Web 應(yīng)用防火墻:如何阻擋21種應(yīng)用威脅Wyatt Drive |Santa Clara, CA 95054|408.961.5600tel |408.986.8997fax ?2004NetCon

Web 應(yīng)用防火墻:

如何阻擋21

種應(yīng)用威脅

Wyatt Drive |Santa Clara, CA 95054|408.961.5600tel |408.986.8997fax ?2004NetContinuum, Inc. 448-0000027-02

2

概述

當(dāng)今的Web 應(yīng)用已經(jīng)暴露在大量黑客的視線(xiàn)中，這些黑客對(duì)內(nèi)部和商業(yè)軟件進(jìn)行非法探測(cè)。這些潛在的威脅使無(wú)法對(duì)Web 應(yīng)用進(jìn)行安全、高效地部署。

要保護(hù)Web 應(yīng)用免受潛在威脅，需要一個(gè)能夠同時(shí)對(duì)網(wǎng)絡(luò)層協(xié)議和應(yīng)用層內(nèi)容進(jìn)行保護(hù)的平臺(tái)。部署安全系統(tǒng)的重中之重在于能夠?qū)eb 流量進(jìn)行雙向的深層檢測(cè)，其中包括流量加密、內(nèi)容編碼，執(zhí)行安全策略來(lái)對(duì)網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)流進(jìn)行深入的分析。

NC-1000Web 安全網(wǎng)關(guān)是一款基于ASIC 的應(yīng)用安全設(shè)備，將DMZ 區(qū)功能工鞏固在一個(gè)單獨(dú)系統(tǒng)中，實(shí)現(xiàn)安全Web 應(yīng)用的高效部署。NC-1000集成了行業(yè)領(lǐng)先的Web 應(yīng)用防火墻，并通過(guò)ICSA 認(rèn)證，確保對(duì)日益增加的Web 應(yīng)用威脅進(jìn)行全方位的防護(hù)。

本文檔描述了如何通過(guò)NC-1000來(lái)配置和執(zhí)行應(yīng)用安全策略的最后方法，并詳細(xì)說(shuō)明NC-1000的工作方式。本文檔將介紹三個(gè)簡(jiǎn)單的初始配置，并對(duì)安全策略進(jìn)行嚴(yán)格化的方式。

基本步驟

在執(zhí)行應(yīng)用層安全策略前，NC-1000會(huì)執(zhí)行以下基本步驟：

●NC 1000首先對(duì)數(shù)據(jù)內(nèi)容進(jìn)行解密。SSL 卸載用于深層檢測(cè)；沒(méi)有SSL 快速卸載功能，防火墻無(wú)法對(duì)加密數(shù)據(jù)進(jìn)

行有效的檢測(cè)。

●NC-1000在對(duì)流量進(jìn)行安全策略匹配前會(huì)對(duì)其進(jìn)行標(biāo)準(zhǔn)化處理、編碼。在HTTP 協(xié)議中，這些標(biāo)準(zhǔn)化處理包括了

Unicode, UTF 或Hex 等基本文本格式。否則，非法流量可能通過(guò)不同的編碼方式來(lái)偽裝自己，以此躲避防火墻的檢測(cè)。

d5opx;DóGE]ì?€3óa(chǎn)=[Z?ü3/4?-ùü../partners/e

#?m]??oa5Zò?!0^Y￡kê?mtè‘?/~finance/etc/

/homepage/index2/partners/finance/home/index

圖1:對(duì)訪問(wèn)流量進(jìn)行解密和標(biāo)準(zhǔn)化處理，并對(duì)其進(jìn)行深層分析，執(zhí)行應(yīng)用層安全策略

?2005NetContinuum, Inc.

3

在解密和標(biāo)準(zhǔn)化處理后，NC-1000將應(yīng)用安全策略，阻擋帶有惡意攻擊的HTTP 流量。Web 應(yīng)用網(wǎng)關(guān)對(duì)21種Web 應(yīng)用威脅進(jìn)行防護(hù)。詳情請(qǐng)參考以下鏈接:

