国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　1. 概述

　　Web網(wǎng)站是和用戶、合作伙伴及員工的快速、高效的交流平臺。Web網(wǎng)站也容易成為或惡意程序的攻擊目標(biāo)，造成數(shù)據(jù)損失，網(wǎng)站篡改或其他安全威脅。

　　根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)的工作報告顯示：

　　目前中國的安全實際狀況仍不容樂觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加。

　　對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式，以達(dá)到泄憤和炫耀的目的，也不排除放置的可能，導(dǎo)致政府類網(wǎng)站存在安全隱患。對，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用注入攻擊、跨站攻擊以及應(yīng)用層拒絕服務(wù)攻擊(Denial Of Service)等，影響業(yè)務(wù)的正常開展。

　　2007 年到2009年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢。

　　1.1. 常見攻擊手法

　　目前已知的應(yīng)用層和網(wǎng)絡(luò)層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見的攻擊技術(shù)，其中最后一列描述了安恒WAF如何對該攻擊進(jìn)行防護(hù)。

　　攻擊方式描述安恒WAF的防護(hù)方法

　　跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問該站點的用戶，常見目的是竊取該站點訪問者相關(guān)的用戶登陸或認(rèn)證信息。通過檢查應(yīng)用流量，阻止各種惡意的腳本插入到URL, header及form中。

　　SQL 注入攻擊者通過輸入一段查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)。通過檢查應(yīng)用流量，偵測是否有危險的數(shù)據(jù)庫命令或查詢語句被插入到URL, header及form中。

　　命令注入攻擊者利用網(wǎng)頁漏洞將含有或軟件平臺命令注入到網(wǎng)頁訪問語句中以盜取數(shù)據(jù)或后端的控制權(quán)。通過檢查應(yīng)用流量，檢測并阻止危險的系統(tǒng)或軟件平臺命令被插入到URL, header及form中。

　　cookie/seesion劫持Cookie/seesion通常用于用戶身份認(rèn)證，并且可能攜帶用戶敏感的登陸信息。攻擊者可能被修改Cookie/seesion提高訪問權(quán)限，或偽裝成他人的身份登陸。通過檢查應(yīng)用流量，拒絕偽造身份登錄的會話訪問。

　　參數(shù)(或表單)篡改通過修改對URL、header和form中對用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服務(wù)器。利用參數(shù)配置文檔檢測應(yīng)用中的參數(shù)，僅允許合法的參數(shù)通過，防止參數(shù)篡改發(fā)生。

　　緩沖溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲取系統(tǒng)管理員的權(quán)限。用戶可以根據(jù)應(yīng)用需求設(shè)定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務(wù)器。

　　日志篡改黑客篡改刪除日志以掩蓋其攻擊痕跡或改變web處理日志。.通過檢查應(yīng)用流量，防止帶有日志篡改的應(yīng)用訪問。

　　應(yīng)用平臺漏洞攻擊 黑客通過獲悉應(yīng)用平臺后，可以利用該平臺的已知漏洞進(jìn)行攻擊。當(dāng)應(yīng)用平臺出現(xiàn)漏洞，且沒有官方補(bǔ)丁時，同樣面臨被攻擊的風(fēng)險。安恒WAF將阻止已知的攻擊，并提供安全策略規(guī)則升級服務(wù)，用戶可以按計劃進(jìn)行安全應(yīng)用策略升級。同時，對于高級用戶，安恒WAF提供自定義規(guī)則庫的添加，可以針對某些關(guān)鍵字，特殊應(yīng)用做特殊安全處理。

　　DOS攻擊通過DOS攻擊請求，以達(dá)到消耗應(yīng)用平臺資源異常消耗的一種攻擊，最終造成應(yīng)用平臺拒絕服務(wù)。可以防護(hù)所有的網(wǎng)絡(luò)層的DoS。包括防止 SYN cookie ，應(yīng)用層DOS攻擊和對客戶端連接速率進(jìn)行限制。

　　HTTPS類攻擊一些狡猾的黑客通過HTTPS進(jìn)行HTTPS類的攻擊，由于加密數(shù)據(jù)包無法進(jìn)行有效的檢測，導(dǎo)致通用的網(wǎng)絡(luò)和普通WEB應(yīng)用防火墻無能為力。支持用戶上傳HTTPS證書，在WAF進(jìn)行第一輪認(rèn)證，并對應(yīng)用流量進(jìn)行解密和偵測，對HTTPS類的所有攻擊進(jìn)行有效的攔截和防御。

　　2. 現(xiàn)有的防御技術(shù)

