無論是基于Web的應用系統(tǒng)還是Web網(wǎng)站，他們都面臨著各種各樣且來源不定的安全威脅。他們有些是已被發(fā)現(xiàn)，并具有可識別的固定特征的；則是因網(wǎng)站的設計和代碼，以及攻擊者的行為習慣而異的。而所有這些都是Web應用系統(tǒng)和Web網(wǎng)站必須面對和解決的安全問題。

傳統(tǒng)的技術手段。如防火墻和IPS都是基于已知的安全特征的安全檢測和防護手段，而且它們只能做到網(wǎng)絡，有的可以處理協(xié)議層數(shù)據(jù)包（新的技術）。但是對于Web應用中大量采用，而同時又是被攻擊的主要目標的動態(tài)頁面是無能為力的。這是因為，動態(tài)頁面本身就是沒有固定模式的，所以針對它的攻擊也是沒有固定特征的。

同時，必須注意到，完全依賴特征庫的檢測和防護技術，不可避免的具有很高的誤報率和漏報率，并且在兩者之間很難達到平衡。

目前，大多數(shù)網(wǎng)站采用的都是這種技術，它們也了解其中的問題，只是沒有更好的技術來取代而已。而Imperva的SecureSphere Web應用防火墻采用新型防護手段，既有效地彌補了傳統(tǒng)防護方式的不足，又具有很多新的特點。

作為新型的Web應用防火墻，SecureSphere的特點是基于正向模型——即，為模型的安全檢測技術可以從根本上解決上述傳統(tǒng)Web防護的問題，尤其是當兩者結合的時候。

但同時，對于基于為模型的檢測和防護，有幾個關鍵的技術問題必須解決：

a.模型的產(chǎn)生必須是自動和動態(tài)的?！捎跒槟Ｐ桶囊蛩胤浅V泛，且數(shù)量眾多，人工生成和維護的方式在實際使用中是完全不可行的；而且，會產(chǎn)生大量的誤報。

必須和基本的反向模型向結合。因為反向模型可以屏蔽大量的基本攻擊，而讓基于為的機制解決更高級的攻擊流量。

b.必須在防護的各個層次，以及時間上進關聯(lián)分析。Ì

真正有危害的攻擊通常會在多個層次，包括時間軸上表現(xiàn)出相當?shù)年P聯(lián)性，通過關聯(lián)分析可以極大的提高攻擊辨識的能力，降低誤報率。

另外，由于行為分析意味著大量的計算，產(chǎn)品在具體實現(xiàn)方面必須保證應有的性能，特別是在處理能力(Session Per Second)和時延方面(ms)。Imperva的Web防火墻采用獨特的技術很好的解決了上述問題。

【編輯推薦】

1. WAF——最專業(yè)的網(wǎng)站安全防護
2. web應用防火墻(WAF)的安全原理與技術分析
3. 看WEB應用防火墻的網(wǎng)站整體防護解決方案

#p#

Imperva WAF的功能和特點

SecureSphere WEB安全防護網(wǎng)關是專為了對WEB網(wǎng)站和基于WEB的服務器提供全方位防護而設計的。它的防護對象不僅包括普通的端口掃描、TCP Sync Flood、已知的高級攻擊手段如SQL注入等，還包括未知的、新出現(xiàn)的高級的攻擊，如URL參數(shù)篡改、Cookie毒化等。同時還可以對管理核心數(shù)據(jù)的后臺數(shù)據(jù)庫進行防護, 如下圖所示：  

SecureSphere的WAF G8包括以下方面的功能和特點：

Web應用防火墻功能

SecureSphere 系統(tǒng)保護用戶的WEB應用攻擊，例如SQL注入、Cookie毒化、參數(shù)篡改、路徑遍歷以及更多攻擊（詳見列表）。動態(tài)評估技術自動創(chuàng)建WEB應用的使用和結構的正向安全模型，包括URL、http形式、參數(shù)、隱藏的域、Cookie、事務ID以及應答代碼等。當用戶和網(wǎng)絡應用進行交互時，SecureSphere 系統(tǒng)密切監(jiān)視他們的活動，并與安全模型比較。任何攻擊的企圖都將被監(jiān)測到，并被阻止。 

