精华内容
下载资源
问答
  • WAF防火墙设备指标及参数说明
    2020-12-20 20:42:14

    指标

    功能参数

    数量

    单位

    备注

    要求

    软件保障

    采用专用硬件架构与专用安全操作系统,

    基于操作系统内核

    的完全检测技术;硬件设备可以机架安装。产品必须为专业

    WEB

    应用防火墙硬件设备,

    而非下一代防火墙

    \UTM

    类设

    备集成的

    WEB

    防护功能;

    硬软件质保期≥

    3

    年,

    需提供厂家

    质保证明文件

    1

    硬件采用模块化设计,可以通过扩展卡来增减业务接口,而

    非软件

    WAF

    展能力

    2U

    机架式结构;

    最大配置为

    26

    个接口;

    默认包括

    2

    个可插拨

    的扩展槽和

    4

    10/100/1000BASE-T

    接口和

    4

    SFP

    插槽

    (其

    2

    SFP+

    万兆插槽)

    2

    10/100/1000BASE-T

    接口(作为

    HA

    口和管理口)

    MTBF

    不少于

    450000

    小时

    要求

    应用层吞吐率

    3G

    最大吞吐能力

    20G

    并发

    TCP

    会话

    300

    部署

    部署方式

    IP

    纯透明模式串联部署、旁路监测模式部署、负载均衡模

    式部署、反向代理模式部署。

    串联部署时防护口不占用

    IP

    地址。

    串联部署时服务器可以看到真实客户端源

    IP

    ,而不是

    WAF

    业务

    IP

    地址。

    网络适应性

    支持

    VLAN

    划分,支持多

    VLAN

    环境下

    trunk

    的部署。

    支持虚拟线无论任何网络环境可强制数据从一个接口转发到

    另一个接口。

    物理接口支持子接口

    支持链路聚合

    (Channel)

    部署,提高链路带宽;支持

    Trunk

    路防护。

    支持自定义配置网络接口

    MTU

    、双工模式、双工模式等属性。

    支持静态路由及策略路由配置。

    支持

    ARP

    绑定

    支持静态

    MAC

    地址表配置

    支持服务器健康检查,可以实时监测服务器的活跃状态;健

    康记录可定期备份

    支持

    IPV6

    协议。

    支持

    IPV6

    协议下邻居指定

    支持网络层防火墙功能,支持源

    IP

    、源区域、目的

    IP

    、目的

    区域等条件的访问控制。

    攻击

    防护

    HTTPS

    支持

    支持

    HTTP/HTTPS

    站点防护

    协议合规检查

    支持请求限制配置通过定义最大请求头长度、最大

    content-length

    、最大

    body

    长度、最大请求行长度、最大

    header

    行长度、

    最多

    cookies

    个数、

    最多

    header

    头个数、

    header

    长度等来对请用户数据做合规性检查。

    更多相关内容
  • 利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。1.2 WAF的功能支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。支持URL白名单,将...

    一、了解WAF

    1.1 什么是WAF

    Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。

    1.2 WAF的功能

    支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。

    支持URL白名单,将不需要过滤的URL进行定义。

    支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。

    支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。

    支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。

    支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。

    支持URL参数过滤,原理同上。

    支持日志记录,将所有拒绝的操作,记录到日志中去

    1.3 WAF的特点

    异常检测协议

    Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

    2027ac4333f2

    增强的输入验证

    增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

    及时补丁

    修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。

    基于规则的保护和基于异常的保护

    基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。

    状态管理

    WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

    其他防护技术

    WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

    1.3WAF与网络防火墙的区别

    网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。

    一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。

    web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。

    OpenResty由Nginx核心加很多第三方模块组成,默认集成了Lua开发环境,使得Nginx可以作为一个Web Server使用。

    借助于Nginx的事件驱动模型和非阻塞IO,可以实现高性能的Web应用程序。

    而且OpenResty提供了大量组件如Mysql、Redis、Memcached等等,使在Nginx上开发Web应用更方便更简单。

    以下是整理的Nginx+Lua架构思维导图:

    2027ac4333f2

    二、使用openResty配置waf防火墙,不需要编译nginx

    ①安装依赖包和创建nginx运行的普通用户

    [root@linux-node1 ~]# yum install -y readline-devel pcre-devel openssl-devel

    [root@linux-node1 src]# useradd -s /sbin/nologin -M www

    ②下载当前最新的luajit,并编译

    [root@linux-node1 ~]# cd /usr/local/src/[root@linux-node1 src]#wget http://luajit.org/download/LuaJIT-2.1.0-beta3

    [root@linux-node1 src]# tar -xzf LuaJIT-2.1.0-beta3

    [root@linux-node1 src]# cd LuaJIT-2.1.0-beta3

    [root@linux-node1 LuaJIT-2.1.0-beta3]# make && make install

    [root@linux-node1 LuaJIT-2.1.0-beta3]# export LUAJIT_LIB=/usr/local/lib

    [root@linux-node1 LuaJIT-2.1.0-beta3]# export LUAJIT_INC=/usr/local/include/luajit-2.1

    [root@linux-node1 ~]# ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2

    #一定创建此软连接,否则会报错如果不创建符号链接,可能出现以下异常: errorwhileloading shared libraries: libluajit-5.1.so.2: cannotopenshared object file: No such fileordirectory

    ③下载并编译安装openresty

    [root@linux-node1 ~]#cd /usr/local/src

    [root@linux-node1 src]# wget https://openresty.org/download/openresty-1.13.6.2.tar.gz

    [root@linux-node1 src]#tar -zxf openresty-1.13.6.2.tar.gz

    [root@linux-node1 src]#cd openresty-1.13.6.2

    [root@linux-node1 openresty-1.13.6.2]# ./configure --prefix=/usr/local/openresty \--user=www \--group=www \--with-luajit \--with-http_v2_module \--with-http_stub_status_module \--with-http_ssl_module \--with-http_gzip_static_module \--with-ipv6 --with-http_sub_module \--with-pcre \--with-pcre-jit \--with-file-aio \--with-http_dav_module

    [root@linux-node1 openresty-1.13.6.2]#gmake && gmake install

    ④测试openresty安装

    [root@linux-node1 ~]#vim /usr/local/openresty/nginx/conf/nginx.confserver

    {    location /hello

    { default_type text/html;

    content_by_lua_block {

    ngx.say("HelloWorld")

    }

    }

    }

    ⑤测试并启动nginx

    [root@linux-node1 ~]#/usr/local/openresty/nginx/sbin/nginx -t

    [root@linux-node1 ~]#/usr/local/openresty/nginx/sbin/nginx

    3、WAF部署

    ①在github上克隆下代码

    [root@linux-node1 ~]#git clone https://github.com/unixhot/waf.git[root@linux-node1 ~]#cp -a ./waf/waf /usr/local/openresty/nginx/conf/

    ②修改Nginx的配置文件,加入(http字段)以下配置。注意路径,同时WAF日志默认存放在/tmp/日期_waf.log

    [root@linux-node1 ~]# cd /usr/local/openresty/nginx/conf

    [root@linux-node1 conf]# vim nginx.conf

    #WAFlua_shared_dict limit50m;

    #防cc使用字典,大小50

    Mlua_package_path"/usr/local/openresty/nginx/conf/waf/?.lua";    init_by_lua_file"/usr/local/openresty/nginx/conf/waf/init.lua";    access_by_lua_file"/usr/local/openresty/nginx/conf/waf/access.lua";

    [root@linux-node1 ~]# /usr/local/openresty/nginx/sbin/nginx –t

    [root@linux-node1 ~]# /usr/local/openresty/nginx/sbin/nginx -s reload

    ③根据日志记录位置,创建日志目录

    [root@linux-node1 ~]#mkdir /tmp/waf_logs[root@linux-node1 ~]#chown nginx.nginx /tmp/waf_logs

    备注:

    我已经将我们生产环境中的nginx+waf的配置文件上次上去,下载链接http://download.csdn.net/detail/m0_37886429/9869230

    4、waf的模块

    ①配置模块

    waf安装好以后,不要直接上生产,而是先记录日志,不做任何动作。确定wafF不产生误杀

    config.lua配置模块

    [root@linux-node1 waf]# pwd/usr/local/openresty/nginx/conf/waf

    [root@linux-node2 waf]# cat config.lua--WAF config file,enable = "on",disable = "off" --waf status    config_waf_enable ="on"

    #是否开启配置--log dir config_log_dir ="/tmp/waf_logs"

    #日志记录地址--rule setting config_rule_dir ="/usr/local/nginx/conf/waf/rule-config"

    #匹配规则缩放地址--enable/disable white url config_white_url_check ="on"

    #是否开启url检测--enable/disable white ip config_white_ip_check ="on"

    #是否开启IP白名单检测--enable/disable block ip config_black_ip_check ="on"

    #是否开启ip黑名单检测--enable/disable url filtering config_url_check ="on"

    #是否开启url过滤--enalbe/disable url args filtering config_url_args_check ="on"

    #是否开启参数检测--enable/disable user agent filtering config_user_agent_check ="on"

    #是否开启ua检测--enable/disable cookie deny filtering config_cookie_check ="on"

    #是否开启cookie检测--enable/disable cc filtering config_cc_check ="on"

    #是否开启防cc攻击--cc rate the xxx of xxx seconds config_cc_rate ="10/60"

    #允许一个ip60秒内只能访问10次--enable/disable post filtering config_post_check ="on"

    #是否开启post检测--config waf output redirect/html config_waf_output ="html"

    #action一个html页面,也可以选择跳转--if config_waf_output ,setting url config_waf_redirect_url ="http://www.baidu.com"config_output_html=[[#下面是html的内容 请安全上网,注意操作规范。 ]]

    备注:”请安全上网,注意操作规范” 这个字段可以随意更改,安装自己的需求来。

    ②access.lua 规则模块

    [root@linux-node1 waf]# pwd/usr/local/openresty/nginx/conf/waf

    [root@linux-node2 waf]# cat access.luarequire'init'functionwaf_main()

    if white_ip_check()

    then else if black_ip_check()

    then else if user_agent_attack_check()

    then else if cc_attack_check()

    then else if cookie_attack_check()

    then else if white_url_check()

    then else if url_attack_check()

    then else if url_args_attack_check()

    then--elseif post_attack_check()

    then else returnendendwaf_main()

    检测顺序:先检查白名单,通过即不检测;再检查黑名单,不通过即拒绝,检查UA,UA不通过即拒绝;检查cookie;URL检查;URL参数检查,post检查;

    启用waf并测试,模拟sql注入即url攻击,显示效果如下 ()

