郑爽：梭子鱼WEB应用防火墙解决方案

WEB应用访问安全案例剖析梭子鱼网络（中国）

郑爽

WEB应用究竟面临哪些威胁？

WEB 2.0发展趋势，催生黑客攻击从网络层转移到应用层·

·

·

·

web应用最为普遍

企业对外宣传、营销、甚至工作流程Web化

客户、员工、合作伙伴间通过web进行互动

web网站的安全包括三个特质：保密性、完整性、可用性

Web网站是当前最主要的安全威胁

· 75% 的攻击针对WEB应用(Gartner)

2008-04 CNCERT/CC国家互联网应急中心监测到中国大陆被篡改网站总数达61,228个，比去年增加了1.5倍。（数据来源：CNCERT）

国家计算机网络应急技术处理协调中心

发布政府类网站被攻击数据6月（3854）、7月统计

4000

3500

3000

2500

2000 1500 1000 500 政府类网站https://www.wendangku.net/doc/693404456.html,网站

6月7月

看一个美国的统计

·据最近的美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明：

·接受调查的公司中有52%的公司的系统遭受过外部入侵，但事实上他们中有98%的公司都装有防火墙。

·这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用web应用系统、网页置换、盗取私人信息及拒绝服务共计超过 1.41亿美元。

·美国总统奥巴马曾公开在电视媒体上讲话，每年由于黑客的恶意攻击，美国每年因此导致损失1000亿美金。

近期热点攻击事件

··········2008年6月，奥巴马竞选网站被攻击

2008年7月，美国某网站数百万客户资料被泄露

2008年10月，三鹿网站被改名为三聚氰胺网站

2008年，某著名网站被攻击，以校长名义发通告

2008年，中国大学生制作的反CNN网站被黑。

2009年2月，云南晋宁县政府网站被改为“躲猫猫”网站

2009年2月，法国驻华大使馆网站被黑。

2009年5月，上海车牌拍卖系统确实受到攻击

2009年5月，常州城市管理系统主页是城管、按摩女和黑帮的集合2009年7月，新闻媒体播报的高校网页挂马问题等

为什么有这么多WEB攻击？

····好奇心驱动

技术炫耀（技术学习、探索），如对政府类和安全管理相关类网站的攻击形式。

有组织利益驱动：对中小企业，尤其是以网络为核心业务的企业，常采用有组织的

分布式拒绝服务攻击（DDoS）攻击等手段进行勒索，从而迫使企业接受相应条件，影响企业正常业务的开展。

个人利益驱动对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用

户游戏账号、银行账号、密码等，窃取用户的私有财产。如利用网络钓鱼（Phishing）和网址嫁接（Pharming）等对金融机构、网上交易等站点进行网络仿冒，在线盗用用户身份和密码；通过恶意网页、社交工程、电子邮件和信息系统漏洞等

方式传播恶意代码；利用间谍软件（spyware）和木马程序窃取用户的私有信息，严

重的可导致财产损失。

Web应用威胁都有什么呢？

员

工

窃取

中断

篡改

黑客伪装客户

SQL 注入

2009年梭子鱼北方区计划

直接利用开发人员疏忽，将目录文件等关键对象信息获取

直接对象引用

上传恶意代码，控制目标网站

恶意文件执行

黑客通常通过将他们的请求进行编码，以此来伪装自己的身份

攻击隐藏

使用网络监听、篡改手段，盗取客户的登陆信息

Cookie 窃取

攻击者能访问合法应用之外的数据或文件目录，导致数据泄露或被篡改

目录穿越

破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限

缓冲区溢出

将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权

命令注入

通过输入一段数据库查询代码窃取或修改数据库中的数据 SQL 注入

攻击访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息

跨站脚本攻击

我们现有的安全部署能够阻止黑客对WEB应用攻击吗？

您是否已经开始有如下担心？

·····网站被攻击

网站被篡改

被OWASP 列举的前十位的攻击攻破数据被窃取

怎么才能阻止下列攻击：

–跨站脚本攻击(XSS)

–SQL 注入

–Cookie 篡改

–缓存溢出

·网站需要达到PCI标准

我已经有了防火墙、ips等防护设备已经安全了吗？

Internet 移动MDC网络拓扑

新业

务测

试区

华为路由器华为路由器

NetScreen

防火墙Cisco

76XX 内嵌IPS

模块

防火墙自由

业务

区

Switch ADC平台

区Allot

ADC-SI业

务区

Cisco

图例单模光纤

多模光纤

超6类电缆

逻辑连接NetScreen

防火墙

76XX

Switch

内嵌IPS

模块

托管区

系统管

理区

根据案例：移动MDC分析

· Allot流量控制设备，透明模式部署。

· NetScreen防火墙：

1）NetSreen防火墙是目前比较普及的防火墙，功能强大，性能好。

2）拦截大部分网络层攻击，例如网络层的蠕虫攻击，DDOS攻击

3)通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中

· 76XX交换机上内嵌IPS模块

4）完好的将ARP欺骗，2层的DDOS攻击阻挡

5）通过划分广播域的方法，将每个广播域的流量控制在本地，使病毒和非法流量不会扩散到整个MDC机房网络中

从OSI模型角度出发，4层以下的攻击基本上可以被目前网络中的安全设备完美的防御住。

IPS作用？

·6）通过对数据包的7层检测来阻挡应用层的攻击；

·7）通过特征匹配技术阻挡了大部分的主流攻击；

·8）IPS能够阻挡“整个网络”的非法流量；

增加网页防篡改系统能够解决web服务器的安全威胁吗？网页防篡改

9）它能够在web服务器的网页被篡改后再恢复的系统，能够保证网站的完整性

数据中心

攻击

局域网

对一个至关重要的web 应用来说现有安 全措施无能为力！

最终用户

防火墙只能阻断网络层的 攻击

80端口web 流量仍然 能够通过

防火墙

入侵监测系统

Web 应用

总结攻击特点：

大部分攻击在应用层

针对Web网站的恶意攻击

绝大部分都将封装为HTTP 请求

许多类型的攻击并不篡改

网页

黑客往往将攻击隐藏在

ssl内

攻击手段各种各样传统防火墙：

防火墙工作在3、4层；

攻击从80或443端口顺利通过防火墙检测；

IPS入侵检测：

IPS不会对包括跨站点脚本攻击，SQL注入，命令注入，cookie密码

窃取，URL编码攻击，cookie篡改，日志篡改等一系列攻击作出任何响

应。

IPS最明显的缺陷在于它不能终止和处理SSL流量。

网页防篡改

对于攻击行为并不进行分析，也

不阻止攻击的发生。

WEB安全是否应该交给专业的七层应用防火墙来进行策略防护呢？

·梭子鱼Web应用防火墙是应用级的网站安全综合解决方

案，能帮助企业达到在线支

付级的网站安全标准。具备

十大功能，十大技术，是

web应用防火墙的领导品牌。·世界上唯一被ICSA在网络层

和应用层上通过认证的产品

WEB 应用安全功能概述

·全面的WEB 站点防护，降低商业风险

–各种攻击

–非法访问

– WEB 站点伪装 – WEB 站点篡改

– Outbound 数据窃取防护

·应用传输加速

–缓存、压缩、TCP 连接复用、SSL 卸载和加速、负载均衡

·审计及合规

- 帮助企业通过安全审计

- 达到PCI (支付卡) 应用安全规范要求

- 美国萨班法案(Sarbanes Oxley)及其他合规性要求