Web應用防火墻基礎知識
國外市場上具有WEB應用防火墻功能的產品名稱就有不同的幾十種,更不用說是產品的形式和描述了。它難以界定的原因是這個名稱包含的東西太多了。較低的網絡層(Web應用防火墻被安置在第七層)被許多設備所覆蓋,每一種設備都有它們獨特的功能,比如路由器,交換機,防火墻,入侵檢測系統,入侵防御系統等等。然而,在HTTP的世界里,所有這些功能都被融入在一個設備里:Web應用防火墻。
總體來說,Web應用防火墻的具有以下四個方面的功能:
1. 審計設備:用來截獲所有HTTP數據或者僅僅滿足某些規則的會話
2. 訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式
3. 架構/網絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
4. WEB應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且能夠保護WEB應用編程錯誤導致的安全隱患。
但是,需要指出的是,并非每種被稱為Web應用防火墻的設備都同時具有以上四種功能。
由于WEB應用防火墻的多面性,擁有不同知識背景的人往往會關注它不同方面的特點。比如具有網絡入侵檢測背景的人更傾向于把它看作是運行在HTTP層上的 IDS設備;具有防火墻自身背景的人更趨向與把它看作一種防火墻的功能模塊。還有一種理解來自于“深度檢測防火墻”這個術語。他們認為深度檢測防火墻是一種和Web應用防火墻功能相當的設備。然而,盡管兩種設備有些相似之處,但是差異還是很大的。深度檢測防火墻通常工作在的網絡的第三層以及更高的層次,而 Web應用防火墻則在第七層處理HTTP服務并且很好地支持它。
直接更改WEB代碼解決安全問題是否更好?這是毋庸置疑的,但也沒那么容易(實現)。
因為,通過更改WEB應用代碼是否一定就能增強系統安全性能,這本身就存在爭論。而且現實也更加復雜:
◆不可能確保100%的安全。人的能力有限,會不可避免地犯錯誤。
◆絕大多數情況下,很少有人力求100%的安全。如今的現實生活中那些引領應用發展的人更多注重功能而不是安全。這種觀念正在改變,只是有點緩慢。
◆一個復雜的系統通常包含第三方產品(組件,函數庫),它們的安全性能是不為人知的。如果這個產品的源代碼是保密的,那么你必須依賴商品的廠商提供補丁。即使有些情況下源代碼是公開的,你也不可能有精力去修正它們。
◆我們不得不使用存在安全隱患的業務系統,盡管這些舊系統根本無法改進。
因此,為了獲得最好的效果,我們需要雙管齊下:一方面,必須提高管理者和開發者的安全意識;另一方面,盡可能提高應用系統的安全性。
Web應用防火墻的特點
異常檢測協議
如果閱讀過各種RFC,就會發現一個被反復強調的主題。大多數RFC建議應用自己使用協議時要保守,而對于接受其他發送者的協議時可以自由些。Web服務器就是這樣做的,但這樣的行為也給所有的攻擊者打開了大門。幾乎所有的WAF對HTTP的請求執行某種異常檢測,拒絕不符合Http標準的請求。并且,它也可以只允許HTTP協議的部分選項通過,從而減少攻擊的影響范圍。甚至,一些WAF還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。
增強的輸入驗證
就頻繁發生的Web安全問題而言,有些是源于對Web設計模型的誤解,有些則來自于程序師認為瀏覽器是可信的。很多WEB程序員用JavaScript在瀏覽器上實現輸入驗證。而瀏覽器只是一個用戶控制的簡單工具,因此攻擊者可以非常容易地繞過輸入驗證,直接將惡意代碼輸入到WEB應用服務器。
有一個解決上述問題的正確方法,就是在服務端進行輸入驗證。如果這個方法不能實現,還可以通過在客戶和應用服務器之間增加代理,讓代理去執行Web頁面上嵌入的JavaScript,實現輸入驗證。
消極的安全模型vs.積極的安全模型
曾經設置過防火墻規則的人,可能會碰到這樣的建議:允許已知安全的流量,拒絕其他一切訪問。這就是一種很好的積極安全模型。恰恰相反,消極安全模型則是默認允許一切訪問,只拒絕一些已知危險的流量模式。
每種安全模型方式都存在各自的問題:
消極安全模型:什么是危險的?
積極安全模型:什么是安全的?