    日志显示如下,记录了UA,匹配规则,URL,客户端类型,攻击的类型,请求的数据

    ④使用ab压测工具模拟防cc攻击

    [root@linux-node3 ~]# ab -c 100 -n 100 http://192.168.88.133/index.php

    ⑤ 模拟ip黑名单

    将请求ip放入ip黑名单中[root@linux-node1 rule-config]# echo “192.168.88.1” >>/usr/local/openresty/nginx/conf/waf/rule-config/blackip.rule

    显示结果如下

    ⑥模拟ip白名单

    将请求ip放入ip白名单中,此时将不对此ip进行任何防护措施,所以sql注入时应该返回404

    [root@linux-node2 rule-config]# echo “192.168.88.1” >>/usr/local/openresty/nginx/conf/waf/rule-config/whiteip.rule

    显示结果如下

    ⑦模拟URL参数检测

    浏览器输入192.168.88.133/?a=select * from table

    显示结果如下

    详细规定在arg.rule中有规定,对请求进行了规范

    bash[root@linux-node1 rule-config]#/usr/local/openresty/nginx/conf/waf/rule-config/cat args.rule\.\./\:\$\$\{select.+(from|limit)(?:(union(.*?)select))having|rongjitestsleep\((\s*)(\d*)(\s*)\)benchmark\((.*)\,(.*)\)base64_decode\((?:from\W+information_schema\W)(?:(?:current_)user|database|schema|connection_id)\s*\((?:etc\/\W*passwd)into(\s+)+(?:dump|out)file\s*group\s+by.+\(xwork.MethodAccessor(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(xwork\.MethodAccessor(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/java\.lang\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[\

    参考:

    1.openresty :

    https://github.com/openresty/lua-nginx-module#lualuajit-bytecode-support

    2.安装 :

    https://blog.csdn.net/m0_37886429/article/details/73178889

    https://blog.csdn.net/m0_37886429/article/details/73178889

    3.luajit:

    http://luajit.org/download.html

    4.策略:

    https://github.com/unixhot/waf

    展开全文
  • 构建自己防火墙的原因 : 需要对特定链接进行防cc攻击 但对某些链接不需要进行防cc攻击技术选型: 基于 nginx + lua 的 verynginx1、首先verynginx 需要nginx 编译安装模块 或者使用openrestylua-nginx-modulehttp_...

    a443d1b5849be1c9241920ff5974ac83.png

    35cc7e272331c9ef19f9a36ca5bcc73b.png

    构建自己防火墙的原因 : 需要对特定链接进行防cc攻击  但对某些链接不需要进行防cc攻击

    技术选型: 基于 nginx + lua 的 verynginx

    1、首先verynginx 需要nginx   编译安装模块  或者使用openresty

    lua-nginx-module

    http_stub_status_module

    http_ssl_module

    2、verynginx 自带的openresty(nginx)安装脚本  可以一键安装 因为我使用的是宝塔面板 不能使用他的一键安装脚本 或者你可以自己安装openresty   安装连接http://openresty.org/cn/installation.html

    3、下面开始安装  verynginx

    [root@localhost]git clone https://github.com/alexazhou/VeryNginx.git #克隆verynginx仓库

    [root@localhost]mkdir -p /opt/verynginx #创建 vernginx 安装目录

    [root@localhost]cd verynginx #进入verngin目录

    [root@localhost]cp -r -f ./verynginx /opt/verynginx 复制文件

    4、将下面三条代码放入 nginx  http 配置块外部,http 配置块内部,server 配置块内部,

    include /opt/verynginx/verynginx/nginx_conf/in_external.conf;

    include /opt/verynginx/verynginx/nginx_conf/in_http_block.conf;

    include /opt/verynginx/verynginx/nginx_conf/in_server_block.conf;

    5、注意如果开起了nginx vhost模式 有个server 模块就要放几个server 这时候重载 openresty (nginx)配置或者重启就可以  访问响应域名后面加上 vn/index

    6、遇到的坑 首先系统后台是使用thinkphp 开发这是时候 我发现 明明开启了防止下载 sql文件 但是我访问  http://demo.com/1.sql 是无法触发拦截规则的  伪静态如下:

    location / {

    if (!-e $request_filename){

    rewrite ^(.*)$ /index.php?s=$1 last; break;

    }

    }

    #问题出此案在 if这个判断 !-e $request_filename 这句代表如果不存在文件的话会直接 执行 rewrite规则 也就是说我访问的是 http://demo.php/1.sql 因为目录下没有 1.sql 其实域名实际访问的是 http://demo.php/index.php?s=1.sql 所以没有触发下载限制 但当 目录下存在 1.sql 就会出现警告 没有的话 报的404 是thinphp返回的 所以虽然没有触发 但对于安全还是有用的

    7、请求访问顺序

    Nginx Rewrite -> VeryNginx Rewrite -> Nginx aceess -> VeryNginx Access

    8、有兴趣的小伙伴可以给我留言一起探讨 nginx waf防火墙  lua是天生适合做nginx waf语言

    展开全文
  • WAF应用防火墙

    千次阅读 2019-06-03 17:02:47
    WAF学习笔记: 技术攻击: (OWASP Top-10) SQL Injection 参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 什么时候可能发生SQL Injection:假设我们在浏览器中输入URLwww.sample.com,...

    WAF学习笔记:

     

           技术攻击:

     

    (OWASP Top-10)

    • SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

    什么时候可能发生SQL Injection:假设我们在浏览器中输入URL www.sample.com,由于它只是对页面的简单请求无需对数据库动进行动态请求,所以它不存在SQL Injection,当我们输入www.sample.com?testid=23时,我们在URL中传递变量testid,并且提供值为23,由于它是对数据库进行动态查询的请求(其中?testid23表示数据库查询变量),所以我们可以该URL中嵌入恶意SQL语句。

    如何防止SQL Injection

    总的来说有以下几点:

    1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。

    2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

    3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

    4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

    5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信息存放在独立的表中。

     

    通过正则表达校验用户输

    参考:正则表达式https://www.runoob.com/regexp/regexp-syntax.html

    元字符  https://www.runoob.com/regexp/regexp-metachar.html

    运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

    匹配规则  https://www.runoob.com/regexp/regexp-rule.html

    示例  https://www.runoob.com/regexp/regexp-example.html

    在线测试  https://c.runoob.com/front-end/854

     

    正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符

    然后继续校验输入数据中是否包含SQL语句的保留字,如:WHEREEXECDROP

     

     

    • Broken Authen./Session Management

    参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

    Broken Authentication:在应用程序中,如果验证和会话(Session)管理的功能没有正确实现时,导致攻击者可以窃取用户密码,会话令牌或利用其他漏洞来伪装成其他用户身份。

    应该牢记在心充足的数据加密可以确保用户身份验证数据安全性,实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程:

    1.通过存储持久数据层的加密(关于数据加密请参看这里这里)。

    2.正确使用 SSL。

    Cookie一个不太常被使用的属性是Secure. 这个属性启用时,浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务,比如登录或者付款,需要使用HTTPS来保证内容的传输安全;而在用户成功获得授权之后,获得的客户端身份Cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面中拿到,从而造成重要的身份泄露。所以,在我们的Web站点中,如果使用了SSL,那么我们需要仔细检查在SSL的请求中返回的Cookie值,是否指定了Secure属性。

    本文介绍了验证破坏和会话劫持攻击,通过具体的例子介绍了会话(Session)在浏览器中的工作原理,通过Cookie来保持身份认证的服务端状态,这种保持可能是基于会话(Session)的,也可以是通过在Url中嵌入SessinId持久化。

    接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

    最后,介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

     

    • Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考:av32599703

     

    涉及:攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本,脚本执行后窃取用户信息 比如cookie,再发送到攻击者的网站,这就是跨站。

     

     

     

    挂马:

     

     

     

     

     

     

     

    防止XSS攻击的方法:

    输入处理

    1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字,但不可过滤如富文本编辑器里的内容,可根据需求添加关键字。

     

    输出处理:

     

    对动态输出内容进行编码和转义(根据上下文转义)

    转义网站:html entities 即html实体。

    将用户的cookie设置为http-only

     

     

     

    • Insecure Direct Object Reference   不安全的直接对象引用

     

    • Security Misconfiguration  安全配置错误
    • Sensitive Data Exposure   敏感数据曝光
    • Missing Function Level Access Control  缺少功能级别访问控制
    • Cross Site Request Forgery  跨现场请求伪造
    • Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

    Unvalidated Redirects and Forwards  未经验证的重定向和转发

    •  

     

    自动化攻击

    (OWASP Top-20)

     

    Account Creation and Aggregation

    Credit Carding, Card Cracking

    Credential Cracking, Stuffing

    DDoS Attacks

    Fingerprinting, Footprinting

    Site Scraping

    Comment Spamming

    Skewing, Spamdexing

    Token Cracking

    Vulnerability Scanning

     

     

    FW/IDS/IPS/WAF等安全设备部署方式及优缺

    https://blog.csdn.net/chenyulancn/article/details/78927916

     

     

    IPS(Intrusion Prevention System)即入侵防御系统。IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式,对于模式库中不能识别出来的攻击,默认策略是允许访问的。

     

    Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

     

    我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

     

     

    DDoS Protection DDoS 保护

    Virtual Patching 虚拟修补

    Correlated Attack Validation 相关的攻击验证

    Fraud Connectors  欺诈连接器

    Account Takeover Protection  账户接管保护

    IP Geolocation IP 地理位置

    Bot Mitigation Policies 机器人缓解政策

    Anti-Scraping Policies 防刮除策略

    IP Reputation 知识产权声誉

    Dynamic Profiling 动态分析

    Cookie Protection cookie 保护

    Protocol Validation 协议验证

    Attack Signatures 攻击签名

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    重点:Imperva 的技术创新 – 专利技术

     

     

    动态建模:Web 模型学习,基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

      Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量,例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术,只需少量甚至无需手动调整即可了解应用程序结构和用途,从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

      Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联,可实现高精密阻止攻击。

     

    Imperva产品特有技术:透明检测专利技术。

    ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分,可保护所有 WAF 网关远离各种新兴的应用程序威胁。

      ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全,无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务,ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

      漏洞扫描程序会给组织带来严重威胁,因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备,往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究,恶意扫描程序 IP 源基于 Imperva ThreatRadar 社区防御系统参与者的众包攻击数据制定而成,并通过 Imperva 应用程序防御中心 (ADC) 进行分析。组织可使用此信誉源来阻止认定是在扫描多个网站中漏洞的 IP 地址。

      解决垃圾评论问题对于组织而言是一个非常耗费时间的任务。在垃圾评论张贴后,组织通常需要手动编辑内容以外的垃圾评论,或依靠论坛版主来过滤出个别帖子。本技术概要详细介绍了 Imperva 的应用程序防御中心 (ADC) 对一段时间内垃圾评论发布者行为进行的研究。凭借识别最活跃的攻击者的能力,组织可阻止来自认定是张贴垃圾评论的 IP 地址的流量。基于 Incapsula(Imperva 的基于云的 Web 应用程序防火墙服务)生成的匿名攻击数据,Imperva 制定了垃圾评论 IP 源。

