精华内容
下载资源
问答
  • 2021-07-13 15:10:21

    Web应用的日益普及和Web攻击的与日俱增,让Web安全问题备受关注。但对于正常流量中的危险分子,传统的安全产品根本无能为力,此时,我们该靠什么来保护Web应用?Web应用防火墙(WAF)无疑是最佳之选。但Web应用防火墙究竟是什么?它和传统的安全产品有什么不同?应用起来又有要注意什么?

    那么,Web应用防火墙(WAF)既然也叫“防火墙”,是不是和传统防火墙差不多?它和IPS产品又有什么区别?网页防篡改产品也能保护Web应用,它是不是也可以算是Web应用防火墙的一种?

    WAF与传统防火墙

    传统防火墙的弱点在于:工作在三四层,攻击可以从80或443端口顺利通过防火墙检测。

    由于Web应用防火墙(WAF)的名字中有“防火墙”三个字,所以很多用户都很困惑,我的网络中已经有了防火墙,再引入Web应用防火墙,是不是属于重复投资?

    实际上,Web应用防火墙和传统意义上的防火墙,然名字中都有“防火墙”三个字,但它们属于两类完全不同的产品,不能互相替代。

    从部署位置上看,传统防火墙需要架设在网关处,而Web应用防火墙则部署在Web客户端和Web服务器之间。

    从防范内容来看,传统防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,提供IP、端口防护,对应用层不做防护和过滤;而Web应用防火墙则专注在应用核心层,对所有应用信息进行过滤,从而发现违反预先定义好的安全策略的行为。

    Web应用防火墙(WAF)作为一种专业的Web安全防护工具,基于对HTTP/HTTPS流量的双向解码和分析,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等,能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障Web应用的高可用性和可靠性。

    WAF与IPS

    IPS入侵防御的弱点在于它基于已知漏洞和攻击行为的防护,而且不能终止和处理SSL流量。

    Web应用防火墙(WAF)的与众不同之处在于它对Web应用的理解,对HTTP协议的深刻理解,和对应用层攻击的理解。

    与传统防火墙/IPS设备相比,WAF最显著的技术差异性体现在:

    1.对HTTP有本质的理解:能完整地解析HTTP,支持各种HTTP编码,提供严格的HTTP协议验证,提供HTML限制,支持各类字符集编码,具备response过滤能力。

    2.提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。

    3.提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全性更为可靠。

    4.提供会话防护机制:防护基于会话的攻击类型,如Cookie篡改及会话劫持攻击。

    WAF不局限于网页防篡改

    网页防篡改的弱点在于对于攻击行为并不进行分析,也不阻止攻击的发生。

    不可否认,网页被篡改是目前最直观的Web安全问题,无论是政府网站、高校网站,还是运营商网站、企业网站,都曾出现过严重的网页篡改事件,这让网页防篡改产品开始映入人们的眼帘。

    但网页防篡改系统是一种软件解决方案,它的防护效果直接,但是只能保护静态页面,而无法保护动态页面。

    而网页防篡改系统的不足,恰恰是Web应用防火墙的优势。WAF部署在网络中,深入分析HTTP协议流量,在全面防御各种Web安全威胁的同时,对Web服务器没有任何干扰,从根本上解决了包括网页篡改在内的主要Web安全问题。

    更多相关内容
  • WAF防火墙、IDS、IPS的介绍和区别

    千次阅读 2021-10-07 10:39:19
    一、WAF 1.WAF是什么 个人理解WAF是一个应用级别的防护软件,主要是针对HTTP/HTTPS的防护,网站应用级别的防护,通过一系列的黑白名单等操作对于诸如SQL注入,XSS,CSRF等攻击进行防护 2.WAF的功能 2.1审计 1.审计的...

    一、WAF

    1.WAF是什么

    个人理解WAF是一个应用级别的防护软件,主要是针对HTTP/HTTPS的防护,网站应用级别的防护,通过一系列的黑白名单等操作对于诸如SQL注入,XSS,CSRF等攻击进行防护

    2.WAF的功能

    2.1审计

    1.审计的作用是对网站人员的操作登录等进行记录
    2.对于安全策略的增加和修改
    3.对于用户的属性和权限进行修改和操作

    2.2访问控制设备

    分为主动控制和被动控制

    2.3Web应用加固

    针对有弱点的Web的应用进行安全策略的加固等操作,比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作"深度检测防火墙"的增强。

    3.WAF的检测特点

    3.1异常协议检测

    针对HTTP协议的异常进行检测,并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

    3.2增强的输入验证

    对于诸如XSS、CSRF、SQL注入这种会因为人为的输入信息导致漏洞爆发

    3.3及时补丁

    3.4规则保护

    基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。

    3.5状态监测

    WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

    二、防火墙

    1.什么是防火墙

    所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

    2.防火墙的发展

    防火墙分为:
    第一代:包过滤防火墙,仅能实现简单的访问控制。

    第二代:代理防火墙,在应用层代理内部网络和外部网络之间的通信。代理防火墙的安全较高,但是处理速度较慢,而且对每一个应用都要开发一个代理服务很难做到,因此只能对少量的应用提供代理支持。

    第三代:状态监测防火墙(发展史上的里程碑),就是看通过防火墙的数据包是否符合HTTP协议的端口号和报文信息,如果不符合就拦截。在状态检测防火墙出现之前,包过滤防火墙只会根据设定好的静态规则为判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文产生的前因后果,这就要求包过滤防火墙都必须针对每一个方向的报文都配置一条规则,转发效率低而且容易带来安全风险。

    第四代:统一威胁管理(简称UTM)统一威胁管理防火墙的确实现了对网络全方位的保护,但是由于其多个防护功能一起运行,导致效率不高,而且统一威胁管理防火墙并没有集成深度报文检测功能,所以对数据包深度检测不足,于是又发展出了第五代防火墙:下一代防火墙。下一代防火墙就是目前最常见的防火墙,下一代防火墙解决了统一威胁管理防火墙效率不足和报文深度检测能力不足的弱点。

    第五代:下一代防火墙(简称NG)

    三、IDS

    1.什么是IDS

    IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

    2.IDS类别

    IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而 IDS 监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
    1.基于主机的IDS监测(HIDS)
    主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
    2.基于网络的IDS监测(NIDS)
    网络型入侵检测系统的数据源则是网络上的数据分组。往往将一台机子的网卡设于混杂模式(Promisc Mode),监听所有本网段内的数据分组并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
    具体说来,入侵检测系统的主要有以下功能。

    (1)监测并分析用户和系统的活动。

    (2)核查系统配置和漏洞。

    (3)评估系统关键资源和数据文件的完整性。

    (4)识别已知的攻击行为。

    (5)统计分析异常行为。

    (6)操作系统日志管理,并识别违反安全策略的用户活动。

    3.IDS工作原理

    通俗的理解分为两种,一种是基于异常的监测机制一种是基于行为的监测机制,
    异常是通过捕获网络中的流量对比已知的病毒库,漏洞库等已知的病毒特征MD5码等作出相应的措施,一种是基于行为的,简单说就是构建一个行为模型来预测你的行为特征,例如你每天到达单位是八点,九点整你会习惯性的浏览一个小时的网页,十点你会去喝一杯咖啡,但是突然有一天你晚到了一个小时,然后你没有浏览网页喝咖啡,但是不能说你这个人今天没有来公司。
    基于行为的构建模型的话就是看你每天的行为是否符合模型的规范,如果不符合就会报错。很明显两种预测模式都存在明显的不足,一是如果发生了未知的攻击,没有记录在数据库中就无法做出防范报警,第二种则是不好做出准确的模型预判,真实环境中会存在漏报和误报的问题。

    4.IDS的局限性

    1.布置和绕过
    (1)网络拓扑局限

    对于一个较复杂的网络而言,通过精心地发包,可以导致NIDS与受保护的主机收到的包的内容或者顺序不一样,从而绕过NIDS的监测。

    (2)其他路由

    由于一些非技术的因素,可能存在其他路由可以绕过NIDS到达受保护主机(例如某个被忽略的Modem,但Modem旁没有安装NIDS)。如果IP源路由选项允许的话,可以通过精心设计IP路由绕过NIDS。

    (3)TTL

    如果数据分组到达 NIDS 与受保护的主机的 HOP 数不一样,则可以通过精心设置 TTL值来使某个数据分组只能被NIDS或者只能被受保护的主机收到,从而使NIDS的Sensor与受保护主机收到的数据分组不一样,从而绕过NIDS的监测。

    (4)MTU

    如果NIDS的MTU与受保护主机的MTU不一致的话(由于受保护的主机各种各样,其MTU设置也不一样),则可以精心设置MTU处于两者之间,并设置此包不可分片,使NIDS的Sensor与受保护主机收到的数据分组不一样,从而绕过NIDS的检测。

    (5)TOS

    有些网络设备会处理TOS选项,如果NIDS与受保护主机各自连接的网络设备处理不一样的话,通过精心设置TOS选项,将会导致NDIS的Sensor与受保护主机收到的数据分组的顺序不一样,于是有可能导致NIDS重组后的数据分组与被保护主机的数据分组不一致,从而绕过NIDS的监测(尤其在UDP包中)。
    2、针对IDS的检测方法局限

    NIDS 常用的检测方法有特征检测、异常检测、状态检测、协议分析等。实际中的商用入侵检测系统大都同时采用几种检测方法。

    NIDS不能处理加密后的数据,如果数据在传输中被加密,即使只是简单的替换,NIDS也难以处理,如采用SSH、HTTPS、带密码的压缩文件等手段,都可以有效地防止NIDS的检测。

    NIDS难以检测重放攻击、中间人攻击、对网络监听也无能为力。

    目前的NIDS还难以有效地检测DDoS攻击。

    (1)系统实现局限

    由于受NIDS保护的主机及其运行的程序各种各样,甚至对同一个协议的实现也不尽相同,入侵者可能利用不同系统的不同实现的差异来进行系统信息收集(如Nmap通过TCP/IP指纹来进行对操作系统的识别)或者进行选择攻击,由于NIDS不大可能通晓这些系统的不同实现,故而可能被入侵者绕过。

    (2)异常检测的局限

    异常检测通常采用统计方法来进行检测。

    统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值会产生大量的漏报,例如系统中配置为200个/秒半开TCP连接为SYN_Flooding,则入侵者每秒建立199个半开连接将不会被视为攻击。

    异常检测常用于对端口扫描和 DDoS 攻击的检测。NIDS 存在一个流量日志的上限,如果扫描间隔超过这个上限,NIDS将忽略掉这个扫描。尽管NIDS可以将这个上限配置得很长,但此配置越长,对系统资源要求越多,受到针对NIDS的DDoS攻击的可能性就越大。

    (3)特征检测的局限

    特征检测主要针对网络上公布的黑客工具或者方法,但对于很多以源代码发布的黑客工具而言,很多入侵者可以对源代码进行简单的修改(如黑客经常修改特洛伊木马的代码),产生攻击方法的变体,就可以绕过NIDS的检测。

    3、针对应用协议局限

    对于应用层的协议,一般的NIDS只简单地处理了常用的如HTTP、FTP、SMTP等,尚有大量的协议没有处理,也不大可能全部处理,直接针对一些特殊协议或者用户自定义协议的攻击,都能很好地绕过NIDS的检查。
    4.针对IDS资源及处理能力局限

    (1)大流量冲击

    攻击者向被保护网络发送大量的数据,超过NIDS的处理能力有限,将会发生分组的情况,从而可能导致入侵行为漏报。

    (2)IP碎片攻击

    攻击者向被保护网络发送大量的IP碎片(如TARGA3攻击),超过NIDS能同时进行的IP碎片重组能力,从而导致通过IP分片技术进行的攻击漏报。

    (3)TCP Connect Flooding

    攻击者创建或者模拟出大量的TCP连接(可以通过上面介绍的IP重叠分片方法),超过NIDS同时监控的TCP连接数的上限,从而导致多余的TCP连接不能被监控。

    (4)Alert Flooding

    攻击者可以参照网络上公布的检测规则,在攻击的同时故意发送大量的将会引起 NIDS报警的数据(例如stick攻击),将可能超过NIDS发送报警的速度,从而产生漏报,并且使网管收到大量的报警,难以分辨出真正的攻击。

    (5)Log Flooding

    攻击者发送大量的将会引起NIDS报警的数据,最终导致NIDS进行Log的空间被耗尽,从而删除先前的Log记录。

    四、IPS

    随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。20年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。

    目前流行的攻击程序和有害代码如 DoS (Denial of Service 拒绝服务),DDoS (Distributed DoS 分布式拒绝服务),暴力猜解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。

    网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源,这就是所谓Zero Day Attack。

    防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 (Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。

    每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

    在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。

    入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。

    应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

    展开全文
  • 网络保护第三层 WAF-网络应用防火墙

    千次阅读 2022-04-29 14:53:14
    WAF-网络应用防火墙

    在这里插入图片描述

    1 WAF 介绍

    传统的防火墙主要专注于网络层的攻击防御,工作在三层或者四层,隔离了外网和内网,使用预设的规则,只允许特定IP地址和端口号的数据包通过,拒绝不符合的数据流入或者流出内网,实际上是一种网络数据过滤设备。对 Web 安全的防御能力相对欠缺。

    WAF(Web Application Firewall,Web 应用防护系统 ) 就是应用网关防火墙的一种,它只专注于 Web 安全的防御。工作在七层,能看到整个HTTP报文,所以能够使用更复杂的条件、规则来过滤数据。

    说白了,WAF 就是一种 HTTP入侵监测和防御系统
    在这里插入图片描述
    WAF 都能干什么呢?