消極安全模式通常使用的更多。識別出一種危險的模式并且配置自己的系統禁止它。這個操作簡單而有趣,卻不十分安全。它依賴于人們對于危險的認識,如果問題存在,卻沒有被意識到(這種情況很常見),就會為攻擊者留下可趁之機。
積極安全模式(又稱為白名單模式)看上去是一種制定策略的更好方式,非常適于配置防火墻策略。在Web應用安全領域中,積極安全模式通常被概括成對應用中的每一個腳本的枚舉。對枚舉的每一個腳本,需要建立一個相應列表,表中內容如下所示:
◆允許的請求方式(比如,GET/POST或者只POST)
◆允許的Content-Type
◆允許的Content-Length
◆允許的參數
◆指定參數和可選參數
◆參數類型(比如,文本或整數)
◆附加參數限制
上述列表僅僅是個例子,實際的積極安全模式通常包括更多的要素。它試圖從外部完成程序員本應從內部完成的工作:為提交到Web應用的信息驗證每一個比特。如果肯花時間的話,使用積極安全模式就是一個比較好的選擇。這個模式的難點之一,在于應用模式會隨著應用的發展而改變。每當應用中添加新腳本或更改舊腳本,就需要更新模式。但是,它適用于保護那些穩定的、無人維護的舊應用。
自動開發策略可以解決以上問題:
◆一些WAF能夠監視流量,并根據這些流量數據自動配置策略,有些產品可以實時進行這樣的工作。
◆通過白名單,可以標識特定的IP地址是可信的,然后,依據觀察的流量,配置WAF,更新安全策略。
◆如果通過一個全面的衰減測試,(仿真正確的行為)來創建一個應用,并且在WAF處于監控狀態時執行測試,那么WAF可以自動生成策略。
可見,沒有哪個模式是完全令人滿意的。消極安全模式適用于處理已知問題,而積極安全模式則適用于穩定的Web應用。理想的做法是,在現實生活中,將二者結合使用,取長補短。
及時補丁
積極安全模式理論上更好一些因為瀏覽器和WEB應用程序之間的通信協議通過HTML規范進行了很好的定義。現在的Web開發語言都可以處理帶有多個參數的 HTTP請求。因為這些參數在Web應用防火墻中都是可見的,因此WEB應用防火墻可以分析這些參數判斷是否存在允許該請求。,
當一個應用中的漏洞被發現時大多數情況下我們會盡可能在代碼中修補它。受諸多因素的影響(如應用的規模,是否有開發人員,法律問題等等),開發補丁的過程可能需要幾分鐘,或者一直到無限長的是時間。這些時間正是攻擊者發起攻擊的好機會。
如果開發人員能夠在非常短的時間內在代碼中修補好漏洞,那你就不用擔心了。但如果修補這個漏洞需要花費幾天,甚至幾周來修復呢?Web應用防火墻就是處理這個問題的理想工具:只要給一個安全專家不錯的WAF和足夠的漏洞信息,他就能在不到一個小時的時間內屏蔽掉這個漏洞。當然,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應的補丁就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。
及時補丁的原理可以更好的適用于基于XML的應用中,因為這些應用的通信協議都具規范性。
基于規則的保護和基于異常的保護
現在市場上大多數的產品是基于規則的WAF。其原理是每一個會話都要經過一系列的測試,每一項測試都由一個過多個檢測規則組成,如果測試沒通過,請求就會被認為非法并拒絕。
基于規則的WAFs很容易構建并且能有效的防范已知安全問題。當我們要制定自定義防御策略時使用它會更加便捷。但是因為它們必須要首先確認每一個威脅的特點,所以要由一個強大的規則數據庫支持。WAF生產商維護這個數據庫,并且他們要提供自動更新的工具。
這個方法不能有效保護自己開發的WEB應用或者零日漏洞(攻擊者使用的沒有公開的漏洞),這些威脅使用基于異常的WAF更加有效。
異常保護的基本觀念是建立一個保護層,這個保護層能夠根據檢測合法應用數據建立統計模型,以此模型為依據判別實際通信數據是否是攻擊。理論上,一但構建成功,這個基于異常的系統應該能夠探測出任何的異常情況。擁有了它,我們不再需要規則數據庫而且零日攻擊也不再成問題了。但基于異常保護的系統很難構建,所以并不常見。因為用戶不了解它的工作原理也不相信它,所以它也就不如基于規則的WAF應用廣范。
