数据中心Web应用安全解决方案

数据中心Web应用安全解决方案Fortinet.inc2012年4月20日Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。目录1.Web应用安全现状分析...................................................................................................................................32.IPS无法识别和阻断Web应用层行为攻击.....................................................................................................43.WAF可以实现对Web应用层攻击的全面分析和阻断.....................................................错误!未定义书签。4.FortiWeb提供IDC数据中心Web应用安全解决方案...............................................................................54.1.Web应用安全解决方案拓扑..........................................................................................................................55.FortiWeb产品简介.........................................................................................................................................65.1.灵活部署的部署方式........................................................................................................................................65.2.防御已知Web攻击.........................................................................................................................................85.3.未知Web攻击防御.........................................................................................................................................85.4.智能动态学习、自动建模功能........................................................................................................................95.5.应用交付加速....................................................................................................................................................95.6.先进的DDOS防御..........................................................................................................................................96.FortiWeb综述................................................................................................................................................11Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。1.Web应用安全现状分析随着互联网及计算机技术的高速发展，计算机已经几乎进入每个家庭，人们生活方式发生了重大改变，出现了宅男、宅女、网购、在线电影、在线音乐、在线聊天、在线视频、在线网银、在线营业厅等等时髦的生活娱乐方式，尤其以Web形式占到了主要份额，Web以其丰富多样的表现形式、易操作性、强大实用功能得到了广泛的应用，从日常生活中的交水电费、电话费到在线订购车票、在线转账汇款、在线购物、在线娱乐、再到工作时使用的OA、CMS、Wiki等等涉及到了人们生活的方方面面，已经和每个人密不可分，已经成为了一个民生问题。近年来安全事件的频繁爆发引起人们关注甚至是恐慌，网站类攻击比例在所有安全事件中所占比重越来越大，网站安全攻击事件的爆发引起全民高度关注，究其原因有两方面：与快速的Web应用发展速度相比，Web应用安全意识及技术发展较为滞后，我们很多的网络安全人员还停留在传统的网络安全时代，认为传统的网络防火墙和IPS就可以解决一切安全威胁。对于IDC数据中心来说，服务器托管业务为其主要业务而Web服务器在其中占有较大比例，而Web服务器安全出现问题直接导致用户的满意度下滑，也就会严重影响数据中心的业绩。在市场竞争如此激烈的今天，客户的满意度直接决定公司的未来发展态势，因此加强服务器安全防护，拓展服务器托管的增值业务，对提高公司整体竞争力有着重要的战略意义。Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。2.传统IPS设备和WAF应用防火墙的区别传统IPS防攻击原理：获得数据包，进行报文重组，利用协议分析器将数据包进行分析，提取出报文中关键特征，然后将所提取的报文特征与IPS攻击特征库进行对比，检验是否存在可以匹配的特征，换句话说就是将提取的关键字与IPS特征库中类正则特征表达式进行匹配测试，一旦匹配成功就判断为攻击，进而实施阻断。综述：IPS是基于包检测，只能针对已知多种协议（包括HTTP、FTP、smtp等）的攻击类型进行基于关键字的特征匹配，而对于HTTPS的加密数据和基于行为的攻击，无法进行综合智能分析识别，因此就无法拦截Web应用层行为攻击，无法拦截HTTPS加密数据中的已知攻击和未知攻击。WAF应用层安全防御工作原理:通过Web应用代理工作模式，针对特定待保护IP地址的HTTP/HTTPS事务交互内容进行状态记录和全面分析，如可以记录每个服务器网站上的Host（域名），每个Web页面（如所访问的网站的URL），Web页面之间所传递的变量名称及变量值（如数据输入框的值），访问整个网站及每个页面的客户端IP地址、所使用的Cookies、会话状态、访问次数等。综述：因此WAF是全面防护HTTP/HTTPS攻击的Web应用防火墙，不仅可以拦截已知类型的Web攻击，还可以防止用户提交非法数据到后台服务器、限制对指定URL的访问及认证，并对用户访问网站的所有行为进行全面记录和分析，防止基于用户行为的攻击如出现于Web应用中的CC攻击，对特定页面的暴力破解等。Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。3.FortiWeb提供数据中心Web应用安全解决方案3.1.Web应用安全解决方案拓扑将FortiWeb（FortinetWeb应用防火墙）部署于各个Web服务器集合前端，通过对通往Web服务器的HTTP/HTTPS数据进行分析过滤，对恶意攻击进行拦截和告警，对Web服务器返回到客户端的敏感数据进行擦除，防止服务器的相关信息泄露给攻击者，其它正常数据安全通过，从而保证Web服务器稳定，高效的运行。对于其它非保护HTTP/HTTPS流量则进行透传处理，从而做到对其它业务无任何影响。服务器一区网路防火墙数据中心内部网络FortiWeb3000CAWeb应用防火墙FortiWeb3000CBWeb应用防火墙Web服务器集合其它服务器Internet服务器N区FortiWeb3000CAWeb应用防火墙FortiWeb3000CBWeb应用防火墙Web服务器集合其它服务器Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。4.FortiWeb产品简介FortiWeb是一款集保护、负载平衡与加速web应用、数据库之间信息交换的web应用层防火墙。无论是对大型企业、服务供应商、或云服务提供商，提供应用程序的保护，FortiWeb设备将会大大缩短部署时间，并简化安全管理。FortiWeb™是通过ICSA认证的web应用防火墙。ICSA实验室Web应用防火墙认证的取得，标明FortiWeb具有业界最高的安全标准，以及业界用户web应用安全需求部署的最佳优势。型号FortiWeb3000C/3000CFSX性能吞吐量：1GbpsHTTP流量；事务处理：40,000TPS接口4x10/100/1000电口；2x1Gbps电口(FortiModule-CP7)；2x1Gbps光口（仅限3000CFSX）存储标配2x1TB(standard)，可扩展到6T电源2U双冗余电源4.1.灵活部署的部署方式多种部署方式选择FortiWeb提供了可以适应各种环境下的四种部署模式：在线代理、透明代理、透明检测、离线检测。在线代理：传统防火墙WEB应用防火墙WEB服务器交换机注：需要在NAT设备上做端口镜像Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。适用场景：几乎适合于所有的拓扑结构，在出口的防火墙或者路由器上做NAT将到原服务器设备上。优点：部署位置不受限制，只要IP可达均可，能够有效拦截和阻断所有攻击，可以实现Web服务器的负载均衡及SSL卸载功能。透明代理：传统防火墙WEB应用防火墙WEB服务器WEB服务器交换机适用场景：对部署比较集中服务器集群或者单个WEB服务器较为适用。优点：反向代理，无需调整现有网络结果和配置，能够有效拦截和阻断所有攻击。一旦出现软硬件故障还可以实现软硬件bypass，保证业务正常运行。透明检测：传统防火墙WEB应用防火墙WEB服务器WEB服务器交换机适用场景：对部署比较集中服务器集群或者单个WEB服务器较为适用。优点：流量镜像，无需调整现有网络结果和配置，对现有网络几乎没有影响，延迟小到几乎可以不计，设备内部自带流量镜像功能，一旦出现软硬件故障还可以实现软硬件bypass，保证业务正常运行。离线检测：传统防火墙WEB应用防火墙WEB服务器交换机Web应用安全解决方案本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。注：需要在交换机上将出入连接WEB服务器端口的流量镜像到WEB应用防火墙上适用场景：对部署比较集中服务器集群或者单个WEB服务器较为适用。优点：流量镜像，对现有网络没有影响。4.2.防御已知Web攻击FortiWeb预置丰富的Web攻击特征库，并可通过由Fortinet全球安全专家24小时维护的FortiGuard云服务进行实时更新。可以阻断如跨站点脚本、SQL注入、缓冲区溢出、远程文件包含，cookie中毒、schema中毒、信息泄露和其他种类繁多的已知攻击威胁，保证可防止Web应用程序的安全敏感信息产生泄露。防御OWASP10大web应用漏洞攻击，从而协助遵从PCIDSS6.6法规4.3.未知Web攻击防御限定用户只能输入合法的数值，