天泰WAF技术白皮书V3.20 web安全网关 内网应用安全 技术交流

天泰WEB安全网关产品技术白皮书V3.20上海天泰网络技术有限公司2010年1月WEB安全网关产品技术白皮书2目录第一章WEB应用安全现状.................................................................................4第二章WEB应用安全漏洞.................................................................................6第三章WEB应用安全需求.................................................................................9第四章天泰WEB安全保障平台.....................................................................114.1安全防护功能.......................................................................................134.1.1策略的覆盖完整度....................................................................134.1.2策略适应性................................................................................134.1.3学习引擎与白名单模式、主动防御时代的到来....................134.1.4基于状态的分析........................................................................144.1.5与网络层联动的防御技术........................................................144.2日志审计与管理...................................................................................144.2.1安全日志....................................................................................144.2.2访问日志....................................................................................154.3性能优化方案.......................................................................................154.3.1站点集群技术............................................................................164.3.2负载均衡....................................................................................164.3.3策略源路由................................................................................174.3.4WEB加速....................................................................................174.4访问控制与SSL加速............................................................................184.4.1时域、地域锁定服务................................................................184.4.2SSL认证服务..............................................................................194.4.3URL认证技术..............................................................................19第五章典型应用..............................................................................................205.1大型站点应用.......................................................................................205.2中小型站点应用...................................................................................20WEB安全网关产品技术白皮书3版权信息©版权所有2010，上海天泰网络技术有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海天泰网络技术有限公司所有，受国家有关产权及版权法保护。