《梭子鱼应用防火墙介绍(技术)》由会员分享,可在线阅读,更多相关《梭子鱼应用防火墙介绍(技术)(38页珍藏版)》请在金锄头文库上搜索。
1、梭子鱼应用防火墙, 技术交流,概述,HTTP基础知识 常见攻击及梭子鱼过滤 梭子鱼应用防火墙部署模式,HTTP基础知识,一.GET和POST 二.HTTP报头组成 三.响应代码类型,HTTP基础知识,一.GET和POST1.GET:浏览器用来请求对象的方法,所请求的对象就在URL字段中标识。GET的参数将直接显示在URL中。,HTTP基础知识,2.POST:POST方法适用于需由用户填写表单的场合,如往Google搜索引擎中填入待搜索的词。POST以表单形式提交参数,不会显示在URL中,而是包含在实体(Entity-body)中。,HTTP基础知识,2.POST(续) 提交至服务器的参数被包含
2、在实体中。,实体为用户名和密码,HTTP基础知识,二.HTTP报头组成1. 通用报头(general-header) 2. 请求报头(request-header) 3. 响应报头(response-header) 4. 实体报头(entity-header),HTTP基础知识,1. 通用报头(general-header) 通用报头(general-header)是请求(request)、响应(response) 都可用的, 但是不能用于实体(entity)。通常包括以下内容: Cache-Control :指定请求和响应遵循的缓存机制 Connection :描述连接的状态(keep-al
3、ive、close) Date :表示消息发送的时间 Pragma :用来包含实现特定的指 Transfer-Encoding :传输时使用的编码方式等等,HTTP基础知识,2. 请求报头(request-header) 请求报头包含了客户端向服务器传递关于请求或者关于客户 端的附加信息。通常包括以下内容: Accept-Charset :客户端允许的字符集 Accept- Encoding :客户端允许的编码方式 Accept-Language :客户端允许的语言 Host :指定请求资源的Intenet主机和端口号 User-Agent :包含发出请求的用户信息等等,HTTP基础知识,请求
4、报头实例,HTTP基础知识,3. 响应报头(response-header) 响应报头包含了服务器向客户端传递关于响应或者关于服务 器的附加信息。通常包括以下内容: Server :包含处理请求的原始服务器的软件信息,如服务器类 型和版本等信息 Location :用于重定向接收者到一个新URI地址等等,HTTP基础知识,响应报头实例,HTTP基础知识,4. 实体报头(entity-header) 请求消息和响应消息都可以包含实体信息,实体信息一般由 实体报头和实体组成。实体报头包含关于实体的原信息。实 体报头包括: Content-Type :用于向接收方指示实体的介质类型 Content-
5、Range :用于指定整个实体中的一部分的插入位置, 也指示了整个实体的长度 Last-modified :指定服务器上保存内容的最后修订时间等等,HTTP基础知识,三.响应代码类型 1.成功(Successful) 2xx 表示客户端请求被成功接收、理解、接受。 2.重定向(Redirection) 3xx 该类状态码表示用户代理要想完成请求,还需要发出进一步的操作。 3.客户端错误(Client Error )4xx 4xx类的状态码表示客户端发生错误。 4.服务器错误(Server Error )5xx 回应代码以5开头的状态码表示服务器端发现自己出现错误,不能继 续执行请求。,常见攻击
6、及梭子鱼过滤,一.错误信息返回(黑客搜索网站的有用信息) 二.恶意爬行程序(蜘蛛程序) 三.Cookie劫持(中间人攻击) 四.双重编码攻击(Double-encoding) 五.溢出攻击 六. SQL注入,常见攻击及梭子鱼过滤,一.错误信息返回(黑客搜索网站的有用信息) 黑客在发起攻击前,通常对网站进行扫描,获取诸如服务器 类型、版本号等信息,之后发起有针对性的攻击。有些网站 在请求发生错误或自身响应发生错误时,会返回错误信息, 这些错误可能包含大量敏感内容。这些内容通常包含在响应 报头的一些字段中,如Server等。,常见攻击及梭子鱼过滤,一.错误信息返回(续1) 有些错误页面会泄露服务器
