高性能Web应用防火墙设计与实现.docx

《高性能Web应用防火墙设计与实现.docx》由会员分享，可在线阅读，更多相关《高性能Web应用防火墙设计与实现.docx（64页珍藏版）》请在第一文库网上搜索。

1、高性能Web应用防火墙设计与实现摘要摘要：网络应用的增多，网络威胁已经由传统的网络层发展对应用层攻击，跨站脚本攻击、SQ1注入等应用层攻击层出不穷，新的应用和威胁的出现使的网络安全设备供应商疲于应对。统一威胁管理/Web防火墙等安全设备能解决一方面的问题，然而安全厂商面临严重问题：需要投入大量人力支持新出现的业务；同时业务数量的越多，设备性能下降越厉害，这成为当前应用层安全设备面临的二个主要问题。针对此问题业界出现了不同的解决方法。本文根据对现有网络安全设备系统架构分析以及对应用层威胁的特点的总结，提出了一体化引擎和一体化策略的架构体系设计。基于此架构体系，以HTTP协议为测试目标，实现对We

2、b应用的安全防护为例，验证体系设计有效性，同时建立Web应用安全层防护模型，实现对SQ1注入、跨站防护、应用层负载均衡、网页防篡改等功能，重点阐述一体化引擎的核心TCP-Proxy模块、拒绝服务攻击子体系和针对Web应用的主动防御模型，实现了在一体化引擎和和一体化策略体系架构下的Web应用防火墙系统。基于Web应用防护的实验数据表明一体化引擎一体化策略的架构体系能有效解决了面向应用的网络安全设备存在的性能和新业务扩展问题。关键词：一体化策略；一体化引擎；深度包检测；Web防火墙；主动防御:AbstractAbstractAbstract:ThetrendofInternetthreatshas

3、changedfromnetwork1ayertoapp1ication1ayer.TheattacksfromXSS/SQ1injectarebecomingmoreandmorepopu1arandoutbreak.Networksecurityproviderisstrugg1ingwiththoseattacksfromdifferentapp1ication.EitherUTMorWAFcanhand1eakindofattacks.However,theseprovidersarefacedaseria1ofseriousissue,whichisinc1udedtheequipm

4、entsperformanceissueandishardtosupportthenewapp1icationintime.Theyhavetoput1otsofwork1oadtosupportthe1atestthreadsandapp1ication.Comparedwiththeinfrastructureofcurrentinformationsecurityproductsandana1yzethetrendofobject-app1ication1ayerthreats,Weproposeanewhigh-performanceframeworkwhichfocusonapp1i

5、cation-1eve1securityandisnamedone-engineandone-po1icy.WeuseHTTPprotoco1toverifytheeffectivenessofthedesign.Basedontheframework,givenoutaWeb-basedProtectionMode1toimp1ementthesemodu1es,suchasapp1icationinspection,anti-D.DoS,SQ1-Injectprotection,XSSprotection,Web-keeper,1oadba1anceetc,focusondescribin

6、gthreemodu1es:TCP-Proxymodu1e,anti-D.DoSmodu1eandtheweb-basedactive-defensemode1.Testresu1tindicatesthatOne-engineandone-po1icyframeworkinfrastructureisagoodmethodtoso1vetheperformanceissue.Itcansave1otsofwork1oadtosupporttheemergingapp1icationinspection.Keyword:One-po1icy;one-engine;deeppacketinspe

7、ction;webapp1icationfirewa11;activedefense;目录第1章引言11.1 网络安全新趋势11.2 Web安全技术和产业发展趋势21.2 .1针对WEB攻击的动机和手段21.3 现存网络安全技术的分析71.3.1防火墙（FireWa1I）的不足71.1.2 入侵保护系统（IPS）的不足71.1.3 综合安全网关（UTM）的不足81.4 研究的关键问题及其主要内容81.5 本文的主要贡献10第2章高性能Web应用防火墙的设计112.1 高性能应用防火墙的基本需求111 .1.1一体化检测引擎-112 .1.2自适应扫描技术-133 .1.3主动防御-134 .1

8、.4FPGA/多核的硬件加速技术-II2.2 基于Web的应用层安全需求152.3 Web应用安全解决思路162.4 系统基本模型172.5 系统结构202.6 管理子系统结构212.7 一体化体系结构222.8 本章小结23第3章一体化引擎一体化策略设计243.1 本章引论243.2 传统网络应用层安全设备体系结构243.3 一体化引擎结构263.4 一体化业务处理流程273.5 应用核心-TCP-ProXy303.6 基于一体化引擎的Web安全检测引擎设计313.7 一体化策略343.8 本章小结35第4章主动防御模型364.1 本章引论364.2 业界主动防御定义364.3 主动防御重定

9、义364.4 Web的自学习系统394.5 事前分析系统-扫描控件404.6 事后防护系统414.7 基于Web应用安全的主动防御模型414.8 本章小结43第5章抗拒绝服务攻击子系统445.1 本章引论445.2 抗拒绝服务攻击需求445.3 拒绝服务攻击防御模块技术特点455.3.1 主机策略阀值配置455.3.2策略阀值自学习465.3.3IP信誉学习机制475.3.4IP认证机制485.3.5QoS限速485.3.6拒绝服务攻击插件495.4HTTP攻击防御505.4.1PUZZIe验证算法505.4.2COOkie验证算法525.5本章小结53第6章性能测试546.1 本章弓I论54