    通常一款产品能够称为 WAF,要具备下面的一些功能:

    • IP 黑名单和白名单,拒绝黑名单上地址的访问,或者只允许白名单上的用户访问;
    • URI 黑名单和白名单,与 IP 黑白名单类似,允许或禁止对某些 URI 的访问;
    • 防护 DDoS 攻击,对特定的 IP 地址限连限速;
    • 过滤请求报文,防御“代码注入”攻击;
    • 过滤响应报文,防御敏感信息外泄;
    • 审计日志,记录所有检测到的入侵操作。

    WAF 不拘泥于形式,是软件、设备,亦是即服务。策略可定制,以满足您对 Web 应用或 Web 应用组合的独特需求。虽然许多 WAF 要求您定期更新策略以解决新的漏洞,但机器学习的进步使一些 WAF 能够自动更新。随着威胁环境愈发复杂和不确定,这种自动化变得越来越重要。

    2 WAF的工作模式

    WAF 的本质是“专注于 Web 安全的防火墙”,Web 安全关注于应用层的 HTTP 请求。因此,WAF 的分析和策略都工作于应用层。

    在 Web 安全这个方向上,WAF 对比防火墙又做出了哪些改进呢?我们可以从 WAF 的三种工作模式入手,探讨这两者的区别。这三种工作模式分别是:透明代理、反向代理和插件模式。

    透明代理和大部分防火墙的工作模式相同:在客户端和服务端通信不需要作出任何改变的情况下,对 HTTP 流量进行请求和转发。在这个过程中,为了解密 HTTPS 流量,WAF 必须和服务端同步 HTTPS 对称密钥。
    在这里插入图片描述
    透明代理的优点就是容易部署,它不需要客户端和服务端进行任何改动。但是,透明代理的缺点也有很多。透明代理本身不是一个 Web 服务,所以它无法修改或者响应 HTTP 的请求,只能够控制请求的通过或者拒绝。正因为如此,它也无法实现 Web 服务所提供的认证、内容过滤等功能。

    区别于透明代理,反向代理要求客户端将请求的目标地址指向 WAF,而不是服务端。在反向代理工作模式中,服务端接收的请求,实际上也是由 WAF 发起的。在这个过程中,WAF 本身就相当于一个 Web 服务,只不过对所有的 HTTP 请求都进行了转发。
    在这里插入图片描述
    因为反向代理 WAF 本质上是一个 Web 服务,所以 HTTPS 证书可以直接部署在 WAF 上。WAF 在对 HTTPS 流量解密之后,就可以在内网中用 HTTP 的形式,向服务端发起代理请求了。

    而且,反向代理 WAF 作为一个 Web 服务,能够提供的功能也更加丰富。比如,WAF 可以充当一个前置的认证平台,对所有请求进行身份校验和身份管理。同时,也因为在反向代理工作模式中,客户端和服务端不直接通信,而是将全部请求都先请求到 WAF 上,所以反向代理 WAF 对服务端的隔离也更加彻底。

    但是,反向代理同样存在缺点。首先,功能更丰富意味着性能开销更大。因此,反向代理 WAF 对硬件要求更高。其次,反向代理 WAF 一旦宕机,就无法响应客户端的任何请求。这样一来,即使服务端仍然正常,但用户已经无法正常使用应用了。而对于透明代理 WAF 来说,如果 WAF 宕机了,只是无法提供 Web 防护而已,客户端和服务端的通信不会受到任何影响。

    最后,我们来看插件模式。在插件模式中,WAF 不再是网络中一个独立的安全产品了,而是以插件的形式依附于 Web 服务端本身,为 Web 安全提供防护。

    那怎么才能将 WAF 植入到服务端的逻辑中呢?我们最常使用的一种技术就是AOP(Aspect Oriented Programming,面向切面编程)技术。在 AOP 技术中,WAF 可以作为一个切片植入到服务端的逻辑中。
    在这里插入图片描述
    而且,目前 AOP 技术十分流行,各类编程语言都支持。所以,插件模式的 WAF 部署同样十分简单。但是,这种将 WAF 和服务端强耦合的方式,会带来一定的负向影响。

    首先,WAF 和服务端一块工作在服务器上,会消耗服务器额外的资源,对 Web 服务本身的性能产生影响。

    其次,WAF 和服务端耦合,也就意味着 WAF 的所有改动都会直接影响到服务端。对于代理模式的 WAF 来说,通常只需要自测就可以升级了。而对于插件模式的 WAF,它本身的升级必须和服务端一起进入评估和测试流程,就会增加额外的工作量。
    在这里插入图片描述

    3 WAF 功能

    在部署模式上 WAF 比防火墙具备更高的灵活性。WAF 可以根据不同的需求,以不同的形式为 Web 服务提供保护。同样的,在功能上,WAF 也可以去实现一些 HTTP 请求中特有的安全功能。比如去解析 HTTP 数据、解密 HTTPS 流量等。下面,我们就来看一下,WAF 到底有哪些功能服务?

    1.HTTP 解析能力

    WAF 专注于 Web 安全。因此,对 HTTP 请求进行解析是 WAF 最基础的能力。在 HTTP 中,通用的内容包括:请求的 URL 以及其中的参数、HTTP 头部信息、POST 的 body 内容等。

    除此之外,某些攻击特征可能隐藏得比较深,比如 JSON 中的某个字段,无法通过 JSON 的整体内容检测出来,我们必须一个字段一个字段去判断。因此,WAF 还需要解析 XML、JSON 等 RPC 传输协议,能够理解对应的 key 和 value 分别是什么。

    除了单纯地解析内容,WAF 还需要对 HTTP 内容做必要地处理。为什么要这么做呢?这主要有两方面原因。

    第一,HTTP 中的内容可能经过了 UrlEncode 等编码方式的处理,因此,WAF 需要具备解码能力,避免攻击的特征通过编码来进行绕过。

    第二,**想要看到 HTTPS 中的加密内容,WAF 必须能够解密 HTTPS 请求。**在透明代理模式中,WAF 需要和服务端同步 HTTPS 的密钥,才能够获得解密的请求;

    在反向代理中模式中,WAF 自带证书,可以直接解密;在插件模式中,WAF 依靠服务端解密请求之后,再进行 HTTP 的解析。

    2.Web 安全防护

    通过对 HTTP 请求进行解析、对编码内容进行解码和对 HTTPS 进行解密之后,WAF 就能够获得全部 HTTP 请求内容了。在此基础之上,WAF 就可以对请求内容进行分析,为 Web 服务提供安全保护了。

    我总结了三种主要的分析手段。

    • 签名匹配:和杀毒软件中病毒库的概念类似,WAF 也可以维护一个攻击样本库。样本库中存有已知攻击请求的散列签名,只要 HTTP 请求内容的散列签名在这个样本库,就说明 HTTP 请求中携带了攻击内容。

    • 正则匹配:签名匹配需要请求完全一致才能够检测出来,而正则匹配只需要部分特征就可以检测。WAF 可以通过抽象一些攻击特征的正则表达式,对 HTTP 请求进行检测。比如,如果请求的某个参数中出现了单引号,那么很有可能就是黑客发起的 SQL 注入攻击。

    • 行为分析:除了针对单次请求的分析之外,WAF 还可以针对连续的访问请求特征进行提取和分析。为什么要这么做呢?这是因为,很多时候,我们无法准确判 断单次请求是不是攻击请求,但是如果疑似的攻击请求频繁出现,我们就基本能够确定了。也就是说,一个用户不会频繁地访问同一个页面,而黑客需要对一 个漏洞点发起多次尝试,才能够实现攻击的效果。

    在识别到攻击的请求之后,WAF 就可以对请求进行拦截,从而避免 Web 服务受到黑客的攻击了。

    3.审计告警

    WAF 还有另外一个重要的功能,就是为 Web 服务提供安全相关的审计和告警功能。Web 安全相关的审计包括:**发生攻击的时间、路径、频次等。**通过这些信息,开发人员能够知道自己的 Web 服务面对的攻击威胁是什么样的,也就能够更好地评估威胁,完善 Web 安全防护机制。

    除此之外,WAF 还能提供其他的审计能力。这是因为,WAF 能够解析出 HTTP 请求的全部内容,提供审计所需要的全部日志字段。这些日志可以是各个页面的访问次数、用户的访问行为和接口的响应性能等。尽管这些指标和安全没有太多关系,但是它们对于产品设计和服务质量来说都很常见,那么 WAF 就可以作为一个统计分析工具,来为你提供服务。

    4.数据保护和虚拟补丁

    反向代理或者插件模式的 WAF,还能够对 HTTP 请求中的数据进行一定的处理,提供额外的数据保护功能。

    最简单的,WAF 可以加密 HTTP 响应中的 Cookie 内容,使得 Cookie 以保密的形式存储在浏览器中。当浏览器将加密后的 Cookie 附加到 HTTP 请求中的时候,WAF 又可以进行解密。这样一来,服务端接收到的始终是明文的信息,而实际上,WAF 通过加解密为 Cookie 提供了额外的保护。另外,WAF 还可以对返回内容中的手机号、身份证号等敏感字段进行统一的打码处理,避免因为开发的疏忽,导致这些敏感信息的泄漏。

    在介绍插件漏洞的时候,我们提到了防火墙可以提供虚拟补丁的功能,来临时对插件漏洞进行修复。如果插件是 Web 相关的服务,那么 WAF 是不是也可以提供虚

    拟补丁的功能呢?当然是可以的。那 WAF 是如何提供虚拟补丁的呢?我来举个简单的例子。

    在经典的 Structs 2 漏洞中,黑客是通过 Structs 2 中包含的漏洞接口发起攻击的。所以,WAF 只需要将这些包含漏洞的接口进行封禁,或者对请求内容中的 Structs 2 攻击特征(特定接口的异常序列化数据)进行分析拦截,就能够临时避免 Structs 2 受到已公开的漏洞攻击。之后,我们只需要对 Structs 2 进行升级再打上补丁,这样就可以下线虚拟补丁了。、

    4 WAF 解决方案

    4.1 基于软件Nginx实现

    我们可以使用Apache、Nginx、OPenResty 实现。

    比如说,在Nginx里实现IP地址黑名单,可以利用map指令,从变量 $remote_addr 获取IP地址,在黑名单上就映射为1,然后在"if"指令里判断。

    map $remote_addr $blocked {
        default       0;
        "1.2.3.4"     1;
        "5.6.7.8"     1;
    }
     
     
    if ($blocked) {
        return 403 "you are blocked.";  
    }
    

    Nginx 的配置文件只能静态加载,改名单必须重启,比较麻烦。如果换成 OpenResty 就会非常方便,在 access 阶段进行判断,IP 地址列表可以使用 cosocket 连接外部的 Redis、MySQL 等数据库,实现动态更新:

    local ip_addr = ngx.var.remote_addr
     
    local rds = redis:new()
    if rds:get(ip_addr) == 1 then 
        ngx.exit(403) 
    end
    

    ngx_lua_waf是一个基于ngx_lua的web应用防火墙。可以实现WAF的相关防护功能。

    用途

    防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击
    防止svn/备份之类文件泄漏
    防止ApacheBench之类压力测试工具的攻击
    屏蔽常见的扫描黑客工具,扫描器
    屏蔽异常的网络请求
    屏蔽图片附件类目录php执行权限
    防止webshell上传

