江光中+江明珠
摘 要 本文从为什么要构建WEB应用防火墙入手,分析建立WEB应用防火墙的意义。从现状描述、需求分析,制定方案,到详细设计、建设原则、部署说明,从全面的防护与监控、优化应用交付、深度数据分析、人性化运维管理来要求建立防火墙,系统主要策略设置讲述规则、配置流程,给出了日常使用要求,确保WEB安全。
关键词 WEB 防火墙 策略设置
中图分类号:TP309 文献标识码:A
随着烟草行业信息化进程发展,地市公司的网络建设逐步成熟,也面临众多信息安全危机,需要构建WEB防火墙来保护网络安全,笔者就其防火墙的建设方案,提供一种参考。
1 WEB系统安全概况
WEB应用的发展,使WEB系统发挥了越来越重要的作用,与此同时,越来越多的WEB系统也因为存在安全隐患而频繁遭受到各种攻击,导致WEB系统核心数据、页面被篡改,甚至成为传播木马的傀儡,最终会给烟草公司带来严重损失。
2 WEB安全攻击形式
由于针对WEB系统的网络访问控制措施被广泛采用,且一般只开放HTTP等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web应用程序漏洞的存在更加普遍,随着WEB应用技术的深入普及,WEB应用程序漏洞发掘和攻击速度越来越快,基于WEB漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对网站成功的攻击中,超过7成都是基于WEB应用层,而非网络层。
2.1 WEB系统安全问题总结
WEB系统安全形势堪忧,主要是因为存在以下几个方面的问题:
2.1.1大多数Web系统设计,只关注正常应用,未关注代码安全
一个WEB系统设计者更多地考虑满足用户应用,如何实现业务。很少考虑WEB系统开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。对于WEB应用程序的SQL注入漏洞,有试验表明,通过搜寻1000个网站取样测试,检测到有11.3%存在SQL注入漏洞。
2.1.2 黑客入侵后,未及时发现
有些黑客通过篡改网页来传播一些非法信息或,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了WEB系统的控制权限。被种植木马的烟草公司通常是在不知情的情况下,被黑客窃取了自身的机密信息,还成了黑客散布木马的一个渠道:WEB系统本身虽然能够提供正常服务,但WEB系统的访问者却遭受着持续的危害。
2.1.3 WEB系统防御措施滞后,甚至没有真正的防御
大多数防御传统访问控制,入侵防御设备,保护WEB系统抵御黑客攻击的效果不佳。比如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击,防火墙束手无策,甚至是基于特征匹配技术的检测产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。因此,导致目前有很多黑客将SQL注入,XSS攻击作为入侵WEB系统的首选攻击技术。
有很多系统管理员对WEB系统的价值认识仅仅是一台服务器或者是系统的建设成本,只有在WEB系统遭受攻击后,造成的损失远超过WEB系统本身造价之后才意识Web系统安全问题的严重性。
2.1.4 发现安全问题不能彻底解决
关注重点不同,绝大多数的WEB系统开发对WEB系统安全代码设计方面了解甚少,发现WEB系统安全存在问题和漏洞,其修补方式只能停留在页面修复,很难针对WEB系统具体的漏洞原理對源代码进行改造,很少有人能够准确的了解WEB系统安全漏洞解决的问题是否彻底。
2.2 WEB系统安全问题带来的最终危害
随着WEB应用技术的深入普及,WEB系统攻击的技术门槛在不断降低,当攻击跟利益、政治阴谋联系在一起的时候,我们的WEB系统很可能已经处于多个攻击者的视线之内。正因为如此,网页挂马、数据篡改等WEB系统安全事件层出不穷,WEB系统被攻击而遭受损失的媒体报道屡见不鲜。
3 建设方案总体概述
3.1 现状描述
烟草地市公司当前业务主要包括经营、物流、市场管理、企业管理(行业信息)、声讯等五大类子业务。随着平台访问用户数量的持续增长,各承载业务系统网站的社会影响力也在逐步增大,因此此类网站的政治影响力和随之带来的商业利益,会吸引更多的非法企图恶意入侵者的注意力,遭受恶意非法攻击的可能性大大增加。