10、6.2 环境和模型546.3 性能指标556.3.1HTTP新建测试-556.3.2HTTP吞吐测试576.3.3HTTP并发连接数-576.4本章小结59第7章结论607.1 研究总结607.2 需要进一步开展的工作61参考文献62第1章引言1.1 网络安全新趋势2011年1月190,中国互联网络信息中心(CNNIe)在京发布了第27次中国互联网络发展状况统计报告显示，截至2010年12月底，我国网民规模达到4.57亿，较2009年底增加7330万人，互联网普及率攀升至34.3%,较2009年提高5.4个百分点。随着互联网的普及，国内互联网的安全状况却不容乐观。网络钓鱼，僵尸网络，键盘记录程

11、序，挂链攻击等攻击手段层出不穷，严重威胁着个人，企业和政府的数据安全和最终利益。随着Web技术的迅猛发展,人们越来越依赖于通过Internet获取各种信息。恶意软件已从通过传统的E-Mai1进行传播转向通过Web实施传播和侵入，其隐秘性更强，破坏性也更大。各类关系国计民生的重要信息系统，如政府网站、媒体网站、或商用网站都可能遭受到SQ1注入攻击、网页篡改，或是网页恶意程序，将带来非常巨大的损失和造成恶劣的影响。SymanteC全球互联网安全威胁趋势分析报告中的数据表明，所有漏洞中，Web应用漏洞占58%比例。WEB应用安全问题己成为当前网络安全与信息安全的核心。及时发现并阻止黑客针对基于Web

12、的应用系统的入侵、窥探、攻击，从而保证正常的系统运行，是当前所面临的重要维护任务问题。作为传统的网络安全设备，作为整体安全保障措施中必不可缺少的重要模块，但是受限于产品定位、历史原因和防护深度等，不能有效地提供针对Web应用攻击完善的防御能力。针对Web应用攻击，必须采用专门的机制，对其进行有效检测、防护。早在2004年，国外一些安全厂商就提出了Web应用防火墙(WebApp1IcationFireWaII)的理念,但当时没有清晰的功能、规范定义。随着互联网的快速发展以及Web应用越来越多，Web应用所面对的安全风险却愈发突出，业界逐渐形成了一种共识：Web应用所支撑的内容越来越关键，如果忽视

13、对Web安全性的保护，将会给企业带来巨大的经济财产以及声誉损失。这样一种刚性需求的存在，导致WCb应用安全市场的启动。针对当前繁杂的基于不同技术架构的Web应用，黑客使用的Web攻击技术的不断变化、攻击手段、更新，导致单一的防护措施不能满足当前层出不穷的攻击手段。近年来随着政务公开以及电子商务的盛行，应用安全逐渐成为关系到政府的形象以及金融安全的重大课题。政府网站是政府部门向社会发布信息、宣传政策法规、展示政府形象的窗口；也是增进政府与公众交流的重要渠道，是电子政务建设和推进的风向标与晴雨表，是企业和社会公众获取政府信息和服务的主要渠道。目前政府网站的安全体系建设不够健全，其应急响应能力也很薄

14、弱。面对漏洞信息的分析、处理缺乏必要的认识和判别，无异于将重要信息暴露于外。网页频遭篡改现象，暴露出了政府网站重形式、轻安全的问题。近些年来，web攻击的主要手段从简单的网页篡改入侵转变为针对网页程序漏洞的攻击，黑客攻击的手段也相比以前变的越来越多样化。电子商务颠覆了传统的业务模式，它要求对信息的快速检索、安全而有效的保存以及及时发布和应用都提出新的要求。要保证电子商务的健康持续的发展，首要解决的问题就是电子商务网站的面对的Web应用安全问题。恶意软件的泛滥以及网络攻击行为的日益复杂使得针对黑客的防御技术要求越来越高而且变得更加难以防御，不断涌现的攻击手段和方法，使得传统意义上基于特征库匹配技

15、术的防御方法受到前所未有的挑战。随着网络威胁的变化，用户个性化需求亦不断变化，WEB安全云防护平台，以用户需求为导向，并可灵活地随需而变，确保消费者的网络消费安全无虞，从而推动电子商务的发展。综上所述，Web应用越来越广，针对Web的安全防护将变为越来与重要。1.2 Web安全技术和产业发展趋势1.3 .1针对WEB攻击的动机和手段Web应用攻击者的动机主要分为三类：1) 为达到炫耀和泄愤的目的，如对政府和重要组织网页的篡改。2) 受经济利益驱使，攻击最终可产生商业价值。3) 出于政治目的的攻击事件。比如2008年北京奥运会期间，中国大量政府网站被篡改，造成恶劣影响。网页恶意程序相对比较隐蔽，其攻击目标是各类网站的最终用户。首先攻击者在服务器端插入恶意代码。当用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序，最终攻击者盗取客户端的敏感信息（如各类帐号密码），甚而可能用户主机沦为攻击者的肉鸡。这种情况下，Web服务器成为了传播网页恶意程序的“傀儡帮凶”，严重影响到网站的公信度；分布式拒绝服务攻击行为使得服务器系统的性能急剧下降，无法对客户提供正常的Web服务，使得公司的信誉受到严重的损失，而这种危害又常常是长期性的。安