    推荐使用lujit2.1做lua支持

    ngx_lua如果是0.9.2以上版本,建议正则过滤函数改为ngx.re.find,匹配效率会提高三倍左右。

    使用说明:

    nginx安装路径假设为:/usr/local/nginx/conf/

    把ngx_lua_waf下载到conf目录下,解压命名为waf

    在nginx.conf的http段添加

     lua_package_path "/usr/local/nginx/conf/waf/?.lua";
         lua_shared_dict limit 10m;
         init_by_lua_file /usr/local/nginx/conf/waf/init.lua; 
            access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
    

    配置config.lua里的waf规则目录(一般在waf/conf/目录下)

    ​ RulePath = “/usr/local/nginx/conf/waf/wafconf/”

    绝对路径如有变动,需对应修改

    然后重启nginx即可

    配置文件详细说明

    RulePath = "/usr/local/nginx/conf/waf/wafconf/"
            --规则存放目录
            attacklog = "off"
            --是否开启攻击信息记录,需要配置logdir
            logdir = "/usr/local/nginx/logs/hack/"
            --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
            UrlDeny="on"
            --是否拦截url访问
            Redirect="on"
            --是否拦截后重定向
            CookieMatch = "on"
            --是否拦截cookie攻击
            postMatch = "on" 
            --是否拦截post攻击
            whiteModule = "on" 
            --是否开启URL白名单
            black_fileExt={"php","jsp"}
            --填写不允许上传文件后缀类型
            ipWhitelist={"127.0.0.1"}
            --ip白名单,多个ip用逗号分隔
            ipBlocklist={"1.0.0.1"}
            --ip黑名单,多个ip用逗号分隔
            CCDeny="on"
            --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
            CCrate = "100/60"
            --设置cc攻击频率,单位为秒.
            --默认1分钟同一个IP只能请求同一个地址100次
            html=[[Please go away~~]]
            --警告内容,可在中括号内自定义
            备注:不要乱动双引号,区分大小写
    

    4.2 ModSecurity

    ModSecurity 是一个开源的、生产级的 WAF 工具包,历史很悠久,比 Nginx 还要大几岁。它开始于一个私人项目,后来被商业公司 Breach Security 收购,现在则是由 TrustWave 公司的 SpiderLabs 团队负责维护。

    这两年 SpiderLabs 团队就开发了全新的 3.0 版本,移除了对 Apache 架构的依赖,使用新的“连接器”来集成进 Apache 或者 Nginx,比 2.x 版更加稳定和快速,误报率也更低。

    ModSecurity 有两个核心组件。第一个是“规则引擎”,它实现了自定义的“SecRule”语言,有自己特定的语法。但“SecRule”主要基于正则表达式,还是不够灵活,

    所以后来也引入了 Lua,实现了脚本化配置。

    ModSecurity 源码提供一个基本的规则配置文件“modsecurity.conf-recommended”,使用前要把它的后缀改成“conf”。

    有了规则集,就可以在 Nginx 配置文件里加载,然后启动规则引擎:

    modsecurity on;
    modsecurity_rules_file /path/to/modsecurity.conf;
    

    “modsecurity.conf”文件默认只有检测功能,不提供入侵阻断,这是为了防止误杀误报,把“SecRuleEngine”后面改成“On”就可以开启完全的防护:

    #SecRuleEngine DetectionOnly
    SecRuleEngine  On
    

    基本的规则集之外,ModSecurity 还额外提供一个更完善的规则集,为网站提供全面可靠的保护。这个规则集的全名叫“OWASP ModSecurity 核心规则

    ”(Open Web Application Security Project ModSecurity Core Rule Set),因为名字太长了,所以有时候会简称为“核心规则集”或者“CRS”。
    在这里插入图片描述
    CRS 也是完全开源、免费的,可以从 GitHub 上下载:

    git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
    

    其中有一个“crs-setup.conf.example”的文件,它是 CRS 的基本配置,可以用“Include”命令添加到“modsecurity.conf”里,然后再添加“rules”里的各种规则。

    Include /path/to/crs-setup.conf
    Include /path/to/rules/*.conf
    

    里面用“SecRule”定义了很多的规则,基本的形式是“SecRule 变量 运算符 动作”。

    另外,ModSecurity 还有强大的审计日志(Audit Log)功能,记录任何可疑的数据,供事后离线分析。但在生产环境中会遇到大量的攻击,日志会快速增长,消耗磁盘空间,而且写磁盘也会影响 Nginx 的性能,所以一般建议把它关闭:

    SecAuditEngine off  #RelevantOnly
    SecAuditLog /var/log/modsec_audit.log
    
    展开全文
  • WAF应用防火墙

    千次阅读 2019-06-03 17:02:47
    WAF学习笔记: 技术攻击: (OWASP Top-10) SQL Injection 参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 什么时候可能发生SQL Injection:假设我们在浏览器中输入URLwww.sample.com,...

    WAF学习笔记:

     

           技术攻击:

     

    (OWASP Top-10)

    • SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

    什么时候可能发生SQL Injection:假设我们在浏览器中输入URL www.sample.com,由于它只是对页面的简单请求无需对数据库动进行动态请求,所以它不存在SQL Injection,当我们输入www.sample.com?testid=23时,我们在URL中传递变量testid,并且提供值为23,由于它是对数据库进行动态查询的请求(其中?testid23表示数据库查询变量),所以我们可以该URL中嵌入恶意SQL语句。

    如何防止SQL Injection

    总的来说有以下几点:

    1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。

    2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

    3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

    4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

    5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信息存放在独立的表中。

     

    通过正则表达校验用户输

    参考:正则表达式https://www.runoob.com/regexp/regexp-syntax.html

    元字符  https://www.runoob.com/regexp/regexp-metachar.html

    运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

    匹配规则  https://www.runoob.com/regexp/regexp-rule.html

    示例  https://www.runoob.com/regexp/regexp-example.html

    在线测试  https://c.runoob.com/front-end/854

     

    正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符

    然后继续校验输入数据中是否包含SQL语句的保留字,如:WHEREEXECDROP

     

     

    • Broken Authen./Session Management

    参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

    Broken Authentication:在应用程序中,如果验证和会话(Session)管理的功能没有正确实现时,导致攻击者可以窃取用户密码,会话令牌或利用其他漏洞来伪装成其他用户身份。

    应该牢记在心充足的数据加密可以确保用户身份验证数据安全性,实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程:

    1.通过存储持久数据层的加密(关于数据加密请参看这里这里)。

    2.正确使用 SSL。

    Cookie一个不太常被使用的属性是Secure. 这个属性启用时,浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务,比如登录或者付款,需要使用HTTPS来保证内容的传输安全;而在用户成功获得授权之后,获得的客户端身份Cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面中拿到,从而造成重要的身份泄露。所以,在我们的Web站点中,如果使用了SSL,那么我们需要仔细检查在SSL的请求中返回的Cookie值,是否指定了Secure属性。

    本文介绍了验证破坏和会话劫持攻击,通过具体的例子介绍了会话(Session)在浏览器中的工作原理,通过Cookie来保持身份认证的服务端状态,这种保持可能是基于会话(Session)的,也可以是通过在Url中嵌入SessinId持久化。

    接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

    最后,介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

     

    • Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考:av32599703

     

    涉及:攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本,脚本执行后窃取用户信息 比如cookie,再发送到攻击者的网站,这就是跨站。

     

     

     

    挂马:

     

     

     

     

     

     

     

    防止XSS攻击的方法:

    输入处理

    1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字,但不可过滤如富文本编辑器里的内容,可根据需求添加关键字。

     

    输出处理:

     

    对动态输出内容进行编码和转义(根据上下文转义)

    转义网站:html entities 即html实体。

    将用户的cookie设置为http-only

     

     

     

    • Insecure Direct Object Reference   不安全的直接对象引用

     

    • Security Misconfiguration  安全配置错误
    • Sensitive Data Exposure   敏感数据曝光
    • Missing Function Level Access Control  缺少功能级别访问控制
    • Cross Site Request Forgery  跨现场请求伪造
    • Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

    Unvalidated Redirects and Forwards  未经验证的重定向和转发

    •  

     

    自动化攻击

    (OWASP Top-20)

     

    Account Creation and Aggregation

    Credit Carding, Card Cracking

    Credential Cracking, Stuffing

    DDoS Attacks

    Fingerprinting, Footprinting

    Site Scraping

    Comment Spamming

    Skewing, Spamdexing

    Token Cracking

    Vulnerability Scanning

     

     

    FW/IDS/IPS/WAF等安全设备部署方式及优缺

    https://blog.csdn.net/chenyulancn/article/details/78927916

     

     

    IPS(Intrusion Prevention System)即入侵防御系统。IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式,对于模式库中不能识别出来的攻击,默认策略是允许访问的。

     

    Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

     

    我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

     

     

    DDoS Protection DDoS 保护

    Virtual Patching 虚拟修补

    Correlated Attack Validation 相关的攻击验证

    Fraud Connectors  欺诈连接器

    Account Takeover Protection  账户接管保护

    IP Geolocation IP 地理位置

    Bot Mitigation Policies 机器人缓解政策

    Anti-Scraping Policies 防刮除策略

    IP Reputation 知识产权声誉

    Dynamic Profiling 动态分析

    Cookie Protection cookie 保护

    Protocol Validation 协议验证

    Attack Signatures 攻击签名

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    重点:Imperva 的技术创新 – 专利技术

     

     

    动态建模:Web 模型学习,基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

      Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量,例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术,只需少量甚至无需手动调整即可了解应用程序结构和用途,从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

      Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联,可实现高精密阻止攻击。

     

    Imperva产品特有技术:透明检测专利技术。

    ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分,可保护所有 WAF 网关远离各种新兴的应用程序威胁。

      ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全,无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务,ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

      漏洞扫描程序会给组织带来严重威胁,因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备,往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究,恶意扫描程序 IP 源基于 Imperva ThreatRadar 社区防御系统参与者的众包攻击数据制定而成,并通过 Imperva 应用程序防御中心 (ADC) 进行分析。组织可使用此信誉源来阻止认定是在扫描多个网站中漏洞的 IP 地址。

      解决垃圾评论问题对于组织而言是一个非常耗费时间的任务。在垃圾评论张贴后,组织通常需要手动编辑内容以外的垃圾评论,或依靠论坛版主来过滤出个别帖子。本技术概要详细介绍了 Imperva 的应用程序防御中心 (ADC) 对一段时间内垃圾评论发布者行为进行的研究。凭借识别最活跃的攻击者的能力,组织可阻止来自认定是张贴垃圾评论的 IP 地址的流量。基于 Incapsula(Imperva 的基于云的 Web 应用程序防火墙服务)生成的匿名攻击数据,Imperva 制定了垃圾评论 IP 源。

    Imperva 统一用户跟踪技术运用了两种主要的用户识别方法,可准确识别最终用户,无论用户以何种方式访问数据库。 应用程序用户跟踪可对那些通过应用程序直接连接到数据库的用户进行跟踪。 相反,直接用户跟踪,顾名思义会对通过标准 SQL 客户端直接连接到数据库的用户进行跟踪。

     

    关联攻击验证:智能的误判机制。Imperva 的相关攻击验证可分析多个数据点(例如协议漏洞、攻击特征、数据泄露特征、用户信誉及与过往行为的差异之处等),为客户提供准确保护,防止发生恶意活动。 本技术概要阐述了相关验证攻击如何对抗高级多向攻击、持续且讲究方法的侦测活动以及自动化攻击。

     

     

    特点:多层次平行检查、

     