当前集成整合平台现有大部分服务器及安全防护产品为一、二期采购的设备,设备老旧、故障率高。且安全产品技术落后,防护能力较弱。缺少对当前主流WEB应用威胁的防护手段。
本次项目建设方案针对各平台涉及外网网站的系统部署WEB应用防火墙,以防护外网网站应用安全。通过部署WEB应用防火墙,完善WEB应用安全防护能力,将目前各平台全部对外发布网站纳入WEB应用防火墙的保护之下。对HTTP、HTTPS的请求和响应进行实时扫描和过滤,在非法入侵实施前进行及时有效阻断,彻底切断互联网上的非法入侵途径,保证各网站的安全性。
3.2需求分析
需要进行针对WEB的应用层安全防护,传统的防火墙、IPS技术能够从某些层面上解决一些通用的安全问题,对于针对WEB应用所产生的特定性应用层攻击无法做到贴身防护,需要能够基于应用层会话来实现实时双向防护机制的安全防护设备采取反向代理技术来进行应用级别的防护。
需要具备针对WEB的脆弱性管理机制,一切的攻击和威胁都是通过借由系统或应用本身的脆弱性来实现的,所以若想治标治本,必须在攻击发起之前对自身脆弱性及时发现并进行补救,,WEB应用的扫描功能是脆弱性管理所必须的。
针对主流攻击技术和安全威胁方法的识别,根据国际权威WEB安全组织OWASP的WEB攻击热点TOP10的结果显示来看,SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、认证暴力猜解等流行攻击行为已经占到WEB攻击行为的大半部分,需要采取精确的检测和防护手段来进行必要保护,避免由这些攻击导致网站的安全性问题。endprint
针对HTTPS的加密流量的清洗,对于电子商务类的交易型网站而言,通信过程中所涉及的安全问题显然是早已被考虑在内的,现在绝大多数的通信加密都是基于SSL的客户端采取HTTPS协议来进行访问,如何在这样一些加密访问中识别出可能的威胁并加以阻止显然是WEB防护手段中必要的一环。
双向内容过滤,一方面对于互联网客户端提交的内容信息交易过滤,保证恶意脚本不被上传,杜绝网站挂马中招的威胁;另外一方面,也不得不提防由于服务器端暴露过多的敏感信息而使得攻击者有机可乘,WEB应用访问流量的清洗在以保障网站安全为目的的情况下不仅仅是单方向上的内容过滤,双向内容检测和过滤机制是必要的安全手段。
WEB防护系统本身的安全性和易用性,安全设备的目的是为了减少管理和运营人员对系统的安全管理工作压力,选择适合管理人员技术水平和理解能力的安全产品才能使安全防护工作效果产生事半功倍的效果,中文界面的支持、安全策略的人性化设置、漏洞知识和解决方案的完整等等,这些都是产品易用性的直接体现,此外,对于安全产品自身的管理和数据交互应该采取加密手段,安全产品系统应采用经过安全加固的专用操作系统。
4 建设方案详细设计
4.1 建设原则
网络安全性:对网络结构的影响应尽可能小,且不会带来新的故障点。
信息安全性:系统应提供完善的用户鉴权、访问控制、安全日志管理、操作员权限管理等多种安全手段,以保证系统中内容、报表数据等不被非法盗用和修改伪造,保证数据不因意外情况丢失和损坏。另外,保证传输过程中数据安全,确保数据不被中途篡改、丢失、破解。
可用性:系统应达到电信级产品的可用性,正常工作时间达到99.999%。
准确性:系统應保证数据处理的准确性和一致性,并提供多种核查手段。
开放性:系统应采用符合标准接口协议,以保证系统对各种外部系统的互连能力。
扩展性:系统应具备平滑扩容的能力,扩容时应不改变组网结构,不降低系统性能,能满足XXX单位业务发展的需求。
易用性:系统应具有良好的人机操作界面、更好的提示信息,方便使用。
高效性:系统应具有较高的处理能力、较低的能耗和较少的占地空间,符合国家节能减排的政策。
4.2 部署说明
一般而言,web防火墙设备是采用串联的方式部署在网路中,并支持透明代理的部署方式,作为WEB客户端和服务器端的中间人,避免Web服务器直接暴露于互联网上,监控HTTP/HTTPS双向流量,对网络层、WEB Server/Application层双向数据实施检测和保护,可以降低WEB站点安全风险。修改网络及服务器配置,透明部署在防火墙和Web服务器群之间,对WEB服务器群的出入流量进行有效监控,从而确保Web应用的安全。