圖2:21種Web 應(yīng)用威脅

攻擊類(lèi)型描述

跨站腳本攻擊跨站腳本攻擊利用站點(diǎn)漏洞來(lái)攻擊訪問(wèn)該站點(diǎn)的客戶(hù)端。最常見(jiàn)的攻擊目的就是為了

竊取用戶(hù)的私密信息。

SQL 注入

命令注入

Cookie /會(huì)話(huà)中毒

參數(shù)/表格篡改SQL 注入是通過(guò)讓數(shù)據(jù)庫(kù)執(zhí)行SQL 命令，對(duì)數(shù)據(jù)進(jìn)行修改和泄露。OS 命令注入用來(lái)讓黑客能夠方位數(shù)據(jù)并且提高自己在后臺(tái)服務(wù)器的權(quán)限。Cookies 通常用來(lái)傳輸敏感信息，很容易被篡改，用來(lái)提升權(quán)限或竊取其他用戶(hù)的身份。URL 和HTTP 報(bào)頭中的參數(shù)以及表格通常用來(lái)控制和驗(yàn)證訪問(wèn)敏感信息的用戶(hù)的合法

性。

黑客對(duì)帶有的安全漏洞的服務(wù)器發(fā)起超出正常范圍的請(qǐng)求。如果攻擊成功，黑客可以

直接執(zhí)行命令，對(duì)服務(wù)器造成危害。緩存溢出

目錄攻擊/強(qiáng)行瀏覽

密碼截取強(qiáng)行瀏覽未對(duì)外開(kāi)放的站點(diǎn)，對(duì)信息進(jìn)行泄露或篡改。黑客通常不會(huì)對(duì)強(qiáng)加密的SSL 進(jìn)行破解。然而，他們會(huì)試圖攻擊安全性相對(duì)較弱的轉(zhuǎn)換

點(diǎn)，數(shù)據(jù)在這些轉(zhuǎn)換點(diǎn)被暫時(shí)解密。用多臺(tái)設(shè)備對(duì)加密和解密進(jìn)行管理會(huì)使得密碼被

竊取的幾率大大增加。

Cookie 盜取Cookies 被用戶(hù)傳輸用戶(hù)私密信息，通常以Base64的編碼方式進(jìn)行簡(jiǎn)單編碼。這將導(dǎo)致

登錄信息被泄露。

認(rèn)證劫持不安全的信息和身份管理會(huì)導(dǎo)致帳號(hào)被劫持或竊取。

日志篡改黑客通過(guò)刪除和篡改交易日志來(lái)銷(xiāo)毀他們所進(jìn)行的非法行為的證據(jù)。

錯(cuò)誤信息通常包含了大量了站點(diǎn)信息，使得黑客能夠獲得大量的諸如內(nèi)部站點(diǎn)結(jié)構(gòu)等私

有信息。

?2005NetContinuum, Inc. 錯(cuò)誤信息截取

4

攻擊隱藏黑客通常通過(guò)將他們的請(qǐng)求進(jìn)行編碼，以此來(lái)偽裝自己的身份。應(yīng)用平臺(tái)非法探測(cè)

DMZ 協(xié)議攻擊一些常見(jiàn)的攻擊可以通過(guò)相應(yīng)的補(bǔ)丁來(lái)進(jìn)行防范，但是補(bǔ)丁往往是不及時(shí)的。大多Web 應(yīng)用環(huán)境都包括諸如DNS 、FTP 等關(guān)鍵的協(xié)議。這些協(xié)議含有潛在的漏洞，

并經(jīng)常遭到黑客的攻擊。

安全管理非法探測(cè)

Web 服務(wù)攻擊

“零日”攻擊經(jīng)驗(yàn)豐富的黑客會(huì)對(duì)安全管理系統(tǒng)下手，試圖修改或關(guān)閉安全策略。由于Web 服務(wù)是進(jìn)程間通信的模式，所以需要特殊的安全策略需求。對(duì)未知漏洞進(jìn)行攻擊具有嚴(yán)重破壞性，因?yàn)檫€沒(méi)有相應(yīng)的預(yù)防措施。網(wǎng)絡(luò)訪問(wèn)攻擊

TCP 碎片攻擊

應(yīng)用層服務(wù)拒絕攻擊當(dāng)前有超過(guò)2,500種不同的網(wǎng)絡(luò)攻擊手段，通過(guò)將一個(gè)攻擊會(huì)話(huà)分片成多個(gè)TCP 數(shù)據(jù)包可以使得一個(gè)攻擊逃脫只掃描數(shù)據(jù)包而不掃描完整會(huì)話(huà)的檢測(cè)。當(dāng)前有許多手法對(duì)應(yīng)用和服務(wù)進(jìn)行數(shù)據(jù)轟炸，耗盡服務(wù)器資源，以至無(wú)法響應(yīng)正常請(qǐng)

求。

?2005NetContinuum, Inc.