    Protocol validation ———http协议合规:比如“心脏流血”通过443发送的是异常的数据包。

    Attack signatures:签名机制

    Application profile:应用程序配置文件,白名单,识别可疑事件、行为

    Data leak prevention:检查返回内容是否有敏感内容,银行

    ThreatRadar:威胁雷达,阻止恶意用户。

    安全球体采用深度防御方法来保护 Web 应用程序。第一层过滤利用 HTTP 协议本身的 HTTP 协议冲突和攻击。例如, 尝试使用 HTTP 请求的异常大的标头进行缓冲区溢出。 下一层是签名层, 用于标识已知的应用程序、平台和网络攻击。安全球体有一个包含6500签名的数据库, 由应用防御中心的专家每周更新一次。 下一层是 "应用程序配置文件" 或 "白" 列表。这就是 SecureSphere 将应用程序的实际使用情况与模型中的预期使用情况进行比较的地方, 以识别可疑事件或可疑用户行为。稍后我们将讨论 Imperva 动态分析或自动学习和适应应用程序更改的能力。 下一层是数据泄漏防护层, 这将在需要时检测敏感数据 (如信用卡数据或个人身份信息)。当敏感数据退出应用程序时, Secursphere 能够看到, 管理员可以确保该数据的合法使用。 最后一层是 ThreatRadar, 即安全球体基于信誉的安全性。ThreatRadar 评估用户和网站的声誉, 以便对 web 请求做出更准确、更明智的决策。

     

     

    为了保护应用程序不受复杂 web 应用程序的影响, 它需要对应用程序有很大的了解。这意味着了解每个元素: Url、目录、参数、用于调用这些不同 Url 的方法, 甚至是通常用于会话跟踪的 cookie。而这只是个开始。 有了使用动态内容和 JavaScript 的 Web 服务应用程序和 Web 2.0 应用程序, 它实际上变得更加复杂, 除此之外, 您还必须了解与所有这些元素相关的预期用户行为。其结果是, 为了准确保护应用程序, 您需要一个能够随着时间的推移自动生成和更新该应用程序的模型的解决方案。

     

     

     

     

    此图显示配置文件随时间的变化情况。此图显示了为实际的 Secursphere 零售客户分析的网页数, 图表显示了随着时间的推移而发生的配置文件更改, 因为 Secursphere 首先了解了应用程序, 然后自动适应随时间变化的变化。在初始阶段, 您会看到很多变化--这是 Securhere 首次学习应用程序的时候, 但在接近月底时, 您会看到更改的数量显著减少, 但尚未变为零。这是因为几乎每一个应用程序, 我们看到的变化几乎每天。我们可以在稳定状态下每周看到5到15次更改, 并且使用无法自动执行安全模型的解决方案, 管理员通常会花费1到2个小时每次更改, 以便了解更改发生了什么, 了解更改是什么, 找出这是否对安全模型有任何影响, 然后实现。 因此, 当我们说每周5到15次更改时, 这通常相当于无法自动化的解决方案的5-30小时配置。此图表示安全球体自行学习这些更改, 真正减少了维护解决方案所需的时间。 请注意, Securehere 可以自动学习更改, 而无需任何手动干预 (例如, 需要手动接受新页面, 需要额外的规则或正则表达式来考虑使用偏差)。这意味着安全球体将在不阻塞合法通信的情况下保护应用程序。

     

     

    Eg:应用防火墙识别的是内网AD上的用户,WAF识别的是所有使用的用户。原理大概是学习用户登录页面,参数代表,成功/失败登录,引进用户概念。

     

    准确性的另一个关键组成部分与阻塞有关, 并且能够在特定的用户级别进行阻止。除了学习应用程序结构, SecureSphere 还可以学习登录 Url、用户如何登录, 以及如何了解这是成功还是失败的登录。然后, Securehere 可以在该用户的会话中跟踪该用户的时间。在需要执行操作的情况下, 安全球体可以对用户执行操作, 而不仅仅是对 IP 地址执行操作。对于观众中的那些技术, 你会明白为什么这很重要。IP 地址很容易被欺骗, 攻击者可以从一个 IP 地址跳转到另一个 ip 地址, 然后合法用户通常隐藏在单个 IP 地址后面, 因为他们可能通过代理访问 Internet。因此, 如果 Web 应用程序防火墙仅基于 IP 地址阻止, 很可能会给合法用户带来很多头疼的问题, 而不是对攻击者真正的威慑。因此, 精确的阻止--在应用程序用户级别进行阻止的能力--是 Web 应用程序防火墙所需精度的一个关键组成部分。这就是安全球体所提供的。

     

     

     

     

     

    eg:profile预判sql类型,输出不符合预判则报错。

    让我们举一个需要相关攻击验证的示例。因此, 在此请求中, 第一层 (协议验证层) 看到请求使用 Unicode 进行编码, 这种情况并不常见, 但不一定是攻击。应用程序配置文件层在应用程序中看到一些可疑的行为, 可能表单字段输入比预期的要长, 并且窗体字段输入的类型也不完全是预期的类型。这可能表示攻击, 但同时也可能表示用户的错误, 甚至可能是应用程序中的更改。攻击签名层还标识 JavaScript 的可疑签名。同样, 这可能是一种攻击, 但也可能只是一个角落的情况下, 或者是一个新的用法或应用程序的合法用法。但是, 当这三种情况都发生在同一请求中时, Securhere 能够关联该信息, 然后准确地识别跨站点脚本攻击。这就是安全球体如何能够在很少或零误报的情况下实现行业内最高的准确率。

     

    安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

    本幻灯片显示了 ADC 如何进行研究。它从各种来源调查世界各地报告的新威胁, 并进行自己的独立研究。当 ADC 提出新的防御措施时, 它将信息广播到安全球体部署, 新的防御可以自动安装在安全球体部署中。

     

     

     

    安全领域提供了统一的管理基础结构, 提供了集中管理的功能。管理员可以从单个控制台管理所有安全球体设备, 并在该控制台上获得集成的警报和报告。它还提供了新的安全球体设备的部署, 因为这些设备是从 MX 管理服务器自动配置的。 所需要的只是将它们安装在网络中, 将它们指向 MX 管理服务器, 然后它们将从 MX 下载它们的配置。 SecureSphere 还提供了更高级的证书身份验证, 因此您可以将其集成到用户设置系统的其余部分。 最后, 所有这些都是通过一个简单的 Web 浏览器界面来实现的, 该界面通过安全通道连接到 MX 管理服务器。

     

     

    实时仪表板提供了对系统状态以及实时发生的安全警报的一目了然的检查。正如您在这里看到的, 您可以看到系统 CPU 上的负载、它所看到的每秒的连接、按严重程度查看警报的饼图, 以及显示的各个警报以及随着时间的推移而发生的系统事件。

     

     

     

    安全球体提供了安全事件的完整可见性。这是安全球体界面中安全警报的屏幕截图。您可以看到, 如果用户的用户名来自用户跟踪功能、来自 Web 服务器的响应代码 (如果可用)、完整的 HTTP 请求。安全球体突出显示触发此警报的请求的相关部分。在警报中, 只需单击一下, 即可轻松查看安全策略、了解有关攻击类型的详细信息并创建安全规则例外。

     

    总之, Securehere 是业界领先的 Web 应用程序防火墙。它提供了多层防御的精确保护, 并为相关攻击验证提供了独特的技术, 使其成为市场上最准确的解决方案。 通过灵活的部署选项, 安全球体可以透明地部署到几乎任何环境中。使用 SecureSphere, 管理员和网络操作人员不必担心更改应用程序, 也不必担心更改网络。 最后, 通过动态分析和自动安全更新以及信誉数据馈送, SecureSphere 提供了简单、自动化的管理, 即使应用程序会随着时间的推移而变化。 这就是为什么安全球体 Web 应用程序防火墙是市场上领先的 Web 应用程序防火墙的原因。

     

     

     

     

     

    Eg:反向代理相比透明桥 设备性能会下降30%~40%

    旁路监听:相比前二者100%的阻断,阻断原理不同(利用tcp reset,效果不佳,可以用于测试,不建议用于真实环境)

     

     

    安全球体支持业界最广泛的部署选项。最常见的选项是透明内联桥接。这在网络堆栈的第2层运行, 类似于网络交换机。它支持完全执行、非常高性能和非常低的延迟。通常情况下, 将在不更改网络环境的情况下安装内联桥。SecureSphere 还包括故障打开接口, 因此, 如果设备因其他原因断电或出现故障, 它实际上只会失败打开 (卡将自动桥接连接), 并且流量仍将流动。当然, 如果您想对应用程序采取这种安全姿态, 您可以选择关闭失败。 SecureSphere 还支持透明和反向代理模式, 这些模式为内容修改功能 (如 URL 重写、cookie 签名甚至 SSL 终止) 提供了高性能引擎。 最后, SecureSphere 支持非内联部署。这主要用于仅监视部署和部署, 在这些部署中, 客户希望确保在将 SecureSphere 安全模型内联以主动保护其应用程序之前, 准确了解其工作原理。

     

    透明桥,二层桥只转发不修改,速度快,对业务无影响。

    透明代理不传port tunnel、 ip sec等。优点如上图。

     

     

     

    透明检测技术:waf部署多为透明桥。在透明引擎里有一个内存存放类似影子(shadow)的堆栈,堆栈确保数据传输方式一致。传输单位是Frame,影子引擎堆栈会拷贝继续传输大部分只留一小部分,若无问题则传输剩下的一小部分,相比未传输的只延后一两个数据包。若有问题则会有重置的tcp包。

     

     

     

     

     

     

     

     

     

     

     

    IMPERVA WAF应用场景

     

    Imperva 安全球体 Web 应用程序防火墙解决了困扰组织内多个不同组的安全问题。了解不同的用例以发现可能影响组织其他部分的问题非常重要。此处未显示但通常受所有这些用例影响的组是 IT 安全团队。 使用案例包括: Web 应用程序保护, 这主要意味着停止 Web 应用程序攻击, 如 SQL 注入、跨站点脚本和远程文件包含 应用程序虚拟修补 应用程序分布式拒绝服务或 DDoS 保护 网站刮擦预防, 例如竞争对手窃取您网站上的数据并在自己的网站上重新发布 防止欺诈, 以阻止基于恶意软件的欺诈和浏览器中的人攻击 旧式应用程序安全性, 以保护旧的旧的旧应用程序的漏洞。 托管应用程序保护, 以保护外部或云中托管的 Web 应用程序的安全。 现在, 我们将查看这些用例, 并展示安全球体如何帮助组织应对这些重大挑战。

     

     

     

    我们要研究的第一个用例是 Web 应用程序保护, 由于它是一个重要的用例, 我们将检查不同的 Web应用程序威胁以及 Secursphere 是如何缓解这些威胁的。 第一个是一家跨国公司, 遭到黑客组织 "匿名" 的袭击。因佩瓦目睹了在25天内发生的袭击事件。它首先是通过尼科托和阿库奈蒂等扫描仪招募活动和应用探索。这些扫描试图发现 Web 漏洞。 在第二阶段, 匿名者转向攻击工具, 如 Havij SQL 注入工具, 试图破解网站。他们还利用匿名代理等匿名服务来掩盖自己的身份。在这两个阶段, Imperva 阻止了所有攻击。 当技术攻击失败后, 匿名者转向 DDoS 攻击, 试图关闭网站。他们使用 LOIC 或低轨道离子加农炮和新的移动版本的攻击工具来中断应用程序访问。流量激增, 但安全球体能够缓解这种基于 web 的 DDoS 攻击。

     

     

     

     

     

    安全球体 Web 应用程序防火墙提供了阻止匿名和其他黑客团体、网络犯罪分子和国家支持的黑客等威胁所需的防御。 首先, SecureSphere 提供了多层防御, 以阻止利用应用程序漏洞 (如 SQL 注入和跨站点脚本) 的技术攻击。安全球体提供动态分析, 以学习受保护的应用程序并识别异常活动。攻击签名可阻止已知的攻击。HTTP 协议验证可防止重复编码和冗余标头等逃避技术。SecureSphere监视 cookie 和会话, 并可以对 cookie 进行签名或加密, 以阻止 cookie 中毒和会话劫持攻击。而 IP 信誉意识识别已知的恶意用户。SecureSphere 提供了更多的防御功能, 如 Web 蠕虫保护和数据泄漏保护, 但这些都是阻止技术攻击的最重要的。

    此外, SecureSphere 停止业务逻辑攻击, 如网站擦除、评论垃圾邮件、参数篡改和应用程序 DDoS。它使用基于信誉的安全和预定义的安全策略来检测过多的请求和机器人。此外, SecureSphere 还提供了地理位置来检测和阻止来自不受欢迎国家的来源。 

     最后, SecureSphere 通过其恶意软件欺诈检测功能防止欺诈。我们还提供了预定义和自定义的策略, 可以将这些防御结合起来, 以进行极其准确的攻击检测。

     

     

     

     

     

     

     

     

     

     

