梭子鱼WEB应用防火墙WAF通用项目方案

WEB应用安全项目建议书第1页BarracudaNetworksChinaWEB应用安全项目建议书梭子鱼WEB应用防火墙通用方案WEB应用安全项目建议书第2页BarracudaNetworksChina文档修订记录标题WEB应用安全项目建议书--梭子鱼WEB应用防火墙通用方案文档类型产品文档☐设计方案☒实施文档☐配置文档☐测试文档☐其他☐当前版本V1.0文档作者梭子鱼（中国）文档审阅创建日期2012/5/14文档名称WEB应用安全项目建议书--梭子鱼WEB应用防火墙通用方案更新者更新内容及版本更新时间潘渊文档建立2012/5/14文档说明此文档是由梭子鱼公司（中国）于2012年制定的内部文档。本文档仅就BarracudaNetworks内部与相关合作伙伴和BarracudaNetworks最终用户使用.版权说明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别注明，版权均属于BarracudaNetworks所有，受到有关产权及版权法保护。任何个人、机构未经BarracudaNetworks书面授权许可，不得以任何方式复制或引用本文档的任何片断。WEB应用安全项目建议书第3页BarracudaNetworksChina目录第一章前言..........................................................................4第二章WEB应用安全分析...............................................................41.WEB应用漏洞定义.....................................................................42.攻击导致的后果......................................................................53.企业&组织所面临的安全挑战...........................................................54.传统安全产品的缺陷..................................................................6第三章梭子鱼WEB应用防火墙的技术优势.................................................71.梭子鱼应用防火墙工作原理............................................................72.梭子鱼应用防火墙三层防护机制........................................................8第四章XXX有限公司WEB应用安全需求分析及项目方案....................................181.客户背景...........................................................................182.XXX公司的相关需求..................................................................185.网络架构和部署.....................................................................196.梭子鱼型号的选择...................................................................20第五章梭子鱼WEB应用防火墙产品国际评测..............................................221.奖项证明...........................................................................22第六章梭子鱼WAF客户情况...........................................................23WEB应用安全项目建议书第4页BarracudaNetworksChina第一章前言梭子鱼应用防火墙产品是一款集成化的产品，它能够在完全的获取和管理Web应用过程中进与出的每一个事务。同时它也是一款高性能，双向HTTP代理设备，允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则。梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统，应用防火墙通过终止，安全，加速web应用会话流量，提供给数据中心一个非常有价值的解决方案，来控制至关重要的web应用。梭子鱼产品的拓扑和管理是非常简单的。最重要的是，梭子鱼应用防火墙是完全遵循WASC和OWASP组织的协议来开发的。第二章WEB应用安全分析1.WEB应用漏洞定义Web应用由于其具备以下以下特点，经常更改，不彻底的开发编写，没有经过严格的测试；导致web应用出现了大量的漏洞，这些漏洞甚至将整个企业服务器或网络暴露给了外界。企业不得不定期的检查服务器设备是否存在web应用漏洞，简单地测试，总结一些对策，以保护web应用不受攻击。下面列举一些最为典型的攻击类型，这些攻击将会导致非常严重的安全事件：‧缓存溢出—差劲的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致一个攻击，借此，恶意代码将溢出到另外一个缓存中来执行恶意代码。‧跨站点脚本攻击—攻击类型的代码数据被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击‧服务拒绝攻击—这种攻击会导致服务没有能力为正常业务提供服务‧异常错误处理—错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。