Radware 网站安全解决方案

《Radware 网站安全解决方案》由会员分享，可在线阅读，更多相关《Radware 网站安全解决方案（86页珍藏版）》请在金锄头文库上搜索。

1、AppWall产品介绍 2009 Radware, Inc. All rights reserved.Radware 陈玉奇1Web应用安全的挑战2政府3企业4防不胜防5面子与里子预言成真6问题根源 全开放的系统，面对全球的目光 开发中对安全的忽视，开发人员缺乏安全意识 复杂的系统、频繁的更新 传统防御方式的缺陷 高级HTTP攻击工具的大量传播 大量的Web漏洞传播7OWASP 10大安全威胁(2004)A1.Unvalidated InputA2.Broken Access ControlA3.Broken Authentication/ Session ManagementA4.Cross

2、-Site ScriptingFlawsA5.Buffer OverflowsA6.Injection FlawsA7.Improper ErrorHandlingA8.Insecure StorageA9.Denial of ServiceA10.Insecure Configuration Management8OWASP 10大安全威胁(2010)A1. Injection A2. Cross-Site Scripting(XSS)A3. Broken Authentication and Session Management A4. Insecure Direct Object Ref

3、erences A5. Cross-Site Request Forgery (CSRF) A6. Security Misconfiguration A7. Insecure Cryptographic StorageA8. Failure to Restrict URL Access A9. Insufficient Transport Layer Protection A10. Unvalidated Redirects and Forwards 9Web攻击类型举例10SQL注入 攻击者通过构造一个特殊的SQL查询语句获得对数据库或者系统的全面控制权，是目前最流行的攻击方式之一11SQ

4、L注入常见的Login请求： SELECT * FROM users WHERE login = victor AND password = 123 (If it returns something then login!) ASP/MS SQL Server login syntax var sql = “SELECT * FROM users WHERE login = “ + formusr + “ AND password = “ + formpwd + “; 12SQL注入formusr = or 1=1 formpwd = anythingFinal query would loo

5、k like this: SELECT * FROM users WHERE username = or 1=1 AND password = anything13跨站脚本 (XSS) 跨站脚本就是在加载网站页面上可运行的脚本，最终导致信 息泄露。 临时脚本，需要点击URL 长期脚本，只需要简单的浏览14跨站脚本含XSS漏洞的应 用32上传脚本、设置陷阱攻击者向网页上传有害脚 本，并被存储在数据库中1受害者浏览脚本将受害者信息偷偷发送到攻击者手中脚本在受害者的浏览器中运 行，就可获得对DOM对象 和cookie的完全访问权限Custom CodeAccounts FinanceAdminist

6、ration TransactionsCommunicationKnowledge MgmtE-Commerce Bus. Functions15Cookie 篡改 cookie篡改是攻击者修改cookie（网站用户计算机中的 个人信息）获得用户未授权信息，进而盗用身份的过程 ，攻击者可能使用此信息打开新账号或者获取用户已存 在账号的存取权限。 16传统的防御方式17防火墙 防火墙仅作访问控制作用。 防火墙并不是为Web应用而开发，不能识别应用层的 信息。 防火墙无法了解Web的输入内容，不考虑URL请求中 的异常参数 防火墙不可能检测SSL信息，而大量Web应用采用 SSL加密18IPS I

7、PS主要针对通用的应用开发，没有特别针对Web做 优化和扩展。 传统IPS主要基于静态特征的方式进行检测，对层出 不穷的Web应用漏洞无法覆盖。 IPS只能简单处理Web攻击，无法确切了解攻击目标 和代码内容。 缺乏针对Web应用的理解导致IPS的误报率很高，对 Web应用控制力度有限。19防篡改系统 主要针对静态页面的非授权修改的防范，通过MD5等扫描验 证来实现，实际是网页服务器功能的一个选项 只是基于特征静态的对SQL注入和跨站进行防范，无法对高 级注入和攻击进行防范 无法对OWASP所定义的其他Web威胁进行防范 不支持SSL加密的Web防护 没有动态自学习过程，对网站的动态变化无能为

8、力 只适用于静态页面发布的站点，不适合动态事务处理的商业 站点20代码也是安全边界的重要部分FirewallHardened OSWeb ServerApp ServerFirewallDatabasesLegacy SystemsWeb ServicesDirectoriesHuman ResrcsBilling用户开发的应用代码APPLICATION ATTACK网 络 层应 用 层你的安全“边界”在应 用层存在巨大的漏洞21Web 应用防火墙才是最佳选择对应用的内容进行状态检测 双向处理 针对每个应用都基于策略防护 主动安全被动安全串联部署 独立新型设备 结论: 须有金刚钻，来揽瓷器活