    在攻击的第一阶段, 匿名者扫描了站点的漏洞。基于因珀瓦应用防御中心或 ADC 的最新安全签名和策略, SecureSphere 能够检测并停止探测器。ADC 不断调查世界各地报告的新威胁, 并开展初步研究, 以发现未报告的脆弱性。然后, 它将新的攻击签名和 ADC 策略分发到安全球体 web 应用程序防火墙设备。通过检测已知的 Web 攻击和已知的扫描仪代理, Securehere 能够减轻攻击。

     

     

    在第二阶段, 匿名转向 SQL 注入、跨站点脚本和远程文件包含等攻击。对于 SQL 注入等高级攻击, Securehere 首先应用签名来检测已知的攻击。明确的攻击被阻止。具有配置文件、HTTP 协议或其他签名冲突的其他请求将发送到 SQL 注入引擎, 该引擎使用 regex 代码检查配置文件冲突、SQL 攻击关键字和处理可疑字符串以识别攻击。 大多数 WAFs 只是依靠签名或特征违规来阻止攻击。他们不检查违规行为, 如个人资料违规, 以及攻击签名来评分请求。这意味着其他 Waf 更有可能产生误报, 并且无法检测到更复杂的 SQL 注入攻击。Imperva 提供了最佳、最准确的攻击检测功能, 可用于准确阻止 Web 攻击。

     

    在攻击的第三阶段, 匿名者依靠志愿者来攻击网站。他们使用 LOIC 或低轨道离子加农炮和移动版本的工具来攻击目标网站。安全球体可以通过其默认的 DDoS 攻击模板或通过自定义 DDoS 策略检测攻击, 这些策略可识别一段时间内请求数量过多、url 格式错误和未知的 HTTP 方法。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    如果将 Web 应用程序防火墙与入侵防御系统和下一代防火墙进行比较, 则差异是显而易见的。 虽然这些产品可能包含少量攻击签名, 但它们在阻止 Web 应用程序攻击方面并不有效。它们没有复杂的安全引擎来分析 Web 应用程序配置文件冲突、关键字和协议冲突情况, 以便正确识别 Web 攻击。其次, 他们无法阻止机器人等威胁, 也无法保护 cookie 或会话。他们通常不提供任何类型的基于声誉的保护, 如果他们提供了, 它的重点是电子邮件垃圾邮件发送者, 而不是 Web 威胁。 此外, IPS 无法阻止站点擦除和应用程序 DDoS 等业务逻辑攻击, 也无法阻止 Web 欺诈。此外, 许多 IPS 产品甚至无法解密 SSL 通信。 

     正因为如此, IPS 在试图阻止 Web 应用程序攻击时, 会出现较高的误报和误报率。此外, 黑客很容易通过使用编码或利用自定义应用程序漏洞来逃避他们。希望避免 Web 应用程序攻击的痛苦后果的企业需要部署 Web 应用程序防火墙。

     

     

     

     

     

     

    左侧图形旨在显示问题既是应用层, 也是基础结构层。右侧显示, 部分问题必须在外围解决, 而部分问题必须在边界内解决 (在外界外不被注意)。它还表明, 我们放置在较高层的任何解决方案都依赖于在较低层采用其他缓解解决方案。例如, WAF 假定有人正在处理 SYN 洪泛或网络管道耗尽。(SYN攻击利用的是TCP三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应 [2]  报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接主机资源将被耗尽,从而达到攻击的目的。)

     

     

     

     

     

     

     

     

     

     

    网上购票面临着几个挑战。首先, 和许多在线网站一样, 它也是网络攻击的目标。但它也面临着一个独特的挑战: 机器人不断在网上买票, 窃取票的信息。机器人用不必要的流量封锁了网站。 他们已经从 f 5 购买了 WAF, 但无法跟上公司的业绩和安全要求。因此, 该公司对 SecureSphere 进行了评估, 并对其阻止 SQL 注入等技术攻击的能力非常满意, 也因为它可以阻止自动攻击。 借助 SecureSphere, 在线票务交换能够在不影响 Web 应用程序性能的情况下保护其网站。SecureSphere能阻止占公司网络流量25% 的自动攻击和机器人。

     

     

     

     

     

     

     

     

     

     

    Anti Bot:判断是否是正常网站浏览。

    Anti scraping:防刮。

    防频率,慢速DDoS防御。

    DDOS IP feed?

     

     

     

     

     

     

     

     

     

    在线交换依靠 SecureSphere 的机器人缓解技术来检测和阻止来自机器人的访问。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    为了了解 ThreatRadar 是如何工作的, 首先威胁雷达在全球范围内跟踪攻击源。基于卓越的第三方资源 (如 Cyvel监视、D和thatradar 服务器) 收集有关已知恶意 IP 地址、匿名代理、Tor (傻瓜)网络和网络钓鱼网站的信息。 然后, ThreatRadar 服务器全天候将此信息分发到安全球体 WAF 设备, 以确保 Waf 具有针对已知攻击源的最新保护。 有了这些信息, 安全球体可以阻止或警报已知的恶意源。威胁雷达检测可以与其他策略 (如浏览器代理和细粒度控制请求的频率) 相结合。

     

     

     

     

     

     

     

     

     

    除了阻止已知的恶意来源外, ThreatRadar 信誉服务还允许企业按地理位置监视和阻止访问。

     

     

     

     

    一家金融服务公司面临着几个网站挑战。 首先, 安全团队发现竞争对手在刮和重新公布公司的股票选秀权。其次, 广告垃圾邮件发送者正在向该公司的论坛投放广告。 最后, 当他们试图使用现有的 IPS 解决方案来阻止 Web 攻击时, 他们只是在不阻止攻击的情况下产生了大量噪音。 该公司利用安全球的网站刮擦政策, 阻止了刮擦攻击。而且, 通过使用策略阻止大多数评论垃圾邮件, 他们减少了手动检查论坛所花费的时间。 有了安全球体, 他们还能够以极低的误报率阻止网络攻击。

     

     

    Google capture(采集 捕获): 安全环球 WAF 帮助金融服务公司的战斗现场刮起它的: 机器人缓解技术, 可检测自动刮擦网站的机器人和工具。基本上, SecureSphere 向最终用户的客户端发送透明的 JavaScript 质询。如果客户端可以处理 JavaScript 并存储 cookie, 则 Secursphere 将其视为常规 Web 浏览器。如果客户端不能, 则它是脚本或机器人。 反刮擦策略检测到对唯一 Url 的过度请求, 这表明是刮擦攻击。上述两种策略都可以与其他规则结合使用, 以精确的精度阻止刮擦。例如, 用户可以将这些策略限制为已知的、刮擦的 Url。策略还可以查看浏览器代理 ID, 或查看客户端是否来自匿名代理或 Tor 网络来检测和停止刮板。

     

     

     

     

     

     

     

     

     

     

     

            财富100美国银行继承了一份国库申请, 作为收购另一家银行的一部分。Web 应用程序扫描发现, 该应用程序有57个漏洞, 需要数百万美元才能修复。 收购银行不允许易受攻击的应用进入自己的数据中心。因此, 他们需要快速修复应用程序或付费以保持旧数据中心的打开状态, 以便承载旧版应用程序。他们计划更换应用程序, 他们不想投入大量资源来手动修复漏洞。 通过安全球体 WAF, 银行能够缓解扫描发现的所有漏洞。银行进行的定期扫描证实, 国库申请仍然是安全的。

     

     

     

     

     

     

     

            五星们扫描了银行的遗留应用程序, 发现了漏洞。 安全球体 Web 应用程序防火墙提供了一组广泛的默认安全策略, 可在开箱即用的情况下缓解几乎所有漏洞。 用户可以创建自定义签名或策略来阻止其他类型的威胁, 如特定于应用程序的探测器或错误消息。 此处显示的自定义签名标识利用远程文件的尝试, 其中包括漏洞。通过默认策略和多个自定义策略, 银行能够修复旧版应用程序中的所有漏洞。

     

     

     

     

     

     

     

     

     

                 SecureSphere 提供了 25+ 匹配条件供客户选择,实现强大的管理功能 Session:WAF定义的是http的session,非防火墙。 安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

     

     

     

     

     

    黑盒扫描:应用漏洞扫描。 白盒扫描: 支付处理器承受着昂贵而耗时的漏洞修复周期。IT 安全团队使用 Cenzic 扫描公司的应用程序中的漏洞, 但需要由开发团队来修复这些漏洞, 开发人员还有其他优先级, 如添加新的应用程序功能。IT 安全团队知道网络犯罪分子将目标锁定在支付应用程序上, 因此安全是重中之重。 该公司选择了安全球体 WAF 来几乎修补漏洞。安全领域可以导入其扫描仪发现的漏洞, 以立即减轻这些漏洞。它还允许开发人员和安全管理员查看 Web 攻击和应用程序错误。

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

     

     

      安全球体几乎修补已知的漏洞。 如果没有安全球体, 组织必须手动修补漏洞, 这些漏洞可能需要数周或数月的时间。在此期间, 应用程序会被公开进行利用。借助 Secursphere, 组织可以立即修补漏洞, 降低安全风险, 并允许组织在没有紧急修复和测试周期的情况下按计划修补安全问题。

     

     

     

     

     

     

     

     

     

     

     

      安全球体以多种方式改进了应用程序开发过程。该软件开发生命周期展示了软件设计、测试和实现的各个阶段。当然, 开发软件还需要更多的步骤, 但我们已经对其进行了简化, 以展示 Imperva 安全球体如何提高可见性并消除紧急修复和测试周期。 首先, 开发人员必须构建和实现代码。然后, QA 必须使用手动和自动测试工具测试代码中的漏洞。通过因佩瓦的扫描仪集成, 安全球体几乎可以修补漏洞。然后, 开发人员可以修复他们的时间表上的漏洞。 然后, 应用程序开发人员必须将他们的新应用程序部署到生产环境中。一旦新应用程序上线, SecureSphere 就可以监视应用程序的滥用、阻止攻击、报告威胁并查找应用程序泄漏和错误。应用程序监视和报告提供了对黑客如何尝试利用应用程序 (从攻击方法到所针对的各个 Url 和参数) 的无与伦比的可见性。使用这些信息, 程序员可以确定其开发过程的优先级。安全球体还跟踪 web 服务器响应代码、错误、敏感数据和代码泄漏等。它可以选择存储 Web 服务器响应。使用此信息, 开发人员可以快速识别和修复应用程序错误。

     

     

     

     

     

      那么, 是什么推动了 CASB 市场呢? [下一页]嗯, 我刚才简单地提到了它, 当我提到我们开始看到更多的云应用在工作场所被用来完成事情。 因此, 它与整个基础架构迁移到云的总体趋势是一致的。 您拥有基础架构即服务 (IaaS) 平台 (如 Amazon Web 服务和 Windows Azure), 这些平台是面向客户的应用程序, 采用速度非常快。 同样, 面向员工的应用 (如 Office 365、Box 和 Salesforce) 也是基于云的企业, 可为客户提供更好的可扩展性和可访问性、更高的成本可预测性和更轻松的更新。 [下一页] 像 Sky界和 Imperva 这样的公司填补了传统安全解决方案留下的安全空白, 这些解决方案无法解决当今的云问题。 再加上员工期望 (甚至可能要求) 使用他们想要高效的云应用, 今天的 IT 正在见证某种范式的转变, 它不能再仅仅说 "不", 切断对云应用的访问。 他们必须找到一种说 "是" 的方法, 使他们支持的员工能够利用他们想要使用的云应用来提高他们的生产力。

     

     

     

     

     

    主动安全类

      和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。
      WAF:Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
      5.1 WAF部署位置
      通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
      5.2 WAF部署模式及优缺点
      透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。

      部署模式1 透明代理模式(也称网桥代理模式)
      透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。
      这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。 
      部署模式2 反向代理模式
      反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。
      这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
      

     

    部署模式3 路由代理模式
      路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。
      这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

     

    部署模式4 端口镜像模式
      端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。
      这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。

     

     

    窗体顶端

     

     

     

    Imperva云安全方案

     

     

     

     

     

     

    WAF学习笔记:

     

           技术攻击:

     

    (OWASP Top-10)

    • SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

    什么时候可能发生SQL Injection:假设我们在浏览器中输入URL www.sample.com,由于它只是对页面的简单请求无需对数据库动进行动态请求,所以它不存在SQL Injection,当我们输入www.sample.com?testid=23时,我们在URL中传递变量testid,并且提供值为23,由于它是对数据库进行动态查询的请求(其中?testid23表示数据库查询变量),所以我们可以该URL中嵌入恶意SQL语句。