‧有问题的或者不存在的sessionID—当sessionID没有被正常使用时，攻击者可以破坏Web会话，并且实施多个攻击（通过冒用其他的可信任的凭证），借此来绕开认证机制。‧命令注入—如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容（SQL语句），应该保持简单，并且不应该还有可被执行的代码内容。‧脆弱的认证—利用脆弱的认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严WEB应用安全项目建议书第5页BarracudaNetworksChina重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。‧未受保护的参数传递—利用统一资源标识符（URL）和隐藏的HTML标记可以传递参数给浏览器，浏览器在将HTML传回给服务器之前，是不会修改这些参数的。‧不安全的存储－对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。‧非法输入-在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。2.攻击导致的后果各类关系国计民生的重要信息系统，如政府网站、媒体网站、或商用网站都可能遭受到SQL注入攻击、网页篡改，或是网页挂马。2008年北京奥运会将成为各方关注焦点，包括攻击者在内。来自Websense安全实验室的研究预测②，围绕今年北京奥运，将极有可能针对奥运相关网站爆发大规模的DDoS攻击以及利用奥运网站媒体平台进行网页挂马。一旦攻击得逞，必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能被用于恶意商业竞争，比如通过篡改某知名媒体网站网页，发布对竞争对手不利的虚假信息。网页挂马相对比较隐蔽，其攻击目标是各类网站的最终用户。首先攻击者在服务器端插入恶意代码。用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序，最终攻击者盗取客户端的敏感信息（如各类帐号密码），甚而可能用户主机沦为攻击者的肉鸡。这种情况下，Web服务器成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公信度。遭受分布式拒绝服务攻击（DDoS）之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败。其服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，公司的信誉也会蒙受损失，而这种危害又常常是长期性的。3.企业&组织所面临的安全挑战1.公司在有限的时间和预算压力下，开发出的Web应用缺乏对安全的整体考虑开发人员，执行人员和测试人员都没有接受过专业的安全培训；他们大都关注于Web应用是否符合实WEB应用安全项目建议书第6页BarracudaNetworksChina际的需求。公司同时需要耗费其他资源来防止和限制对应用的错误使用。.2.相关的行业标准对Web应用安全起到了指导性的作用（1）MasterCard和Visa信用卡提出了所有存储，处理或者传输持卡人数据的成员机构，商业机构，服务提供商都必须符合PaymentCardIndustry(PCI)DataSecurityStandard。PCI标准强制所有涉及到持卡人数据环境的Web软件和应用都必须基于安全的编码方针，并且必须符合OpenWebApplicationSecurityProject(OWASP)的协议。（2）随着在其他行业中，软件安全需求意识的提高，这些指导方针对那些不安全的Web应用提出了挑战。4.传统安全产品的缺陷传统网络防火墙和IPS是最常见的安全类产品，从工作机制和工作原理上，WEB应用防火墙和网络防火墙，IPS都是不同的产品，关注的安全点不同，造就了不同的工作模式和应用场景，通过下面的描述，可以很好的区分这3款产品的不同之处。与传统网络防火墙相比：这是工作在不同层面两类产品！第一代网络防火墙作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。其产品设计无需理解HTTP会话，也就无法理解Web应用程序语言如HTML、SQL。因此，它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，从80或443端口顺利通过防火墙检测。一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，如能根据TCP会话异常性及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中，但从根本上说他仍然无法理解HTTP会话，难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。与IPS相比：这是防护技术和防护对象不同的两类产品！相同点是，IPS和Web应用防火墙都是为防止网络攻击而设计的。不同的是IPS采用的是特征匹配技术、使用“允许除非明确阻断”模式，其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用；WEB应用安全项目建议书第7页BarracudaNetworksChinaIPS不能像Web应用防火墙那样进行主动防护，因此他不能防止“零日攻击”，也无法防止针对某个应用特制的攻击，如针对某个网站的命令注入或SQL注入攻击；IPS事实上也不会去理解HTTPS协议中的程序代码或报头设定，由于Web网站往往是特定开发的，IPS往往无法针对性的进行防御。第三章梭子鱼WEB应用防火墙的技术优势梭子鱼应用防火墙特性梭子鱼应用防火墙通过反向代理(Proxy)帮助企业建起防线!基于会话的双向代理不仅能应用在网络层，同时还能应用在应用层（HTTP）上，确保内部服务器操作系统和TCP堆栈不直接暴露于Internet，保障Web应用的安全。1.梭子鱼应用防火墙工作原理梭子鱼应用防火墙工