搜索
ImpervaWAF技术概述ImpervaWAF技术概述ImpervaSecureSphere概述....................................................................................2部署拓扑...........................................................................................................................3部署选项...................................................................................................................3安全引擎...........................................................................................................................3透明检测...................................................................................................................4透明检测架构...................................................................................................................5透明检测概览...........................................................................................................5全面的应用程序感知...............................................................................................7会话保护...................................................................................................................8网络和平台攻击保护...............................................................................................8URL特征.................................................................................................................8ImpervaWAF技术概述IMPERVASECURESPHERE概述传统的防火墙,在发挥重要作用的同时,却无法解决以上任何问题。防火墙能够提供广泛的网络安全防护,有时还能够提供基本的应用程序感知,但缺乏认识或保护应用程序及其数据的能力。对这些威胁的防护需要更高级别的认识-在应用程序行为层。SecureSphere®系统专门针对这一问题进行了开发,从而提供了该级别的保护。应用程序行为层-OSI及其上层SecureSphere系统的保护分布在近似OSI7层模型的多个层面上。防火墙对应OSI的第2到第4层,协议验证和应用程序层特征码类似于OSI第7层,如下图所示。但是,多个SecureSphere的高级保护进程(例如:特征评估、Web/数据库关联和关联攻击检测)面向应用程序的行为,相当于第8层,该层未在OSI模型中定义。图2.1:应用程序行为层-位于OSI模型之上中心管理SecureSphere系统的MX管理服务器是三层管理架构的中心点,允许组织机构同时自动管理多个网关。安全策略是集中式管理,因此只需单击一下鼠标,就可以自动下发到多个网关。MX可用于各种任务,例如:配置管理、告警汇聚、分析及浏览、审计分析、报告、系统事件搜集等等。ImpervaWAF技术概述部署拓扑SecureSphere®网络架构同时支持非在线网关(嗅听)和在线网关。在线网关的侵入性强一些,但具有更好的阻止能力。嗅听网关是完全非侵入式的,不能提供较为可靠的阻止能力(即:TCP重置)。部署选项SecureSphere®系统支持以下部署模式:扑拓线在如果要为数据中心提供最高级别的安全性保护,则可以将SecureSphere网关部署为在线模式。在此部署方案中,网关充当外部网络与受保护的网段之间的连接设备。网关将阻止在线(即:丢弃包)恶意通信。一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。但不能工作于在线/嗅听混合模式。其中的两个端口用于管理:一个用于连接管理服务器,另一个是可选的,可用于连接外部局域网。其他四个端口属于两个用于在线检查的网桥。每个网桥都包含一个外部网络端口和一个受保护网络端口。扑拓线在SecureSphere使用无在线故障点和性能瓶颈的透明网络网关,以确保为部署和集成消除此类安全产品通常所具有的风险。阻止是通过发送TCP重置实现-但这无法保证阻止操作一定成功,因此TCP重置可能:不能到达受保护的服务器被发送设备忽略嗅听网关是一种被动嗅听设备。用于连接企业集线器与交换机,可控制受保护服务器的通信。通信信息将会被复制到该设备,而不会直接通过。因为不是在线的,因此嗅听网关不会影响性能,也不会影响服务器的稳定性。单个SecureSphere网关可以轻松监控多个网段,因为它包含多个可用于嗅听不同网段的网络接口端口。