    如何防止SQL Injection

    总的来说有以下几点:

    1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。

    2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

    3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

    4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

    5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信息存放在独立的表中。

     

    通过正则表达校验用户输

    参考:正则表达式https://www.runoob.com/regexp/regexp-syntax.html

    元字符  https://www.runoob.com/regexp/regexp-metachar.html

    运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

    匹配规则  https://www.runoob.com/regexp/regexp-rule.html

    示例  https://www.runoob.com/regexp/regexp-example.html

    在线测试  https://c.runoob.com/front-end/854

     

    正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符

    然后继续校验输入数据中是否包含SQL语句的保留字,如:WHEREEXECDROP

     

     

    • Broken Authen./Session Management

    参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

    Broken Authentication:在应用程序中,如果验证和会话(Session)管理的功能没有正确实现时,导致攻击者可以窃取用户密码,会话令牌或利用其他漏洞来伪装成其他用户身份。

    应该牢记在心充足的数据加密可以确保用户身份验证数据安全性,实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程:

    1.通过存储持久数据层的加密(关于数据加密请参看这里这里)。

    2.正确使用 SSL。

    Cookie一个不太常被使用的属性是Secure. 这个属性启用时,浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务,比如登录或者付款,需要使用HTTPS来保证内容的传输安全;而在用户成功获得授权之后,获得的客户端身份Cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面中拿到,从而造成重要的身份泄露。所以,在我们的Web站点中,如果使用了SSL,那么我们需要仔细检查在SSL的请求中返回的Cookie值,是否指定了Secure属性。

    本文介绍了验证破坏和会话劫持攻击,通过具体的例子介绍了会话(Session)在浏览器中的工作原理,通过Cookie来保持身份认证的服务端状态,这种保持可能是基于会话(Session)的,也可以是通过在Url中嵌入SessinId持久化。

    接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

    最后,介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

     

    • Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考:av32599703

     

    涉及:攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本,脚本执行后窃取用户信息 比如cookie,再发送到攻击者的网站,这就是跨站。

     

     

     

    挂马:

     

     

     

     

     

     

     

    防止XSS攻击的方法:

    输入处理

    1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字,但不可过滤如富文本编辑器里的内容,可根据需求添加关键字。

     

    输出处理:

     

    对动态输出内容进行编码和转义(根据上下文转义)

    转义网站:html entities 即html实体。

    将用户的cookie设置为http-only

     

     

     

    • Insecure Direct Object Reference   不安全的直接对象引用

     

    • Security Misconfiguration  安全配置错误
    • Sensitive Data Exposure   敏感数据曝光
    • Missing Function Level Access Control  缺少功能级别访问控制
    • Cross Site Request Forgery  跨现场请求伪造
    • Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

    Unvalidated Redirects and Forwards  未经验证的重定向和转发

    •  

     

    自动化攻击

    (OWASP Top-20)

     

    Account Creation and Aggregation

    Credit Carding, Card Cracking

    Credential Cracking, Stuffing

    DDoS Attacks

    Fingerprinting, Footprinting

    Site Scraping

    Comment Spamming

    Skewing, Spamdexing

    Token Cracking

    Vulnerability Scanning

     

     

    FW/IDS/IPS/WAF等安全设备部署方式及优缺

    https://blog.csdn.net/chenyulancn/article/details/78927916

     

     

    IPS(Intrusion Prevention System)即入侵防御系统。IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式,对于模式库中不能识别出来的攻击,默认策略是允许访问的。

     

    Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

     

    我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

     

     

    DDoS Protection DDoS 保护

    Virtual Patching 虚拟修补

    Correlated Attack Validation 相关的攻击验证

    Fraud Connectors  欺诈连接器

    Account Takeover Protection  账户接管保护

    IP Geolocation IP 地理位置

    Bot Mitigation Policies 机器人缓解政策

    Anti-Scraping Policies 防刮除策略

    IP Reputation 知识产权声誉

    Dynamic Profiling 动态分析

    Cookie Protection cookie 保护

    Protocol Validation 协议验证

    Attack Signatures 攻击签名

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    重点:Imperva 的技术创新 – 专利技术

     

     

    动态建模:Web 模型学习,基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

      Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量,例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术,只需少量甚至无需手动调整即可了解应用程序结构和用途,从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

      Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联,可实现高精密阻止攻击。

     

    Imperva产品特有技术:透明检测专利技术。

    ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分,可保护所有 WAF 网关远离各种新兴的应用程序威胁。

      ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全,无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务,ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

      漏洞扫描程序会给组织带来严重威胁,因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备,往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究,恶意扫描程序 IP 源基于 Imperva ThreatRadar 社区防御系统参与者的众包攻击数据制定而成,并通过 Imperva 应用程序防御中心 (ADC) 进行分析。组织可使用此信誉源来阻止认定是在扫描多个网站中漏洞的 IP 地址。

      解决垃圾评论问题对于组织而言是一个非常耗费时间的任务。在垃圾评论张贴后,组织通常需要手动编辑内容以外的垃圾评论,或依靠论坛版主来过滤出个别帖子。本技术概要详细介绍了 Imperva 的应用程序防御中心 (ADC) 对一段时间内垃圾评论发布者行为进行的研究。凭借识别最活跃的攻击者的能力,组织可阻止来自认定是张贴垃圾评论的 IP 地址的流量。基于 Incapsula(Imperva 的基于云的 Web 应用程序防火墙服务)生成的匿名攻击数据,Imperva 制定了垃圾评论 IP 源。

    Imperva 统一用户跟踪技术运用了两种主要的用户识别方法,可准确识别最终用户,无论用户以何种方式访问数据库。 应用程序用户跟踪可对那些通过应用程序直接连接到数据库的用户进行跟踪。 相反,直接用户跟踪,顾名思义会对通过标准 SQL 客户端直接连接到数据库的用户进行跟踪。

     

    关联攻击验证:智能的误判机制。Imperva 的相关攻击验证可分析多个数据点(例如协议漏洞、攻击特征、数据泄露特征、用户信誉及与过往行为的差异之处等),为客户提供准确保护,防止发生恶意活动。 本技术概要阐述了相关验证攻击如何对抗高级多向攻击、持续且讲究方法的侦测活动以及自动化攻击。

     

     

    特点:多层次平行检查、

     

    Protocol validation ———http协议合规:比如“心脏流血”通过443发送的是异常的数据包。

    Attack signatures:签名机制

    Application profile:应用程序配置文件,白名单,识别可疑事件、行为

    Data leak prevention:检查返回内容是否有敏感内容,银行

    ThreatRadar:威胁雷达,阻止恶意用户。

    安全球体采用深度防御方法来保护 Web 应用程序。第一层过滤利用 HTTP 协议本身的 HTTP 协议冲突和攻击。例如, 尝试使用 HTTP 请求的异常大的标头进行缓冲区溢出。 下一层是签名层, 用于标识已知的应用程序、平台和网络攻击。安全球体有一个包含6500签名的数据库, 由应用防御中心的专家每周更新一次。 下一层是 "应用程序配置文件" 或 "白" 列表。这就是 SecureSphere 将应用程序的实际使用情况与模型中的预期使用情况进行比较的地方, 以识别可疑事件或可疑用户行为。稍后我们将讨论 Imperva 动态分析或自动学习和适应应用程序更改的能力。 下一层是数据泄漏防护层, 这将在需要时检测敏感数据 (如信用卡数据或个人身份信息)。当敏感数据退出应用程序时, Secursphere 能够看到, 管理员可以确保该数据的合法使用。 最后一层是 ThreatRadar, 即安全球体基于信誉的安全性。ThreatRadar 评估用户和网站的声誉, 以便对 web 请求做出更准确、更明智的决策。

     

     

    为了保护应用程序不受复杂 web 应用程序的影响, 它需要对应用程序有很大的了解。这意味着了解每个元素: Url、目录、参数、用于调用这些不同 Url 的方法, 甚至是通常用于会话跟踪的 cookie。而这只是个开始。 有了使用动态内容和 JavaScript 的 Web 服务应用程序和 Web 2.0 应用程序, 它实际上变得更加复杂, 除此之外, 您还必须了解与所有这些元素相关的预期用户行为。其结果是, 为了准确保护应用程序, 您需要一个能够随着时间的推移自动生成和更新该应用程序的模型的解决方案。

     

     

     

     

    此图显示配置文件随时间的变化情况。此图显示了为实际的 Secursphere 零售客户分析的网页数, 图表显示了随着时间的推移而发生的配置文件更改, 因为 Secursphere 首先了解了应用程序, 然后自动适应随时间变化的变化。在初始阶段, 您会看到很多变化--这是 Securhere 首次学习应用程序的时候, 但在接近月底时, 您会看到更改的数量显著减少, 但尚未变为零。这是因为几乎每一个应用程序, 我们看到的变化几乎每天。我们可以在稳定状态下每周看到5到15次更改, 并且使用无法自动执行安全模型的解决方案, 管理员通常会花费1到2个小时每次更改, 以便了解更改发生了什么, 了解更改是什么, 找出这是否对安全模型有任何影响, 然后实现。 因此, 当我们说每周5到15次更改时, 这通常相当于无法自动化的解决方案的5-30小时配置。此图表示安全球体自行学习这些更改, 真正减少了维护解决方案所需的时间。 请注意, Securehere 可以自动学习更改, 而无需任何手动干预 (例如, 需要手动接受新页面, 需要额外的规则或正则表达式来考虑使用偏差)。这意味着安全球体将在不阻塞合法通信的情况下保护应用程序。

     

     

    Eg:应用防火墙识别的是内网AD上的用户,WAF识别的是所有使用的用户。原理大概是学习用户登录页面,参数代表,成功/失败登录,引进用户概念。

     

    准确性的另一个关键组成部分与阻塞有关, 并且能够在特定的用户级别进行阻止。除了学习应用程序结构, SecureSphere 还可以学习登录 Url、用户如何登录, 以及如何了解这是成功还是失败的登录。然后, Securehere 可以在该用户的会话中跟踪该用户的时间。在需要执行操作的情况下, 安全球体可以对用户执行操作, 而不仅仅是对 IP 地址执行操作。对于观众中的那些技术, 你会明白为什么这很重要。IP 地址很容易被欺骗, 攻击者可以从一个 IP 地址跳转到另一个 ip 地址, 然后合法用户通常隐藏在单个 IP 地址后面, 因为他们可能通过代理访问 Internet。因此, 如果 Web 应用程序防火墙仅基于 IP 地址阻止, 很可能会给合法用户带来很多头疼的问题, 而不是对攻击者真正的威慑。因此, 精确的阻止--在应用程序用户级别进行阻止的能力--是 Web 应用程序防火墙所需精度的一个关键组成部分。这就是安全球体所提供的。

     

     

     

     

     

    eg:profile预判sql类型,输出不符合预判则报错。

    让我们举一个需要相关攻击验证的示例。因此, 在此请求中, 第一层 (协议验证层) 看到请求使用 Unicode 进行编码, 这种情况并不常见, 但不一定是攻击。应用程序配置文件层在应用程序中看到一些可疑的行为, 可能表单字段输入比预期的要长, 并且窗体字段输入的类型也不完全是预期的类型。这可能表示攻击, 但同时也可能表示用户的错误, 甚至可能是应用程序中的更改。攻击签名层还标识 JavaScript 的可疑签名。同样, 这可能是一种攻击, 但也可能只是一个角落的情况下, 或者是一个新的用法或应用程序的合法用法。但是, 当这三种情况都发生在同一请求中时, Securhere 能够关联该信息, 然后准确地识别跨站点脚本攻击。这就是安全球体如何能够在很少或零误报的情况下实现行业内最高的准确率。

     

    安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

    本幻灯片显示了 ADC 如何进行研究。它从各种来源调查世界各地报告的新威胁, 并进行自己的独立研究。当 ADC 提出新的防御措施时, 它将信息广播到安全球体部署, 新的防御可以自动安装在安全球体部署中。

     

     

     

    安全领域提供了统一的管理基础结构, 提供了集中管理的功能。管理员可以从单个控制台管理所有安全球体设备, 并在该控制台上获得集成的警报和报告。它还提供了新的安全球体设备的部署, 因为这些设备是从 MX 管理服务器自动配置的。 所需要的只是将它们安装在网络中, 将它们指向 MX 管理服务器, 然后它们将从 MX 下载它们的配置。 SecureSphere 还提供了更高级的证书身份验证, 因此您可以将其集成到用户设置系统的其余部分。 最后, 所有这些都是通过一个简单的 Web 浏览器界面来实现的, 该界面通过安全通道连接到 MX 管理服务器。