    Imperva 统一用户跟踪技术运用了两种主要的用户识别方法,可准确识别最终用户,无论用户以何种方式访问数据库。 应用程序用户跟踪可对那些通过应用程序直接连接到数据库的用户进行跟踪。 相反,直接用户跟踪,顾名思义会对通过标准 SQL 客户端直接连接到数据库的用户进行跟踪。

     

    关联攻击验证:智能的误判机制。Imperva 的相关攻击验证可分析多个数据点(例如协议漏洞、攻击特征、数据泄露特征、用户信誉及与过往行为的差异之处等),为客户提供准确保护,防止发生恶意活动。 本技术概要阐述了相关验证攻击如何对抗高级多向攻击、持续且讲究方法的侦测活动以及自动化攻击。

     

     

    特点:多层次平行检查、

     

    Protocol validation ———http协议合规:比如“心脏流血”通过443发送的是异常的数据包。

    Attack signatures:签名机制

    Application profile:应用程序配置文件,白名单,识别可疑事件、行为

    Data leak prevention:检查返回内容是否有敏感内容,银行

    ThreatRadar:威胁雷达,阻止恶意用户。

    安全球体采用深度防御方法来保护 Web 应用程序。第一层过滤利用 HTTP 协议本身的 HTTP 协议冲突和攻击。例如, 尝试使用 HTTP 请求的异常大的标头进行缓冲区溢出。 下一层是签名层, 用于标识已知的应用程序、平台和网络攻击。安全球体有一个包含6500签名的数据库, 由应用防御中心的专家每周更新一次。 下一层是 "应用程序配置文件" 或 "白" 列表。这就是 SecureSphere 将应用程序的实际使用情况与模型中的预期使用情况进行比较的地方, 以识别可疑事件或可疑用户行为。稍后我们将讨论 Imperva 动态分析或自动学习和适应应用程序更改的能力。 下一层是数据泄漏防护层, 这将在需要时检测敏感数据 (如信用卡数据或个人身份信息)。当敏感数据退出应用程序时, Secursphere 能够看到, 管理员可以确保该数据的合法使用。 最后一层是 ThreatRadar, 即安全球体基于信誉的安全性。ThreatRadar 评估用户和网站的声誉, 以便对 web 请求做出更准确、更明智的决策。

     

     

    为了保护应用程序不受复杂 web 应用程序的影响, 它需要对应用程序有很大的了解。这意味着了解每个元素: Url、目录、参数、用于调用这些不同 Url 的方法, 甚至是通常用于会话跟踪的 cookie。而这只是个开始。 有了使用动态内容和 JavaScript 的 Web 服务应用程序和 Web 2.0 应用程序, 它实际上变得更加复杂, 除此之外, 您还必须了解与所有这些元素相关的预期用户行为。其结果是, 为了准确保护应用程序, 您需要一个能够随着时间的推移自动生成和更新该应用程序的模型的解决方案。

     

     

     

     

    此图显示配置文件随时间的变化情况。此图显示了为实际的 Secursphere 零售客户分析的网页数, 图表显示了随着时间的推移而发生的配置文件更改, 因为 Secursphere 首先了解了应用程序, 然后自动适应随时间变化的变化。在初始阶段, 您会看到很多变化--这是 Securhere 首次学习应用程序的时候, 但在接近月底时, 您会看到更改的数量显著减少, 但尚未变为零。这是因为几乎每一个应用程序, 我们看到的变化几乎每天。我们可以在稳定状态下每周看到5到15次更改, 并且使用无法自动执行安全模型的解决方案, 管理员通常会花费1到2个小时每次更改, 以便了解更改发生了什么, 了解更改是什么, 找出这是否对安全模型有任何影响, 然后实现。 因此, 当我们说每周5到15次更改时, 这通常相当于无法自动化的解决方案的5-30小时配置。此图表示安全球体自行学习这些更改, 真正减少了维护解决方案所需的时间。 请注意, Securehere 可以自动学习更改, 而无需任何手动干预 (例如, 需要手动接受新页面, 需要额外的规则或正则表达式来考虑使用偏差)。这意味着安全球体将在不阻塞合法通信的情况下保护应用程序。

     

     

    Eg:应用防火墙识别的是内网AD上的用户,WAF识别的是所有使用的用户。原理大概是学习用户登录页面,参数代表,成功/失败登录,引进用户概念。

     

    准确性的另一个关键组成部分与阻塞有关, 并且能够在特定的用户级别进行阻止。除了学习应用程序结构, SecureSphere 还可以学习登录 Url、用户如何登录, 以及如何了解这是成功还是失败的登录。然后, Securehere 可以在该用户的会话中跟踪该用户的时间。在需要执行操作的情况下, 安全球体可以对用户执行操作, 而不仅仅是对 IP 地址执行操作。对于观众中的那些技术, 你会明白为什么这很重要。IP 地址很容易被欺骗, 攻击者可以从一个 IP 地址跳转到另一个 ip 地址, 然后合法用户通常隐藏在单个 IP 地址后面, 因为他们可能通过代理访问 Internet。因此, 如果 Web 应用程序防火墙仅基于 IP 地址阻止, 很可能会给合法用户带来很多头疼的问题, 而不是对攻击者真正的威慑。因此, 精确的阻止--在应用程序用户级别进行阻止的能力--是 Web 应用程序防火墙所需精度的一个关键组成部分。这就是安全球体所提供的。

     

     

     

     

     

    eg:profile预判sql类型,输出不符合预判则报错。

    让我们举一个需要相关攻击验证的示例。因此, 在此请求中, 第一层 (协议验证层) 看到请求使用 Unicode 进行编码, 这种情况并不常见, 但不一定是攻击。应用程序配置文件层在应用程序中看到一些可疑的行为, 可能表单字段输入比预期的要长, 并且窗体字段输入的类型也不完全是预期的类型。这可能表示攻击, 但同时也可能表示用户的错误, 甚至可能是应用程序中的更改。攻击签名层还标识 JavaScript 的可疑签名。同样, 这可能是一种攻击, 但也可能只是一个角落的情况下, 或者是一个新的用法或应用程序的合法用法。但是, 当这三种情况都发生在同一请求中时, Securhere 能够关联该信息, 然后准确地识别跨站点脚本攻击。这就是安全球体如何能够在很少或零误报的情况下实现行业内最高的准确率。

     

    安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

    本幻灯片显示了 ADC 如何进行研究。它从各种来源调查世界各地报告的新威胁, 并进行自己的独立研究。当 ADC 提出新的防御措施时, 它将信息广播到安全球体部署, 新的防御可以自动安装在安全球体部署中。

     

     

     

    安全领域提供了统一的管理基础结构, 提供了集中管理的功能。管理员可以从单个控制台管理所有安全球体设备, 并在该控制台上获得集成的警报和报告。它还提供了新的安全球体设备的部署, 因为这些设备是从 MX 管理服务器自动配置的。 所需要的只是将它们安装在网络中, 将它们指向 MX 管理服务器, 然后它们将从 MX 下载它们的配置。 SecureSphere 还提供了更高级的证书身份验证, 因此您可以将其集成到用户设置系统的其余部分。 最后, 所有这些都是通过一个简单的 Web 浏览器界面来实现的, 该界面通过安全通道连接到 MX 管理服务器。

     

     

    实时仪表板提供了对系统状态以及实时发生的安全警报的一目了然的检查。正如您在这里看到的, 您可以看到系统 CPU 上的负载、它所看到的每秒的连接、按严重程度查看警报的饼图, 以及显示的各个警报以及随着时间的推移而发生的系统事件。

     

     

     

    安全球体提供了安全事件的完整可见性。这是安全球体界面中安全警报的屏幕截图。您可以看到, 如果用户的用户名来自用户跟踪功能、来自 Web 服务器的响应代码 (如果可用)、完整的 HTTP 请求。安全球体突出显示触发此警报的请求的相关部分。在警报中, 只需单击一下, 即可轻松查看安全策略、了解有关攻击类型的详细信息并创建安全规则例外。

     

    总之, Securehere 是业界领先的 Web 应用程序防火墙。它提供了多层防御的精确保护, 并为相关攻击验证提供了独特的技术, 使其成为市场上最准确的解决方案。 通过灵活的部署选项, 安全球体可以透明地部署到几乎任何环境中。使用 SecureSphere, 管理员和网络操作人员不必担心更改应用程序, 也不必担心更改网络。 最后, 通过动态分析和自动安全更新以及信誉数据馈送, SecureSphere 提供了简单、自动化的管理, 即使应用程序会随着时间的推移而变化。 这就是为什么安全球体 Web 应用程序防火墙是市场上领先的 Web 应用程序防火墙的原因。

     

     

     

     

     

    Eg:反向代理相比透明桥 设备性能会下降30%~40%

    旁路监听:相比前二者100%的阻断,阻断原理不同(利用tcp reset,效果不佳,可以用于测试,不建议用于真实环境)

     

     

    安全球体支持业界最广泛的部署选项。最常见的选项是透明内联桥接。这在网络堆栈的第2层运行, 类似于网络交换机。它支持完全执行、非常高性能和非常低的延迟。通常情况下, 将在不更改网络环境的情况下安装内联桥。SecureSphere 还包括故障打开接口, 因此, 如果设备因其他原因断电或出现故障, 它实际上只会失败打开 (卡将自动桥接连接), 并且流量仍将流动。当然, 如果您想对应用程序采取这种安全姿态, 您可以选择关闭失败。 SecureSphere 还支持透明和反向代理模式, 这些模式为内容修改功能 (如 URL 重写、cookie 签名甚至 SSL 终止) 提供了高性能引擎。 最后, SecureSphere 支持非内联部署。这主要用于仅监视部署和部署, 在这些部署中, 客户希望确保在将 SecureSphere 安全模型内联以主动保护其应用程序之前, 准确了解其工作原理。

     

    透明桥,二层桥只转发不修改,速度快,对业务无影响。

    透明代理不传port tunnel、 ip sec等。优点如上图。

     

     

     

    透明检测技术:waf部署多为透明桥。在透明引擎里有一个内存存放类似影子(shadow)的堆栈,堆栈确保数据传输方式一致。传输单位是Frame,影子引擎堆栈会拷贝继续传输大部分只留一小部分,若无问题则传输剩下的一小部分,相比未传输的只延后一两个数据包。若有问题则会有重置的tcp包。

     

     

     

     

     

     

     

     

     

     

     

    IMPERVA WAF应用场景

     

