案例:WEB应用防火墙高校网站应用实例

为了响应2010年上海世博会网络安全工作的号召,上海各高校都积极深入发展门户网站的安全建设,推行信息公开,提高高校工作的透明度,充分发挥高校信息平台对学生的学习和生活等各方面的帮助。其门户网站(edu.cn)是该校电子门户及办公系统建设的重要组成部分,作为该校面向社会的窗口,发布学生信息,提供“网上办公”、“在线通告”等业务,为老师和学生提供方便。

来自Web的安全挑战:

随着高校业务资源逐渐向数据中心高度集中,Web成为一种普适平台,上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时,也使机构的重要信息暴露在越来越多的威胁中。根据了解该校门户网站承载了各2级学院的网上业务,网页以动态内容居多。去年,该研究生院网站遭遇SQL群注(Mass SQL Injection)攻击,网站发布的重要信息被篡改成为大量签名,“HaCkeD By:Skz0r_l337-Underground-Security”(意为:由Skz0r_l337-Underground-Security入侵),各级页面不再具有正常的观感。访问网站时还发现,该网站已被Google列为含有恶意代码的网站。最为棘手的是:期间持续发生“网页被篡改-恢复-再次被篡改-再次恢复…”的现象。间歇还伴随有针对WEB服务器的DDoS攻击,网站访问峰值严重超过服务器正常所能处理的最大负荷。

在提供解决方案之前,我们帮助用户理清了一些应用层防火墙的基本概念:

1.何谓应用层防火墙;

2.梭子鱼的应用层防火墙与传统入侵检测产品的区别;

3.梭子鱼WEB应用防火墙WAF产品的防御攻击特性;

其次在该高校网站遭遇多重攻击,网站陷入困境的时候梭子鱼所提供的解决方案:

1.能应对当前攻击,且具备持续防护能力,对业务影响尽可能小,管理简单;

2.针对多台核心WEB服务器提供防护;

3.自动学习网页应用结构;

4.自动调整用户习惯

4.主动模式来过滤所有的WEB请求;

5.提供简明维护的平台;

解决方案:

基于对梭子鱼公司的信任,2010年在售前过程中,我们有幸对该学校负责人进行了一次长时间的技术沟通。我们首先解释了几项用户关心的问题:

1.何谓应用层防火墙

梭子鱼应用层防火墙(全称,梭子鱼WEB应用防火墙,即WAF )通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。

2.应用层防火墙与传统的入侵检测设备之间具有本质上的区别

在TCP/IP模型中网络流量从物理层到应用层是逐层递交,入侵检测设备(IPS)主要定位在分析传输层和网络层的数据,而再往上则是复杂的各种应用层协议报文,而应用层防火墙(WAF)则仅提供对Web应用流量全部层面的监管。IPS需要处理网络中所有的流量,而WAF仅处理与Web应用相关的协议,其他的则给予转发。

3.梭子鱼WEB应用防火墙可以防御的攻击类型:

1)SQL注入:一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串,来获取返回的机密数据。

2)跨站点脚本:黑客插入脚本代码(如JavaScript或ActiveX)到一个输入字符串,导致Web服务器泄漏用户名和密码等信息。

3)操作系统命令注入:一些应用程序从web输入来创建操作系统命令,就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制,黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。

4)会话劫持:黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户帐户信息。

5)篡改参数或URL:web应用程序通常在返回的的web页面中嵌入参数和URL,或者用授权的参数更新缓存。黑客可以修改这些参数、URL或缓存,使Web服务器返回不应泄漏的信息。

6)缓冲区溢出:应用程序代码应该检查输入数据的长度,以确保输入数据不会超出剩余的缓冲区和修改相邻的存储。黑客很快就会发现应用程序不检查溢出,并创建输入来导致溢出。

在部署过程中,针对高校网站的特性,梭子鱼WAF提供了以下解决方案:

1.WAF透明部署在防火墙和WEB服务器群及应用服务器之间(如下图所示),在网络中即插即用,不改变网络拓扑和网站业务流程,管理简单;

图1:WAF部署方案

2.WAF提供了针对核心WEB服务器群的防护;根据高校的网站部署的特点,一般大学站点都具有数十个主站点,同一台服务器会同时具有几个站点的特色,我们会区分各站点之间的不同属性进行分类管理,例如:普通学生登陆的站点都是HTTP协议,而教师员工登陆的管理平台和办公系统都是HTTPS协议,因此我们会设计一套HTTP协议的基本防御模版,而HTTPS协议我们会在基本保护的策略框架下,再启用SSL加速的功能,来帮助提升用户的访问速度。

3.WAF自动扫描网站结构;梭子鱼WAF主动扫描网站结构并根据结果生成防护规则,分析整个Web站点,并建立正常状态模型。根据高校的网站设计的特点,一般高校网站中各学院站点的设计模版都比较固定化,梭子鱼会主动寻找每一个小站点的树型目录和文件结构,帮助防御不必要外网“穷举型”的攻击。

4.WAF自动学习用户习惯;WAF会自动调整外网用户登陆网站后的使用习惯,例如在某个学院站点的通告栏上的发贴字数长度,会随着用户习惯逐渐增多。

5.WAF调整主动模式来过滤所有的WEB请求;根据高校的网站防御的特点,一般高校的门户网站都具有前端学生登陆信息平台查看信息,后端管理人员发布学校最新动态、管理学生档案、处理学生业务等等工作流。所以在网站前端我们过滤的总体策略都是过滤常规攻击方式,并且对进入网站之后所有提交的数据和语句做限定,在网站后端管理平台,一方面我们将限定指定的管理人员登陆,另一方面我们适当调整管理者登陆系统之后的限定权限,以免发生网站后端被攻击的事件。基于学习的主动模式目的是为了建立一个安全防护模型,一旦行为有差异则可以发现,比如隐藏的表单、限制型的Listbox值是否被篡改、输入的参数类型不合法等,这样在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。

6.梭子鱼提供简明维护的平台;经过长期的了解和沟通,高校的网络管理者非常青睐于梭子鱼简明的维护平台和日志系统。一般经过简单的培训,他们便可以轻松的查看网站的安全隐患和轻松的进行安全加固。

效果及用户评价:

网站安全问题成为高校开展电子信息服务日益关注的焦点。对于客户而言,需要的不仅仅是网络安全设备,更需要具备快速应急响应、丰富实践经验和强大技术实力的合作伙伴,为其提供专业完善的网站应用安全解决方案。梭子鱼网络有限公司以专业的产品和服务,赢得了客户的赞誉。