5

步驟一:隱藏應(yīng)用架構(gòu)

保護(hù)WEB 應(yīng)用的第一步就是隱藏站點(diǎn)。站點(diǎn)隱藏配置便捷，通過(guò)阻斷探測(cè)行為來(lái)阻止大部分的攻擊。

如同傳統(tǒng)防火墻對(duì)內(nèi)部IP 進(jìn)行隱藏一樣，NC-1000可以對(duì)外完全隱藏WEB 應(yīng)用資源。站點(diǎn)隱藏功能使得企業(yè)的內(nèi)部WEB 資源對(duì)外不可見(jiàn)。

98的攻擊都以漏洞探測(cè)開(kāi)始，以此來(lái)對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)進(jìn)行分析。根據(jù)系統(tǒng)和應(yīng)用的列表，黑客能夠很容易地對(duì)漏洞進(jìn)行探測(cè)。黑客通常對(duì)以下內(nèi)容進(jìn)行探測(cè)：●●●●●

Web 服務(wù)器應(yīng)用軟件操作系統(tǒng)版本和補(bǔ)丁版本目錄結(jié)構(gòu)

DNS 名稱(chēng)和IP 地址cookies 中的有用信息

例如，紅碼蠕蟲(chóng)會(huì)掃描那些監(jiān)聽(tīng)80端口的主機(jī)的IP 地址，以此來(lái)探測(cè)IIS 的漏洞。梭子魚(yú)應(yīng)用防火墻可以阻斷這些掃描，蠕蟲(chóng)病毒不會(huì)滲入網(wǎng)絡(luò)。

Web 站點(diǎn)隱藏:將攻擊扼殺在搖籃中

大多數(shù)攻擊都會(huì)使用目標(biāo)探測(cè)和漏洞自動(dòng)掃描。常用防護(hù)工具(Whisker,Nessus, 和Nikto) 可以自動(dòng)偵測(cè)潛在的漏洞。阻止魔表探測(cè)和自動(dòng)掃描，可以消除潛在的攻擊威脅。

黑客使用各種各樣的工具和技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行分析，包括ping 、nmap 、

ipfilter 和DNS 區(qū)域傳送。通過(guò)分析結(jié)果，黑客利用端口掃描對(duì)入口進(jìn)行掃描，以此來(lái)獲取當(dāng)前運(yùn)行的服務(wù)。

NC-1000使用強(qiáng)大的站點(diǎn)隱藏功能來(lái)隱藏WEB 應(yīng)用資源。通過(guò)阻斷黑客和探測(cè)和自動(dòng)掃描，可以阻斷對(duì)站點(diǎn)發(fā)起的攻擊。站點(diǎn)隱藏功能可以消除相當(dāng)大數(shù)量的攻擊。

對(duì)外隱藏的內(nèi)容:

探測(cè)站點(diǎn)，搜索漏洞

WEB 服務(wù)器應(yīng)用服務(wù)器

黑客

NC-1000

Web 應(yīng)用

自動(dòng)掃描帶有漏洞的服務(wù)器

操作系統(tǒng)版本和補(bǔ)丁版本目錄結(jié)構(gòu)已知漏洞應(yīng)用轉(zhuǎn)換DNS 名稱(chēng)Cookie 內(nèi)容

蠕蟲(chóng)

圖2:WEB 站點(diǎn)隱藏使內(nèi)部資源對(duì)于黑客和蠕蟲(chóng)不可見(jiàn)

?2005NetContinuum, Inc.

6

拒絕端口掃描

端口掃描用來(lái)為以后的攻擊做準(zhǔn)備，探測(cè)是否易于攻擊的服務(wù)。最簡(jiǎn)單的端口掃描就是對(duì)65536個(gè)端口進(jìn)行掃描。對(duì)于DNS 或其他UDP 端口，黑客通常發(fā)送空的UDP 數(shù)據(jù)包進(jìn)行探測(cè)。如果此端口處于工作狀態(tài)，將會(huì)發(fā)回一個(gè)錯(cuò)誤消息或忽略請(qǐng)求包。

