一.项目简介
1.用户背景
秀洲--位于浙江省杭嘉湖平原,东邻上海,西靠杭州,南濒杭洲湾,北接苏州,是上海经济区的黄金腹地,也是浦东开发区的理想延伸地,极具开发潜力。是国务院确定为先行规划、先行发展的重点沿海开放地区之一。区域经济极富成长性和开放性,经济增势强劲。GDP、财政收入、居民人均收入等主要经济指标增幅高于“长三角”16个城市平均水平。近年来,秀洲区的经济增长率一直保持在 15%以上,2005年人均GDP达4745美元,三资企业总投资年均增长100%以上,外贸出口年均增长50%以上,外资投资企业达180多家。服务业发展迅速、市场体系日趋完善。
当今企业通过门户网站将企业信息、最新动态等公布于众,通过Web这个平台展现自身的发展情况,树立良好的企业形象。嘉兴秀州区政府通过使用两台Web服务器作为自己的门户网站,对外开放相关信息,与市民取得互动。
然而,当今对于Web服务器的攻击威胁越来越普遍,手法也越来越多样化。攻击将造成严重的后果,轻者将使Web服务器无法工作,市民无法正常浏览网站;重者将直接篡改网站内容,严重损害政府形象。因此,保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。
2.用户需求
根据秀洲区政府额要求,Web服务器应该受到严密的保护,避免遭受任何针对Web服务器发起的攻击,这些攻击包括:
1.跨站脚本攻击
2.SQL注入攻击
3.网页篡改
4.cookie中毒
5.缓冲区溢出
6.参数篡改
7.错误返回信息截取等
二.梭子鱼应用防火墙解决方案
1.秀洲区政府梭子鱼应用防火墙解决方案
根据秀州区政府的网络环境和需求,梭子鱼为秀洲区政府提供梭子鱼应用防火墙,部署在两台Web服务器之前,实现反向代理,达到保护Web服务器的目的。
秀州区政府服务器网络原始拓扑图如下所示:
由图可知,外部的请求通过网络防火墙直接访问到两台Web服务器,由于网络防火墙无法检查HTTP协议的内容,所以恶意的攻击很容易渗入网络内部。这样的网络无法为Web服务器提供安全防护,其实质就等于将Web服务器暴露于公网。
通过在Web服务器前部署一台梭子鱼应用防火墙来达到保护门户网站目的。加固后网络拓扑如下图所示:
由图可知,来自外部的请求将首先经过梭子鱼应用防火墙,经过严格的扫描后再发送给后台服务器,大大提高了网站的安全性。
梭子鱼通过终止、安全(扫描)和加速来实现安全和优化的双重效果。如下图所示:
2.梭子鱼WEB应用防火墙简介
梭子鱼应用防火墙的原理:
梭子鱼应用防火墙通过代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在HTTP应用层上,确保内部服务器操作系统和TCP堆栈不直接暴露在Internet,保障web应用的安全。
图二 Web应用防火墙的原理
梭子鱼WEB应用防火墙功能:
终止:梭子鱼WEB应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼WEB应用防火墙将对应用流量(向内和向外)进行全面的检查,并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时,应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权,检查所有的HTTP 内容,解释和建立规则。
安全:一旦某个会话被梭子鱼WEB应用防火墙终止并被控制,将会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。
加速:除了WEB应用的安全性,数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池,缓存,GZIP压缩)和可用性功能(负载均衡,内容交换,健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构,以此来降低成本。
法律合规性
由于当今Web攻击日益严重,加上与它们相关的攻击与日俱增,因此研发一种测试产品安全性的标准来全面保护应用显得至关重要。
两个站在定义应用安全前线的组织机构是:
·开放Web应用安全项目 (OWASP),这是一个致力于寻找和攻克危险软件的组织。OWASP所规定的前十项要求提供了最低标准的应用安全。梭子鱼WEB应用防火墙能够轻松解决前十项最普遍的WEB安全漏洞问题。请浏览OWASP官方网站:www.owasp.org.