Web服務防火墻功能

SecureSphere的互聯(lián)網(wǎng)服務網(wǎng)關主要針對XML、SOAP和WSDL等應用進行保護。如同SecureSphere系統(tǒng)的應用防火墻功能一樣，服務網(wǎng)關采用Imperva公司的動態(tài)評估技術建立合法應用行為的安全模型，包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網(wǎng)絡服務應用模式或者變量的企圖都會被識別出來，并加以阻止和防范

動態(tài)建模和自動策略

SecureSphere的防護的一個創(chuàng)新是基于應用層交互內容的安全檢測。在這個層次建立了非常深入復雜的策略。即，對訪問的URL、動態(tài)頁面?zhèn)鬟f參數(shù)、Cookie傳遞的參數(shù)等進行監(jiān)測，對比正常的訪問行為基線；如明顯偏離正常行為模式則可產(chǎn)生告警和即時阻斷。策略的產(chǎn)生主要由設備的自學習功能完成，無需人工干預，而且還可以根據(jù)Web應用的變化進行自適應調整。同時，管理人員還可以進行微調，以得到最優(yōu)的“充分必要”的策略。

Web入侵防護系統(tǒng)（IPS）

SecureSphere IPS對已知的攻擊和“第零日蠕蟲”的提供保護。這些攻擊通常針對WEB服務器、應用服務器和操作系統(tǒng)軟件的弱點（例如，IIS、Apache和Windows 2000）。SecureSphere的“第零日蠕蟲”自動評估技術可自動識別尚未定義特征的攻擊。 SecureSphere系統(tǒng)同時提供多網(wǎng)絡協(xié)議的Snort兼容的特征庫，符合http協(xié)議和來自“應用防御中心”– Imperva自己內部的安全研究組織，的高級應用保護特征。SecureSphere 系統(tǒng)提供定時更新服務，確保安全保護的時效性。

多層次的防護及關聯(lián)

◆SecureSphere不僅提供了創(chuàng)新的安全技術手段，如自動建模，防蠕蟲擴散、高層協(xié)議檢測；同時也整合了各種成熟的技術，如：網(wǎng)絡防火墻、入侵檢測和防護。特別需要指出的是SecureSphere的入侵檢測技術是專門針對Web服務的，除了基本的Snort特征庫，還提供豐富的Web應用和數(shù)據(jù)庫應用的攻擊特征庫。  

◆SecureSphere整合多種安全手段的目的不僅提供了多層次的安全防護，而且通過各個防護層次間內在的關聯(lián)，可以極大的提高攻擊識別的準確性，降低誤報率。這對于時時處于廣泛攻擊環(huán)境下的WEB服務系統(tǒng)是至關重要的。

前后臺關聯(lián)。  

當今，Web服務系統(tǒng)發(fā)展的趨勢是，除了提供靜態(tài)信息的提供外，還提供與多種應用和服務的交互接口。網(wǎng)頁交互和動態(tài)頁面技術越來越多的扮演了核心的角色。同時由于動態(tài)頁面技術的靈活性，它也成為了Web攻擊的熱點，包括通過動態(tài)頁面與后臺數(shù)據(jù)庫的連接關系，獲取和篡改應用系統(tǒng)的核心信息，如賬號密碼、用戶信息、交易信息等。SecureSphere為Web網(wǎng)站和基于Web的應用提供全面安全防護，包括前臺Web服務器和后臺數(shù)據(jù)庫；而且可以進行實時的前后臺關聯(lián)。因此SecureSphere可以幫助發(fā)現(xiàn)攻擊的真正發(fā)起源，可以防護通過后門對數(shù)據(jù)庫發(fā)起的攻擊，提高攻擊發(fā)現(xiàn)的能力，以及精確的從大量訪問流量中阻斷攻擊流量。#p#

Imperv WAF的部署：

配置原則

在為xxx用戶配置Imperva公司的Web安全防護產(chǎn)品的時候，遵循一下的配置的基本原則： 

◆功能性滿足本項目的實際需要 

◆可以支持現(xiàn)有應用系統(tǒng)，如數(shù)據(jù)庫類型、本版等 

◆處理性能滿足系統(tǒng)的需要 

◆對現(xiàn)有系統(tǒng)的無影響，包括；IP地址空間、路由規(guī)劃、無需調整應用系統(tǒng)（如設置Proxy，安裝軟件等）

配置說明

鑒于以上的配置原則，針對xxx web保護項目的Web應用保護，采用Imperva 的SecureSphere系列中G4作為Web應用監(jiān)控和防護網(wǎng)關。同時，為了提供統(tǒng)一的管理和配置平臺，配置MX作為集中網(wǎng)管平臺，對數(shù)據(jù)庫應用監(jiān)控和防護網(wǎng)關進行統(tǒng)一的管理。

