防火墻在企業(yè)中的應(yīng)用越來越廣泛了，從網(wǎng)絡(luò)防火墻到IDS、IPS甚至UTM，企業(yè)網(wǎng)絡(luò)防護(hù)技術(shù)和產(chǎn)品不斷被革新。無論是企業(yè)web應(yīng)用還是企業(yè)web網(wǎng)站，防火墻和安全網(wǎng)關(guān)的假設(shè)幾乎是必備的環(huán)節(jié)。今天我們來介紹一下Imperva的新型Web安全網(wǎng)關(guān)SecureSphere Web。

Imperva WAF的功能和特點(diǎn)

SecureSphere WEB安全防護(hù)網(wǎng)關(guān)是專為了對(duì)WEB網(wǎng)站和基于WEB的服務(wù)器提供全方位防護(hù)而設(shè)計(jì)的。它的防護(hù)對(duì)象不僅包括普通的端口掃描、TCP Sync Flood、已知的高級(jí)攻擊手段如SQL注入等，還包括未知的、新出現(xiàn)的高級(jí)的攻擊，如URL參數(shù)篡改、Cookie毒化等。同時(shí)還可以對(duì)管理核心數(shù)據(jù)的后臺(tái)數(shù)據(jù)庫進(jìn)行防護(hù), 如下圖所示： 

SecureSphere WEB的WAF G8包括以下方面的功能和特點(diǎn)：

Web應(yīng)用防火墻功能

SecureSphere WEB系統(tǒng)保護(hù)用戶的WEB應(yīng)用攻擊，例如SQL注入、Cookie毒化、參數(shù)篡改、路徑遍歷以及更多攻擊（詳見列表）。動(dòng)態(tài)評(píng)估技術(shù)自動(dòng)創(chuàng)建WEB應(yīng)用的使用和結(jié)構(gòu)的正向安全模型，包括URL、http形式、參數(shù)、隱藏的域、Cookie、事務(wù)ID以及應(yīng)答代碼等。當(dāng)用戶和網(wǎng)絡(luò)應(yīng)用進(jìn)行交互時(shí)，SecureSphere 系統(tǒng)密切監(jiān)視他們的活動(dòng)，并與安全模型比較。任何攻擊的企圖都將被監(jiān)測(cè)到，并被阻止。

Web服務(wù)防火墻功能

SecureSphere的互聯(lián)網(wǎng)服務(wù)網(wǎng)關(guān)主要針對(duì)XML、SOAP和WSDL等應(yīng)用進(jìn)行保護(hù)。如同SecureSphere系統(tǒng)的應(yīng)用防火墻功能一樣，服務(wù)網(wǎng)關(guān)采用Imperva公司的動(dòng)態(tài)評(píng)估技術(shù)建立合法應(yīng)用行為的安全模型，包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網(wǎng)絡(luò)服務(wù)應(yīng)用模式或者變量的企圖都會(huì)被識(shí)別出來，并加以阻止和防范

動(dòng)態(tài)建模和自動(dòng)策略

SecureSphere的防護(hù)的一個(gè)創(chuàng)新是基于應(yīng)用層交互內(nèi)容的安全檢測(cè)。在這個(gè)層次建立了非常深入復(fù)雜的策略。即，對(duì)訪問的URL、動(dòng)態(tài)頁面?zhèn)鬟f參數(shù)、Cookie傳遞的參數(shù)等進(jìn)行監(jiān)測(cè)，對(duì)比正常的訪問行為基線；如明顯偏離正常行為模式則可產(chǎn)生告警和即時(shí)阻斷。策略的產(chǎn)生主要由設(shè)備的自學(xué)習(xí)功能完成，無需人工干預(yù)，而且還可以根據(jù)Web應(yīng)用的變化進(jìn)行自適應(yīng)調(diào)整。同時(shí)，管理人員還可以進(jìn)行微調(diào)，以得到最優(yōu)的“充分必要”的策略。

Web入侵防護(hù)系統(tǒng)（IPS）

SecureSphere IPS對(duì)已知的攻擊和“第零日蠕蟲”的提供保護(hù)。這些攻擊通常針對(duì)WEB服務(wù)器、應(yīng)用服務(wù)器和操作系統(tǒng)軟件的弱點(diǎn)（例如，IIS、Apache和Windows 2000）。SecureSphere的“第零日蠕蟲”自動(dòng)評(píng)估技術(shù)可自動(dòng)識(shí)別尚未定義特征的攻擊。 SecureSphere系統(tǒng)同時(shí)提供多網(wǎng)絡(luò)協(xié)議的Snort兼容的特征庫，符合http協(xié)議和來自“應(yīng)用防御中心”– Imperva自己內(nèi)部的安全研究組織，的高級(jí)應(yīng)用保護(hù)特征。SecureSphere 系統(tǒng)提供定時(shí)更新服務(wù)，確保安全保護(hù)的時(shí)效性。

多層次的防護(hù)及關(guān)聯(lián)

◆SecureSphere不僅提供了創(chuàng)新的安全技術(shù)手段，如自動(dòng)建模，防蠕蟲擴(kuò)散、高層協(xié)議檢測(cè)；同時(shí)也整合了各種成熟的技術(shù)，如：網(wǎng)絡(luò)防火墻、入侵檢測(cè)和防護(hù)。特別需要指出的是SecureSphere的入侵檢測(cè)技術(shù)是專門針對(duì)Web服務(wù)的，除了基本的Snort特征庫，還提供豐富的Web應(yīng)用和數(shù)據(jù)庫應(yīng)用的攻擊特征庫。 

◆SecureSphere整合多種安全手段的目的不僅提供了多層次的安全防護(hù)，而且通過各個(gè)防護(hù)層次間內(nèi)在的關(guān)聯(lián)，可以極大的提高攻擊識(shí)別的準(zhǔn)確性，降低誤報(bào)率。這對(duì)于時(shí)時(shí)處于廣泛攻擊環(huán)境下的WEB服務(wù)系統(tǒng)是至關(guān)重要的。

前后臺(tái)關(guān)聯(lián)。 

當(dāng)今，Web服務(wù)系統(tǒng)發(fā)展的趨勢(shì)是，除了提供靜態(tài)信息的提供外，還提供與多種應(yīng)用和服務(wù)的交互接口。網(wǎng)頁交互和動(dòng)態(tài)頁面技術(shù)越來越多的扮演了核心的角色。同時(shí)由于動(dòng)態(tài)頁面技術(shù)的靈活性，它也成為了Web攻擊的熱點(diǎn)，包括通過動(dòng)態(tài)頁面與后臺(tái)數(shù)據(jù)庫的連接關(guān)系，獲取和篡改應(yīng)用系統(tǒng)的核心信息，如賬號(hào)密碼、用戶信息、交易信息等。SecureSphere WEB為網(wǎng)站和基于Web的應(yīng)用提供全面安全防護(hù)，包括前臺(tái)Web服務(wù)器和后臺(tái)數(shù)據(jù)庫；而且可以進(jìn)行實(shí)時(shí)的前后臺(tái)關(guān)聯(lián)。因此SecureSphere可以幫助發(fā)現(xiàn)攻擊的真正發(fā)起源，可以防護(hù)通過后門對(duì)數(shù)據(jù)庫發(fā)起的攻擊，提高攻擊發(fā)現(xiàn)的能力，以及精確的從大量訪問流量中阻斷攻擊流量。

【編輯推薦】

1. Web應(yīng)用防火墻的功能與價(jià)值
2. xss攻擊 Web安全新挑戰(zhàn)
3. 百家爭(zhēng)鳴：web攻擊與web防護(hù)
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起