下圖是CNCERT/CC從2003-2007的被篡改網(wǎng)站的歷史統(tǒng)計圖
從上圖的對比中我們看出��,網(wǎng)站被篡改的數(shù)目以每年2-3倍的遞增速度還在不斷的上升趨勢當中。在WEB應用如此普及�,如此至關重要的今天�,可以說,網(wǎng)站的防黑防篡改解決方案�,已經(jīng)是每一個企業(yè)或事業(yè)單位網(wǎng)絡運維部門的迫在眉急的重大任務。
很多用戶認為����,在網(wǎng)絡中部署多層的防火墻,入侵檢測系統(tǒng)(IDS)��,入侵防御系統(tǒng)(IPS)等設備���,就可以保障網(wǎng)絡的安全性��,就能全面立體的防護WEB應用了�,但是為何基于WEB應用的攻擊事件仍然不斷發(fā)生���?其根本的原因在于傳統(tǒng)的網(wǎng)絡安全設備對于應用層的攻擊防范�,作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡層����,通過對網(wǎng)絡層的數(shù)據(jù)過濾(基于TCP/IP報文頭部的ACL)實現(xiàn)訪問控制的功能;通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡不會被外部網(wǎng)絡非法接入��。所有的處理都是在網(wǎng)絡層��,而應用層攻擊的特征在網(wǎng)絡層次上是無法檢測出來的���。IDS����,IPS通過使用深包檢測的技術檢查網(wǎng)絡數(shù)據(jù)中的應用層流量�����,和攻擊特征庫進行匹配���,從而識別出以知的網(wǎng)絡攻擊,達到對應用層攻擊的防護����。但是對于未知攻擊����,和將來才會出現(xiàn)的攻擊�����,以及通過靈活編碼和報文分割來實現(xiàn)的應用層攻擊�����,IDS和IPS同樣不能有效的防護�����。
WEB應用防火墻的出現(xiàn)解決了這方面的難題�����,應用防火墻通過執(zhí)行應用會話內(nèi)部的請求來處理應用層���,它專門保護Web應用通信流和所有相關的應用資源免受利用Web協(xié)議或應用程序漏洞發(fā)動的攻擊���。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊�����,一些強大的應用防火墻甚至能夠模擬代理成為網(wǎng)站服務器接受應用交付�,形象的來說相當于給原網(wǎng)站加上了一個安全的絕緣外殼�����。
下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda-NC應用防火墻來舉例��,來看看應用防火墻是如何保護網(wǎng)站防止被惡意注入和篡改的了����。
網(wǎng)絡架構和部署:雙臂代理模式
雙臂代理模式是Web應用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式��,能夠提供最佳的安全性能��。
在此模式中���,所有的數(shù)據(jù)端口都將被開啟����;端口eth1是對外的,直接面向因特網(wǎng)的端口�����;端口eth2將會和內(nèi)部的設備(交換機等)進行連接����,是面向內(nèi)部的�。管理端口可以被分配到另一個網(wǎng)段,我們推薦將管理數(shù)據(jù)和實際的流量分離�����,避免因為實際流量和管理數(shù)據(jù)的沖突�。
以下為示例拓撲圖:
網(wǎng)絡實現(xiàn):
1.前端端口和后端端口位于不同的網(wǎng)段,所有外部客戶將會和應用虛擬IP地址進行連接���,此虛擬ip將會和前端端口(eth1)進行綁定
2.客戶的連接將會在設備上終止���,進行安全檢查和過濾
3.合法的流量將會由后端端口(eth2)建立新的連接到負載均衡設備
4.負載均衡進行流量的負載
5.雙臂代理模式可以開啟所有的安全功能
工作特點:基于應用層的檢測,同時又擁有基于狀態(tài)的網(wǎng)絡防火墻的優(yōu)勢
• 對應用數(shù)據(jù)錄入完整檢查�、HTTP包頭重寫、強制HTTP協(xié)議合規(guī)化��,杜絕各種利用協(xié)議漏洞的攻擊和權限提升
• 預期數(shù)據(jù)的完整知識(Complete Knowledge of expected values),防止各種形式的SQL/命令注入���,跨站式腳本攻擊
• 實時策略生成及執(zhí)行���,根據(jù)您的應用程序定義相應的保護策略,而不是千篇一律的廠家預定義防攻擊策略����,無縫的砌合您的應用程序,不會造成任何應用失真�����。
網(wǎng)站全面隱身:黑客再神奇也無法攻擊看不見的東西
Barracuda-NC應用防火墻對外部訪問網(wǎng)站進行隱身����,可以隱藏真實的Web服務器類型、應用服務器類型�����、操作系統(tǒng)���、版本號�、版本更新程度、已知安全漏洞����、真實IP地址、內(nèi)部工作站信息�����,讓黑客看不見�����,摸不著�,探測不到����,自然也無從猜測分析和攻擊。以下便是一款常用掃描工具掃描經(jīng)過Barracuda-NC應用防火墻隱藏的網(wǎng)站的結果�。
同時,它還能識別各種爬行探測程序�����,只允許正常的搜索引擎爬蟲進入��,抵御黑客爬行程序于門外,讓想通過探測確定攻擊目標的黑客徹底無門��。
除此之外���,做為一款強大的應用防火墻�,Barracuda-NC應用防火墻還有許多應用交付功能:應用數(shù)據(jù)緩存�,數(shù)據(jù)壓縮,TCP連接池�,SSL Offloading,7層內(nèi)容交換負載均衡等等�,完全可以替代其他應用層交換設備,做為應用層交換的中流砥柱�。