NC-1000具有狀態(tài)檢測(cè)功能，可以阻斷對(duì)NAT 和傳統(tǒng)ACL 發(fā)起的探測(cè)。

80端口通常都是開(kāi)啟并極易受到攻擊。許多諸如Whisker, Nessus 和Nikto 之類(lèi)的可以免費(fèi)下載的探測(cè)軟件都可以用來(lái)為攻擊做好前期準(zhǔn)備。例如，Nikto 是一款WEB 服務(wù)器掃描工具，它執(zhí)行完整的測(cè)試方法來(lái)查詢(xún)多個(gè)項(xiàng)目，超過(guò)2000種潛在的危險(xiǎn)文件/CGI腳本，130種服務(wù)器版本和關(guān)于200多種服務(wù)器的已知安全問(wèn)題。

阻斷惡意WEB 爬行程序

站點(diǎn)爬行程序（所謂的蜘蛛程序）是一種自動(dòng)進(jìn)行站點(diǎn)瀏覽的程序。雖然站點(diǎn)爬行程序十分有用，但是如果用于惡意目的，他們能給網(wǎng)絡(luò)帶來(lái)巨大的威脅。從根本上說(shuō)，站點(diǎn)爬行程序是一種自行偷取數(shù)據(jù)的工具。他們能夠輕而易舉地下載全部或部分網(wǎng)站地圖。爬行程序可以發(fā)啟并發(fā)的線(xiàn)程，訪問(wèn)受保護(hù)的站點(diǎn)，通過(guò)類(lèi)型和大小對(duì)文件進(jìn)行過(guò)濾，搜索特定的關(guān)鍵字。爬行程序可以閱讀和解析多種計(jì)算機(jī)語(yǔ)言，包括HTML 4.0, CSS 2.0, 和DHTML 。爬行程序還具有正則表達(dá)式的功能，輕松搜索數(shù)據(jù)。同時(shí)，爬行程序還支持SSL 和cookie 。同時(shí)又能將自定義的HTTP 報(bào)頭注入HTTP 請(qǐng)求，以此來(lái)隱藏自己的罪惡身份。

通過(guò)互聯(lián)網(wǎng)中成百上千的開(kāi)放資源，爬行程序能夠免費(fèi)獲得，它們已經(jīng)成為黑客的理想工具，黑客通過(guò)它們來(lái)執(zhí)行自動(dòng)的站點(diǎn)爬行，或者通過(guò)一定的手段來(lái)發(fā)現(xiàn)潛在的攻擊途徑，竊取贏利站點(diǎn)的重要保密內(nèi)容。爬行程序能夠在站點(diǎn)爬行過(guò)程中執(zhí)行簡(jiǎn)單的命令。這些命令包括腳本命令，SQL 命令，通過(guò)這些命令來(lái)探測(cè)是否可能對(duì)這個(gè)站點(diǎn)發(fā)起跨站腳本攻擊或SQL 注入的攻擊。站點(diǎn)爬行程序獲取的信息還可以用來(lái)對(duì)WEB 應(yīng)用進(jìn)行反向管理，并快速識(shí)別潛在的漏洞入口。爬行程序無(wú)疑是黑客的理想伙伴。

NC-1000使用反爬行技術(shù)來(lái)保護(hù)站點(diǎn)，避免站點(diǎn)暴露于惡意爬行程序。反爬行技術(shù)通過(guò)使用智能安全算法，在惡意爬行程序首次對(duì)站點(diǎn)爬行掃描時(shí)對(duì)其進(jìn)行合法性鑒別并進(jìn)行記錄。一經(jīng)鑒別，此爬行程序?qū)?huì)被用來(lái)與管理員定義的“白名單”中的合法爬行程序進(jìn)行對(duì)比。如果不在白名單中，此爬行程序?qū)⒈痪芙^訪問(wèn)站點(diǎn)，并被暫時(shí)加入“黑名單”，阻斷持續(xù)時(shí)間由管理員設(shè)定。開(kāi)啟反爬行程序功能后，站點(diǎn)可以免受惡意爬行程序的攻擊，避免數(shù)據(jù)竊取、漏洞掃描和自動(dòng)內(nèi)容竊取等嚴(yán)重后果。同時(shí)，此功能還能夠阻止黑客使用惡意爬行程序?qū)φ军c(diǎn)的探測(cè)。

阻斷URL 返回代碼

返回代碼是當(dāng)你打開(kāi)一個(gè)站點(diǎn)時(shí)，發(fā)生錯(cuò)誤而返回的錯(cuò)誤信息。錯(cuò)誤信息以HTML 頁(yè)面顯示，用來(lái)對(duì)所遇到的錯(cuò)誤進(jìn)行描述。這些錯(cuò)誤信息為黑客提供了關(guān)于應(yīng)用構(gòu)架和站點(diǎn)資源系信息等的相關(guān)線(xiàn)索。

?2005NetContinuum, Inc.

