Web应用安全解决方案

上海移动网站网页防篡改部署方案1/17××Web应用安全解决方案一、应用安全需求1．针对Web的攻击现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立内部的业务应用系统，都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台。网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网络用户已近20亿，用户利用互联网进行购物、银行转账支付和各种软件下载，企业用户更是依赖于网络构建他们的核心业务，对此，Web安全性已经提高一个空前的高度。然而，随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上，他们针对Web网站和应用的攻击愈演愈烈，频频得手。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。另外，据美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明，在接受调查的公司中，2004年有52%的公司的信息系统遭受过外部攻击（包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等），这些攻击给269家受访公司带来的经济损失超过1.41亿美元，但事实上他们之中有98%的公司都装有防火墙。早在2002年，IDC就曾在报告中认为，“网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火墙内的Web端口都必须处于开放状态。”目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。上海移动网站网页防篡改部署方案2/172．Web安全防范在Web应用的各个层面，都会使用不同的技术来确保安全性，如图示1所示。为了保证用户数据传输到企业Web服务器的传输安全，通信层通常会使用SSL技术加密数据；企业会使用防火墙和IDS/IPS来保证仅允许特定的访问，所有不必要暴露的端口和非法的访问，在这里都会被阻止。图示1Web应用的安全防护但是，即便有防火墙和IDS/IPS，企业仍然不得不允许一部分的通讯经过防火墙，毕竟Web应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是Web应用必须的80和443端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web应用中的重要信息。然而我们看到的现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。如图示3所示，在目前安全投资中，只有10％花在了如何防护应用安全漏洞，而这却是75％的攻击来源。正是这种投资的错位也是造成当前Web防火墙IDS/IPSDoS攻击端口扫描网络层模式攻击已知Web服务器漏洞跨站脚本注入式攻击恶意执行网页篡改Web服务器数据库服务器Web应用应用服务器上海移动网站网页防篡改部署方案3/17站点频频被攻陷的一个重要因素。图示2安全风险和投资3．Web漏洞Web应用系统有着其固有的开发特点：经常更改、设计和代码编写不彻底、没有经过严格的测试等，这些特点导致Web应用出现了很多的漏洞。另外，管理员对Web服务器的配置不当也会造成很多漏洞。目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种，常见的攻击手段包括：注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括：非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。75%25%10%90%Web应用网络服务器安全风险安全投资上海移动网站网页防篡改部署方案4/17二、产品概况1．iGuard网页防篡改系统iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。iGuard的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。iGuard以国家863项目技术为基础，全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。iGuard支持所有主流的操作系统，包括：Windows、Linux、FreeBSD、Unix（Solaris、HP-UX、AIX）；支持常用的Web服务器软件，包括：IIS、Apache、SunONE、Weblogic、WebSphere等；保护所有常用的数据库系统，包括：SQLServer、Oracle、MySQL、Access等。2．iWall应用防火墙iWall应用防火墙（Web应用防护系统）是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。iWall应用防火墙实现了对Web站点特别是Web应用的保护。它内置于Web上海移动网站网页防篡改部署方案5/17服务器软件中，通过分析应用层的用户请求数据（如URL、参数、链接、Cookie等），区分正常用户访问Web和攻击者的恶意行为，对攻击行为进行实时阻断和报警。这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命令攻击等，黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全的目的。