梭子鱼WEB应用防火墙高校防护实例

　　为了响应2010年上海世博会网络安全工作的号召，上海各高校都积极深入发展门户网站的安全建设，推行信息公开，提高高校工作的透明度，充分发挥高校信息平台对学生的学习和生活等各方面的帮助。其门户网站（edu.cn）是该校电子门户及办公系统建设的重要组成部分，作为该校面向社会的窗口，发布学生信息，提供“网上办公”、“在线通告”等业务，为老师和学生提供方便。

　　来自Web的安全挑战：

　　随着高校业务资源逐渐向数据中心高度集中，Web成为一种普适平台，上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时，也使机构的重要信息暴露在越来越多的威胁中。根据了解该校门户网站承载了各2级学院的网上业务，网页以动态内容居多。去年，该研究生院网站遭遇SQL群注（Mass SQL Injection）攻击，网站发布的重要信息被篡改成为大量签名，“HaCkeD By:Skz0r_l337-Underground-Security”(意为：由Skz0r_l337-Underground-Security入侵），各级页面不再具有正常的观感。访问网站时还发现，该网站已被Google列为含有恶意代码的网站。最为棘手的是：期间持续发生"网页被篡改－恢复－再次被篡改－再次恢复…"的现象。间歇还伴随有针对WEB服务器的DDoS攻击，网站访问峰值严重超过服务器正常所能处理的最大负荷。

　　在提供解决方案之前，我们帮助用户理清了一些应用层防火墙的基本概念：

　　1. 何谓应用层防火墙；

　　2. 梭子鱼的应用层防火墙与传统入侵检测产品的区别；

　　3. 梭子鱼WEB应用防火墙WAF产品的防御攻击特性；

　　其次在该高校网站遭遇多重攻击，网站陷入困境的时候梭子鱼所提供的解决方案：

　　1. 能应对当前攻击，且具备持续防护能力，对业务影响尽可能小，管理简单；

　　2. 针对多台核心WEB服务器提供防护；

　　3.  自动学习网页应用结构；

　　4． 自动调整用户习惯

　　4． 主动模式来过滤所有的WEB请求；

　　5． 提供简明维护的平台；

　　解决方案：

　　基于对梭子鱼公司的信任，2010年在售前过程中，我们有幸对该学校负责人进行了一次长时间的技术沟通。我们首先解释了几项用户关心的问题：

　　1．何谓应用层防火墙

　　梭子鱼应用层防火墙（全称，梭子鱼WEB应用防火墙，即WAF ）通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。

　　2．应用层防火墙与传统的入侵检测设备之间具有本质上的区别

　　在TCP/IP模型中网络流量从物理层到应用层是逐层递交，入侵检测设备（IPS）主要定位在分析传输层和网络层的数据，而再往上则是复杂的各种应用层协议报文，而应用层防火墙（WAF）则仅提供对Web应用流量全部层面的监管。IPS需要处理网络中所有的流量，而WAF仅处理与Web应用相关的协议，其他的则给予转发。

　　3．梭子鱼WEB应用防火墙可以防御的攻击类型：

　　1）SQL注入：一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串，来获取返回的机密数据。

　　2）跨站点脚本：黑客插入脚本代码（如JavaScript或ActiveX）到一个输入字符串，导致Web服务器泄漏用户名和密码等信息。

　　3）操作系统命令注入：一些应用程序从web输入来创建操作系统命令，就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制，黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。

　　4）会话劫持：黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户帐户信息。

　　5）篡改参数或URL：web应用程序通常在返回的的web页面中嵌入参数和URL，或者用授权的参数更新缓存。黑客可以修改这些参数、URL或缓存，使Web服务器返回不应泄漏的信息。

　　6）缓冲区溢出：应用程序代码应该检查输入数据的长度，以确保输入数据不会超出剩余的缓冲区和修改相邻的存储。黑客很快就会发现应用程序不检查溢出，并创建输入来导致溢出。