    Imperva 安全球体 Web 应用程序防火墙解决了困扰组织内多个不同组的安全问题。了解不同的用例以发现可能影响组织其他部分的问题非常重要。此处未显示但通常受所有这些用例影响的组是 IT 安全团队。 使用案例包括: Web 应用程序保护, 这主要意味着停止 Web 应用程序攻击, 如 SQL 注入、跨站点脚本和远程文件包含 应用程序虚拟修补 应用程序分布式拒绝服务或 DDoS 保护 网站刮擦预防, 例如竞争对手窃取您网站上的数据并在自己的网站上重新发布 防止欺诈, 以阻止基于恶意软件的欺诈和浏览器中的人攻击 旧式应用程序安全性, 以保护旧的旧的旧应用程序的漏洞。 托管应用程序保护, 以保护外部或云中托管的 Web 应用程序的安全。 现在, 我们将查看这些用例, 并展示安全球体如何帮助组织应对这些重大挑战。

     

     

     

    我们要研究的第一个用例是 Web 应用程序保护, 由于它是一个重要的用例, 我们将检查不同的 Web应用程序威胁以及 Secursphere 是如何缓解这些威胁的。 第一个是一家跨国公司, 遭到黑客组织 "匿名" 的袭击。因佩瓦目睹了在25天内发生的袭击事件。它首先是通过尼科托和阿库奈蒂等扫描仪招募活动和应用探索。这些扫描试图发现 Web 漏洞。 在第二阶段, 匿名者转向攻击工具, 如 Havij SQL 注入工具, 试图破解网站。他们还利用匿名代理等匿名服务来掩盖自己的身份。在这两个阶段, Imperva 阻止了所有攻击。 当技术攻击失败后, 匿名者转向 DDoS 攻击, 试图关闭网站。他们使用 LOIC 或低轨道离子加农炮和新的移动版本的攻击工具来中断应用程序访问。流量激增, 但安全球体能够缓解这种基于 web 的 DDoS 攻击。

     

     

     

     

     

    安全球体 Web 应用程序防火墙提供了阻止匿名和其他黑客团体、网络犯罪分子和国家支持的黑客等威胁所需的防御。 首先, SecureSphere 提供了多层防御, 以阻止利用应用程序漏洞 (如 SQL 注入和跨站点脚本) 的技术攻击。安全球体提供动态分析, 以学习受保护的应用程序并识别异常活动。攻击签名可阻止已知的攻击。HTTP 协议验证可防止重复编码和冗余标头等逃避技术。SecureSphere监视 cookie 和会话, 并可以对 cookie 进行签名或加密, 以阻止 cookie 中毒和会话劫持攻击。而 IP 信誉意识识别已知的恶意用户。SecureSphere 提供了更多的防御功能, 如 Web 蠕虫保护和数据泄漏保护, 但这些都是阻止技术攻击的最重要的。

    此外, SecureSphere 停止业务逻辑攻击, 如网站擦除、评论垃圾邮件、参数篡改和应用程序 DDoS。它使用基于信誉的安全和预定义的安全策略来检测过多的请求和机器人。此外, SecureSphere 还提供了地理位置来检测和阻止来自不受欢迎国家的来源。 

     最后, SecureSphere 通过其恶意软件欺诈检测功能防止欺诈。我们还提供了预定义和自定义的策略, 可以将这些防御结合起来, 以进行极其准确的攻击检测。

     

     

     

     

     

     

     

     

     

     

    在攻击的第一阶段, 匿名者扫描了站点的漏洞。基于因珀瓦应用防御中心或 ADC 的最新安全签名和策略, SecureSphere 能够检测并停止探测器。ADC 不断调查世界各地报告的新威胁, 并开展初步研究, 以发现未报告的脆弱性。然后, 它将新的攻击签名和 ADC 策略分发到安全球体 web 应用程序防火墙设备。通过检测已知的 Web 攻击和已知的扫描仪代理, Securehere 能够减轻攻击。

     

     

    在第二阶段, 匿名转向 SQL 注入、跨站点脚本和远程文件包含等攻击。对于 SQL 注入等高级攻击, Securehere 首先应用签名来检测已知的攻击。明确的攻击被阻止。具有配置文件、HTTP 协议或其他签名冲突的其他请求将发送到 SQL 注入引擎, 该引擎使用 regex 代码检查配置文件冲突、SQL 攻击关键字和处理可疑字符串以识别攻击。 大多数 WAFs 只是依靠签名或特征违规来阻止攻击。他们不检查违规行为, 如个人资料违规, 以及攻击签名来评分请求。这意味着其他 Waf 更有可能产生误报, 并且无法检测到更复杂的 SQL 注入攻击。Imperva 提供了最佳、最准确的攻击检测功能, 可用于准确阻止 Web 攻击。

     

    在攻击的第三阶段, 匿名者依靠志愿者来攻击网站。他们使用 LOIC 或低轨道离子加农炮和移动版本的工具来攻击目标网站。安全球体可以通过其默认的 DDoS 攻击模板或通过自定义 DDoS 策略检测攻击, 这些策略可识别一段时间内请求数量过多、url 格式错误和未知的 HTTP 方法。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    如果将 Web 应用程序防火墙与入侵防御系统和下一代防火墙进行比较, 则差异是显而易见的。 虽然这些产品可能包含少量攻击签名, 但它们在阻止 Web 应用程序攻击方面并不有效。它们没有复杂的安全引擎来分析 Web 应用程序配置文件冲突、关键字和协议冲突情况, 以便正确识别 Web 攻击。其次, 他们无法阻止机器人等威胁, 也无法保护 cookie 或会话。他们通常不提供任何类型的基于声誉的保护, 如果他们提供了, 它的重点是电子邮件垃圾邮件发送者, 而不是 Web 威胁。 此外, IPS 无法阻止站点擦除和应用程序 DDoS 等业务逻辑攻击, 也无法阻止 Web 欺诈。此外, 许多 IPS 产品甚至无法解密 SSL 通信。 

     正因为如此, IPS 在试图阻止 Web 应用程序攻击时, 会出现较高的误报和误报率。此外, 黑客很容易通过使用编码或利用自定义应用程序漏洞来逃避他们。希望避免 Web 应用程序攻击的痛苦后果的企业需要部署 Web 应用程序防火墙。

     

     

     

     

     

     

    左侧图形旨在显示问题既是应用层, 也是基础结构层。右侧显示, 部分问题必须在外围解决, 而部分问题必须在边界内解决 (在外界外不被注意)。它还表明, 我们放置在较高层的任何解决方案都依赖于在较低层采用其他缓解解决方案。例如, WAF 假定有人正在处理 SYN 洪泛或网络管道耗尽。(SYN攻击利用的是TCP三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应 [2]  报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接主机资源将被耗尽,从而达到攻击的目的。)

     

     

     

     

     

     

     

     

     

     

    网上购票面临着几个挑战。首先, 和许多在线网站一样, 它也是网络攻击的目标。但它也面临着一个独特的挑战: 机器人不断在网上买票, 窃取票的信息。机器人用不必要的流量封锁了网站。 他们已经从 f 5 购买了 WAF, 但无法跟上公司的业绩和安全要求。因此, 该公司对 SecureSphere 进行了评估, 并对其阻止 SQL 注入等技术攻击的能力非常满意, 也因为它可以阻止自动攻击。 借助 SecureSphere, 在线票务交换能够在不影响 Web 应用程序性能的情况下保护其网站。SecureSphere能阻止占公司网络流量25% 的自动攻击和机器人。

     

     

     

     

     

     

     

     

     

     

    Anti Bot:判断是否是正常网站浏览。

    Anti scraping:防刮。

    防频率,慢速DDoS防御。

    DDOS IP feed?

     

     

     

     

     

     

     

     

     

    在线交换依靠 SecureSphere 的机器人缓解技术来检测和阻止来自机器人的访问。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    为了了解 ThreatRadar 是如何工作的, 首先威胁雷达在全球范围内跟踪攻击源。基于卓越的第三方资源 (如 Cyvel监视、D和thatradar 服务器) 收集有关已知恶意 IP 地址、匿名代理、Tor (傻瓜)网络和网络钓鱼网站的信息。 然后, ThreatRadar 服务器全天候将此信息分发到安全球体 WAF 设备, 以确保 Waf 具有针对已知攻击源的最新保护。 有了这些信息, 安全球体可以阻止或警报已知的恶意源。威胁雷达检测可以与其他策略 (如浏览器代理和细粒度控制请求的频率) 相结合。

     

     

     

     

     

     

     

     

     

    除了阻止已知的恶意来源外, ThreatRadar 信誉服务还允许企业按地理位置监视和阻止访问。

     

     

     

     

    一家金融服务公司面临着几个网站挑战。 首先, 安全团队发现竞争对手在刮和重新公布公司的股票选秀权。其次, 广告垃圾邮件发送者正在向该公司的论坛投放广告。 最后, 当他们试图使用现有的 IPS 解决方案来阻止 Web 攻击时, 他们只是在不阻止攻击的情况下产生了大量噪音。 该公司利用安全球的网站刮擦政策, 阻止了刮擦攻击。而且, 通过使用策略阻止大多数评论垃圾邮件, 他们减少了手动检查论坛所花费的时间。 有了安全球体, 他们还能够以极低的误报率阻止网络攻击。

     

     

    Google capture(采集 捕获): 安全环球 WAF 帮助金融服务公司的战斗现场刮起它的: 机器人缓解技术, 可检测自动刮擦网站的机器人和工具。基本上, SecureSphere 向最终用户的客户端发送透明的 JavaScript 质询。如果客户端可以处理 JavaScript 并存储 cookie, 则 Secursphere 将其视为常规 Web 浏览器。如果客户端不能, 则它是脚本或机器人。 反刮擦策略检测到对唯一 Url 的过度请求, 这表明是刮擦攻击。上述两种策略都可以与其他规则结合使用, 以精确的精度阻止刮擦。例如, 用户可以将这些策略限制为已知的、刮擦的 Url。策略还可以查看浏览器代理 ID, 或查看客户端是否来自匿名代理或 Tor 网络来检测和停止刮板。

     

     

     

     

     

     

     

     

     

     

     

            财富100美国银行继承了一份国库申请, 作为收购另一家银行的一部分。Web 应用程序扫描发现, 该应用程序有57个漏洞, 需要数百万美元才能修复。 收购银行不允许易受攻击的应用进入自己的数据中心。因此, 他们需要快速修复应用程序或付费以保持旧数据中心的打开状态, 以便承载旧版应用程序。他们计划更换应用程序, 他们不想投入大量资源来手动修复漏洞。 通过安全球体 WAF, 银行能够缓解扫描发现的所有漏洞。银行进行的定期扫描证实, 国库申请仍然是安全的。

     

     

     

     

     

     

     

            五星们扫描了银行的遗留应用程序, 发现了漏洞。 安全球体 Web 应用程序防火墙提供了一组广泛的默认安全策略, 可在开箱即用的情况下缓解几乎所有漏洞。 用户可以创建自定义签名或策略来阻止其他类型的威胁, 如特定于应用程序的探测器或错误消息。 此处显示的自定义签名标识利用远程文件的尝试, 其中包括漏洞。通过默认策略和多个自定义策略, 银行能够修复旧版应用程序中的所有漏洞。

     

     

     

     

     

     

     

     

     

                 SecureSphere 提供了 25+ 匹配条件供客户选择,实现强大的管理功能 Session:WAF定义的是http的session,非防火墙。 安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

     

     

     

     

     

    黑盒扫描:应用漏洞扫描。 白盒扫描: 支付处理器承受着昂贵而耗时的漏洞修复周期。IT 安全团队使用 Cenzic 扫描公司的应用程序中的漏洞, 但需要由开发团队来修复这些漏洞, 开发人员还有其他优先级, 如添加新的应用程序功能。IT 安全团队知道网络犯罪分子将目标锁定在支付应用程序上, 因此安全是重中之重。 该公司选择了安全球体 WAF 来几乎修补漏洞。安全领域可以导入其扫描仪发现的漏洞, 以立即减轻这些漏洞。它还允许开发人员和安全管理员查看 Web 攻击和应用程序错误。

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

     

     

      安全球体几乎修补已知的漏洞。 如果没有安全球体, 组织必须手动修补漏洞, 这些漏洞可能需要数周或数月的时间。在此期间, 应用程序会被公开进行利用。借助 Secursphere, 组织可以立即修补漏洞, 降低安全风险, 并允许组织在没有紧急修复和测试周期的情况下按计划修补安全问题。

     

     

     

     

     

     

     

     

     

     

     

      安全球体以多种方式改进了应用程序开发过程。该软件开发生命周期展示了软件设计、测试和实现的各个阶段。当然, 开发软件还需要更多的步骤, 但我们已经对其进行了简化, 以展示 Imperva 安全球体如何提高可见性并消除紧急修复和测试周期。 首先, 开发人员必须构建和实现代码。然后, QA 必须使用手动和自动测试工具测试代码中的漏洞。通过因佩瓦的扫描仪集成, 安全球体几乎可以修补漏洞。然后, 开发人员可以修复他们的时间表上的漏洞。 然后, 应用程序开发人员必须将他们的新应用程序部署到生产环境中。一旦新应用程序上线, SecureSphere 就可以监视应用程序的滥用、阻止攻击、报告威胁并查找应用程序泄漏和错误。应用程序监视和报告提供了对黑客如何尝试利用应用程序 (从攻击方法到所针对的各个 Url 和参数) 的无与伦比的可见性。使用这些信息, 程序员可以确定其开发过程的优先级。安全球体还跟踪 web 服务器响应代码、错误、敏感数据和代码泄漏等。它可以选择存储 Web 服务器响应。使用此信息, 开发人员可以快速识别和修复应用程序错误。

     

     

     

     

     

      那么, 是什么推动了 CASB 市场呢? [下一页]嗯, 我刚才简单地提到了它, 当我提到我们开始看到更多的云应用在工作场所被用来完成事情。 因此, 它与整个基础架构迁移到云的总体趋势是一致的。 您拥有基础架构即服务 (IaaS) 平台 (如 Amazon Web 服务和 Windows Azure), 这些平台是面向客户的应用程序, 采用速度非常快。 同样, 面向员工的应用 (如 Office 365、Box 和 Salesforce) 也是基于云的企业, 可为客户提供更好的可扩展性和可访问性、更高的成本可预测性和更轻松的更新。 [下一页] 像 Sky界和 Imperva 这样的公司填补了传统安全解决方案留下的安全空白, 这些解决方案无法解决当今的云问题。 再加上员工期望 (甚至可能要求) 使用他们想要高效的云应用, 今天的 IT 正在见证某种范式的转变, 它不能再仅仅说 "不", 切断对云应用的访问。 他们必须找到一种说 "是" 的方法, 使他们支持的员工能够利用他们想要使用的云应用来提高他们的生产力。

     

     

     

     

     

    主动安全类

      和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。
      WAF:Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
      5.1 WAF部署位置
      通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
      5.2 WAF部署模式及优缺点
      透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。

      部署模式1 透明代理模式(也称网桥代理模式)
      透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。
      这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。 
      部署模式2 反向代理模式
      反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。
      这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
      

     

    部署模式3 路由代理模式
      路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。
      这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

     

    部署模式4 端口镜像模式
      端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。
      这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。

     

     

    窗体顶端

     

     

     

    Imperva云安全方案

     

     

     

     

     

     

    WAF学习笔记:

     

           技术攻击:

     

    (OWASP Top-10)

    • SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

    什么时候可能发生SQL Injection:假设我们在浏览器中输入URL www.sample.com,由于它只是对页面的简单请求无需对数据库动进行动态请求,所以它不存在SQL Injection,当我们输入www.sample.com?testid=23时,我们在URL中传递变量testid,并且提供值为23,由于它是对数据库进行动态查询的请求(其中?testid23表示数据库查询变量),所以我们可以该URL中嵌入恶意SQL语句。

    如何防止SQL Injection

    总的来说有以下几点:

    1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。

    2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

    3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

    4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

    5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信息存放在独立的表中。

     

    通过正则表达校验用户输

    参考:正则表达式https://www.runoob.com/regexp/regexp-syntax.html

    元字符  https://www.runoob.com/regexp/regexp-metachar.html

    运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

    匹配规则  https://www.runoob.com/regexp/regexp-rule.html

    示例  https://www.runoob.com/regexp/regexp-example.html

    在线测试  https://c.runoob.com/front-end/854

     

    正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符

    然后继续校验输入数据中是否包含SQL语句的保留字,如:WHEREEXECDROP

     

     

    • Broken Authen./Session Management

    参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

    Broken Authentication:在应用程序中,如果验证和会话(Session)管理的功能没有正确实现时,导致攻击者可以窃取用户密码,会话令牌或利用其他漏洞来伪装成其他用户身份。

    应该牢记在心充足的数据加密可以确保用户身份验证数据安全性,实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程:

    1.通过存储持久数据层的加密(关于数据加密请参看这里这里)。

    2.正确使用 SSL。

    Cookie一个不太常被使用的属性是Secure. 这个属性启用时,浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务,比如登录或者付款,需要使用HTTPS来保证内容的传输安全;而在用户成功获得授权之后,获得的客户端身份Cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面中拿到,从而造成重要的身份泄露。所以,在我们的Web站点中,如果使用了SSL,那么我们需要仔细检查在SSL的请求中返回的Cookie值,是否指定了Secure属性。

    本文介绍了验证破坏和会话劫持攻击,通过具体的例子介绍了会话(Session)在浏览器中的工作原理,通过Cookie来保持身份认证的服务端状态,这种保持可能是基于会话(Session)的,也可以是通过在Url中嵌入SessinId持久化。

    接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

    最后,介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

     

    • Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考:av32599703

     

    涉及:攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本,脚本执行后窃取用户信息 比如cookie,再发送到攻击者的网站,这就是跨站。

     

     

     

    挂马:

     

     

     

     

     

     

     

    防止XSS攻击的方法:

    输入处理

    1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字,但不可过滤如富文本编辑器里的内容,可根据需求添加关键字。

     

    输出处理:

     

    对动态输出内容进行编码和转义(根据上下文转义)

    转义网站:html entities 即html实体。

    将用户的cookie设置为http-only

     

     

     

    • Insecure Direct Object Reference   不安全的直接对象引用

     

    • Security Misconfiguration  安全配置错误
    • Sensitive Data Exposure   敏感数据曝光
    • Missing Function Level Access Control  缺少功能级别访问控制
    • Cross Site Request Forgery  跨现场请求伪造
    • Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

    Unvalidated Redirects and Forwards  未经验证的重定向和转发

    •  

     

    自动化攻击

    (OWASP Top-20)

     

    Account Creation and Aggregation

    Credit Carding, Card Cracking

    Credential Cracking, Stuffing

    DDoS Attacks

    Fingerprinting, Footprinting

    Site Scraping

    Comment Spamming

    Skewing, Spamdexing

    Token Cracking

    Vulnerability Scanning

     

     

    FW/IDS/IPS/WAF等安全设备部署方式及优缺

    https://blog.csdn.net/chenyulancn/article/details/78927916

     

     

    IPS(Intrusion Prevention System)即入侵防御系统。IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式,对于模式库中不能识别出来的攻击,默认策略是允许访问的。

     

    Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

     

    我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

     

     

    DDoS Protection DDoS 保护

    Virtual Patching 虚拟修补

    Correlated Attack Validation 相关的攻击验证

    Fraud Connectors  欺诈连接器

    Account Takeover Protection  账户接管保护

    IP Geolocation IP 地理位置

    Bot Mitigation Policies 机器人缓解政策

    Anti-Scraping Policies 防刮除策略

    IP Reputation 知识产权声誉

    Dynamic Profiling 动态分析

    Cookie Protection cookie 保护

    Protocol Validation 协议验证

    Attack Signatures 攻击签名

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    重点:Imperva 的技术创新 – 专利技术

     

     

    动态建模:Web 模型学习,基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

      Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量,例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术,只需少量甚至无需手动调整即可了解应用程序结构和用途,从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

      Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联,可实现高精密阻止攻击。

     

    Imperva产品特有技术:透明检测专利技术。

    ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分,可保护所有 WAF 网关远离各种新兴的应用程序威胁。

      ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全,无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务,ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

      漏洞扫描程序会给组织带来严重威胁,因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备,往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究,恶意扫描程序 IP 源基于 Imperva ThreatRadar 社区防御系统参与者的众包攻击数据制定而成,并通过 Imperva 应用程序防御中心 (ADC) 进行分析。组织可使用此信誉源来阻止认定是在扫描多个网站中漏洞的 IP 地址。

      解决垃圾评论问题对于组织而言是一个非常耗费时间的任务。在垃圾评论张贴后,组织通常需要手动编辑内容以外的垃圾评论,或依靠论坛版主来过滤出个别帖子。本技术概要详细介绍了 Imperva 的应用程序防御中心 (ADC) 对一段时间内垃圾评论发布者行为进行的研究。凭借识别最活跃的攻击者的能力,组织可阻止来自认定是张贴垃圾评论的 IP 地址的流量。基于 Incapsula(Imperva 的基于云的 Web 应用程序防火墙服务)生成的匿名攻击数据,Imperva 制定了垃圾评论 IP 源。

    Imperva 统一用户跟踪技术运用了两种主要的用户识别方法,可准确识别最终用户,无论用户以何种方式访问数据库。 应用程序用户跟踪可对那些通过应用程序直接连接到数据库的用户进行跟踪。 相反,直接用户跟踪,顾名思义会对通过标准 SQL 客户端直接连接到数据库的用户进行跟踪。

     