G4有500Mbps的吞吐量，同時支持的交易數(shù)是16,000每秒，同時為了保證系統(tǒng)的可靠性，配備兩臺，用來監(jiān)控和保護核心的Web應用，如果一臺出來問題，系統(tǒng)可以自動切換到另外一臺。另外配備一臺網(wǎng)管服務器MX，對兩臺數(shù)據(jù)庫安全網(wǎng)關做統(tǒng)一的管理和配置。拓撲圖如下所示：  

#p#

系統(tǒng)的管理

SecureSphere提供全分布式的三級網(wǎng)管架構，包括： 第一層—業(yè)務探測和實施引擎，第二層—MX網(wǎng)管服務器，第三層—操作控制臺。這種結構對于在xxx這樣的大型網(wǎng)絡系統(tǒng)中部署統(tǒng)一的安全策略具有至關重要的意義。  

圖 SecureSphere的完整部署的示例

SecureSphere 的管理服務器的主要特點包括：

◆圖形報告 - 完整的 Crystal Reports™ 包和與 攻擊摘要訪問支持預配置報告和自定義報告。預配置報告使性能、合規(guī)性、安全警報及使用情況的異常情況一目了然。

圖 SecureSphere 在整個企業(yè)內提供統(tǒng)一的報告。

◆統(tǒng)一的實時警報監(jiān)視 – 來自多個 SecureSphere 安全層（動態(tài)”業(yè)務模型”、IPS 等）的實時警報將被收集、按優(yōu)先級排序并在一個統(tǒng)一的視圖中顯示給管理員。警報通知可通過電子郵件、電話、呼機和 SNMP 消息發(fā)送。不需要連接到分布在數(shù)據(jù)中心的各個設備。來自多個網(wǎng)關的日志數(shù)據(jù)也將顯示在單個視圖中，并存儲在單個 MX 管理服務器數(shù)據(jù)庫中。

◆警報審計 – 來自多網(wǎng)關的警報將被收集并存儲于單個 MX 管理服務器數(shù)據(jù)庫中。若要支持審計功能，只需點擊幾下鼠標就可以根據(jù)多種參數(shù)來排序和搜索警報條目。即使是來自不同 SecureSphere 安全服務（IPS、動態(tài)”業(yè)務模型”等）的特定用戶違規(guī)行為（由會話 ID 或 IP 地址標識），也可以被立即跟蹤。

◆智能攻擊摘要 – 智能攻擊摘要通過智能地將多個攻擊導致的一系列事件聚合為一個需采取措施的警報，從而提高管理員的工作效率。例如，相關掃描警報可聚合為一個攻擊警報，而不是成千上萬個攻擊警報。如今，快速有效的響應變得極為重要，而這種高度集中的信息能夠使管理員快速準確地了解威脅聚合警報保留了形成警報的基本事件，以便進行詳細分析。

◆集中式策略分布 – 多網(wǎng)關的動態(tài)”業(yè)務模型”、IPS 策略和系統(tǒng)參數(shù)集中存儲于 MX 管理服務器。更改在服務器上進行，通過單擊可將這些更改自動發(fā)布到多個網(wǎng)關。#p#

Imperva的WAF帶來的價值

采用Imperva的新型Web應用防火墻，在提供一流防護的同時，還可以很大程度上減少安全管理人員的工作量，因為它具有動態(tài)建模等很多自動化的工具，可以大量簡化防火墻的配置工作。

Imperva公司的動態(tài)建模技術能夠建立合法應用行為的模型，隨時間變化而逐漸適應網(wǎng)絡應用變化，始終保持SecureSphere系統(tǒng)應用保護能力的時效性和準確性。在很短時間內，無須改變其原有數(shù)據(jù)中心結構，SecureSphere系統(tǒng)的部署就能夠實現(xiàn)的對攻擊行為的防護，也無須手工配置和調整。

除了動態(tài)評估技術中提到的自動化的規(guī)則定義，SecureSphere系統(tǒng)允許安全管理員根據(jù)網(wǎng)絡流量的具體特征定義規(guī)則。定制的規(guī)則需要手工配置，以實現(xiàn)模型或基于協(xié)議的規(guī)則不能或不方便實現(xiàn)的規(guī)則。