唯一的限制就是其所能处理的通信量。单个网关可以监控不同类型的服务器(例如:Web服务器、数据库和电子邮件服务器)。不需要在多个不同网关之间分离这些任务。安全引擎SecureSphere®网关可为不同通信流(Web、数据库以及所有其他通信)提供适当的保护,如下图所示。在各个级别上,安全引擎都可以立即阻止通信(在线部署下)或连续监测特定IP、应用程序用户和会话,以供将来阻止(如果证实需要的话)。SecureSphere安全代理是ImpervaWAF技术概述负载检查和处理定向至受保护服务器的通信的模块。安全引擎包含多个安全层,大致与OSI模型对应,从较低级别的网络安全层(防范基于网络的攻击)开始,通过协议和基本应用功能(例如:HTTP协议合规性和应用程序攻击特征码)一直到高级别的保护(例如:应用程序特征和关联攻击验证)。图7.2:SecureSphere安全引擎级别透明检测为何需要透明检测?“透明检测”可解析、跟踪和重构HTTP事务而无需中断HTTP连接。该部署方法能够提供一个对应用程序与网络透明的(因此,几乎无需变更任何部署)、高吞吐量、低延迟的解决方案。因而,当系统运行环境对网络延迟敏感,需要高吞吐量或无法容忍应用程序和网络部署修改时,许多SecureSphereWAF客户选择将系统部署于透明桥接模式。ImpervaWAF技术概述为何需要代理?代理部署的最大优点是,在该模式下,代理可以轻松修改内容。当有超过安全性的其他重要部署需求时(例如:执行URL转译或诸如对象缓存的各种内容加速技术),客户可以选择代理部署。透明检测与代理在所有部署模式下,SecureSphere的安全模型和安全处理都是相同的。无论处于哪种部署模式,SecureSphere都将检查HTTP头字段、URL参数、表单字段、方法、Cookie、SOAP操作和所有其他HTTP元素。SecureSphere还跟踪会话信息,包括用户名、会话标识(Cookie或参数)和其他会话数据,以允许其为用户提供针对基于会话的攻击的防护。SecureSphere在所有四种部署模式下,都能够提供相同级别的应用程序感知,在所有在线部署模式下(网桥、路由器和代理)都能提供相同级别的保护。从第一代WAF产品起,代理技术已使用多年,许多客户了解代理如何处理、检查和阻止网络通信。本文诣在描述“透明检测”是如何执行这些功能的。最低延迟SecureSphere系统出众的吞吐能力基于其独特的分组存储处理方式。系统的基本设计理念是各个分组存储且仅存储一次。其他系统制作分组的复本以供需要处理分组的各个层使用。这种繁重的多重复制将大大消耗系统资源并降低系统性能。而SecureSphere系统仅将分组存储在单一、中心化的存储中,各个层的进程都可以直接访问和处理该分组。透明检测架构透明检测概览要防护应用程序级攻击,应用程序层防火墙必须分析完整的TCP流。TCP流是来自各个IP分组的数据的组合,使TCP/IP成为连续有序的应用数据流。一旦流被重构,WAF可以查看和检测完整的应用程序请求并应用适当的安全策略。SecureSphere会维持一个“影子”TCP/IP堆栈以重构TCP流。在将完整的请求发送至Web服务器之前,该影子TCP/IP堆栈会以正确的TCP序列处理数据,并会分析各个HTTP请求。如果检测到攻击,违规分组将会被丢弃,整个连接将会被阻止。因为SecureSphere会在完成连接之前分析TCP流,所以SecureSphere始终先于应用程序服务器一步,能够在完整的请求到达应用程序服务器之前,防范任何攻击和应用阻止策略。分组-基本单元作为基于网络的设备,SecureSphere®系统的基本操作单元为分组(或帧)。SecureSphere存储分组,直到拥有在尽可能最低的层次中处理它们的足够信息。这可能意味着需要累积可以组成单个消息的分组,或者有时需要存储特定会话的所有分组(时间较长的任务)。ImpervaWAF技术概述下图演示了该处理过程:消息1的所有分组到达SecureSphere安全引擎。这些分组将会被检查、存储,直到收到完整的消息。因为适当保护层的检查,消息1触发一条安全规则,一个TCP重置将会被发送。几个已经到达受保护服务器的分组在其被组合成消息之前将会被丢弃,会话(基于该消息)也将会被中断。注意:在“反向代理”配置中,这些分组甚至无法到达受保护的服务器。如果分组与较低的安全层违反(在此阶段可应用的层,例如:防火墙、网络特征码),策略中指定的操作将会被应用。或者,如果分组与相关层的安全策略不违反,则分组将会被传递至受保护的服务器。如果被检查的分组是包含请求的多个分组之一,则该分组将会保存在内存中以供更高级别的检查使用。一旦整个请求到达网关,则更高级别的检查将会被应用至整个请求(例如:特征、关联),以采取进一步措施。图7.3:安全引擎如何处理分组、消息、会话各个安全层在其有效时将会被应用:网络安全层在分组级别上应用于定向至受保护服务器的全部通信。较高的应用程序层在消息级别(例如:HTTP请求或SQL查询)上应用于那些由SecureSphere深度分析的通信类型,一般主要用于包含HTTP和SQL协议的企业应用程序中的数据传输。处理HTTP请求SecureSphere在不同的阶段分析不同类型的攻击。例如:SecureSphere立即阻止具有过长URL的HTTP请求。因为是明显的溢出尝试,所以SecureSphere不需要通过处理整个请求来阻止连接。但是,在重新组装和解码整个HTTP请求后,SecureSphere将仅识别冗余编码规避技术。如果配置为阻止攻击,SecureSphere将不会完成连接,防止攻击到达Web应用程序。SecureSphere采用三个解析层来精确阻止Web应用程序攻击:ImpervaWAF技术概述i.首先,SecureSphere使用流上的批量URL编码检查TCP/IP流以寻找攻击特征码。然后,SecureSphere分析基本HTTP协议信息-URL、报头值、参数名称和值,但不分析其全部内容