7、类型:,黑客能够利用IIS漏洞发起攻击,常见攻击及梭子鱼过滤,一.错误信息返回(续2) 梭子鱼能有效屏蔽服务器敏感信息,完全屏蔽错误信息,开启“抑制服务器返回错误信息”,常见攻击及梭子鱼过滤,二.恶意爬行程序(蜘蛛程序) 爬行(蜘蛛)程序是搜索引擎的一个自动程序。它的作用是访问互联网 上的html网页,建立索引数据库,使用户能在搜索引擎中搜索到该网站 的网页。通常网站的根目录下会有一个名为robots.txt的文件,定义本站 哪些网页是允许被爬行的,哪些是拒绝被爬行的。格式如下:,表明允许所有蜘蛛程序(意味着让恶意程序有机可乘),指定拒绝被爬行的目录 (恶意爬行程序的目标目录),常见攻击及梭子
8、鱼过滤,二.恶意爬行程序(续) 梭子鱼防护当梭子鱼看到请求中包含Disallow的目录,将立即 阻断这个请求。,常见攻击及梭子鱼过滤,三.Cookie劫持(中间人攻击)cookie通常包含用户的敏感信息,如用户名、密码 等数据。如果传输中存在漏洞,很容易被第三方劫 持,获取用户信息。有时,即使是加密的cookie, 黑客也能劫持并发起重放攻击。,常见攻击及梭子鱼过滤,三.Cookie劫持(续1) Cookie劫持攻击原理步骤一: 使用抓包软件获取cookie步骤二: 发起新请求,将cookie放 入请求,获得访问权限 注意:当无需了解cookie内容时,即使 cookie是加密的,只要是正确的
9、cookie, 黑客就能获得访问权限。,常见攻击及梭子鱼过滤,三.Cookie劫持(续2) 梭子鱼cookie防护 梭子鱼包含以下对cookie的防护机制: 1. Cookie加密或签名 :对cookie加密,被篡改后的cookie将导致解密失败,有效阻断非法cookie;对于签名,梭子鱼会附加一个密钥,被劫持的cookie将不包含此密钥,梭子鱼可以有效阻止该cookie。 2. Cookie重放保护 3. Secure cookie :仅允许HTTPS方式传输cookie 4. HTTP Only :针对微软IE浏览器,禁止cookie被非法的JavaScript访问 5. Cookie白名
10、单 :在阻断非法cookie的同时,降低误判率,常见攻击及梭子鱼过滤,三.Cookie劫持(续3) 梭子鱼cookie防护 梭子鱼界面配置:,常见攻击及梭子鱼过滤,四.双重编码攻击(Double-encoding) 有些安全检查只对用户的请求进行一次解码,利用这个漏洞,一些黑客 对其攻击请求进行十六进制双重编码,这样能够轻易绕开那些安全过滤 机制。IPS只检测SQL语句的关键字或指纹,但却无法识别编码后的SQL 语句,这就是为何IPS只能阻断一部分SQL注入的根本原因。 编码举例:实际应用中的攻击方式:,常见攻击及梭子鱼过滤,四.双重编码攻击(续) 梭子鱼URL标准化 梭子鱼在接收到这样的请求
11、时,会对其进行双重解码,之后 再进行安全策略匹配。这样将能有效地阻止双重编码攻击。,常见攻击及梭子鱼过滤,五.溢出攻击 溢出通常指缓冲区溢出,是一种系统攻击的手段,通过往程序 的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏 程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。,常见攻击及梭子鱼过滤,五.溢出攻击(续) 梭子鱼阻止溢出攻击,常见攻击及梭子鱼过滤,六. SQL注入 SQL 注入攻击是黑客对数据库进行攻击的常用手段之一。黑 客可以提交一段数据库查询代码,根据程序返回的结果,获 得某些他想得知的数据。黑客通常在URL或其他可以填写内 容的地方输入SQL语句进行注入攻击,如:攻
12、击一:这种攻击很容易被IPS检测出来,因为IPS能够轻易识别“SELECT”关 键字。,常见攻击及梭子鱼过滤,六. SQL注入(续1)攻击二:攻击三:IPS无法识别诸如“*”之类特殊字符以及编过码的字符,因此这个攻击 可能绕过IPS直接到达数据库。,危险!,常见攻击及梭子鱼过滤,六. SQL注入(续2) 梭子鱼阻断SQL注入,常见攻击及梭子鱼过滤,六. SQL注入(续3) 阻断URL中的SQL注入,常见攻击及梭子鱼过滤,六. SQL注入(续3) 阻断表单参数中的SQL注入,梭子鱼应用防火墙部署模式,梭子鱼应用防火墙部署模式 1.双臂模式 (路由模式) 支持网络防火墙、负载均衡、TCP连接池等功能2.透明模式 支持fail-open功能3.单臂模式,梭子鱼应用防火墙部署模式 双臂模式,Load Balancer,梭子鱼应用防火墙部署模式 透明模式,NOW with FAIL OPEN!,梭子鱼应用防火墙部署模式 单臂模式,谢谢!,