     

     

    实时仪表板提供了对系统状态以及实时发生的安全警报的一目了然的检查。正如您在这里看到的, 您可以看到系统 CPU 上的负载、它所看到的每秒的连接、按严重程度查看警报的饼图, 以及显示的各个警报以及随着时间的推移而发生的系统事件。

     

     

     

    安全球体提供了安全事件的完整可见性。这是安全球体界面中安全警报的屏幕截图。您可以看到, 如果用户的用户名来自用户跟踪功能、来自 Web 服务器的响应代码 (如果可用)、完整的 HTTP 请求。安全球体突出显示触发此警报的请求的相关部分。在警报中, 只需单击一下, 即可轻松查看安全策略、了解有关攻击类型的详细信息并创建安全规则例外。

     

    总之, Securehere 是业界领先的 Web 应用程序防火墙。它提供了多层防御的精确保护, 并为相关攻击验证提供了独特的技术, 使其成为市场上最准确的解决方案。 通过灵活的部署选项, 安全球体可以透明地部署到几乎任何环境中。使用 SecureSphere, 管理员和网络操作人员不必担心更改应用程序, 也不必担心更改网络。 最后, 通过动态分析和自动安全更新以及信誉数据馈送, SecureSphere 提供了简单、自动化的管理, 即使应用程序会随着时间的推移而变化。 这就是为什么安全球体 Web 应用程序防火墙是市场上领先的 Web 应用程序防火墙的原因。

     

     

     

     

     

    Eg:反向代理相比透明桥 设备性能会下降30%~40%

    旁路监听:相比前二者100%的阻断,阻断原理不同(利用tcp reset,效果不佳,可以用于测试,不建议用于真实环境)

     

     

    安全球体支持业界最广泛的部署选项。最常见的选项是透明内联桥接。这在网络堆栈的第2层运行, 类似于网络交换机。它支持完全执行、非常高性能和非常低的延迟。通常情况下, 将在不更改网络环境的情况下安装内联桥。SecureSphere 还包括故障打开接口, 因此, 如果设备因其他原因断电或出现故障, 它实际上只会失败打开 (卡将自动桥接连接), 并且流量仍将流动。当然, 如果您想对应用程序采取这种安全姿态, 您可以选择关闭失败。 SecureSphere 还支持透明和反向代理模式, 这些模式为内容修改功能 (如 URL 重写、cookie 签名甚至 SSL 终止) 提供了高性能引擎。 最后, SecureSphere 支持非内联部署。这主要用于仅监视部署和部署, 在这些部署中, 客户希望确保在将 SecureSphere 安全模型内联以主动保护其应用程序之前, 准确了解其工作原理。

     

    透明桥,二层桥只转发不修改,速度快,对业务无影响。

    透明代理不传port tunnel、 ip sec等。优点如上图。

     

     

     

    透明检测技术:waf部署多为透明桥。在透明引擎里有一个内存存放类似影子(shadow)的堆栈,堆栈确保数据传输方式一致。传输单位是Frame,影子引擎堆栈会拷贝继续传输大部分只留一小部分,若无问题则传输剩下的一小部分,相比未传输的只延后一两个数据包。若有问题则会有重置的tcp包。

     

     

     

     

     

     

     

     

     

     

     

    IMPERVA WAF应用场景

     

    Imperva 安全球体 Web 应用程序防火墙解决了困扰组织内多个不同组的安全问题。了解不同的用例以发现可能影响组织其他部分的问题非常重要。此处未显示但通常受所有这些用例影响的组是 IT 安全团队。 使用案例包括: Web 应用程序保护, 这主要意味着停止 Web 应用程序攻击, 如 SQL 注入、跨站点脚本和远程文件包含 应用程序虚拟修补 应用程序分布式拒绝服务或 DDoS 保护 网站刮擦预防, 例如竞争对手窃取您网站上的数据并在自己的网站上重新发布 防止欺诈, 以阻止基于恶意软件的欺诈和浏览器中的人攻击 旧式应用程序安全性, 以保护旧的旧的旧应用程序的漏洞。 托管应用程序保护, 以保护外部或云中托管的 Web 应用程序的安全。 现在, 我们将查看这些用例, 并展示安全球体如何帮助组织应对这些重大挑战。

     

     

     

    我们要研究的第一个用例是 Web 应用程序保护, 由于它是一个重要的用例, 我们将检查不同的 Web应用程序威胁以及 Secursphere 是如何缓解这些威胁的。 第一个是一家跨国公司, 遭到黑客组织 "匿名" 的袭击。因佩瓦目睹了在25天内发生的袭击事件。它首先是通过尼科托和阿库奈蒂等扫描仪招募活动和应用探索。这些扫描试图发现 Web 漏洞。 在第二阶段, 匿名者转向攻击工具, 如 Havij SQL 注入工具, 试图破解网站。他们还利用匿名代理等匿名服务来掩盖自己的身份。在这两个阶段, Imperva 阻止了所有攻击。 当技术攻击失败后, 匿名者转向 DDoS 攻击, 试图关闭网站。他们使用 LOIC 或低轨道离子加农炮和新的移动版本的攻击工具来中断应用程序访问。流量激增, 但安全球体能够缓解这种基于 web 的 DDoS 攻击。

     

     

     

     

     

    安全球体 Web 应用程序防火墙提供了阻止匿名和其他黑客团体、网络犯罪分子和国家支持的黑客等威胁所需的防御。 首先, SecureSphere 提供了多层防御, 以阻止利用应用程序漏洞 (如 SQL 注入和跨站点脚本) 的技术攻击。安全球体提供动态分析, 以学习受保护的应用程序并识别异常活动。攻击签名可阻止已知的攻击。HTTP 协议验证可防止重复编码和冗余标头等逃避技术。SecureSphere监视 cookie 和会话, 并可以对 cookie 进行签名或加密, 以阻止 cookie 中毒和会话劫持攻击。而 IP 信誉意识识别已知的恶意用户。SecureSphere 提供了更多的防御功能, 如 Web 蠕虫保护和数据泄漏保护, 但这些都是阻止技术攻击的最重要的。

    此外, SecureSphere 停止业务逻辑攻击, 如网站擦除、评论垃圾邮件、参数篡改和应用程序 DDoS。它使用基于信誉的安全和预定义的安全策略来检测过多的请求和机器人。此外, SecureSphere 还提供了地理位置来检测和阻止来自不受欢迎国家的来源。 

     最后, SecureSphere 通过其恶意软件欺诈检测功能防止欺诈。我们还提供了预定义和自定义的策略, 可以将这些防御结合起来, 以进行极其准确的攻击检测。

     

     

     

     

     

     

     

     

     

     

    在攻击的第一阶段, 匿名者扫描了站点的漏洞。基于因珀瓦应用防御中心或 ADC 的最新安全签名和策略, SecureSphere 能够检测并停止探测器。ADC 不断调查世界各地报告的新威胁, 并开展初步研究, 以发现未报告的脆弱性。然后, 它将新的攻击签名和 ADC 策略分发到安全球体 web 应用程序防火墙设备。通过检测已知的 Web 攻击和已知的扫描仪代理, Securehere 能够减轻攻击。

     

     

    在第二阶段, 匿名转向 SQL 注入、跨站点脚本和远程文件包含等攻击。对于 SQL 注入等高级攻击, Securehere 首先应用签名来检测已知的攻击。明确的攻击被阻止。具有配置文件、HTTP 协议或其他签名冲突的其他请求将发送到 SQL 注入引擎, 该引擎使用 regex 代码检查配置文件冲突、SQL 攻击关键字和处理可疑字符串以识别攻击。 大多数 WAFs 只是依靠签名或特征违规来阻止攻击。他们不检查违规行为, 如个人资料违规, 以及攻击签名来评分请求。这意味着其他 Waf 更有可能产生误报, 并且无法检测到更复杂的 SQL 注入攻击。Imperva 提供了最佳、最准确的攻击检测功能, 可用于准确阻止 Web 攻击。

     

    在攻击的第三阶段, 匿名者依靠志愿者来攻击网站。他们使用 LOIC 或低轨道离子加农炮和移动版本的工具来攻击目标网站。安全球体可以通过其默认的 DDoS 攻击模板或通过自定义 DDoS 策略检测攻击, 这些策略可识别一段时间内请求数量过多、url 格式错误和未知的 HTTP 方法。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    如果将 Web 应用程序防火墙与入侵防御系统和下一代防火墙进行比较, 则差异是显而易见的。 虽然这些产品可能包含少量攻击签名, 但它们在阻止 Web 应用程序攻击方面并不有效。它们没有复杂的安全引擎来分析 Web 应用程序配置文件冲突、关键字和协议冲突情况, 以便正确识别 Web 攻击。其次, 他们无法阻止机器人等威胁, 也无法保护 cookie 或会话。他们通常不提供任何类型的基于声誉的保护, 如果他们提供了, 它的重点是电子邮件垃圾邮件发送者, 而不是 Web 威胁。 此外, IPS 无法阻止站点擦除和应用程序 DDoS 等业务逻辑攻击, 也无法阻止 Web 欺诈。此外, 许多 IPS 产品甚至无法解密 SSL 通信。 

     正因为如此, IPS 在试图阻止 Web 应用程序攻击时, 会出现较高的误报和误报率。此外, 黑客很容易通过使用编码或利用自定义应用程序漏洞来逃避他们。希望避免 Web 应用程序攻击的痛苦后果的企业需要部署 Web 应用程序防火墙。

     

     

     

     

     

     

    左侧图形旨在显示问题既是应用层, 也是基础结构层。右侧显示, 部分问题必须在外围解决, 而部分问题必须在边界内解决 (在外界外不被注意)。它还表明, 我们放置在较高层的任何解决方案都依赖于在较低层采用其他缓解解决方案。例如, WAF 假定有人正在处理 SYN 洪泛或网络管道耗尽。(SYN攻击利用的是TCP三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应 [2]  报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接主机资源将被耗尽,从而达到攻击的目的。)

     

     

     

     

     

     

     

     

     

     

    网上购票面临着几个挑战。首先, 和许多在线网站一样, 它也是网络攻击的目标。但它也面临着一个独特的挑战: 机器人不断在网上买票, 窃取票的信息。机器人用不必要的流量封锁了网站。 他们已经从 f 5 购买了 WAF, 但无法跟上公司的业绩和安全要求。因此, 该公司对 SecureSphere 进行了评估, 并对其阻止 SQL 注入等技术攻击的能力非常满意, 也因为它可以阻止自动攻击。 借助 SecureSphere, 在线票务交换能够在不影响 Web 应用程序性能的情况下保护其网站。SecureSphere能阻止占公司网络流量25% 的自动攻击和机器人。

     

     

     

     

     

     

     

     

     

     

    Anti Bot:判断是否是正常网站浏览。

    Anti scraping:防刮。

    防频率,慢速DDoS防御。

    DDOS IP feed?