    关联攻击验证:智能的误判机制。Imperva 的相关攻击验证可分析多个数据点(例如协议漏洞、攻击特征、数据泄露特征、用户信誉及与过往行为的差异之处等),为客户提供准确保护,防止发生恶意活动。 本技术概要阐述了相关验证攻击如何对抗高级多向攻击、持续且讲究方法的侦测活动以及自动化攻击。

     

     

    特点:多层次平行检查、

     

    Protocol validation ———http协议合规:比如“心脏流血”通过443发送的是异常的数据包。

    Attack signatures:签名机制

    Application profile:应用程序配置文件,白名单,识别可疑事件、行为

    Data leak prevention:检查返回内容是否有敏感内容,银行

    ThreatRadar:威胁雷达,阻止恶意用户。

    安全球体采用深度防御方法来保护 Web 应用程序。第一层过滤利用 HTTP 协议本身的 HTTP 协议冲突和攻击。例如, 尝试使用 HTTP 请求的异常大的标头进行缓冲区溢出。 下一层是签名层, 用于标识已知的应用程序、平台和网络攻击。安全球体有一个包含6500签名的数据库, 由应用防御中心的专家每周更新一次。 下一层是 "应用程序配置文件" 或 "白" 列表。这就是 SecureSphere 将应用程序的实际使用情况与模型中的预期使用情况进行比较的地方, 以识别可疑事件或可疑用户行为。稍后我们将讨论 Imperva 动态分析或自动学习和适应应用程序更改的能力。 下一层是数据泄漏防护层, 这将在需要时检测敏感数据 (如信用卡数据或个人身份信息)。当敏感数据退出应用程序时, Secursphere 能够看到, 管理员可以确保该数据的合法使用。 最后一层是 ThreatRadar, 即安全球体基于信誉的安全性。ThreatRadar 评估用户和网站的声誉, 以便对 web 请求做出更准确、更明智的决策。

     

     

    为了保护应用程序不受复杂 web 应用程序的影响, 它需要对应用程序有很大的了解。这意味着了解每个元素: Url、目录、参数、用于调用这些不同 Url 的方法, 甚至是通常用于会话跟踪的 cookie。而这只是个开始。 有了使用动态内容和 JavaScript 的 Web 服务应用程序和 Web 2.0 应用程序, 它实际上变得更加复杂, 除此之外, 您还必须了解与所有这些元素相关的预期用户行为。其结果是, 为了准确保护应用程序, 您需要一个能够随着时间的推移自动生成和更新该应用程序的模型的解决方案。

     

     

     

     

    此图显示配置文件随时间的变化情况。此图显示了为实际的 Secursphere 零售客户分析的网页数, 图表显示了随着时间的推移而发生的配置文件更改, 因为 Secursphere 首先了解了应用程序, 然后自动适应随时间变化的变化。在初始阶段, 您会看到很多变化--这是 Securhere 首次学习应用程序的时候, 但在接近月底时, 您会看到更改的数量显著减少, 但尚未变为零。这是因为几乎每一个应用程序, 我们看到的变化几乎每天。我们可以在稳定状态下每周看到5到15次更改, 并且使用无法自动执行安全模型的解决方案, 管理员通常会花费1到2个小时每次更改, 以便了解更改发生了什么, 了解更改是什么, 找出这是否对安全模型有任何影响, 然后实现。 因此, 当我们说每周5到15次更改时, 这通常相当于无法自动化的解决方案的5-30小时配置。此图表示安全球体自行学习这些更改, 真正减少了维护解决方案所需的时间。 请注意, Securehere 可以自动学习更改, 而无需任何手动干预 (例如, 需要手动接受新页面, 需要额外的规则或正则表达式来考虑使用偏差)。这意味着安全球体将在不阻塞合法通信的情况下保护应用程序。

     

     

    Eg:应用防火墙识别的是内网AD上的用户,WAF识别的是所有使用的用户。原理大概是学习用户登录页面,参数代表,成功/失败登录,引进用户概念。

     

    准确性的另一个关键组成部分与阻塞有关, 并且能够在特定的用户级别进行阻止。除了学习应用程序结构, SecureSphere 还可以学习登录 Url、用户如何登录, 以及如何了解这是成功还是失败的登录。然后, Securehere 可以在该用户的会话中跟踪该用户的时间。在需要执行操作的情况下, 安全球体可以对用户执行操作, 而不仅仅是对 IP 地址执行操作。对于观众中的那些技术, 你会明白为什么这很重要。IP 地址很容易被欺骗, 攻击者可以从一个 IP 地址跳转到另一个 ip 地址, 然后合法用户通常隐藏在单个 IP 地址后面, 因为他们可能通过代理访问 Internet。因此, 如果 Web 应用程序防火墙仅基于 IP 地址阻止, 很可能会给合法用户带来很多头疼的问题, 而不是对攻击者真正的威慑。因此, 精确的阻止--在应用程序用户级别进行阻止的能力--是 Web 应用程序防火墙所需精度的一个关键组成部分。这就是安全球体所提供的。

     

     

     

     

     

    eg:profile预判sql类型,输出不符合预判则报错。

    让我们举一个需要相关攻击验证的示例。因此, 在此请求中, 第一层 (协议验证层) 看到请求使用 Unicode 进行编码, 这种情况并不常见, 但不一定是攻击。应用程序配置文件层在应用程序中看到一些可疑的行为, 可能表单字段输入比预期的要长, 并且窗体字段输入的类型也不完全是预期的类型。这可能表示攻击, 但同时也可能表示用户的错误, 甚至可能是应用程序中的更改。攻击签名层还标识 JavaScript 的可疑签名。同样, 这可能是一种攻击, 但也可能只是一个角落的情况下, 或者是一个新的用法或应用程序的合法用法。但是, 当这三种情况都发生在同一请求中时, Securhere 能够关联该信息, 然后准确地识别跨站点脚本攻击。这就是安全球体如何能够在很少或零误报的情况下实现行业内最高的准确率。

     

    安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

    本幻灯片显示了 ADC 如何进行研究。它从各种来源调查世界各地报告的新威胁, 并进行自己的独立研究。当 ADC 提出新的防御措施时, 它将信息广播到安全球体部署, 新的防御可以自动安装在安全球体部署中。

     

     

     

    安全领域提供了统一的管理基础结构, 提供了集中管理的功能。管理员可以从单个控制台管理所有安全球体设备, 并在该控制台上获得集成的警报和报告。它还提供了新的安全球体设备的部署, 因为这些设备是从 MX 管理服务器自动配置的。 所需要的只是将它们安装在网络中, 将它们指向 MX 管理服务器, 然后它们将从 MX 下载它们的配置。 SecureSphere 还提供了更高级的证书身份验证, 因此您可以将其集成到用户设置系统的其余部分。 最后, 所有这些都是通过一个简单的 Web 浏览器界面来实现的, 该界面通过安全通道连接到 MX 管理服务器。

     

     

    实时仪表板提供了对系统状态以及实时发生的安全警报的一目了然的检查。正如您在这里看到的, 您可以看到系统 CPU 上的负载、它所看到的每秒的连接、按严重程度查看警报的饼图, 以及显示的各个警报以及随着时间的推移而发生的系统事件。

     

     

     

    安全球体提供了安全事件的完整可见性。这是安全球体界面中安全警报的屏幕截图。您可以看到, 如果用户的用户名来自用户跟踪功能、来自 Web 服务器的响应代码 (如果可用)、完整的 HTTP 请求。安全球体突出显示触发此警报的请求的相关部分。在警报中, 只需单击一下, 即可轻松查看安全策略、了解有关攻击类型的详细信息并创建安全规则例外。

     

    总之, Securehere 是业界领先的 Web 应用程序防火墙。它提供了多层防御的精确保护, 并为相关攻击验证提供了独特的技术, 使其成为市场上最准确的解决方案。 通过灵活的部署选项, 安全球体可以透明地部署到几乎任何环境中。使用 SecureSphere, 管理员和网络操作人员不必担心更改应用程序, 也不必担心更改网络。 最后, 通过动态分析和自动安全更新以及信誉数据馈送, SecureSphere 提供了简单、自动化的管理, 即使应用程序会随着时间的推移而变化。 这就是为什么安全球体 Web 应用程序防火墙是市场上领先的 Web 应用程序防火墙的原因。

     

     

     

     

     

    Eg:反向代理相比透明桥 设备性能会下降30%~40%

    旁路监听:相比前二者100%的阻断,阻断原理不同(利用tcp reset,效果不佳,可以用于测试,不建议用于真实环境)

     

     

    安全球体支持业界最广泛的部署选项。最常见的选项是透明内联桥接。这在网络堆栈的第2层运行, 类似于网络交换机。它支持完全执行、非常高性能和非常低的延迟。通常情况下, 将在不更改网络环境的情况下安装内联桥。SecureSphere 还包括故障打开接口, 因此, 如果设备因其他原因断电或出现故障, 它实际上只会失败打开 (卡将自动桥接连接), 并且流量仍将流动。当然, 如果您想对应用程序采取这种安全姿态, 您可以选择关闭失败。 SecureSphere 还支持透明和反向代理模式, 这些模式为内容修改功能 (如 URL 重写、cookie 签名甚至 SSL 终止) 提供了高性能引擎。 最后, SecureSphere 支持非内联部署。这主要用于仅监视部署和部署, 在这些部署中, 客户希望确保在将 SecureSphere 安全模型内联以主动保护其应用程序之前, 准确了解其工作原理。

     

    透明桥,二层桥只转发不修改,速度快,对业务无影响。

    透明代理不传port tunnel、 ip sec等。优点如上图。

     

     

     

    透明检测技术:waf部署多为透明桥。在透明引擎里有一个内存存放类似影子(shadow)的堆栈,堆栈确保数据传输方式一致。传输单位是Frame,影子引擎堆栈会拷贝继续传输大部分只留一小部分,若无问题则传输剩下的一小部分,相比未传输的只延后一两个数据包。若有问题则会有重置的tcp包。

     

     

     

     

     

     

     

     

     

     

     

    IMPERVA WAF应用场景

     

    Imperva 安全球体 Web 应用程序防火墙解决了困扰组织内多个不同组的安全问题。了解不同的用例以发现可能影响组织其他部分的问题非常重要。此处未显示但通常受所有这些用例影响的组是 IT 安全团队。 使用案例包括: Web 应用程序保护, 这主要意味着停止 Web 应用程序攻击, 如 SQL 注入、跨站点脚本和远程文件包含 应用程序虚拟修补 应用程序分布式拒绝服务或 DDoS 保护 网站刮擦预防, 例如竞争对手窃取您网站上的数据并在自己的网站上重新发布 防止欺诈, 以阻止基于恶意软件的欺诈和浏览器中的人攻击 旧式应用程序安全性, 以保护旧的旧的旧应用程序的漏洞。 托管应用程序保护, 以保护外部或云中托管的 Web 应用程序的安全。 现在, 我们将查看这些用例, 并展示安全球体如何帮助组织应对这些重大挑战。

