從2008年開始,大量企業(yè)、政府的網(wǎng)站遭遇Web攻擊,甚至有黑客通過攻擊企業(yè)網(wǎng)站勒索錢財。眾多的事例使企業(yè)逐漸認識到,由于很多攻擊已經(jīng)轉(zhuǎn)向應用層,傳統(tǒng)的防火墻、IPS、網(wǎng)頁防篡改設備都無法徹底阻止此類攻擊,必須要安裝Web應用防火墻(以下簡稱WAF)來保護Web應用。
保護應用的“墻”
只要有網(wǎng)絡的地方就會有防火墻,但傳統(tǒng)的防火墻只是針對一些底層(網(wǎng)絡層、傳輸層)的信息進行阻斷,而WAF則深入到應用層,對所有應用信息進行過濾,這是二者的本質(zhì)區(qū)別。
WAF的運行基礎是應用層訪問控制列表。整個應用層的訪問控制列表所面對的對象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個網(wǎng)站互動過程中所提交的一些內(nèi)容,包括HTTP協(xié)議報文內(nèi)容,由于WAF對HTTP協(xié)議完全認知,通過內(nèi)容分析就可知道報文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描,而WAF會做完全、深層次的掃描。
梭子魚中國區(qū)技術總監(jiān)谷新說:“區(qū)別于IDS/IPS,WAF的技術特點在于,能夠完全代理服務器的應用層協(xié)議(HTTP/HTTPS),包括對應用層請求的審查,以及對請求響應的代理,既能提供被動安全模式,也能提供主動安全模式進行防御。”
綠盟科技產(chǎn)品市場經(jīng)理趙旭向記者介紹,WAF定位為網(wǎng)站安全防護設備,全面防范網(wǎng)站面臨的具有較高風險的安全問題。從降低網(wǎng)站安全風險角度來看,WAF產(chǎn)品應以一個可閉環(huán)又可循環(huán)的方式去影響導致網(wǎng)站安全問題的各種因素(包括攻擊者因素、漏洞因素、技術影響性因素),從而降低潛在的風險。
從攻擊發(fā)生的時間軸來看,WAF應具備事前預防、事中防護及事后補償?shù)木C合能力。對最為核心的事中防護能力而言,WAF作為一種專業(yè)的Web安全防護工具,基于對HTTP/HTTPS流量的雙向解碼和分析,可應對HTTP/HTTPS應用中的各類安全威脅,如SQL注入、XSS、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應用層DDoS等,能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題,充分保障Web應用的高可用性和可靠性。
對于事中疏漏的攻擊,可用事前的預發(fā)現(xiàn)和事后的彌補,形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網(wǎng)站,而事后的防篡改可以保證即使出現(xiàn)疏漏也讓攻擊的步伐止于此,不能進一步修改和損壞網(wǎng)站文件,對于要求高信譽和完整性的用戶來說,這是尤為重要的環(huán)節(jié)。
WAF的核心技術在于對HTTP本質(zhì)的理解以及Web攻擊防護的能力。前者要求WAF能完整地解析HTTP,包括報文頭部、參數(shù)及載荷;支持各種HTTP編碼(如chunked encoding);提供嚴格的HTTP協(xié)議驗證;提供HTML限制;支持各類字符集編碼;具備HTTPResponse過濾能力。從降低安全風險的角度而言,后者要求WAF能有效影響攻擊者因素中的機會、群體因子以及漏洞因素中的發(fā)現(xiàn)難易度、利用難易度、入侵檢測與覺察度因子。
下面我們來看看WAF是如何防御Web攻擊的。CSRF是一類被廣泛利用的Web應用安全漏洞,該攻擊通過偽造來自受信任用戶的服務請求,誘使用戶按照攻擊者的意圖訪問網(wǎng)站信息,或者執(zhí)行一些惡意的操作,比如登出網(wǎng)站,購買物品,改變賬戶信息,獲取賬號,或其他任何網(wǎng)站授權(quán)給該用戶的操作等。