動態(tài)評估是多層次安全保護機制的基礎，對所有應用層面提供了完整的保護，包括網(wǎng)絡、服務器和應用系統(tǒng)。Imperva公司的透明檢測技術具有一個G的分析能力，百萬分之一秒級的延遲和高可用性滿足了大多數(shù)數(shù)據(jù)中心的安全需求。對于大規(guī)模部署，SecureSphere MX管理服務器采用集中式部署，提供流水線式配置、綜合管理、監(jiān)控和報表功能。由于SecureSphere系統(tǒng)提供廣泛的部署形式選項，它可以部署到任何環(huán)境，而無需更改其原有網(wǎng)絡結構。

SecureSphere 系統(tǒng)保護用戶的WEB應用攻擊，例如SQL注入、Cookie毒化、參數(shù)篡改、路徑遍歷以及更多攻擊（詳見列表）。動態(tài)評估技術自動創(chuàng)建WEB應用的使用和結構的正向安全模型，包括URL、http形式、參數(shù)、隱藏的域、Cookie、事務ID以及應答代碼等。當用戶和網(wǎng)絡應用進行交互時，SecureSphere 系統(tǒng)密切監(jiān)視他們的活動，并與安全模型比較。任何攻擊的企圖都將被監(jiān)測到，并被阻止。  

SecureSphere Web應用防火墻可保護攻擊列表：

WEB服務防火墻

SecureSphere的互聯(lián)網(wǎng)服務網(wǎng)關主要針對XML、SOAP和WSDL等應用進行保護。如同SecureSphere系統(tǒng)的應用防火墻功能一樣，服務網(wǎng)關采用Imperva公司的動態(tài)評估技術建立合法應用行為的安全模型，包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網(wǎng)絡服務應用模式或者變量的企圖都會被識別出來，并加以阻止和防范。

入侵防護系統(tǒng)（IPS）

SecureSphere IPS對已知的攻擊和“第零日蠕蟲”的提供保護。這些攻擊通常針對WEB服務器、應用服務器和操作系統(tǒng)軟件的弱點（例如，IIS、Apache和Windows 2000）。SecureSphere的“第零日蠕蟲”自動評估技術可自動識別尚未定義特征的攻擊。 SecureSphere系統(tǒng)同時提供多網(wǎng)絡協(xié)議的Snort兼容的特征庫，符合http協(xié)議和來自“應用防御中心”– Imperva自己內部的安全研究組織，的高級應用保護特征。SecureSphere 系統(tǒng)提供定時更新服務，確保安全保護的時效性。

網(wǎng)絡防火墻

SecureSphere集成的網(wǎng)絡防火墻用于防范未授權用戶、危險的協(xié)議、通常的網(wǎng)絡層攻擊以及蠕蟲感染。訪問控制策略支持協(xié)議/IP地址組合的控制列表，以避免數(shù)據(jù)中心暴露給不必要的用戶，或者限制危險的協(xié)議，例如Telnet、pcAnywhere或者是SQL。

SecureSphere擴展至數(shù)據(jù)庫

SecureSphere系統(tǒng)可以擴展到應用數(shù)據(jù)庫的保護，包括對Oracle、MS-SQL Server，DB2（包括主框架）和Sybase數(shù)據(jù)庫進行保護。SecureSphere 數(shù)據(jù)庫安全防護功能能夠同時防范外部攻擊和內部人員的濫用，提供了數(shù)據(jù)中心的端到端防御。

無與倫比的準確性

SecureSphere包括了動態(tài)的正向（白名單）和反向（黑名單）安全模式。即時攻擊有效驗證(IAV)立刻根據(jù)兩種模式中的一種驗證和阻止所有已知的違規(guī)行為。對于不明顯的復雜攻擊，Imperva專利的關聯(lián)攻擊驗證(CAV)技術把多層次的違規(guī)記錄關聯(lián)起來，事后從合法用戶訪問行為中分離出來。CAV技術能夠把來自SecureSphere系統(tǒng)中所有安全記錄的相關信息關聯(lián)起來，得到獨立安全產(chǎn)品無法達到的準確程度。#p#

Imperva的WAF的性能及其他參數(shù)  

【編輯推薦】

1. WAF——最專業(yè)的網(wǎng)站安全防護
2. web應用防火墻(WAF)的安全原理與技術分析
3. 看WEB應用防火墻的網(wǎng)站整體防護解決方案