     

     

     

    我们要研究的第一个用例是 Web 应用程序保护, 由于它是一个重要的用例, 我们将检查不同的 Web应用程序威胁以及 Secursphere 是如何缓解这些威胁的。 第一个是一家跨国公司, 遭到黑客组织 "匿名" 的袭击。因佩瓦目睹了在25天内发生的袭击事件。它首先是通过尼科托和阿库奈蒂等扫描仪招募活动和应用探索。这些扫描试图发现 Web 漏洞。 在第二阶段, 匿名者转向攻击工具, 如 Havij SQL 注入工具, 试图破解网站。他们还利用匿名代理等匿名服务来掩盖自己的身份。在这两个阶段, Imperva 阻止了所有攻击。 当技术攻击失败后, 匿名者转向 DDoS 攻击, 试图关闭网站。他们使用 LOIC 或低轨道离子加农炮和新的移动版本的攻击工具来中断应用程序访问。流量激增, 但安全球体能够缓解这种基于 web 的 DDoS 攻击。

     

     

     

     

     

    安全球体 Web 应用程序防火墙提供了阻止匿名和其他黑客团体、网络犯罪分子和国家支持的黑客等威胁所需的防御。 首先, SecureSphere 提供了多层防御, 以阻止利用应用程序漏洞 (如 SQL 注入和跨站点脚本) 的技术攻击。安全球体提供动态分析, 以学习受保护的应用程序并识别异常活动。攻击签名可阻止已知的攻击。HTTP 协议验证可防止重复编码和冗余标头等逃避技术。SecureSphere监视 cookie 和会话, 并可以对 cookie 进行签名或加密, 以阻止 cookie 中毒和会话劫持攻击。而 IP 信誉意识识别已知的恶意用户。SecureSphere 提供了更多的防御功能, 如 Web 蠕虫保护和数据泄漏保护, 但这些都是阻止技术攻击的最重要的。

    此外, SecureSphere 停止业务逻辑攻击, 如网站擦除、评论垃圾邮件、参数篡改和应用程序 DDoS。它使用基于信誉的安全和预定义的安全策略来检测过多的请求和机器人。此外, SecureSphere 还提供了地理位置来检测和阻止来自不受欢迎国家的来源。 

     最后, SecureSphere 通过其恶意软件欺诈检测功能防止欺诈。我们还提供了预定义和自定义的策略, 可以将这些防御结合起来, 以进行极其准确的攻击检测。

     

     

     

     

     

     

     

     

     

     

    在攻击的第一阶段, 匿名者扫描了站点的漏洞。基于因珀瓦应用防御中心或 ADC 的最新安全签名和策略, SecureSphere 能够检测并停止探测器。ADC 不断调查世界各地报告的新威胁, 并开展初步研究, 以发现未报告的脆弱性。然后, 它将新的攻击签名和 ADC 策略分发到安全球体 web 应用程序防火墙设备。通过检测已知的 Web 攻击和已知的扫描仪代理, Securehere 能够减轻攻击。

     

     

    在第二阶段, 匿名转向 SQL 注入、跨站点脚本和远程文件包含等攻击。对于 SQL 注入等高级攻击, Securehere 首先应用签名来检测已知的攻击。明确的攻击被阻止。具有配置文件、HTTP 协议或其他签名冲突的其他请求将发送到 SQL 注入引擎, 该引擎使用 regex 代码检查配置文件冲突、SQL 攻击关键字和处理可疑字符串以识别攻击。 大多数 WAFs 只是依靠签名或特征违规来阻止攻击。他们不检查违规行为, 如个人资料违规, 以及攻击签名来评分请求。这意味着其他 Waf 更有可能产生误报, 并且无法检测到更复杂的 SQL 注入攻击。Imperva 提供了最佳、最准确的攻击检测功能, 可用于准确阻止 Web 攻击。

     

    在攻击的第三阶段, 匿名者依靠志愿者来攻击网站。他们使用 LOIC 或低轨道离子加农炮和移动版本的工具来攻击目标网站。安全球体可以通过其默认的 DDoS 攻击模板或通过自定义 DDoS 策略检测攻击, 这些策略可识别一段时间内请求数量过多、url 格式错误和未知的 HTTP 方法。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    如果将 Web 应用程序防火墙与入侵防御系统和下一代防火墙进行比较, 则差异是显而易见的。 虽然这些产品可能包含少量攻击签名, 但它们在阻止 Web 应用程序攻击方面并不有效。它们没有复杂的安全引擎来分析 Web 应用程序配置文件冲突、关键字和协议冲突情况, 以便正确识别 Web 攻击。其次, 他们无法阻止机器人等威胁, 也无法保护 cookie 或会话。他们通常不提供任何类型的基于声誉的保护, 如果他们提供了, 它的重点是电子邮件垃圾邮件发送者, 而不是 Web 威胁。 此外, IPS 无法阻止站点擦除和应用程序 DDoS 等业务逻辑攻击, 也无法阻止 Web 欺诈。此外, 许多 IPS 产品甚至无法解密 SSL 通信。 

     正因为如此, IPS 在试图阻止 Web 应用程序攻击时, 会出现较高的误报和误报率。此外, 黑客很容易通过使用编码或利用自定义应用程序漏洞来逃避他们。希望避免 Web 应用程序攻击的痛苦后果的企业需要部署 Web 应用程序防火墙。

     

     

     

     

     

     

    左侧图形旨在显示问题既是应用层, 也是基础结构层。右侧显示, 部分问题必须在外围解决, 而部分问题必须在边界内解决 (在外界外不被注意)。它还表明, 我们放置在较高层的任何解决方案都依赖于在较低层采用其他缓解解决方案。例如, WAF 假定有人正在处理 SYN 洪泛或网络管道耗尽。(SYN攻击利用的是TCP三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应 [2]  报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接主机资源将被耗尽,从而达到攻击的目的。)

     

     

     

     

     

     

     

     

     

     

    网上购票面临着几个挑战。首先, 和许多在线网站一样, 它也是网络攻击的目标。但它也面临着一个独特的挑战: 机器人不断在网上买票, 窃取票的信息。机器人用不必要的流量封锁了网站。 他们已经从 f 5 购买了 WAF, 但无法跟上公司的业绩和安全要求。因此, 该公司对 SecureSphere 进行了评估, 并对其阻止 SQL 注入等技术攻击的能力非常满意, 也因为它可以阻止自动攻击。 借助 SecureSphere, 在线票务交换能够在不影响 Web 应用程序性能的情况下保护其网站。SecureSphere能阻止占公司网络流量25% 的自动攻击和机器人。

     

     

     

     

     

     

     

     

     

     

    Anti Bot:判断是否是正常网站浏览。

    Anti scraping:防刮。

    防频率,慢速DDoS防御。

    DDOS IP feed?

     

     

     

     

     

     

     

     

     

    在线交换依靠 SecureSphere 的机器人缓解技术来检测和阻止来自机器人的访问。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    为了了解 ThreatRadar 是如何工作的, 首先威胁雷达在全球范围内跟踪攻击源。基于卓越的第三方资源 (如 Cyvel监视、D和thatradar 服务器) 收集有关已知恶意 IP 地址、匿名代理、Tor (傻瓜)网络和网络钓鱼网站的信息。 然后, ThreatRadar 服务器全天候将此信息分发到安全球体 WAF 设备, 以确保 Waf 具有针对已知攻击源的最新保护。 有了这些信息, 安全球体可以阻止或警报已知的恶意源。威胁雷达检测可以与其他策略 (如浏览器代理和细粒度控制请求的频率) 相结合。

     

     

     

     

     

     

     

     

     

    除了阻止已知的恶意来源外, ThreatRadar 信誉服务还允许企业按地理位置监视和阻止访问。

     

     

     

     

    一家金融服务公司面临着几个网站挑战。 首先, 安全团队发现竞争对手在刮和重新公布公司的股票选秀权。其次, 广告垃圾邮件发送者正在向该公司的论坛投放广告。 最后, 当他们试图使用现有的 IPS 解决方案来阻止 Web 攻击时, 他们只是在不阻止攻击的情况下产生了大量噪音。 该公司利用安全球的网站刮擦政策, 阻止了刮擦攻击。而且, 通过使用策略阻止大多数评论垃圾邮件, 他们减少了手动检查论坛所花费的时间。 有了安全球体, 他们还能够以极低的误报率阻止网络攻击。

     

     

    Google capture(采集 捕获): 安全环球 WAF 帮助金融服务公司的战斗现场刮起它的: 机器人缓解技术, 可检测自动刮擦网站的机器人和工具。基本上, SecureSphere 向最终用户的客户端发送透明的 JavaScript 质询。如果客户端可以处理 JavaScript 并存储 cookie, 则 Secursphere 将其视为常规 Web 浏览器。如果客户端不能, 则它是脚本或机器人。 反刮擦策略检测到对唯一 Url 的过度请求, 这表明是刮擦攻击。上述两种策略都可以与其他规则结合使用, 以精确的精度阻止刮擦。例如, 用户可以将这些策略限制为已知的、刮擦的 Url。策略还可以查看浏览器代理 ID, 或查看客户端是否来自匿名代理或 Tor 网络来检测和停止刮板。

     

     

     

     

     

     

     

     

     

     

     

            财富100美国银行继承了一份国库申请, 作为收购另一家银行的一部分。Web 应用程序扫描发现, 该应用程序有57个漏洞, 需要数百万美元才能修复。 收购银行不允许易受攻击的应用进入自己的数据中心。因此, 他们需要快速修复应用程序或付费以保持旧数据中心的打开状态, 以便承载旧版应用程序。他们计划更换应用程序, 他们不想投入大量资源来手动修复漏洞。 通过安全球体 WAF, 银行能够缓解扫描发现的所有漏洞。银行进行的定期扫描证实, 国库申请仍然是安全的。

     

     

     

     

     

     

     

            五星们扫描了银行的遗留应用程序, 发现了漏洞。 安全球体 Web 应用程序防火墙提供了一组广泛的默认安全策略, 可在开箱即用的情况下缓解几乎所有漏洞。 用户可以创建自定义签名或策略来阻止其他类型的威胁, 如特定于应用程序的探测器或错误消息。 此处显示的自定义签名标识利用远程文件的尝试, 其中包括漏洞。通过默认策略和多个自定义策略, 银行能够修复旧版应用程序中的所有漏洞。

     

     

     

     

     

     

     

     

     

                 SecureSphere 提供了 25+ 匹配条件供客户选择,实现强大的管理功能 Session:WAF定义的是http的session,非防火墙。 安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

     

     

     

     

     

     

     

     

