• 安全产品
  • 当前位置 : 首页 > 安全产品
  • 深信服二代防火墙
  • 添加时间:2016-11-04 / 浏览:7663
  • 深信服科技

    二代防火墙


    第1章 概述

    随着互联网技术的发展,Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。常见的威胁如下:

    威胁名称 威胁描述

    非授权访问 非授权用户可能试图访问和使用非授权端口、应用类型以及资源

    Web应用攻击 恶意用户可能通过构造特殊的HTTP/HTTPS请求,对产品保护的web应用实施SQL注入、XSS等web攻击

    暴力认证 恶意用户可能通过反复猜测鉴别数据的方法,从而获取管理员权限

    漏洞攻击 恶意用户可能利用产品本身或其所保护资产所存在的脆弱性,而对其发起远程攻击

    敏感信息泄漏 用户的敏感信息(如银行卡账号,身份证号,手机号码等)或者服务器关键文件(如数据库信息文件,服务器配置文件等)遭到有意或者无意的泄漏

    信息篡改 恶意用户篡改服务器文件,使得服务器信息以非正常方式呈现

    1.1 为什么需要WEB应用防火墙

    1.1.1 传统防火墙能否抵御WEB攻击?

    防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:

    传统防火墙基于IP/端口,无法对WEB应用层进行识别与控制,无法确定哪些WEB应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。

    传统防火墙无法抵御来自WEB应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握,缺乏安全信息的可视化。

    1.1.2 IPS设备能否抵御WEB攻击?

    IPS只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

    1.2 深信服WEB应用防火墙—SWAF

    1.2.1 产品设计理念

    SWAF是面向WEB应用层设计,能够精确识别WEB应用和内容,具备完整安全防护能力,能够弥补传统防火墙和IPS在WEB攻击防护方面的不足,具有强劲应用层处理能力的全新网络安全设备。

    SWAF不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。SWAF可以为不同规模的行业用户数据中心提供更加全面、更高性能的WEB应用内容防护方案。

    更全面的内容级安全防护:

     基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲

     强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等

    双向内容检测,功能防御策略智能联动

    更高性能的应用层处理能力:

     单次解析架构实现报文一次拆解和匹配

     多核并行处理技术提升应用层分析速度

     全新技术架构实现应用层万兆处理能力

    1.2.2 产品功能特色

    1.2.2.1 全面的应用安全防护能力

    1.2.2.1.1 基于应用的深度漏洞攻击防御

    SWAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。

    下图为灰度威胁关联分析引擎的工作原理:


    第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。


    第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。

    第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。

    第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。

    由此可见, 威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,SWAF在两方面得以增强:

    第一,通过SWAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。

    第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。

    1.2.2.1.2 强化的WEB攻击防护

    SWAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服SWAF为国内同类产品评分最高)主要功能如:

    1.2.2.1.3 防SQL注入攻击

    SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SWAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。

    1.2.2.1.4 防XSS跨站脚本攻击

    跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。SWAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。

    1.2.2.1.5 防CSRF攻击

    CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。SWAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。

    1.2.2.1.6 主动防御技术

    主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。另外还可以通过自定义参数规则来更精确的匹配合法URL参数,提高攻击识别能力。

    1.2.2.1.7 应用信息隐藏

    SWAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:

    HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。

    HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。

    FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。

    1.2.2.1.8 URL防护

    Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过SWAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。

    1.2.2.1.9 弱口令防护

    弱口令被视为众多认证类web应用程序的普遍风险问题,SWAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。

    1.2.2.1.10 HTTP异常检测

    通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。

    1.2.2.1.11 文件上传过滤

    由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。SWAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。

    1.2.2.1.12 用户登录权限防护

    针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不断的进行登录密码尝试,SWAF可以提供访问URL登录进行短信认证的方式,提高访问的安全性。

    1.2.2.1.13 缓冲区溢出检测

    缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。SWAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。

    1.2.2.1.14 智能DOS/DDOS攻击防护

    SWAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。

    1.2.2.1.15 专业攻防研究团队确保持续更新

    SWAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。

    深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队,作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。

    1.2.2.1.16 独特的双向内容检测技术


    1.2.2.1.17 网关型网页防篡改

    网页防篡改是SWAF服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

    SWAF通过网关型的网页防篡改(对服务器“0”影响),第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web备份服务器的重定向,保证用户仍可正常访问网站。SWAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改部分基于网络字节流的检测与恢复,对服务器性能没有影响。

    1.2.2.1.18 可定义的敏感信息防泄漏

    SWAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……)

    1.2.2.1.19 应用协议内容隐藏

    SWAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。

    1.2.3 智能的安全防御体系

    1.2.3.1 安全风险评估与策略联动

    SWAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。

    1.2.3.2 智能的防护模块联动

    智能的主动防御技术可实现SWAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过网络层防护策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。




  • 电话咨询
    商务咨询
    技术咨询
    咨询邮箱