谷新表示,WAF利用數(shù)字加密、簽名,或時間戳Cookie,來保護信息不被篡改,同時將會話Cookie與源客戶端請求進行綁定,來阻止他人利用受信用戶進行CSRF攻擊。
趙旭介紹說,相對于使用特征集的靜態(tài)防護,WAF所采用的動態(tài)防護機制更具智能性和靈活性。基本思路是通過WAF隨機產(chǎn)生的隱含表單來打斷一個不變的會話,也就是說即使攻擊者獲取到了用戶身份,但是隨機變化的驗證碼讓攻擊者無法構(gòu)造一個不變的報文。
除了上述用戶輸入類型的攻擊,還有一類影響Web應用可用性的攻擊也比較典型,即應用層DDoS攻擊,在國內(nèi)更習慣稱為CC攻擊。不同于網(wǎng)絡層帶寬耗盡型的DDoS攻擊,此類攻擊構(gòu)思更為精巧,意在以相對較小的代價耗盡Web服務器側(cè)的系統(tǒng)資源,如磁盤存儲、數(shù)據(jù)庫連接、線程等。2009年6月18日,國際安全組織SANS報導了一種新型Apache HTTP DoS工具。運用此工具,一個帶寬很小的用戶都可能對一臺高速服務器發(fā)起攻擊。該工具對Apache 1.x和 Apache 2.x版本以及Squid都有效。攻擊原理為:如果向服務器發(fā)送不完整的HTTP請求報文,會讓HTTP連接一直處于開放狀態(tài)。工具可在Web服務器超時時間內(nèi)頻繁發(fā)起這樣的連接,導致連接耗盡。其構(gòu)思精巧之處還在于,GET請求是不帶數(shù)據(jù)的,而攻擊者惡意構(gòu)造了Content-Length字段、表示后續(xù)有數(shù)據(jù),哄騙Web服務器持續(xù)等待后續(xù)數(shù)據(jù)的到達,從而占用連接。
基于規(guī)則的DoS防護或者調(diào)整Apache配置(如增加MaxClients值,只是增加攻擊的難度)均很難應對這種攻擊工具。而應用了多種防護技術(重定向、HTTP頭部解析會話超時機制以及請求方法識別等)的WAF產(chǎn)品,可天然應對基于這類工具的攻擊。
學習讓WAF進步
面對日趨精細化和復雜化的Web攻擊手法,廠商對Web攻擊的持續(xù)研究實力將充分體現(xiàn)在WAF的防護能力上,同時對WAF提出了需要與業(yè)務結(jié)合更為緊密的要求。WAF需要了解數(shù)據(jù)流向、應用的業(yè)務邏輯、用戶訪問習慣等,在此基礎上進行安全建模,采用一種白名單的方式,即只有符合此安全建模的輸入,WAF才予以放行。另一方面,WAF與其他安全產(chǎn)品的有效結(jié)合也是一種很好的思路,如WAF與Web掃描工具結(jié)合,Web掃描工具的掃描結(jié)果可以形成WAF的防護規(guī)則;WAF與蜜罐結(jié)合,由蜜罐捕獲到的新型惡意行為特征,同樣可以轉(zhuǎn)化為WAF的防護規(guī)則,從而在這類攻擊廣為流行之前,WAF能預先提供有效的應對措施。
云安全是現(xiàn)有安全架構(gòu)的自然發(fā)展和有利補充。作為可能的發(fā)展方向,將WAF集成于云安全體系中,會讓WAF提前對Web安全威脅進行響應,同時,開放和實時的云安全服務也將顯著改善最終用戶體驗。
應對Web安全威脅與滿足合規(guī)要求(如PCI DSS合規(guī)要求)是目前客戶采購WAF的主要驅(qū)動力。與前幾年相比,2009年WAF技術有兩方面的變化。一方面,核心技術的加強、功能的橫向擴展以及產(chǎn)品性能的提升,如正向安全模型(白名單)及反向安全模型(黑名單)相結(jié)合、雙向內(nèi)容檢測、集成Web掃描功能、單一平臺整合Web應用安全與交付功能,采用具備應用層高吞吐能力的平臺。另一方面體現(xiàn)為降低管理開銷,提供集中管理、面向特定應用的策略模板、自學習模型、簡單易用且功能強大的報表系統(tǒng)(體現(xiàn)網(wǎng)站合規(guī)狀態(tài)及安全狀態(tài))等。