任何个人、机构未经上海天泰网络技术有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息天泰、TiTan、TiTansec、T2S2、WAF-T3等标识及其组合是上海天泰网络技术有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。WEB安全网关产品技术白皮书4第一章WEB应用安全现状随着网络技术快速发展以及互联网服务的快速延伸，WEB应用渗透到社会生活的方方面面。与此同时，承载着丰富功能与用途的WEB应用程序也成为恶意用户与黑客等攻击者的主要攻击目标，因此，如何确保WEB应用程序的安全已成为政府、企业、事业单位、国防部门等各类机构所面临的主要挑战。与任何新兴技术一样，WEB应用程序也会带来一系列的安全方面的漏洞，不时有报道知名WEB应用系统被攻破的消息。截至到今天，这种情况似乎并未好转，也没有迹象表明这些安全问题已经得到解决。可以说，如今的WEB应用系统被攻击、内容被篡改的情况有越演越烈的趋势。2010年1月中旬，工信部根据监测结果公布，从1月4日到10日的一周中，中国大陆的政府网站被篡改178个。图1-1：工信部新闻“一周178个政府网站被黑”2010年1月，针对政府、企业以及互联网用户的主要安全威胁来自于软件高危漏洞、拒绝服务攻击以及黑客恶意代码传播活动。依据CNCERT抽样监测结果，境内被木马控制的主机IP地址数目为2.4万个，境内被篡改政府网站数量占被篡改网站总数的比例增长为22%，环比增长39%。WEB安全网关产品技术白皮书5以下是近一年来被媒体炒得沸沸扬扬的网站被黑事件：2009-1-4微软教育版软件官方注册网站被黑2009-1-27中国计算机学会CCF及NOI官方网站被黑2009-2-24晋宁县政府门户网站被黑2009-5-29常州市城管局的网站被黑2009-6-22北京市土地整理储备中心的网站被黑客攻击2009-7-6江苏省人事考试网被黑2009-7-11中国卫星气象中心网站被黑2009-7-18上海车牌拍卖系统受到攻击2009-11-5少林寺的网页被黑2010-1-2公安部物证鉴定中心网站被黑2010-1-12百度被黑当今影响应用服务最流行的漏洞类型毫无疑问是Web应用相关的漏洞，五年来影响Web应用的漏洞数目一直处于高速增长阶段，数据显示2010年的WEB安全漏洞仍处于增长期。WEB安全网关产品技术白皮书6第二章WEB应用安全漏洞在WEB应用程序出现之前，主要在网络边界上抵御外部攻击，保护这个边界需要对其提供的服务进行强化，并在不同安全区域间设置访问控制类设备。WEB应用程序改变了一切。用户要访问应用程序，边界防火墙必须允许其通过HTTP/S连接内部服务器；应用程序要实现其功能，必须允许其连接服务器以支持后端系统，如数据库、中间件、业务管理系统。这些系统通常处理组织运营的核心应用，并选择网络级的安全防御产品进行网络安全防御。如果WEB应用程序存在漏洞，那么因特网上的攻击者只需要从WEB浏览器提交专门设计的数据就可以攻破组织的后端系统。这些数据会像传送至WEB应用系统的正常数据流一样穿透组织的所有网络防御。如图2-1：网络层的过滤规则难以限制应用层的攻击/恶意数据流。图2-1：网络层的过滤规则难以限制应用层的数据流。WEB应用程序的广泛应用使得典型网络的安全边界发生了变化；部分安全边界仍关注防火墙与防御主机，但大部分安全边界更加关注网络中所使用的WEB应用系统。WEB应用系统接收用户输入的方式多种多样，将这些数据传送至敏感后端系统的方式也多种多样，这些都是应用攻击的潜在突破口，因此必须在应用程序内部执行防御措施，以阻挡这些攻击。即使某个WEB应用程序中的某一行代码存在缺陷，也可能会使组织的内部系统受到致命攻击。信息安全的核心是保障应用系统的安全性、完整性、机密性，因此在新的安全形势下使用WEB安全防护系统保护WEB应用系统是一个合适的选择。与传统的网络边界防护产品相比，WEB安全网关工作在应用层可以更细粒的进行协议识别与分析，可以进行深度的安全防护、性能优化、数据加密传输，从整体上提供一个高可用性、高安全性的综合保障平台。WEB安全网关产品技术白皮书72009年底，OWASP发布了最新的Web应用脆弱性的十大风险，其中注入攻击和跨站脚本攻击名列第一和第二。注入攻击例如SQL、OS以及LDAP注入，会在不可信的数据作为命令或者查询语句的一部分被发送给处理程序的时候发生。攻击者发送的恶意数据可以欺骗处理程序，以执行计划外的命令或者访问未被授权的数据。如SQL注入式攻击：图2-2：SQL注入式攻击的示例图2-3：SQL注入式攻击穿越网络层防护WEB安全网关产品技术白皮书8跨站脚本攻击当应用程序包含或者携带不可信的脚本（可执行程序）数据，并且没有进行合适的验证就将它发送给浏览器的时候，跨站点脚本攻击（简称XSS）就会产生了。XSS允许攻击者在受害者的浏览器上执行脚本，于是攻击者可以劫持用户会话，破坏网站，或者将用户转向恶意站点。图2-4：XSS跨站脚本式攻击示意图其他常见的Web安全问题包括：错误的认证和会话管理、不正确的直接对象引用、伪造跨站请求（CSRF）、安全性误配置、限制远程访问失败、未验证的重定向和传递、不安全的加密存储、不足的传输层保护等。这些问题是防病毒、防火墙、IPS等传统的安全技术所不能有效解决的，解决这些问题的有效手段，就是针对性地布置WEB应用防护系统。WEB安全网关产品技术白皮书9第三章WEB应用安全需求互联网技术与应用已经深入到社会经济的各个层面，WEB服务作为政府、企事业单位的信息门户和业务平台，以其方便性、易扩展性和低成本快速发展；而WEB服务易受攻击、访问速度慢、审计分析能力弱等问题影响了WEB应用的高速发展。WEB服务易受攻击根据国家计算机网络应急技术处理协调中心的最新报告，国内被篡改的网站总数比去年增加了50%以上，大量网站被黑客入侵和篡改，甚至被植入木马攻击程序，攻击者利用WEB服务程序的漏洞，对WEB系统进行攻击，轻则篡改网页内容，重则窃取机密数据，造成经济损失或者恶劣影响。访问速度慢据权威机构Gartner调查报告，