iWall应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。iWall应用防火墙为软件实现，适用于所有的操作系统和Web服务器软件，并且完全对Web应用系统透明。应用防火墙是现代网络安全架构的一个重要组成部分，它着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面和有效的安全防护体系。3．产品特性1）篡改检测和恢复iGuard支持以下篡改检测和恢复功能：支持安全散列检测方法；可检测静态页面/动态脚本/二进制实体；支持对注入式攻击的防护；网页发布同时自动更新水印值；网页发送时比较网页和水印值；支持断线/连线状态下篡改检测；支持连线状态下网页恢复；网页篡改时多种方式报警；网页篡改时可执行外部程序或命令；可以按不同容器选择待检测的网页；支持增强型事件触发检测技术；上海移动网站网页防篡改部署方案6/17加密存放水印值数据库；支持各种私钥的硬件存储；支持使用外接安全密码算法。2）自动发布和同步iGuard支持以下自动发布和同步功能：自动检测发布服务器上文件系统任何变化；文件变化自动同步到多个Web服务器；支持文件/目录的增加/删除/修改/更名；支持任何内容管理系统；支持虚拟目录/虚拟主机；支持页面包含文件；支持双机方式的冗余部署；断线后自动重联；上传失败后自动重试；使用SSL安全协议进行通信；保证通信过程不被篡改和不被窃听；通信实体使用数字证书进行身份鉴别；所有过程有详细的审计。3）应用安全防护特性1．请求特性限制iWall可以对HTTP请求的特性进行以下过滤和限制：请求头检查：对HTTP报文中请求头的名字和长度进行检查。请求方法过滤：限制对指定HTTP请求方法的访问。请求地址过滤：限制对指定HTTP请求地址的访问。请求开始路径过滤：限制HTTP请求中的对指定开始路径地址的访问。请求文件过滤：限制HTTP请求中的对指定文件的访问。请求文件类型过滤：限制HTTP请求中的对指定文件类型的访问。上海移动网站网页防篡改部署方案7/17请求版本过滤：限制对指定HTTP版本的访问及完整性检查。请求客户端过滤：限制对指定HTTP客户端的访问及完整性检查。请求链接过滤：限制链接字段中含有的字符及完整性检查。鉴别类型过滤：限制对指定HTTP鉴别类型的访问。鉴别帐号过滤：限制对指定HTTP鉴别帐号的访问。内容长度过滤：限制对指定HTTP请求内容长度的访问。内容类型过滤：限制对指定HTTP请求内容类型的访问。这些规则需要可以根据Web系统的实际情况进行配置和分站点应用。2．请求内容限制iWall可以对HTTP请求的内容进行以下过滤和限制：URL过滤：对提交的URL请求中的字符进行限制。请求参数过滤：对GET方法提交的参数进行检查（包括注入式攻击和代码攻击）。请求数据过滤：对POST方法提交的数据进行检查（包括注入式攻击和代码攻击）。Cookie过滤：对Cookie内容进行检查。盗链检查：对指定的文件类型进行参考域的检查。跨站脚本攻击检查：对指定的文件类型进行参考开始路径的检查。这些规则需要可以根据Web系统的实际情况进行配置和分站点应用。3．指定站点规则iWall可以分别为一台服务器上不同的站点制定不同的规则，站点区分的方法包括：不同的端口。不同的IP地址。不同的主机头名（即域名）。4．可防范的攻击iWall组合以上限制特性，可针对以下应用攻击进行有效防御：上海移动网站网页防篡改部署方案8/17SQL数据库注入式攻击。脚本源代码泄露。非法执行系统命令。非法执行脚本。上传假冒文件。跨站脚本漏洞。不安全的本地存储。网站资源盗链。应用层拒绝服务攻击。对这些攻击更详细的描述见本文档第6章：常见应用层攻击简介。4．iGuard标准部署1）两台服务器部署iGuard至少需要两台服务器：发布服务器：位于内网中，本身处在相对安全的环境中，其上部署iGuard的发布服务器软件。Web服务器：位于公网/DMZ中，本身处在不安全的环境中，其上部署iGuard的Web服务器端软件。它们之间的关系如图示1所示。上海移动网站网页防篡改部署方案9/17图示1iGuard两台服务器2）发布服务器发布服务器上运行iGuard的“发布服务器软件”（StagingServer）。所有网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行。发布服务器上具有与Web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上，文件/目录变更的方法可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。网页变更后，“发布服务器软件”将其同步到Web服务器上。发布服务器是部署iGuard时新增添的机器，原则需要一台独立的服务器；对于网页更新不太频繁的网站，也可以用普通PC机或者与担任其他工作的服务器共用。发布服务器为PC服务器，其本身的硬件配置无特定要求，操作系统可选择Windows（一般网站）或Linux（大型网站，需选加Linux企业发布模块）。3）Web服务器Web服务器上除了原本运行的Web服务器软件（如IIS、Apache、SunONE、iGuard发布服务器软件发布服务器HTTPFTP…SSLIntranetDMZInternetiGuardWeb服务器端软件Web服务器Internet上海移动网站网页防篡改部署方案10/17Weblogic、Websphere等）外，还运行有iGuard的“Web服务器端软件”，“Web服