WAF在保護云計算的安全方面也可盡一份力。趙旭認為,云計算服務架構(gòu)自上而下包括SaaS(軟件作為服務)、PaaS(平臺作為服務)及IaaS(基礎設施作為服務)。WAF可以應用于解決云計算服務架構(gòu)的自身安全問題,如在SaaS層面提供應用及數(shù)據(jù)安全,保護數(shù)據(jù)中心,確保云計算服務的質(zhì)量。另一方面,WAF本身也可以融于云安全平臺,以靈活的產(chǎn)品形態(tài)(不拘泥于現(xiàn)今市場比較主流的硬件盒子)提供Web應用安全服務。
“為了給云計算提供安全保護,必須將WAF對應用服務器的防護擴展到云系統(tǒng)中的大型數(shù)據(jù)中心,允許在托管的應用間靈活地分配資源(包括網(wǎng)絡帶寬、服務請求等),并且能夠根據(jù)每個托管應用程序提供完整的虛擬化服務(包括安全、日志、審計、應用交付等)。”谷新說。
Internet計算環(huán)境出現(xiàn)了這樣的矛盾:業(yè)務資源集中化,資源端計算能力強;在網(wǎng)絡邊界訪問業(yè)務資源的客戶端通常帶寬、計算能力都較弱,同時客戶端也經(jīng)常成為安全威脅的宿主。這種矛盾導致了客戶端的體驗差,業(yè)務資源無法充分發(fā)揮效能。未來,Web安全和Web應用交付融合的趨勢日趨明顯,對于機構(gòu)的IT決策者來說,面臨的最大挑戰(zhàn)在于如何緩解針對Web業(yè)務的各類安全威脅,高效保障Web應用的可用性和可靠性、優(yōu)化業(yè)務資源和提高應用系統(tǒng)敏捷性。
從技術發(fā)展來說,WAF需要確保Web業(yè)務在安全和性能兩方面的收益最大化。一方面,WAF需提供增強的安全功能,應對日趨復雜且針對性強的高風險Web攻擊,另一方面,WAF還需要確保Web應用的可用性、可伸縮性、高性能,降低服務響應時間、顯著改善終端用戶體驗,優(yōu)化業(yè)務資源和提高應用系統(tǒng)敏捷性,提高數(shù)據(jù)中心的效率和服務器的投資回報率。
此外,從產(chǎn)品向服務的演變也是一種趨勢。下一步,WAF廠商可與MSSP(托管安全服務提供商)合作,面向用戶按需提供基于網(wǎng)絡的WAF服務或者虛擬化的WAF服務。
編看編想
WAF不能Plug and Play
由于WAF和應用的結(jié)合很緊密,因此WAF的安裝并不是插上網(wǎng)線,接上電源這么簡單。用戶購買WAF后,除了上線之前要做一些簡單的配置之外,還要進行更復雜的設置,例如配置與應用密切相關的高級屬性策略(內(nèi)容安全、CSRF防護、網(wǎng)頁盜鏈等)。管理員還要根據(jù)實際應用靈活地調(diào)整具體特征規(guī)則,以實現(xiàn)模型或基于協(xié)議的規(guī)則不能或不方便實現(xiàn)的安全策略。
架設WAF可能會對網(wǎng)站訪問產(chǎn)生意外的影響,應用某個不當?shù)囊?guī)則也可能影響當前應用的正常訪問,因此不少管理員都在猶豫要不要使用最高安全等級的過濾策略。
WAF的審計模式可以幫助用戶解決這個擔憂。用戶在購買WAF后,首先選擇采用審計模式進行部署。在審計模式下,用戶可以對網(wǎng)站的訪問流量進行觀測,WAF會將所有偵測到的異常和入侵、攻擊等行為記錄到日志中,但對這些流量本身不作任何限制和阻斷,所有的業(yè)務流量將透明通過WAF。通過審計模式,用戶可以充分了解網(wǎng)站的狀態(tài)和行為,對針對該網(wǎng)站的異常行為進行分析,然后對WAF的防護策略進行合理配置。最后再將WAF中配置的服務逐一激活。
在激活模式下,WAF將根據(jù)防護策略對業(yè)務流量進行分析,對于違背策略的異常行為(入侵、攻擊等)進行阻斷。阻斷的同時會產(chǎn)生日志,用戶可以根據(jù)對日志的分析不斷調(diào)整和完善防護策略,以減少WAF的誤判、漏判或其他副作用。