目前,利用網上隨處可見的攻擊軟件,攻擊者不需要對網絡協議的深厚理解基礎,即可完成諸如更換Web網站主頁,盜取管理員密碼,數據庫注入和破壞整個網站數據等等攻擊。而這些攻擊過程中產生的網絡層數據,和正常數據沒有什么區別。
以下是國家計算機網絡應急技術處理協調中心(CNCERT/CC)統計的2008年上半年我國國內網站被黑被篡改的統計圖,在1月-7月內僅發現的被篡改的網站就多達41,000多個,平均每天就有近200個網站被篡改,這真是一個驚人的數字。
下圖是CNCERT/CC從2003-2007的被篡改網站的歷史統計圖:
.gif)
從上圖的對比中我們看出,網站被篡改的數目以每年2-3倍的遞增速度還在不斷的上升趨勢當中。在WEB應用如此普及,如此至關重要的今天,可以說,網站的防黑防篡改解決方案,已經是每一個企業或事業單位網絡運維部門的迫在眉急的重大任務。
很多用戶認為,在網絡中部署多層的防火墻,入侵檢測系統(IDS),入侵防御系統(IPS)等設備,就可以保障網絡的安全性,就能全面立體的防護WEB應用了,但是為何基于WEB應用的攻擊事件仍然不斷發生?其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范,作用十分有限。目前的大多防火墻都是工作在網絡層,通過對網絡層的數據過濾(基于TCP/IP報文頭部的ACL)實現訪問控制的功能;通過狀態防火墻保證內部網絡不會被外部網絡非法接入。所有的處理都是在網絡層,而應用層攻擊的特征在網絡層次上是無法檢測出來的。IDS,IPS通過使用深包檢測的技術檢查網絡數據中的應用層流量,和攻擊特征庫進行匹配,從而識別出以知的網絡攻擊,達到對應用層攻擊的防護。但是對于未知攻擊,和將來才會出現的攻擊,以及通過靈活編碼和報文分割來實現的應用層攻擊,IDS和IPS同樣不能有效的防護。
WEB應用防火墻的出現解決了這方面的難題,應用防火墻通過執行應用會話內部的請求來處理應用層,它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊,一些強大的應用防火墻甚至能夠模擬代理成為網站服務器接受應用交付,形象的來說相當于給原網站加上了一個安全的絕緣外殼。
下面我們就用一款現在業內比較普遍的Barracuda-NC應用防火墻來舉例,來看看應用防火墻是如何保護網站防止被惡意注入和篡改的了。
網絡架構和部署:雙臂代理模式
雙臂代理模式是Web應用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式,能夠提供最佳的安全性能。
在此模式中,所有的數據端口都將被開啟;端口eth1是對外的,直接面向因特網的端口;端口eth2將會和內部的設備(交換機等)進行連接,是面向內部的。管理端口可以被分配到另一個網段,我們推薦將管理數據和實際的流量分離,避免因為實際流量和管理數據的沖突。
以下為示例拓撲圖:
.gif)
網絡實現:
1、前端端口和后端端口位于不同的網段,所有外部客戶將會和應用虛擬IP地址進行連接,此虛擬ip將會和前端端口(eth1)進行綁定
2、客戶的連接將會在設備上終止,進行安全檢查和過濾
3、合法的流量將會由后端端口(eth2)建立新的連接到負載均衡設備
4、負載均衡進行流量的負載
5、雙臂代理模式可以開啟所有的安全功能
工作特點:基于應用層的檢測,同時又擁有基于狀態的網絡防火墻的優勢
對應用數據錄入完整檢查、HTTP包頭重寫、強制HTTP協議合規化,杜絕各種利用協議漏洞的攻擊和權限提升
預期數據的完整知識(Complete Knowledge of expected values),防止各種形式的SQL/命令注入,跨站式腳本攻擊
實時策略生成及執行,根據您的應用程序定義相應的保護策略,而不是千篇一律的廠家預定義防攻擊策略,無縫的砌合您的應用程序,不會造成任何應用失真。
.gif)
網站全面隱身:黑客再神奇也無法攻擊看不見的東西
Barracuda-NC應用防火墻對外部訪問網站進行隱身,可以隱藏真實的Web服務器類型、應用服務器類型、操作系統、版本號、版本更新程度、已知安全漏洞、真實IP地址、內部工作站信息,讓黑客看不見,摸不著,探測不到,自然也無從猜測分析和攻擊。以下便是一款常用掃描工具掃描經過Barracuda-NC應用防火墻隱藏的網站的結果。
同時,它還能識別各種爬行探測程序,只允許正常的搜索引擎爬蟲進入,抵御黑客爬行程序于門外,讓想通過探測確定攻擊目標的黑客徹底無門。
除此之外,做為一款強大的應用防火墻,Barracuda-NC應用防火墻還有許多應用交付功能:應用數據緩存,數據壓縮,TCP連接池,SSL Offloading,7層內容交換負載均衡等等,完全可以替代其他應用層交換設備,做為應用層交換的中流砥柱。
京公網安備 11010502049343號