　　目前，很多企業(yè)采用網(wǎng)絡(luò)安全防御技術(shù)對Web應(yīng)用進(jìn)行防護(hù)，如綜合采用網(wǎng)絡(luò)防火墻、、補(bǔ)丁安全管理、升級軟件等措施，然而這些方法難以有效的阻止Web攻擊，且對于HTTPS類的攻擊手段，更是顯得束手無策。

　　2.1. 傳統(tǒng)網(wǎng)絡(luò)防火墻

　　第一代網(wǎng)絡(luò)防火墻可以控制對網(wǎng)絡(luò)的訪問，管理員可以創(chuàng)建網(wǎng)絡(luò)訪問控制列表(ACLs)允許或阻止來自某個源地址或發(fā)往某個目的地址及相關(guān)端口的訪問流量。傳統(tǒng)的防火墻無法阻止Web攻擊，不論這些攻擊來自防火墻內(nèi)部的還是外部，因為它們無法檢測、阻斷、修訂、刪除或重寫HTTP應(yīng)用的請求或應(yīng)答內(nèi)容。為了保障對web應(yīng)用的訪問，防火墻會開放Web應(yīng)用的80端口，這意味著Internet上的任意IP都能直接訪問Web應(yīng)用，因此web及其器事實上是無安全檢測和防范的。

　　狀態(tài)檢測防火墻是防火墻技術(shù)的重大進(jìn)步，這種防火墻在網(wǎng)絡(luò)層的ACLs基礎(chǔ)上增加了狀態(tài)檢測方式，它監(jiān)視每一個連接狀態(tài)，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它能根據(jù)TCP會話異常及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中。然而，狀態(tài)防火墻無法偵測很多應(yīng)用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通過防火墻到達(dá)應(yīng)用服務(wù)器;同樣，如果某個攻擊進(jìn)行了加密或編碼該防火墻也不能檢測。

　　2.2.檢測系統(tǒng)(IDS)

　　入侵檢測系統(tǒng)使用特征識別技術(shù)記錄并報警潛在的安全威脅。其工作模式是被動的，它不能阻止攻擊，也不能對未知的攻擊進(jìn)行報警。目前大多數(shù)攻擊特征數(shù)據(jù)庫都是網(wǎng)絡(luò)層的攻擊，此外，可以通過加密，TCP碎片攻擊以及其他方式繞過入侵檢測系統(tǒng)的防御。

　　3. Web安全需求

　　企業(yè) 對Web應(yīng)用的安全防護(hù)主要包括如下需求：部署簡便，管理集中，操作簡潔，性能影響甚微。包括：

　　·對現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無影響;

　　·方便管理，無需進(jìn)行復(fù)雜的配置;

　　·對現(xiàn)有的訪問速率不能造成太大的影響;

　　·對正常業(yè)務(wù)訪問不能進(jìn)行錯誤的攔截阻斷。

　　3.1. Web應(yīng)用防火墻

　　Web應(yīng)用防火墻的兩個關(guān)鍵功能是，深入理解HTTP/HTTPS協(xié)議，可監(jiān)測往返流量，能對web流量進(jìn)行安全控制。Web是經(jīng)常變化的，包括新的應(yīng)用程序、新的軟件，不斷更新的軟件補(bǔ)丁等。專業(yè)的安全工具和方法應(yīng)能適應(yīng)這種動態(tài)環(huán)境，應(yīng)用配置的升級更新和對監(jiān)測數(shù)據(jù)的分析使得應(yīng)用防火墻總能適應(yīng)新的安全需求.

　　4. 安恒WAF的特點

　　安恒WAF提供高效的Web應(yīng)用安全邊界檢查功能。安恒WAF整合了Web安全深度防御及站點隱藏等功能，能全方位的保護(hù)用戶的Web數(shù)據(jù)中心。通過對對所有Web流量(包括客戶端請求流量和服務(wù)器返回的數(shù)據(jù)流量)進(jìn)行深度檢測，提供了實時有效的入侵防護(hù)功能。安恒WAF充分考慮用戶已有環(huán)境的差異性，對環(huán)境兼容性、應(yīng)用多樣性進(jìn)行了深入的分析和總結(jié)。

　　4.1. 領(lǐng)先的透明代理模式

　　WEB應(yīng)用防火墻技術(shù)經(jīng)過不斷的發(fā)展已經(jīng)日益成熟，安恒WAF采用業(yè)界領(lǐng)先的代理技術(shù)實現(xiàn)WEB應(yīng)用深度分析和防御?；诖淼姆阑饓夹g(shù)在防護(hù)深度及細(xì)粒度方面有著包過濾防火墻無法比擬的優(yōu)勢，但是如果代理模式處理不當(dāng)也會對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)產(chǎn)生影響，最為明顯的影響是對網(wǎng)絡(luò)數(shù)據(jù)包文頭的改變，導(dǎo)致服務(wù)器識別到的源地址是代理設(shè)備IP地址，無法識別真話的訪問者。而且還會對HTTP應(yīng)用數(shù)據(jù)流頭部的影響，如增加X-Forwarded相關(guān)的字段或影響已有的代理環(huán)境，影響WEB業(yè)務(wù)的正常使用，以及致使WEB服務(wù)器訪問日志失效。

　　安恒WAF憑著對網(wǎng)絡(luò)及應(yīng)用的深入解理，以及多年的研發(fā)經(jīng)驗，研發(fā)的WAF產(chǎn)品繼承了代理防火墻技術(shù)深度防御的特性，同時也吸納了網(wǎng)絡(luò)防火墻對網(wǎng)絡(luò)及應(yīng)用透明的優(yōu)點。安恒是國內(nèi)首家發(fā)布全透明代理的模式的WEB應(yīng)用防火墻廠家，安恒WAF的部署不會對網(wǎng)絡(luò)及應(yīng)用產(chǎn)生任何的影響，甚至安恒WAF的工作口不需要配置任何的IP即可正常工作。

　　4.2. 獨創(chuàng)的鏡像監(jiān)控模式

　　WEB應(yīng)用系統(tǒng)隨著應(yīng)用需求不同而千變?nèi)f化，對應(yīng)用的防護(hù)和安全識別提出了高的要求，因此應(yīng)用環(huán)境中對WEB應(yīng)用防火墻的接入需要經(jīng)過深入的分析和調(diào)研才能實現(xiàn)。針對一些大型的業(yè)務(wù)系統(tǒng)，特別是對業(yè)務(wù)連續(xù)性有較高要求的行為如電信運營、金融證券、社會保障等需要不中斷對外服務(wù)的應(yīng)用系統(tǒng)對部署WAF產(chǎn)品是一個極大的挑戰(zhàn)。

　　如果實現(xiàn)部署WAF前期的準(zhǔn)備或者讓W(xué)AF工作在監(jiān)測模式下而不影響正常的業(yè)務(wù)是大型應(yīng)用系統(tǒng)的一個鋼性需求。安恒WAF產(chǎn)品獨創(chuàng)的鏡像監(jiān)控模式徹底解決這個難題，安恒WAF產(chǎn)品支持端口鏡像和串接鏡像兩種方式實現(xiàn)對數(shù)據(jù)包的分布，對安全的監(jiān)測，端口鏡像模式下僅需將監(jiān)測流量鏡像至WAF即可，而不會影響網(wǎng)絡(luò)和應(yīng)用系統(tǒng);串接鏡像時將WAF串接入需要監(jiān)測的環(huán)境，此時WAF會自動復(fù)制一份數(shù)據(jù)包進(jìn)行監(jiān)測，也不會影響原有的網(wǎng)絡(luò)及應(yīng)用。

　　4.3. 雙向SSL的支持

　　WEB應(yīng)用防火墻技術(shù)可以完防護(hù)HTTP應(yīng)用系統(tǒng)，然而針對于HTTPS的應(yīng)用系統(tǒng)則是當(dāng)前WEB應(yīng)用防火墻技術(shù)的難點?；贖TTPS的應(yīng)用系統(tǒng)，在網(wǎng)絡(luò)環(huán)境常規(guī)的設(shè)備無法識別傳輸?shù)膽?yīng)用數(shù)據(jù)，更無法識別來自應(yīng)用層的攻擊。要對HTTPS應(yīng)用進(jìn)行應(yīng)用防護(hù)，必須要求WAF能良好的支持HTTPS協(xié)議并能對SSL數(shù)據(jù)流進(jìn)行中繼。由于SSL需要大量的數(shù)據(jù)運算對設(shè)備性能要求高，以及需要對用戶端和服務(wù)器端雙向的SSL支持這些技術(shù)難點，導(dǎo)致很多WEB應(yīng)用防火墻無法實現(xiàn)對HTTPS的支持。

　　安恒WAF支持雙向的SSL環(huán)境，能對原有的HTTPS應(yīng)用系統(tǒng)良好的適應(yīng)，無勿需改變原有環(huán)境，對HTTPS應(yīng)用系統(tǒng)仍可透明部署和全面防御。安恒通過對HTTPS的支持從而實現(xiàn)了對HTTP、HTTPS的全面防護(hù)，解決了WEB防火墻無法防御HTTPS應(yīng)用的短板。