9、22Radware AppWall介绍23Radware AppWall AppWall是一个高性能的Web应用防火墙 AppWall探测、阻断针对Web的攻击，并且生成安全事件 AppWall 截取、监控所有进出Web应用的流量 是Radware应用交付和安全解决方案的重要一环 满足企业对Web应用安全的管理需求Slide 2424产品概述 AppWall 是最好的Web应用防火墙 AppWall 三大核心优势安全性 性能 管理性安全性安全性 集最全面的安全防范于一身为所有层面提供 Database, XML, HTML自动发现安全威胁将人为风险降到最低性能性能 最佳的性能 细颗粒的安全增强

10、 优化的安全检测手段 可随应用安全的需求而扩展 管理性管理性 AppWall 管理整个系统 End to End 自动配置 自动识别应用架构 最全面的监测工具- Logging, Reporting, forensics25安全性 保护内容保护内容动态页面： Database records Pages with parameters Pages with cookies XML pages Login pages 静态页面： Media files Pages without parameters HTML files管理站点信息： Access and login data Web app

11、lication reports and statisticsThreatsThreatsParameters Tampering Cookie Poisoning Database Sabotage Session HijackingWebServices Manipulation Stealth Commands Debug Options Backdoor Manipulation of IT Infrastructure Vulnerabilities 3rd Party Misconfiguration Buffer Overflow Attacks Data Encoding Pr

12、otocol Piggyback Cross-Site Scripting (XSS) Brute Force Attacks26被动安全模块主动安全模块概念AppWall 在识别攻击的同时，并不影响合法流量AppWall 主动学习和建立合法流量的特征模型，从而阻断其它非法流量优势 不需客户定制 开箱即用 简单，直接 精确识别 可防范未知攻击 无需特征库升级安全模块27设备处理模式 Active 学习、报警、阻断 Passive 学习、报警 Bypass 单纯转发流量28完善的安全过滤器（Security Filter） 允许列表安全过滤器 验证HTTP请求是否被批准 暴力破解安全过滤器 建立

13、行为规则并阻止潜在的攻击源IP，防范暴力破解 数据库安全过滤器 检查HTTP请求中的参数，检测有害SQL注入 文件上传安全过滤器 验证文件上传及已上传文件的访问方式是否被批准 全局参数安全过滤器 通过全局参数定义可接受的HTTP请求参数 HTTP 方法安全过滤器 验证HTTP请求methods 是否被批准 访问记录安全过滤器 将HTTP头信息和载体记录进日志供以后追踪和查询 参数安全过滤器 有针对性的建立可接受的HTTP请求参数列表29完善的安全过滤器（续） 路径限制安全过滤器 验证HTTP请求是否在未经授权的情况下访 某些文件和目录 安全回复安全过滤器 检测回复中是否包含未经授权的信息和内容

14、，例如信用卡号码，身份证 号码 会话安全过滤器 防止远程用户使用人造会话状态信息并入侵Web应用 漏洞安全过滤器 使用安全策略检测HTTP请求，验证是否含有针对漏洞的攻击 (基于特征 码). Web服务安全过滤器 验证对外提供的服务器和操作时被批准的。 XML 安全过滤器 验证Post请求中的XML语句，分析封装在XML参数中信息，供后续的安 全过滤器来使用30根据自定义的列表来允许用户的请求 用户请求与预定义的页面或者扩展名不匹配则被阻断 只有匹配预定义页面或者扩展名的请求才被转发到后台应用 用户列表缺省是为空 如果这个过滤器被启动而列表为空时，所有的请求都会被阻断，并生成 日志 支持全局配

15、置和应用层面的配置 支持自动配置允许列表安全过滤器31允许列表安全过滤器32允许列表安全过滤器33防止远程用户猜测用户名和口令 探测自动化的暴力破解过程，并阻断攻击者的IP 能够阻断攻击者通过自动的工具实现的攻击 根据Web服务器正常或者异常的响应来判断暴力破解安全过滤器34暴力破解安全过滤器35暴力破解安全过滤器36探测可能存在威胁的各种参数，是否包含有害的数据库命令 验证参数与输入值，确认其内容与标准输入是否一致 探测到试图对数据库操作的行为时进行告警，自动生成攻击特 征 支持自动配置数据库安全过滤器37数据库安全过滤器38数据库安全过滤器39监控Web应用改程序的文件上传行为 任何文件的上传都会告警 可以通过配置这个过滤器来定义何种上传行为才会告警，配置参数包括 ： 应用路径 定义允许上传的目标 扩展名 定义允许上传的文件类型 HTTP方法 PUT或者POST 作为上传的方法 提取权限 定义用户是否允许提取上传的文件文件上传安全过滤器40文件上传安全过滤器41文件上传安全过滤器42验证参数类型的值 能够被用于验证在其他安全过滤器中定义的参数类型 能够全局配置或者针对特定应用路径 针对 URL, Path, XML, WebServices和Cookie 进行参数的验证 根据以下顺序提供两