狀態管理
HTTP的無狀態性對Web應用安全有很多負面影響。會話只能夠在應用層上實現,但對許多應用來說這個附加的功能只能滿足業務的需要而考慮不到安全因素了。Web應用防火墻則將重點放在會話保護上,它的特征包括:
強制登錄頁面。在大多數站點, 你可以從任何你所知道的URL上訪問站點,這通常方便了攻擊者而給防御增加了困難。WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。
分別檢測每一個用戶會話。如果能夠區分不同的會話,這就帶來了無限的可能。比如,我們能夠監視登陸請求的發送頻率和用戶的頁面跳轉。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。
對暴力攻擊的識別和響應。通常的Web應用網絡是沒有檢測暴力攻擊的。有了狀態管理模式,WAF能檢測出異常事件(比如登陸失敗),并且在達到極限值時進行處理。此時它可以增加更多的身份認證請求的時間,這個輕微的變化用戶感覺不到,但對于足以對付自動攻擊腳本了。如果一個認證腳本需要50毫秒完成,那它可以發出大約每秒20次的請求。如果你增加一點延時,比如說,一秒種的延遲,那會將請求降低至每秒不足一次。與此同時,發出進一步檢測的警告,這將構成一個相當好的防御。
實現會話超時。超出默認時間會話將失效,并且用戶將被要求重新認證。用戶在長時間沒有請求時將會自動退出登錄。
會話劫持的檢測和防御。許多情況下,會話劫持會改變IP地址和一些請求數據(HTTP請求的報頭會不同)。狀態監控工具能檢測出這些異常并防止非法應用的發生。在這種情況下應該終止會話,要求用戶重新認證,并且記錄一個警告日志信息。
只允許包含在前一請求應答中的鏈接。一些WAF很嚴格,只允許用戶訪問前一次請求返回頁面中的鏈接。這看上去是一個有趣的特點但很難得到實施。一個問題在于它不允許用戶使用多個瀏覽器窗口,另一個問題是它令使用JavaScript自動建立連接的應用失效。
其他防護技術
WAF的另外一些安全增強的功能用來解決WEB程序員過分信任輸入數據帶來的問題。比如:隱藏表單域保護。有時,內部應用數據通過隱藏表單變量實現,而它們并不是真的隱藏的。程序員通常用隱藏表單變量的方式來保存執行狀態,給用戶發送數據,以確保這些數據返回時未被修改。這是一個復雜繁瑣的過程,WAF經常使用密碼簽名技術來處理。
Cookies保護。和隱藏表單相似的是,cookies經常用來傳遞用戶個人的應用數據,而不一樣的是,一些cookies可能含有敏感數據。WAFs 通常會將整個內容加密,或者是將整個cookies機制虛擬化。有了這種設置,終端用戶只能夠看到cookies令牌(如同會話令牌),從而保證 cookies在WAF中安全地存放
抗入侵規避技術。基于網絡的IDS對付WEB攻擊的問題就是攻擊規避技術。改寫HTTP輸入請求數據(攻擊數據)的方式太多,并且各種改寫的請求能夠逃避IDS探測。在這個方面如果能完全理解HTTP就是大幅度的改進。比如,WAF每次可以看到整個HTTP請求,就可以避免所有類型的HTTP請求分片的攻擊。因為很好的了解HTTP協議,因此能夠將動態請求和靜態請求分別對待,就不用花大量時間保護不會被攻擊的靜態數據。這樣WAF可以有足夠的計算能力對付各種攻擊規避技術, 而這些功能由NIDSs完成是很耗時的。
響應監視和信息泄露保護。信息泄露防護是我們給監視HTTP輸出數據的一個名稱。從原理上來說它和請求監視是一樣的,目的是監視可疑的輸出,并防止可疑的 http輸出數據到達用戶。最有可能的應用模式是監視信用卡號和社會保險號。另外,這個技術的另一項應用是發現成功入侵的跡象。因為有經驗攻擊者總會給信息編碼來防止監測,所以防止這樣有決心并技術熟練的攻擊者獲取信息是很困難的。但是,在攻擊者沒有完全掌控服務器而僅僅嘗試WEB應用的安全漏洞的情況下,這項技術可以起到防護效果。
如何建立安全防火墻相關文章: