应用防火墙 让黑客碰壁(下)

消极安全防御

消极安全防御的原理是:对已经发现的攻击方式,经过专家分析后给出其特征进而来构建攻击特征集,然后在网络数据中寻找与之匹配的行为,从而起到发现或阻挡的作用。它的缺点是使用消极安全防御体系的安全产品不能对未被发现的攻击方式作出反应。具有代表性的产品有入侵检测系统(IDS)、入侵防御系统(IPS)、病毒防火墙等。

使用消极安全防御模型的产品,可以作为网络安全防御体系中的一个补充,但是由于对未知攻击的无能为力以及不断的数据库更新,起到的作用比较有限,同时对网络的性能有一定的影响。

可以看出,积极安全防御更加安全和有效,但是它的技术实现也更加复杂。随着厂商对积极安全防御的重视,以及技术的不断发展,使用积极安全防御模型的安全产品将会日益完善。

6方面考察应用防火墙

如果你是某网站的CIO,发现网站的重要资料被窃,但是防火墙上没有任何攻击日志,那你就要考虑购买应用防火墙了。选择应用防火墙,需要关注6个方面:

 1.理解应用层数据。Web应用防火墙能够理解用户请求的是什么网页,是在提交用户信息,还是在访问某个新闻页面。同时,能够理解用户提交的各种信息,比如用户名、密码、身份证号码等。只有理解这些应用层的信息,才可能针对各个不同的应用发挥保护作用。所以,在选购应用防火墙时,必须确定厂家宣称的应用防火墙是否真正能够理解应用层的数据。

2.积极安全防御。只有建立在积极安全模型上的保护应用安全的产品才能称为真正的应用防火墙。目前市场上有一些通过建立针对应用的攻击特征库来检查攻击数据的应用安全产品,这种产品需要预先配置攻击特征库,对于未发现的攻击是无能为力的。这样的产品可以看作是针对应用的IDS或者IPS产品,而不能算作是真正的应用防火墙产品。在选购应用防火墙时,可以通过产品是否提供针对正常应用的规则配置来确定是否具有积极安全防御的特性。

3.处理性能。由于应用防火墙需要处理应用层数据,必须要对网络的报文进行重组、流还原和协议解析等处理,其复杂程度远远高于基于单个报文、仅仅处理网络层信息的传统网络安全设备。为了保证已有网络的可用性和实时性,应用防火墙不能成为应用的瓶颈,必须使用高速的处理算法和新一代的硬件平台。

在选购应用防火墙时,需要确定产品的性能指标是否适合被保护的应用环境。一些针对应用层的指标,如HTTP会话并发数、每秒请求数等是否满足要求。另外,针对提供硬件平台的产品,需要关心硬件的性能是否高于同档次的传统防火墙产品。比如,如果厂家宣称其应用防火墙的处理能力能够达到数据转发速率是每秒 100兆,那么它的硬件处理能力必须强于同样标称为每秒100兆的网络防火墙。可以通过比较CPU性能、内存、接口总线带宽等来衡量硬件的性能指标4.应用层会话管理。应用层防火墙最好具有应用层会话管理的功能,才能做到基于对用户行为的检测功能。比如Web应用防火墙,必须能够实现建立HTTP会话的能力,因为HTTP协议本身是一个无状态的协议,只有建立起应用层的会话管理,才能够精确的判断用户是否在进行攻击行为。应用层会话管理一般包括 HTTP会话建立,同时也需要能够保护已有客户端和服务器的会话维护信息,如提供Cookie验证功能、Cookie加密功能。

在选购时,必须确认厂商宣称的会话管理不是基于传统网络层防火墙的网络层信息五元组的会话信息,而是真正可以标识用户访问行为的应用层会话管理能力。

5.智能的安全规则配置。针对应用防火墙,同样需要建立安全规则。这个安全规则是基于应用的,而不是简单的基于IP地址、端口等网络层信息。比如针对 Web应用防火墙来说,安全规则必须包含允许用户请求的HTTP方法、各个缓冲区的合法长度、允许上传和下载文件类型、允许用户进行动态提交的内容等信息。网络层安全产品都是不具备这种规则的配置的,这也是区分网络层安全产品和应用防火墙的一个特征。