7

掃描設(shè)備能夠利用返回代碼來(lái)發(fā)現(xiàn)已知的漏洞。例如，當(dāng)文件不存在時(shí)，WEB 服務(wù)器會(huì)返回404錯(cuò)誤代碼；當(dāng)文件存在，但該用戶(hù)無(wú)權(quán)訪問(wèn)時(shí)，服務(wù)器會(huì)返回401或403錯(cuò)誤代碼。在NC-1000的站點(diǎn)隱藏功能的保護(hù)下，黑客看不到這些錯(cuò)誤代碼，阻止了黑客對(duì)站點(diǎn)進(jìn)行的進(jìn)一步探測(cè)。

響應(yīng)數(shù)據(jù)包報(bào)頭隱藏

響應(yīng)數(shù)據(jù)包報(bào)頭包含了WEB 站點(diǎn)的相關(guān)信息。HTTP 響應(yīng)數(shù)據(jù)包使用報(bào)頭來(lái)發(fā)送HTTP 信息。一個(gè)報(bào)頭由多行信息構(gòu)成，每行包含一個(gè)名字，名字后跟以冒號(hào)和空格，隨后加上變量值。這些信息包含了大量關(guān)于該站點(diǎn)的線(xiàn)索，其中包括服務(wù)器的類(lèi)型。NC-1000能過(guò)對(duì)響應(yīng)數(shù)據(jù)包報(bào)頭進(jìn)行隱藏。

Cookie 加密

Cookie 是黑客喜歡的另一種潛在的信息資源。不同的應(yīng)用服務(wù)器，如BEA 或微軟使用常見(jiàn)格式的cookie 。用于單點(diǎn)登錄的cookie 通常帶有該系統(tǒng)漏洞。通過(guò)篡改防護(hù)功能和對(duì)cookie 進(jìn)行加密可以保護(hù)站點(diǎn)免遭攻擊。

NC-1000對(duì)cookie 進(jìn)行加密處理，黑客無(wú)法獲取真正的內(nèi)容。這將在很大程度上保護(hù)那些需要cookie 的應(yīng)用服務(wù)。NC-1000同時(shí)對(duì)cookie 進(jìn)行數(shù)字簽名，以此保護(hù)cookie 免遭篡改。加密和數(shù)字簽名包括公鑰和密鑰兩種方式。內(nèi)部DNS 名稱(chēng)空間隱藏

Web 地址轉(zhuǎn)換能夠?qū)?nèi)部應(yīng)用外部化，達(dá)到隱藏內(nèi)部DNS 名稱(chēng)空間的效果。URL 轉(zhuǎn)換引擎對(duì)所有的URL 響應(yīng)進(jìn)行深入的檢查，并根據(jù)安全策略對(duì)這些響應(yīng)進(jìn)行重寫(xiě)。通過(guò)隔離內(nèi)部應(yīng)用信息，NC-1000能夠作為用戶(hù)請(qǐng)求和內(nèi)部應(yīng)用的中轉(zhuǎn)s 站，向用戶(hù)瀏覽器重建安全的應(yīng)用會(huì)話(huà)。

例如，ABC 公司在內(nèi)部DNS 服務(wù)器上注冊(cè)了兩個(gè)名為finance.abc 和hr.abraxas 的域名，并且想把這兩個(gè)內(nèi)部域名對(duì)外顯示為www.companyabc.com 。否則，黑客將從這兩個(gè)內(nèi)部域名中得到有用的敏感數(shù)據(jù)。

NC-1000可以幫助ABC 公司將finance.abc.com 和hr.abraxas 映射成www.companyabc.com ，并加上適當(dāng)?shù)那熬Y加以區(qū)分。在此之后，NC-1000會(huì)重寫(xiě)響應(yīng)，將這些內(nèi)部應(yīng)用轉(zhuǎn)換為對(duì)外的形式，如http://www.companyabc.com/finance和http://www.companyabc.com/hr。

Web 地址轉(zhuǎn)換幫助企業(yè)將內(nèi)部應(yīng)用外部化，使得內(nèi)部名稱(chēng)空間和地址對(duì)外不可見(jiàn)。

