2015-4-14web应用防火墙WAF-产品白皮书(WAF)第1章概述随着互联网技术的发展，Web应用日益增多，同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题，导致Web应用被篡改、数据被窃取或丢失。

根据Gartner的统计当前网络上75%的攻击是针对Web应用的。

攻击者通过应用层协议进入组织内部，如Web、Web邮件、聊天工具和P2P等攻击企业网络。

利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，盗取管理员密码，破坏整个网站数据等等攻击。

而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

常见的威胁如下：威胁名称威胁描述非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源Web应用攻击恶意用户可能通过构造特殊的HTTP/HTTPS请求，对产品保护的web应用实施SQL注入、XSS等web攻击络规划复杂化的今天防火墙的不适应性就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：传统防火墙基于IP/端口，无法对WEB应用层进行识别与控制，无法确定哪些WEB应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。

面对WEB应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。

传统防火墙无法抵御来自WEB应用层的威胁，自然就无法提供给用户有效的安全策略制定依据。

传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握，缺乏安全信息的可视化。

1.1.1I PS设备能否抵御WEB攻击？IPS只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。

缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

1.2深信服WEB应用防火墙—SWAF1.2.1产品设计理念SWAF是面向WEB应用层设计，能够精确识别WEB应用和内容，具备完整安全防护能力，能够弥补传统防火墙和IPS在WEB攻击防护方面的不足，具有强劲应用层处理能力的全新网络安全设备。

SWAF不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。

SWAF可以为不同规模的行业用户数据中心提供更加全面、更高性能的WEB应用内容防护方案。

更全面的内容级安全防护：基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲强化的WEB应用安全，支持多种SQL注入防范、XSS攻击、CSRF、权限控制等双向内容检测，功能防御策略智能联动更高性能的应用层处理能力：单次解析架构实现报文一次拆解和匹配多核并行处理技术提升应用层分析速度全新技术架构实现应用层万兆处理能力1.2.2产品功能特色1.2.2.1全面的应用安全防护能力1.2.2.1.1基于应用的深度漏洞攻击防御SWAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。

下图为灰度威胁关联分析引擎的工作原理：第一,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，如异常流量0.32、病毒蠕虫0.36等等，同时拟定一个威胁阀值，如阀值=1。

第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、攻击行为等反馈给灰度威胁样本库。

第三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。

第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值计算和阀值比较，例如某用户的行为组权重之和为1.24，超过了预设的阀值1，我们会认定此类事件为威胁事件。

由此可见，威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求，SWAF在两方面得以增强：第一，通过SWAF抓包，客户可以记录未知流量并提交给深信服的威胁探针云，在云中心，深信服专家会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威胁样本库。

第二，深信服不断的循环验证和权重微调，形成了准确的权重知识库，为检测未知威胁奠定了基础。

1.2.2.1.2强化的WEB攻击防护SWAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击，并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书（最高评级为5星，深信服SWAF 为国内同类产品评分最高）主要功能如：1.2.2.1.3防SQL注入攻击SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SWAF可以通过高效的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL注入攻击。

1.2.2.1.4防XSS跨站脚本攻击跨站攻击产生的原理是攻击者通过向Web 页面里插入恶意html代码，从而达到特殊目的。

SWAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的恶意代码，从而保护用户的WEB服务器安全。

1.2.2.1.5防CSRF攻击CSRF即跨站请求伪造，从成因上与XSS 漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。

SWAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。

1.2.2.1.6主动防御技术主动防御可以针对受保护主机接受的URL 请求中带的参数变量类型，以及变量长度按照设定的阈值进行自动学习，学习完成后可以抵御各种变形攻击。

另外还可以通过自定义参数规则来更精确的匹配合法URL参数，提高攻击识别能力。

1.2.2.1.7应用信息隐藏SWAF对主要的服务器（WEB服务器、FTP 服务器、邮件服务器等）反馈信息进行了有效的隐藏。

防止黑客利用服务器返回信息进行有针对性的攻击。

如：HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。

HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。

FTP信息隐藏：用于隐藏通过正常FTP命令反馈出的FTP服务器信息，防止黑客利用FTP 软件版本信息采取有针对性的漏洞攻击。

1.2.2.1.8URL防护Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。

通过SWAF提供的受限URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。

1.2.2.1.9弱口令防护弱口令被视为众多认证类web应用程序的普遍风险问题，SWAF通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于web 应用程序中。

同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。

1.2.2.1.10HTTP异常检测通过对HTTP协议内容的单次解析，分析其内容字段中的异常，用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法，有效过滤其他非法请求信息。

1.2.2.1.11文件上传过滤由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。

SWAF通过严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。

同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。

1.2.2.1.12用户登录权限防护针对某些特定的敏感页面或者应用系统，如管理员登陆页面等，为了防止黑客访问并不断的进行登录密码尝试，SWAF可以提供访问URL 登录进行短信认证的方式，提高访问的安全性。

1.2.2.1.13缓冲区溢出检测缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。

可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。

SWAF通过对URL长度，POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。

1.2.2.1.14智能DOS/DDOS攻击防护SWAF采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。

1.2.2.1.15专业攻防研究团队确保持续更新SWAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。

其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性认证（CVE Compatible）。

深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队，作为微软的MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。

1.2.2.1.16独特的双向内容检测技术1.2.2.1.17网关型网页防篡改网页防篡改是SWAF服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。