    黑盒扫描:应用漏洞扫描。 白盒扫描: 支付处理器承受着昂贵而耗时的漏洞修复周期。IT 安全团队使用 Cenzic 扫描公司的应用程序中的漏洞, 但需要由开发团队来修复这些漏洞, 开发人员还有其他优先级, 如添加新的应用程序功能。IT 安全团队知道网络犯罪分子将目标锁定在支付应用程序上, 因此安全是重中之重。 该公司选择了安全球体 WAF 来几乎修补漏洞。安全领域可以导入其扫描仪发现的漏洞, 以立即减轻这些漏洞。它还允许开发人员和安全管理员查看 Web 攻击和应用程序错误。

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

    安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

     

     

     

     

     

     

     

     

     

     

      安全球体几乎修补已知的漏洞。 如果没有安全球体, 组织必须手动修补漏洞, 这些漏洞可能需要数周或数月的时间。在此期间, 应用程序会被公开进行利用。借助 Secursphere, 组织可以立即修补漏洞, 降低安全风险, 并允许组织在没有紧急修复和测试周期的情况下按计划修补安全问题。

     

     

     

     

     

     

     

     

     

     

     

      安全球体以多种方式改进了应用程序开发过程。该软件开发生命周期展示了软件设计、测试和实现的各个阶段。当然, 开发软件还需要更多的步骤, 但我们已经对其进行了简化, 以展示 Imperva 安全球体如何提高可见性并消除紧急修复和测试周期。 首先, 开发人员必须构建和实现代码。然后, QA 必须使用手动和自动测试工具测试代码中的漏洞。通过因佩瓦的扫描仪集成, 安全球体几乎可以修补漏洞。然后, 开发人员可以修复他们的时间表上的漏洞。 然后, 应用程序开发人员必须将他们的新应用程序部署到生产环境中。一旦新应用程序上线, SecureSphere 就可以监视应用程序的滥用、阻止攻击、报告威胁并查找应用程序泄漏和错误。应用程序监视和报告提供了对黑客如何尝试利用应用程序 (从攻击方法到所针对的各个 Url 和参数) 的无与伦比的可见性。使用这些信息, 程序员可以确定其开发过程的优先级。安全球体还跟踪 web 服务器响应代码、错误、敏感数据和代码泄漏等。它可以选择存储 Web 服务器响应。使用此信息, 开发人员可以快速识别和修复应用程序错误。

     

     

     

     

     

      那么, 是什么推动了 CASB 市场呢? [下一页]嗯, 我刚才简单地提到了它, 当我提到我们开始看到更多的云应用在工作场所被用来完成事情。 因此, 它与整个基础架构迁移到云的总体趋势是一致的。 您拥有基础架构即服务 (IaaS) 平台 (如 Amazon Web 服务和 Windows Azure), 这些平台是面向客户的应用程序, 采用速度非常快。 同样, 面向员工的应用 (如 Office 365、Box 和 Salesforce) 也是基于云的企业, 可为客户提供更好的可扩展性和可访问性、更高的成本可预测性和更轻松的更新。 [下一页] 像 Sky界和 Imperva 这样的公司填补了传统安全解决方案留下的安全空白, 这些解决方案无法解决当今的云问题。 再加上员工期望 (甚至可能要求) 使用他们想要高效的云应用, 今天的 IT 正在见证某种范式的转变, 它不能再仅仅说 "不", 切断对云应用的访问。 他们必须找到一种说 "是" 的方法, 使他们支持的员工能够利用他们想要使用的云应用来提高他们的生产力。

     

     

     

     

     

    主动安全类

      和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。
      WAF:Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
      5.1 WAF部署位置
      通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
      5.2 WAF部署模式及优缺点
      透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。

      部署模式1 透明代理模式(也称网桥代理模式)
      透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。
      这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。 
      部署模式2 反向代理模式
      反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。
      这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
      

     

    部署模式3 路由代理模式
      路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。
      这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

     

    部署模式4 端口镜像模式
      端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。
      这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。

     

     

    窗体顶端

     

     

     

    Imperva云安全方案

     

     

     

     

     

     

     

     

     

    展开全文
  • waf应用防火墙详解

    万次阅读 2019-06-24 14:26:49
    还是直接加防火墙吗?这些都是防御手段。不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的防御效果。 0x01 验证浏览器行为 简易版 我们先来做个比喻。 社区在搞福利,在广场...
  • waf防火墙

    2020-12-20 20:42:17
    0,"length":0}},"simplifiedDisplay":"newEdition","newCard":[{"link":"https://www.aliyun.com/product/waf","icon":"waf","contentLink":"https://www.aliyun.com/product/waf","title":"Web应用防火墙WAF)",...
  • WAF与网络防火墙的区别在哪?

    千次阅读 2021-12-01 14:56:01
    WAF是英文Web Application Firewall的简称,也称为网站应用级入侵防御系统或Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 网络防火墙是一种用来加强网络之间访问...
  • 腾讯云web应用防火墙(WAF)防护设置步骤介绍最近有很多朋友问腾讯云web应用防火墙(WAF)防护设置怎么操作?小编赵一八笔记特意从腾讯云官网整理相关资料,希望能够帮到大家。对需要防护网站点击“防护设置”跳转到防护...
  • waf(web安全防火墙)主要功能点

    千次阅读 2022-01-04 10:31:34
    CC缓解 访问频率限制:对客户端/源IP的访问频率进行检测,对访问过快的客户端/源IP进行限制,降低其访问速率,以缓解CC等攻击。 工作模式 工作模式:支持域名粒度WAF开关、检测模式设置 报表 生成、导出报表;支持...
  • 防火墙WAF可以抵御哪些攻击?Web恶意扫描黑客攻击前多使用工具针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和...
  • 一、背景介绍 为了更好的防护系统,降低系统被攻击的可能性,在无第三方商业版web应用防火墙的前提下,针对nginx添加lua实现WAF防火墙。 二、工具版本 nginx luajit ngx_devel_kit lua-nginx-module 备注 V1.16.0 V...
  • IDS\IPS\WAF\防火墙

    2020-11-12 11:19:58
    WAF防火墙是对运营Web应用的具备一定防护能力的网络环境的Web攻击防护能力的必要增强。IPS和IDS是该网络环境必备的基础设备。 Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等...
  • 部署WAF安全应用防火墙(openresty部署)

    千次阅读 2020-06-21 15:23:46
    利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对http/https的 安全策略 来专门为Web应用提供保护的一款产品。 WAF的功能 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持User-Agent的...
  • WAF常见问题

    千次阅读 2020-12-30 10:36:43
    本文汇总了您在购买和使用Web应用防火墙(WAF)时的常见问题。非阿里云服务器能否使用WAF?可以,WAF支持云外机房用户接入。WAF可以保护任何公网路由可达的服务器,不论是阿里云、其他的云服务、IDC机房等环境,都可以...
  • 2019年大环境下机器学习越来越火,不管是为了适应环境,还是仅仅因为兴趣,我们计划在业余时间里启动一个小项目,不占用公司任何资源,生存周期不超过半年,但是名字很霸气,叫AiSEC全自动人工智能WAF防火墙,哈哈哈...
  • 那么,Web应用防火墙(WAF)既然也叫“防火墙”,是不是和传统防火墙差不多?它和IPS产品又有什么区别?网页防篡改产品也能保护Web应用,它是不是也可以算是Web应用防火墙的一种? WAF与传统防火墙 传统防火
  • Web应用程序中发现RCE漏洞的情况还是挺常见的,2017 OWASP Top 10应用程序安全风险”也将“注入”置于第一位置,例如当解释器接收到用户可控的数据...所有现代Web应用程序防火墙都能够拦截(甚至阻止)RCE,但是当发生...
  • Web 应用程序防火墙 (WAF)

    千次阅读 2021-12-24 09:47:25
    WAF 或 Web 应用程序防火墙通过过滤和监控Web 应用程序和 Internet 之间的HTTP流量来帮助保护 Web 应用程序。它通常保护 Web 应用程序免 跨站点伪造、文件包含和SOL 注入等攻击。WAF 是协议第7层防御(在OSI 模型中...
  • 1.1 第一层 商业web应用防火墙(WAF) 直接用商业服务 传统的F5硬件,不过现在用的很少了云时代就用云时代的产品,典型代表 阿里云 web应用防火墙 1.2 第二层 API 网关(API Gateway)层 API 网关(API Gateway) kong为代表...
  • WAF安全应用防火墙(openresty部署)

    万次阅读 2017-06-13 14:48:55
    利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对http/https的 安全策略 来专门为Web应用提供保护的一款产品。2、WAF的功能 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单...
  • IPS与IDS,防火墙WAF之间的比较和差异

    千次阅读 多人点赞 2020-08-18 13:13:53
    在本文中,我将尽力比较并分解IPS,IDS,防火墙WAF之间的差异,因为它们是用于网络安全保护的网络中非常流行的解决方案。 首先让我们看一下每个缩写的含义: IPS=入侵防御系统 IDS=入侵检测系统 WAF= Web应用...
  • WAF的原理

    2021-07-20 21:26:01
    WAF是Web应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络...
  • # 开启ccdeny的功能 CCrate="100/60" # 限制每分钟100次访问 重新加载nginx,正常访问接口没有问题 [root@node1 waf]# /usr/sbin/nginx -s reload [root@node1 waf]# curl -Ihttp://192.168.3.177/login....
  • cc限制 ** waf/rule-config/cc.rule** www.attacker.club|120/60 白名单ip waf/rule-config/whiteip.rule 10.0.0.0/8 172.16.0.0/16 192.168.0.0/16 122.225.224.43 白名单URL ** waf/rule-config/...
  • 细说——WAF

    千次阅读 2021-10-11 18:57:17
    WAF的分类软件型WAF硬件型WAF基于云WAF开源型WAF网站内置的WAFIPS与IDS,防火墙WAF之间的比较和差异防火墙功能IPS入侵防御系统IDS入侵检测系统WAF对比IPS与IDS防火墙与IPS / IDSWAF与IPS / IDSWAF检测手工检测工具...
  • 一、WAF产生的背景 ...传统防火墙无法解析HTTP应用层的细节,防火墙只是在第三层(网络层),对规则的过滤过于死板,无法为WEB应用提供足够的防护(纵深防御)。于是WAF诞生了。 WAF(Web Application Fir...
  • Azure WAF工作原理分析和配置向导 本文博客地址为:http://www.cnblogs.com/taosha/p/6716434.html ,转载请保留出处,多谢! 本地数据中心往云端迁移的的趋势越来越明显,安全始终是最热门的话题之一。 本文...
  • 绕过WAF防火墙继续SQL注入常用方法

    千次阅读 2014-06-23 09:17:32
    绕过WAF防火墙继续SQWeb Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过。WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招。那今天我在这里做个小小的扫盲吧。先来说说WAF bypass...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,088
精华内容 1,235
关键字:

waf 防火墙限制