Web應用防火牆？Web安全閘道器？

原文

無論是基於web的應用系統還是web**，他們都面臨著各種各樣且**不定的安全威脅。他們有些是已被發現，並具有可識別的固定特徵的；則是因**的設計和**，以及攻擊者的行為習慣而異的。而所有這些都是web應用系統和web**必須面對和解決的安全問題。

傳統的技術手段。如防火牆和ips都是基於已知的安全特徵的安全檢測和防護手段，而且它們只能做到網路，有的可以處理協議層資料報（新的技術）。但是對於web應用中大量採用，而同時又是被攻擊的主要目標的動態頁面是無能為力的。這是因為，動態頁面本身就是沒有固定模式的，所以針對它的攻擊也是沒有固定特徵的。

同時，必須注意到，完全依賴特徵庫的檢測和防護技術，不可避免的具有很高的誤報率和漏報率，並且在兩者之間很難達到平衡。

目前，大多數**採用的都是這種技術，它們也了解其中的問題，只是沒有更好的技術來取代而已。而imperva的securesphere web應用防火牆採用新型防護手段，既有效地彌補了傳統防護方式的不足，又具有很多新的特點。

作為新型的web應用防火牆，securesphere的特點是基於正向模型——即，為模型的安全檢測技術可以從根本上解決上述傳統web防護的問題，尤其是當兩者結合的時候。

但同時，對於基於為模型的檢測和防護，有幾個關鍵的技術問題必須解決：

a.模型的產生必須是自動和動態的。——由於為模型包含的因素非常廣泛，且數量眾多，人工生成和維護的方式在實際使用中是完全不可行的；而且，會產生大量的誤報。

必須和基本的反向模型向結合。因為反向模型可以遮蔽大量的基本攻擊，而讓基於為的機制解決更高階的攻擊流量。

b.必須在防護的各個層次，以及時間上進關聯分析。ì

真正有危害的攻擊通常會在多個層次，包括時間軸上表現出相當的關聯性，通過關聯分析可以極大的提高攻擊辨識的能力，降低誤報率。

另外，由於行為分析意味著大量的計算，產品在具體實現方面必須保證應有的效能，特別是在處理能力(session per second)和時延方面(ms)。imperva的web防火牆採用獨特的技術很好的解決了上述問題。

imperva waf的功能和特點

securesphere web安全防護網關是專為了對web**和基於web的伺服器提供全方位防護而設計的。它的防護物件不僅包括普通的埠掃瞄、tcp sync flood、已知的高階攻擊手段如sql注入等，還包括未知的、新出現的高階的攻擊，如url引數篡改、cookie毒化等。同時還可以對管理核心資料的後台資料庫進行防護, 如下圖所示：

securesphere的waf g8包括以下方面的功能和特點：

web應用防火牆功能

securesphere 系統保護使用者的web應用攻擊，例如sql注入、cookie毒化、引數篡改、路徑遍歷以及更多攻擊（詳見列表）。動態評估技術自動建立web應用的使用和結構的正向安全模型，包括url、http形式、引數、隱藏的域、cookie、事務id以及應答**等。當使用者和網路應用進行互動時，securesphere 系統密切監視他們的活動，並與安全模型比較。任何攻擊的企圖都將被監測到，並被阻止。

web服務防火牆功能

securesphere的網際網路服務閘道器主要針對xml、soap和wsdl等應用進行保護。如同securesphere系統的應用防火牆功能一樣，服務閘道器採用imperva公司的動態評估技術建立合法應用行為的安全模型，包括xml url、soap行為、xml元素和xml屬性。所有篡改網路服務應用模式或者變數的企圖都會被識別出來，並加以阻止和防範

動態建模和自動策略

securesphere的防護的乙個創新是基於應用層互動內容的安全檢測。在這個層次建立了非常深入複雜的策略。即，對訪問的url、動態頁面傳遞引數、cookie傳遞的引數等進行監測，對比正常的訪問行為基線；如明顯偏離正常行為模式則可產生告警和即時阻斷。策略的產生主要由裝置的自學習功能完成，無需人工干預，而且還可以根據web應用的變化進行自適應調整。同時，管理人員還可以進行微調，以得到最優的「充分必要」的策略。

web入侵防護系統（ips）

securesphere ips對已知的攻擊和「第零日蠕蟲」的提供保護。這些攻擊通常針對web伺服器、應用伺服器和作業系統軟體的弱點（例如，iis、apache和 windows 2000）。securesphere的「第零日蠕蟲」自動評估技術可自動識別尚未定義特徵的攻擊。 securesphere系統同時提供多網路協議的snort相容的特徵庫，符合http協議和來自「應用防禦中心」– imperva自己內部的安全研究組織，的高階應用保護特徵。securesphere 系統提供定時更新服務，確保安全保護的時效性。

多層次的防護及關聯

◆securesphere不僅提供了創新的安全技術手段，如自動建模，防蠕蟲擴散、高層協議檢測；同時也整合了各種成熟的技術，如：網路防火牆、入侵檢測和防護。特別需要指出的是securesphere的入侵檢測技術是專門針對web服務的，除了基本的snort特徵庫，還提供豐富的web應用和資料庫應用的攻擊特徵庫。

◆securesphere整合多種安全手段的目的不僅提供了多層次的安全防護，而且通過各個防護層次間內在的關聯，可以極大的提高攻擊識別的準確性，降低誤報率。這對於時時處於廣泛攻擊環境下的web服務系統是至關重要的。

前後臺關聯。

當今，web服務系統發展的趨勢是，除了提供靜態資訊的提供外，還提供與多種應用和服務的互動介面。網頁互動和動態頁面技術越來越多的扮演了核心的角色。同時由於動態頁面技術的靈活性，它也成為了web攻擊的熱點，包括通過動態頁面與後台資料庫的連線關係，獲取和篡改應用系統的核心資訊，如賬號密碼、使用者資訊、交易資訊等。securesphere為web**和基於web的應用提供全面安全防護，包括前台web伺服器和後台資料庫；而且可以進行實時的前後臺關聯。因此securesphere可以幫助發現攻擊的真正發起源，可以防護通過後門對資料庫發起的攻擊，提高攻擊發現的能力，以及精確的從大量訪問流量中阻斷攻擊流量。

imperv waf的部署：

配置原則

在為***使用者配置imperva公司的web安全防護產品的時候，遵循一下的配置的基本原則：

◆功能性滿足本專案的實際需要

◆可以支援現有應用系統，如資料庫型別、本版等

◆處理效能滿足系統的需要

◆對現有系統的無影響，包括；ip位址空間、路由規劃、無需調整應用系統（如設定proxy，安裝軟體等）

配置說明

鑑於以上的配置原則，針對*** web保護專案的web應用保護，採用imperva 的securesphere系列中g4作為web應用監控和防護網關。同時，為了提供統一的管理和配置平台，配置mx作為集中網管平台，對資料庫應用監控和防護網關進行統一的管理。

g4有500mbps的吞吐量，同時支援的交易數是16,000每秒，同時為了保證系統的可靠性，配備兩台，用來監控和保護核心的web應用，如果一台出來問題，系統可以自動切換到另外一台。另外配備一台網管伺服器mx，對兩台資料庫安全閘道器做統一的管理和配置。拓撲圖如下所示：

Web應用防火牆？Web安全閘道器？

web應用安全閘道器

防火牆 UTM 安全閘道器

Web安全閘道器與下一代防火牆該如何選擇

Web應用防火牆？Web安全閘道器？

web應用安全閘道器

防火牆 UTM 安全閘道器

Web安全閘道器與下一代防火牆該如何選擇

相關推薦