     

     

     

     

     

     

     

     

     

    在线交换依靠 SecureSphere 的机器人缓解技术来检测和阻止来自机器人的访问。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    为了了解 ThreatRadar 是如何工作的, 首先威胁雷达在全球范围内跟踪攻击源。基于卓越的第三方资源 (如 Cyvel监视、D和thatradar 服务器) 收集有关已知恶意 IP 地址、匿名代理、Tor (傻瓜)网络和网络钓鱼网站的信息。 然后, ThreatRadar 服务器全天候将此信息分发到安全球体 WAF 设备, 以确保 Waf 具有针对已知攻击源的最新保护。 有了这些信息, 安全球体可以阻止或警报已知的恶意源。威胁雷达检测可以与其他策略 (如浏览器代理和细粒度控制请求的频率) 相结合。

     

     

     

     

     

     

     

     

     

    除了阻止已知的恶意来源外, ThreatRadar 信誉服务还允许企业按地理位置监视和阻止访问。

     

     

     

     

    一家金融服务公司面临着几个网站挑战。 首先, 安全团队发现竞争对手在刮和重新公布公司的股票选秀权。其次, 广告垃圾邮件发送者正在向该公司的论坛投放广告。 最后, 当他们试图使用现有的 IPS 解决方案来阻止 Web 攻击时, 他们只是在不阻止攻击的情况下产生了大量噪音。 该公司利用安全球的网站刮擦政策, 阻止了刮擦攻击。而且, 通过使用策略阻止大多数评论垃圾邮件, 他们减少了手动检查论坛所花费的时间。 有了安全球体, 他们还能够以极低的误报率阻止网络攻击。

     

     

    Google capture(采集 捕获): 安全环球 WAF 帮助金融服务公司的战斗现场刮起它的: 机器人缓解技术, 可检测自动刮擦网站的机器人和工具。基本上, SecureSphere 向最终用户的客户端发送透明的 JavaScript 质询。如果客户端可以处理 JavaScript 并存储 cookie, 则 Secursphere 将其视为常规 Web 浏览器。如果客户端不能, 则它是脚本或机器人。 反刮擦策略检测到对唯一 Url 的过度请求, 这表明是刮擦攻击。上述两种策略都可以与其他规则结合使用, 以精确的精度阻止刮擦。例如, 用户可以将这些策略限制为已知的、刮擦的 Url。策略还可以查看浏览器代理 ID, 或查看客户端是否来自匿名代理或 Tor 网络来检测和停止刮板。

     

     

     

     

     

     

     

     

     

     

     

            财富100美国银行继承了一份国库申请, 作为收购另一家银行的一部分。Web 应用程序扫描发现, 该应用程序有57个漏洞, 需要数百万美元才能修复。 收购银行不允许易受攻击的应用进入自己的数据中心。因此, 他们需要快速修复应用程序或付费以保持旧数据中心的打开状态, 以便承载旧版应用程序。他们计划更换应用程序, 他们不想投入大量资源来手动修复漏洞。 通过安全球体 WAF, 银行能够缓解扫描发现的所有漏洞。银行进行的定期扫描证实, 国库申请仍然是安全的。

     

     

     

     

     

     

     

            五星们扫描了银行的遗留应用程序, 发现了漏洞。 安全球体 Web 应用程序防火墙提供了一组广泛的默认安全策略, 可在开箱即用的情况下缓解几乎所有漏洞。 用户可以创建自定义签名或策略来阻止其他类型的威胁, 如特定于应用程序的探测器或错误消息。 此处显示的自定义签名标识利用远程文件的尝试, 其中包括漏洞。通过默认策略和多个自定义策略, 银行能够修复旧版应用程序中的所有漏洞。

     

     

     

     

     

     

     

     

     

                 SecureSphere 提供了 25+ 匹配条件供客户选择,实现强大的管理功能 Session:WAF定义的是http的session,非防火墙。 安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

     

     

     

     

     

    黑盒扫描:应用漏洞扫描。 白盒扫描: 支付处理器承受着昂贵而耗时的漏洞修复周期。IT 安全团队使用 Cenzic 扫描公司的应用程序中的漏洞, 但需要由开发团队来修复这些漏洞, 开发人员还有其他优先级, 如添加新的应用程序功能。IT 安全团队知道网络犯罪分子将目标锁定在支付应用程序上, 因此安全是重中之重。 该公司选择了安全球体 WAF 来几乎修补漏洞。安全领域可以导入其扫描仪发现的漏洞, 以立即减轻这些漏洞。它还允许开发人员和安全管理员查看 Web 攻击和应用程序错误。

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

     

     

      安全球体几乎修补已知的漏洞。 如果没有安全球体, 组织必须手动修补漏洞, 这些漏洞可能需要数周或数月的时间。在此期间, 应用程序会被公开进行利用。借助 Secursphere, 组织可以立即修补漏洞, 降低安全风险, 并允许组织在没有紧急修复和测试周期的情况下按计划修补安全问题。

     

     

     

     

     

     

     

     

     

     

     

      安全球体以多种方式改进了应用程序开发过程。该软件开发生命周期展示了软件设计、测试和实现的各个阶段。当然, 开发软件还需要更多的步骤, 但我们已经对其进行了简化, 以展示 Imperva 安全球体如何提高可见性并消除紧急修复和测试周期。 首先, 开发人员必须构建和实现代码。然后, QA 必须使用手动和自动测试工具测试代码中的漏洞。通过因佩瓦的扫描仪集成, 安全球体几乎可以修补漏洞。然后, 开发人员可以修复他们的时间表上的漏洞。 然后, 应用程序开发人员必须将他们的新应用程序部署到生产环境中。一旦新应用程序上线, SecureSphere 就可以监视应用程序的滥用、阻止攻击、报告威胁并查找应用程序泄漏和错误。应用程序监视和报告提供了对黑客如何尝试利用应用程序 (从攻击方法到所针对的各个 Url 和参数) 的无与伦比的可见性。使用这些信息, 程序员可以确定其开发过程的优先级。安全球体还跟踪 web 服务器响应代码、错误、敏感数据和代码泄漏等。它可以选择存储 Web 服务器响应。使用此信息, 开发人员可以快速识别和修复应用程序错误。

     

     

     

     

     

      那么, 是什么推动了 CASB 市场呢? [下一页]嗯, 我刚才简单地提到了它, 当我提到我们开始看到更多的云应用在工作场所被用来完成事情。 因此, 它与整个基础架构迁移到云的总体趋势是一致的。 您拥有基础架构即服务 (IaaS) 平台 (如 Amazon Web 服务和 Windows Azure), 这些平台是面向客户的应用程序, 采用速度非常快。 同样, 面向员工的应用 (如 Office 365、Box 和 Salesforce) 也是基于云的企业, 可为客户提供更好的可扩展性和可访问性、更高的成本可预测性和更轻松的更新。 [下一页] 像 Sky界和 Imperva 这样的公司填补了传统安全解决方案留下的安全空白, 这些解决方案无法解决当今的云问题。 再加上员工期望 (甚至可能要求) 使用他们想要高效的云应用, 今天的 IT 正在见证某种范式的转变, 它不能再仅仅说 "不", 切断对云应用的访问。 他们必须找到一种说 "是" 的方法, 使他们支持的员工能够利用他们想要使用的云应用来提高他们的生产力。

     

     

     

     

     

    主动安全类

      和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。
      WAF:Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
      5.1 WAF部署位置
      通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
      5.2 WAF部署模式及优缺点
      透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。

      部署模式1 透明代理模式(也称网桥代理模式)
      透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。
      这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。 
      部署模式2 反向代理模式
      反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。
      这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
      

     

    部署模式3 路由代理模式
      路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。
      这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

     

    部署模式4 端口镜像模式
      端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。
      这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。

     

     

    窗体顶端

     

     

     

    Imperva云安全方案

     

     

     

     

     

     

     

     

     

    展开全文
  • 构建自己防火墙的原因 : 需要对特定链接进行防cc攻击 但对某些链接不需要进行防cc攻击技术选型: 基于 nginx + lua 的 verynginx1、首先verynginx 需要nginx 编译安装模块 或者使用openrestylua-nginx-modulehttp_...
  • 防火墙(Firewall):防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络...
  • 防火墙WAF可以抵御哪些攻击?Web恶意扫描黑客攻击前多使用工具针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和...
  • WAF防火墙介绍

    2016-11-23 19:35:00
    在互联网应用高速发展的同时,承载Web信息系统的...因此,针对Web应用层的防御产品WAF(WebApplicationFirewall,Web应用防火墙)产品已经成为构建客户网站安全解决方案的首要选择。  根据国家计算机网络应急技术...
  • ModSecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器 一、什么是ModSecurity? 1、ModSecurity是一...
  • IPS与IDS,防火墙WAF之间的比较和差异

    千次阅读 多人点赞 2020-08-18 13:13:53
    在本文中,我将尽力比较并分解IPS,IDS,防火墙WAF之间的差异,因为它们是用于网络安全保护的网络中非常流行的解决方案。 首先让我们看一下每个缩写的含义: IPS=入侵防御系统 IDS=入侵检测系统 WAF= Web应用...
  • 一、说明Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙(Web Application Firewall)模块。Naxsi的主要目标是加固web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。...
  • WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF基本原理与部署方式:...
  • 转载来源 :免费网站高级Waf防火墙:VeryNginx,防御网站被攻击 : http://www.safebase.cn/article-260173-1.html 摘要: 图/文:迷神VeryNginx 是一个基于openrestry(其实是基于nginx的lua扩展)的开发程序,实现...
  • WAF(Web Application Firewall)对于搞web渗透测试的甲方安全运维工程师、众测平台的白帽子、乙方web渗透工程师、搞黑产的blackhat是个并不陌生的web安全防护手段。在工作中或多或少涉及到这方面的相关知识,那么,...
  • 它实现了高级防火墙waf),访问统计信息和其他一些功能。它增强了Nginx的功能,并提供了友好的Web界面。 在 web 界面里面修改配置后,保存后即刻生效,并不需要重启 Nginx 或者 reload 。 主要功能如下 Nginx 运行...
  • 防火墙学习笔记

    2021-10-08 14:26:23
    防火墙区域隔离 内部网络 外部网络 “DMZ”区域,隔离区域、非军事化区域 防火墙写ACL的时候一般允许策略由内网向外网访问,反过来不配置,这样外网就无法主动访问访问内网 ps: WAF防火墙,web application firewall...
  • 细说——WAF

    千次阅读 2021-10-11 18:57:17
    WAF的分类软件型WAF硬件型WAF基于云WAF开源型WAF网站内置的WAFIPS与IDS,防火墙WAF之间的比较和差异防火墙功能IPS入侵防御系统IDS入侵检测系统WAF对比IPS与IDS防火墙与IPS / IDSWAF与IPS / IDSWAF检测手工检测工具...
  • nginx下安装配置naxsi waf防火墙(附完整编译、配置) Naxsi 是第三方 nginx 模块 ,它和 Modsecurity 都是开源 WAF ,但是它们的防御模式不同。 Naxsi 不依赖像防病毒软件这样的签名库,因此不会被“未知”攻击...
  • nginx下安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则) 前言:此次编译配置modsecurity基于一键安装包环境(centos、nginx等)适用于阿里云,整个过程遇到不少坑,网上关于modsecurity的信息...
  • 曾经有好多人问,阿里云那么多安全软件,包括Web 应用防火墙和阿里云安骑士有什么区别?作为普通用户真的不容易辨别。今天本文就分享这方面的知识,普及一下云计算安全知识。 一、阿里云安骑士 一款经受百万级主机...
  • NAT和防火墙

    2019-12-08 23:14:23
    NAT路由器是安装了NAT软件的路由器,拥有至少一个全球通用的外部IP。 在计算机网络中,NAT最直接的作用是IP映射:将内网终端A的IP和端口号经过NAT映射后,转成公网服务器B的IP和新端口号;当B接收到目的地终端C返回...
  • CDN服务,WAF防火墙,负载均衡,防火墙阻碍? 获取网络信息-服务厂商&网络架构 一般来说,网站有2种搭建方式,一种是搭建者购买云服务器,将网站架设在外网上。 这种情况是可以直接扫描得到服务器的端口...
  • 透明模式一般用于网络建设完,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求;早期也称之为桥模式。桥这个字是缘由于,交换机之前称之为网桥。 透明模式,意思就是字面意思,就是说,...
  • 阿里云那么多安全软件,包括Web 应用防火墙和阿里云安骑士有什么区别?作为普通用户真的不容易辨别。今天老魏就分享这方面的知识,普及一下云计算安全知识。 一、阿里云安骑士 一款经受百万级主机稳定性考验的主机...
  • Waf功能、分类与绕过

    2021-01-12 16:56:22
    看到好的东西就转载了 一. waf 工作原理 Web 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。 常见的系统攻击分为两类: ...WAF 是 Web 应用防火墙(Web Applica
  • 使用防火墙生成器管理多个服务器的单个防火墙策略作者:Mike Horn http://www.fwbuilder.org防火墙构建器是防火墙配置和管理GUI,支持从单个应用程序配置各种防火墙。 支持的防火墙包括Linux iptables,BSD pf,...
  • 网闸和防火墙

    千次阅读 2021-11-24 17:09:47
    文章目录网闸和防火墙1. 网闸是什么2. 防火墙是什么3. 网闸和防火墙的区别是什么4. 参考资料 网闸和防火墙 1. 网闸是什么 介绍 网闸,又名安全隔离网闸,物理隔离网闸;一般用于实现:不同安全级别网络之间的安全...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,964
精华内容 785
关键字:

waf外部防火墙