由于针对应用层的安全规则包含的信息非常复杂,而且,针对不同的商业应用环境,规则都需要重新配置,这个配置工作量是非常巨大的。真实世界中的Web应用非常复杂,而且网站在不断的动态变化。如果使用传统的配置方法,那么应用防火墙的管理员必须理解每个应用、每个网页的作用、每次提交的请求,甚至每个提交变量的范围,然后创建针对每个URL、每个请求串、每个变量的安全规则,并且,时刻都需要根据Web应用的变化来改变应用防火墙上的安全规则。要在现实中做到这些是非常困难的,传统的配置方式不能够满足应用防火墙策略周全性和变化性的特点,需要应用智能的方式来满足应用防火墙的安全策略配置。

6.稳定性。由于很多Web应用和企业的商业利益息息相关,不能容忍访问中断,因此,放在应用前面的应用防火墙必须要有很高的稳定性,不能成为故障点。

原按:等待花开

中国的网站有多少?接近70万个。据我了解,很多知名网站的重要数据都可以被轻而易举的窃取,他们也苦于没有很好的解决办法,应用防火墙正是他们所需要的产品。可是我知道的在国内推广应用防火墙的厂商只有两家,对于应用防火墙这种非常有价值的产品来说,这个数字未免有点少,让我有些想不通。不过黑格尔说过:存在即合理。

F5网络公司市场渠道总监柯文说:“国内的应用防火墙市场还没起来,推产品非常困难。因为很多用户不理解这个产品,需要去做大量的解释工作,灌输新概念。”华城技术有限公司的杨磊说:“我们在给客户介绍产品时,只能举国外的案例,因为在国内还没有实际用户。2005年,我们已经作好了一分不挣的准备。估计到2006年,应用防火墙会有少量的销售,2007年会有其他厂商跟进。”

好消息是国内已经有著名网站在试用应用防火墙,也许只要有一个星星之火,就能形成燎原之势。

不久前发生的美国4000万个信用卡用户资料被盗的事件也可能会诱发用户购买应用防火墙的意愿。国外有一种应用防火墙产品,可以针对信用卡制定策略,它判断所有从服务器出来的流量,如果含有信用卡的信息,根本就不会放行,黑客不可能把信息拿到手。

为了您的Web应用安全,我想套用一句已经流行过的广告语吆喝一声:读过看过不要错过。

表2   3种技术比较
  防火墙深度检测技术 Check Point Web Intelligence技术 应用防火墙
原理 预先定义规则,用规则和报文数据(不仅仅是报文头信息)做匹配,从而实现针对协议内容的过滤功能。另外,也可以预先定义协议描述网络攻击的特征规则,实现 轻量级的IDS功能 针对已知的基于HTTP的攻击,形成HTTP攻击特征库,对HTTP流量进行协议还原,通过HTTP协议合法性检查以及查找攻击特征码来判断是否是 HTTP攻击数据 通过机器学习形成描述正常商业应用的规则集,对HTTP流量还原。除了判断HTTP协议信息,还要提取应用信息,判断是否符合正常应用规则的描述,确定是 否是HTTP正常数据
主要功能 内容过滤,也可以实现轻量级IDS HTTP恶意网页过滤、HTTP蠕虫病毒保护 保护Web服务器不受到非法攻击
保护的范围 主要用于保护内部网络,对访问内部网络的数据进行内容控制,如URL过滤、邮件标题过滤等 避免恶意网页代码对用户造成危害。也可以保护Web服务器,防范针对Web服务器的已知攻击 保护Web服务器和后台应用服务器
可以保护的协议 HTTP、FTP、SMTP、POP3等 HTTP HTTP
是否需要预先定义规则 需要 需要 不需要
能否防范未知攻击 不能 可以防范基于HTTP的已知攻击,可以防范少部分具有HTTP异常协议字段的未知攻击 只允许正常应用通过,能够防范未知攻击以及非授权访问行为
是否需要升级攻击特征库 不需要,规则功能通过手工配置或者预先定义 需要定期升级攻击特征库 没有攻击特征库
防御模型 消极模型 消极模型 积极模型
注:表中所提到的深度检测技术,是指在现有商业产品中已经实现的技术。