在集成整合平台项目中,将所有对公网提供WEB服务的系统都迁移至交换机处汇聚。在汇聚交换机上游部署WEB应用防火墙,以透明模式串行接入网络,防护集成整合平台所有外网网站;将WEB应用防火墙管理口接入安全VPN,安全管理人员可以访问WEB应用防火墙对各项配置进行调整,并对系统日志进行审计。
整体WEB应用防火墙网络连接示意图如图1所示:
4.3 系统特点
4.3.1全面的防护与监控
采用双向数据检测机制,对进出WEB服务器的HTTP/HTTPS相关内容进行深度分析过滤,阻止如SQL注入、XSS、CSRF等攻击,有效应对OWASP Top 10定义的威胁及其变种。
采用主动监测与被动跟踪相互结合的防护技术,能够对SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等各类带宽及资源耗尽型拒绝服务攻击攻击进行有效识别,并通过特有的机制实时对这些攻击流量进行阻断。确保了网站业务的可用性及连续性。
内置的HTTPS网守应用在不需要修改应用程序代码及服务器配置的情况下,能够为网站客户端提供无缝的HTTPS服务,从而最大限度的保护网站客户数据的安全性。
4.3.2深度数据分析
详细记录各类网站攻击信息,对安全事件进行整体还原,运维人员可以通过分析相关数据对网站实施更有针对性的安全策略。
基于对用户行为的追踪及研究,对网站访问数据进行深入分析。根据分析结果,管理者可以有针对性的调整网站业务策略,实现网站作用最大化。
可通过表格、图示等多种方式展现统计数据。运维人员或管理者可直观了解网站安全及业务状况。
4.3.3人性化运维管理
能自动学习到虚拟主机环境下站点的域名信息,并将其加入到防护列表中,启用服务器防护策略。避免用户逐一手动对站点进行添加配置,节省操作时间。
提供了丰富的人性化系统运维管理数据,并通过直观的图形化统计分析界面进行展现,让运维人员快速掌握系统整体的情况。
在复杂的分布式环境中,日志集中管理功能将大大减轻管理开销。通过对安全日志进行统一收集、统一存放及统一查询,实现对网站安全数据的统一管理和分析。
4.4 系统主要策略设置
4.4.1 防护策略概述
常见的WEB攻击,分为两类:一是利用WEB服务器的漏洞进行攻击,如缓冲区溢出、目录遍历漏洞利用等攻击;二是利用WEB网页自身的安全漏洞进行攻击,如SQL注入、跨站脚本攻击等。
常见的针对网页即WEB应用的攻击有:
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。
目录遍历——攻击者通过访问根目录,发送一系列的../字符,或通过根目录访问Web应用所在目录之外路径来实现遍历更高层目录。
远程文件包含——攻击者可以利用php脚本对用户提交的输入缺少正确检查指定包含远程服务器上的任意文件,以Web权限在系统上执行任意命令。
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据。
强制访问——访问未授权的网页。
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序。
拒绝服务攻击——构造大量的非法请求,使Web服务器不能响应正常用户的访问。
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户账号等信息。
SQL注入——构造SQL代码让服务器执行,获取敏感数据。
4.4.2 规则、规则集及策略的相互关系
安全防护功能是通过策略的方式实现的,而策略是由包含若干规则的规则集构成。规则、规则集和策略之间的关系如图2所示。
每个类型的规则都有两类:
内置规则:又叫系统预定义规则,是系统内置的规则,只能编辑,不能删除。
自定义规则:用户自定义的规则,可以编辑和删除。
规则需要和策略配合使用,天融信WAF的规则和策略的对应关系,如表1所示。
4.4.3 防护策略配置流程
防护策略的配置流程如图3所示,其中站点管理对象的配置是可选的。建议用户配置站点管理对象,这样在需要配置多个策略的时候,可以直接引用站点,简化策略配置。
5日常使用建议
任何时候,安全都是动态的。在这种情况下,有效的使用和维护安全产品和安全策略,才能使安全产品发挥其最大的效应,建议如下:
5.1保障规则升级
离线下载或使用厂商提供的定期升级包进行在线更新;
5.2日志自动备份策略
设置报警日志定期备份策略,防止出现日志溢出或意外丢失的情况;
5.3定期分析与报告策略
每月对报告进行综合分析,对疑难问题,寻求安全厂商的支持。endprint