来表示访问者IP,这样需要修改原有的HTTP报文。
四。软、硬件Bypass方式
“铱迅Web应用防火墙”在特殊情况下,如断电、硬件故障等,仍然能够保持网络的畅通。具有硬件、软件双Bypass方式。
1.硬件Bypass
* 外部突然断电时,自动直连
* 来电后自动启动时,自动直连
* 硬件启动、重启时,自动直连
2.软件Bypass
* 固件故障自动恢复
故障时自动直连,故障清除后取消直连
* 固件升级、规则升级
升级固件、规则时自动直连,升级成功后取消直连
五。防护功能
“铱迅Web应用防火墙”可以给您的Web服务器提供应用层的全方位的保护,功能包括:
1.黑客攻击防护
* SQL注入攻击(包括URL、POST、Cookie等方式的注入)
* XSS攻击
* Web常规攻击(包括远程包含、数据截断、远程数据写入等)
* 命令执行(执行Windows、Linux、Unix关键系统命令)
* 缓冲区溢出攻击
* 恶意代码
2.违反策略防护
* 非法HTTP协议
* URL-ACL匹配
* 盗链行为
3.BOT防护
* 爬虫(蜘蛛)行为
* Web漏洞扫描器行为
4.应用层洪水攻击
* SYN Flood
* ACK Flood
六。高级功能
1.自定义规则
提供用户编写自己的规则;
支持字符串快速查找与PCRE正则查找。
2.白名单
设定某些网站、URL等对于Web应用防火墙直接放行。
3.关键词过滤
双向、单向(可选)替换关键词为****
4.自动通知
在内置存储空间快接近最大容量时发送电子邮件提醒用户。
用户可以手工导出日志或者清空过去的部分日志。
(注:若用户不予清理,防火墙将执行自动清理过去的部分日志)
5.防火墙拦截方式设置
阻断——拦截尝试入侵的数据报文,并将入侵者的IP封掉一段时间。
包过滤—-拦截尝试入侵的数据报文,不阻断入侵者的IP。
全部放行–停用本防火墙,对所有数据报文一律放行。
6.防火墙过滤端口设置
用户可以自己填写需要过滤的HTTP端口。
如需要过滤80端口以外,还可以选择过滤8080端口。
7.防火墙检测方向设置
用户可以选择检测双向的数据或者流入的数据。
8.阻断时间设置
用户可以设置检测到攻击后,对某个IP的阻断时间。
七。统计功能
1.入侵统计
2.网络流量统计
3.浏览页面统计
4.系统状态
八。日志分析
1.告警日志
对每次攻击记
录包括攻击时间、攻击者的IP、物理地址等。
2.审计日志
对Web应用防火墙硬件的每次操作进行记录。
3.系统日志
记录硬件防火墙的运行状态。
九。数据备份、导出
1.入侵日志导出
2.审计日志导出
3.系统日志导出