Web应用安全联盟 (WASC)是一个包含专家、行业人员、和生产开源应用安全标准的组织代表的国际组织。联盟新的 “Web应用防火墙评测标准” (WAFEC)是一个为提供独立的、与厂家无关的WEB应用防火墙产品的评测标准。符合了这些标准意味着能够确保进入的数据都是安全的。自从标准出台以来,梭子鱼WEB应用防火墙就着手开始满足WASC-WAFEC评测标准的工作。下表表明了梭子鱼WEB应用防火墙如何满足这些标准,包括终止,安全,加速和会话控制等功能。
三.秀洲区政府梭子鱼WEB应用防火墙使用报告
1.物理安装
根据秀洲区政府的网络情况,梭子鱼推荐使用双臂透明模式进行部署。在这种部署模式下,梭子鱼物理部署在两台web服务器之前,成为web服务器的安全屏障;在配置上,只需为梭子鱼WEB应用防火墙分配一个管理IP地址,并且为后台web服务器开启相应的HTTP应用即可。
2.策略调整
在完成初步的安装和配置后,观察秀洲区政府的网站运行情况,通过访问秀洲区政府的网站观察网页的打开是否正常,并观察日志对其进行分析。根据分析结果对梭子鱼WEB应用防火墙进行策略调整。具体步骤如下:
(1)网站日常访问测试
部署完毕后,访问网站正常,但是发现管理员向web服务器上传数据时被梭子鱼阻断,通过观察梭子鱼的日志,发现上传的数据的大小和所带参数已经达到所定义的攻击范围,因此被阻断。具体信息及策略调整说明如下图所示:
通过对梭子鱼进行策略调整,保证内部的正常请求和操作被放行,大大降低了误判率。
(2)漏洞扫描
使用扫描工具对网站进行漏洞扫描,结果如下:
下图为整体扫描的数据统计:
其中红色为严重的漏洞。漏洞详情如下图所示:
点击漏洞中包含的连接,由于找不到相应的内容,网站将显示Web服务器的版本信息等,如下图所示:
其中版本信息中之处服务器为IBM,Web应用为Apache,版本号1.3.28等重要信息。对用户带来极大的隐患。
此时,必须对策略进行相应的修改,才能保证用户的Web应用的安全。
(3)策略调整
进入应用的Web Firewall页面,然后进入URL ACLs,添加策略,如下图所示:
详细策略信息如下:
如图所示,根据扫描出的漏洞所示,将Host Match设为*,表示扫描所有源主机请求,将/WEB-INF/*加入URL Match,*表示所有;Action选为Deny,相应选为Redirect,然后将秀州区政府的主页作为重定向页面,这样所有试图访问这个受限页面的请求将被重定向到主页。如下图所示:
在URL中输入这个链接,后面随便添加任何字符,然后回车,页面将被直接重定向到主页,原本的错误信息将不再被显示,达到了隐藏后台信息的目的。
一.NC Web firewall Logs 显示
通过观察NC的日志信息,可以清晰看到策略的击中情况,如下图所示:
点击Details查看详细信息,如下图所示:
(4)深入扫描
在上述策略调整后,整个系统已经处于稳定运行的状态,接下来对系统进行深入的扫描和分析。
本次扫描使用专业的MatriXay软件进行,扫描结果如下:
根据扫描结果得知,系统存在网页篡改的风险,并对其进行验证,如下图所示:
由图可知,只需在ULR中添加任何字符,就能在页面上显示,此处添加“jasper”,网页上就会显示“jasper”的字样,如果被黑客非法侵入,那么此处可能就会显示恶意的文字信息,严重危害到政府机关的公众形象。
根据这种情况,需要对梭子鱼进行进一步的策略调整,防止任何非法字符。具体设置如下所示:
再次进行测试,非法字符被成功阻断: