|
目前��,利用網(wǎng)上隨處可見(jiàn)的攻擊軟件�,攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ),即可完成諸如更換Web網(wǎng)站主頁(yè)�,盜取管理員密碼,數(shù)據(jù)庫(kù)注入和破壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊��。而這些攻擊過(guò)程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)��,和正常數(shù)據(jù)沒(méi)有什么區(qū)別�。
以下是國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)統(tǒng)計(jì)的2008年上半年我國(guó)國(guó)內(nèi)網(wǎng)站被黑被篡改的統(tǒng)計(jì)圖����,在1月-7月內(nèi)僅發(fā)現(xiàn)的被篡改的網(wǎng)站就多達(dá)41���,000多個(gè)��,平均每天就有近200個(gè)網(wǎng)站被篡改�����,這真是一個(gè)驚人的數(shù)字���。
下圖是CNCERT/CC從2003-2007的被篡改網(wǎng)站的歷史統(tǒng)計(jì)圖:
從上圖的對(duì)比中我們看出�����,網(wǎng)站被篡改的數(shù)目以每年2-3倍的遞增速度還在不斷的上升趨勢(shì)當(dāng)中�����。在WEB應(yīng)用如此普及�,如此至關(guān)重要的今天,可以說(shuō)��,網(wǎng)站的防黑防篡改解決方案,已經(jīng)是每一個(gè)企業(yè)或事業(yè)單位網(wǎng)絡(luò)運(yùn)維部門(mén)的迫在眉急的重大任務(wù)�����。
很多用戶認(rèn)為��,在網(wǎng)絡(luò)中部署多層的防火墻���,入侵檢測(cè)系統(tǒng)(IDS)�����,入侵防御系統(tǒng)(IPS)等設(shè)備�,就可以保障網(wǎng)絡(luò)的安全性�,就能全面立體的防護(hù)WEB應(yīng)用了,但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生��?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范����,作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層��,通過(guò)對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過(guò)濾(基于TCP/IP報(bào)文頭部的ACL)實(shí)現(xiàn)訪問(wèn)控制的功能���;通過(guò)狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入�。所有的處理都是在網(wǎng)絡(luò)層,而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無(wú)法檢測(cè)出來(lái)的��。IDS�,IPS通過(guò)使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量,和攻擊特征庫(kù)進(jìn)行匹配����,從而識(shí)別出以知的網(wǎng)絡(luò)攻擊,達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)�。但是對(duì)于未知攻擊,和將來(lái)才會(huì)出現(xiàn)的攻擊�,以及通過(guò)靈活編碼和報(bào)文分割來(lái)實(shí)現(xiàn)的應(yīng)用層攻擊,IDS和IPS同樣不能有效的防護(hù)����。
WEB應(yīng)用防火墻的出現(xiàn)解決了這方面的難題�����,應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層�,它專門(mén)保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊�����,一些強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付,形象的來(lái)說(shuō)相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼����。
下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda-NC應(yīng)用防火墻來(lái)舉例,來(lái)看看應(yīng)用防火墻是如何保護(hù)網(wǎng)站防止被惡意注入和篡改的了�。
網(wǎng)絡(luò)架構(gòu)和部署:雙臂代理模式
雙臂代理模式是Web應(yīng)用防火墻部署種的最佳模式。這個(gè)模式也是拓?fù)溥^(guò)程中推薦的模式���,能夠提供最佳的安全性能���。
在此模式中,所有的數(shù)據(jù)端口都將被開(kāi)啟���;端口eth1是對(duì)外的�����,直接面向因特網(wǎng)的端口�����;端口eth2將會(huì)和內(nèi)部的設(shè)備(交換機(jī)等)進(jìn)行連接�,是面向內(nèi)部的。管理端口可以被分配到另一個(gè)網(wǎng)段�����,我們推薦將管理數(shù)據(jù)和實(shí)際的流量分離��,避免因?yàn)閷?shí)際流量和管理數(shù)據(jù)的沖突�����。
以下為示例拓?fù)鋱D:
網(wǎng)絡(luò)實(shí)現(xiàn):
1��、前端端口和后端端口位于不同的網(wǎng)段���,所有外部客戶將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接�,此虛擬ip將會(huì)和前端端口(eth1)進(jìn)行綁定
2���、客戶的連接將會(huì)在設(shè)備上終止�,進(jìn)行安全檢查和過(guò)濾
3��、合法的流量將會(huì)由后端端口(eth2)建立新的連接到負(fù)載均衡設(shè)備
4���、負(fù)載均衡進(jìn)行流量的負(fù)載
5���、雙臂代理模式可以開(kāi)啟所有的安全功能
工作特點(diǎn):基于應(yīng)用層的檢測(cè),同時(shí)又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢(shì)
對(duì)應(yīng)用數(shù)據(jù)錄入完整檢查����、HTTP包頭重寫(xiě)、強(qiáng)制HTTP協(xié)議合規(guī)化����,杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升
預(yù)期數(shù)據(jù)的完整知識(shí)(Complete Knowledge of expected values),防止各種形式的SQL/命令注入���,跨站式腳本攻擊
實(shí)時(shí)策略生成及執(zhí)行���,根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略,而不是千篇一律的廠家預(yù)定義防攻擊策略�,無(wú)縫的砌合您的應(yīng)用程序,不會(huì)造成任何應(yīng)用失真��。
網(wǎng)站全面隱身:黑客再神奇也無(wú)法攻擊看不見(jiàn)的東西
Barracuda-NC應(yīng)用防火墻對(duì)外部訪問(wèn)網(wǎng)站進(jìn)行隱身�����,可以隱藏真實(shí)的Web服務(wù)器類型、應(yīng)用服務(wù)器類型���、操作系統(tǒng)�、版本號(hào)�、版本更新程度、已知安全漏洞����、真實(shí)IP地址、內(nèi)部工作站信息�����,讓黑客看不見(jiàn)��,摸不著�����,探測(cè)不到��,自然也無(wú)從猜測(cè)分析和攻擊�����。以下便是一款常用掃描工具掃描經(jīng)過(guò)Barracuda-NC應(yīng)用防火墻隱藏的網(wǎng)站的結(jié)果�。
同時(shí),它還能識(shí)別各種爬行探測(cè)程序���,只允許正常的搜索引擎爬蟲(chóng)進(jìn)入�,抵御黑客爬行程序于門(mén)外��,讓想通過(guò)探測(cè)確定攻擊目標(biāo)的黑客徹底無(wú)門(mén)�。
除此之外,做為一款強(qiáng)大的應(yīng)用防火墻�,Barracuda-NC應(yīng)用防火墻還有許多應(yīng)用交付功能:應(yīng)用數(shù)據(jù)緩存,數(shù)據(jù)壓縮���,TCP連接池�,SSL Offloading��,7層內(nèi)容交換負(fù)載均衡等等��,完全可以替代其他應(yīng)用層交換設(shè)備�,做為應(yīng)用層交換的中流砥柱。
|