雖然站點(diǎn)隱藏可以保護(hù)企業(yè)免遭經(jīng)驗(yàn)相對(duì)不豐富的黑客的攻擊，但是并不能全面保護(hù)站點(diǎn)免遭職業(yè)黑客的入侵。下一個(gè)防護(hù)步驟就是要確保應(yīng)用程序始終以開(kāi)發(fā)者的設(shè)計(jì)思想運(yùn)行。梭子魚(yú)應(yīng)用防火墻的動(dòng)態(tài)應(yīng)用防護(hù)功能能夠達(dá)到這個(gè)目的。動(dòng)態(tài)應(yīng)用防護(hù)使用主動(dòng)防護(hù)模式，即只允許事先定義為“正?！钡男袨椋柚蛊渌魏涡袨?。

下一章節(jié)將詳細(xì)介紹動(dòng)態(tài)應(yīng)用防護(hù)的工作原理。

?2005NetContinuum, Inc.

8

步驟二:執(zhí)行特定應(yīng)用安全策略

至今為止，網(wǎng)絡(luò)和應(yīng)用安全一直工作于被動(dòng)模式下。通過(guò)上一章節(jié)，我們已經(jīng)了解到什么是攻擊簽名，補(bǔ)丁的弱點(diǎn)，并想始終領(lǐng)先于各種攻擊手段。被動(dòng)模式的弱點(diǎn)就是無(wú)法防護(hù)未知的攻擊手段。此外，WEB 數(shù)據(jù)中心是一個(gè)高動(dòng)態(tài)的數(shù)據(jù)信息存放中心，含有大量新的應(yīng)用、軟件重編碼模塊和不斷改變應(yīng)用結(jié)構(gòu)的補(bǔ)丁程序。安全人員必須將新的工具和方法投入到變化如此迅速的應(yīng)用環(huán)境中去。

動(dòng)態(tài)應(yīng)用防護(hù)功能為安全應(yīng)用提供了一種從根本上來(lái)說(shuō)截然不同保護(hù)方法。動(dòng)態(tài)應(yīng)用防護(hù)允許已知的合法行為，拒絕其他任何行為，并非像傳統(tǒng)的被動(dòng)模式那樣拒絕已知的攻擊，允許其他任何行為。

NC-1000使用雙向數(shù)據(jù)深層檢測(cè)技術(shù)對(duì)WEB 應(yīng)用行為進(jìn)行分析，并執(zhí)行相應(yīng)的應(yīng)用安全策略。NC-1000對(duì)某個(gè)應(yīng)用的HTTP 響應(yīng)進(jìn)行分析，以此來(lái)判斷其目的，然后根據(jù)所得的信息建立針對(duì)此應(yīng)用的安全策略。由于應(yīng)用掃描針對(duì)的是請(qǐng)求和響應(yīng)，而非對(duì)已知的攻擊進(jìn)行掃描，所以能夠避免未知的攻擊滲入網(wǎng)絡(luò)。

許多使用表格和其他輸入形式的WEB 應(yīng)用都依賴(lài)客戶(hù)端的安全處理機(jī)制。將安全防護(hù)交給客戶(hù)端完成就如同你將家門(mén)鑰匙發(fā)給別人，并期盼不會(huì)有人來(lái)開(kāi)你家的房門(mén)。NC-1000通過(guò)動(dòng)態(tài)應(yīng)用防護(hù)功能，來(lái)執(zhí)行由應(yīng)用本身所定義的安全策略。

管理員只需在NC-1000的管理界面開(kāi)啟一個(gè)安全入口，就能夠開(kāi)啟動(dòng)態(tài)應(yīng)用防護(hù)功能。ACL Name Action Mode

Active URL Domain Header Policy DAP *

圖3:通過(guò)設(shè)置默認(rèn)的應(yīng)用ACL 來(lái)開(kāi)啟全局動(dòng)態(tài)應(yīng)用防護(hù)

一旦此功能開(kāi)啟，NC-1000就開(kāi)始分析該應(yīng)用的響應(yīng)和關(guān)鍵參數(shù)，有效地保護(hù)那些之前只依賴(lài)客戶(hù)端進(jìn)行安全防護(hù)的應(yīng)用，NC-1000通過(guò)檢查以下參數(shù)對(duì)應(yīng)用進(jìn)行安全分析：

1.

2.

3.

4.

5. 多層URL 隱藏區(qū)域表格最大長(zhǎng)度只讀區(qū)域諸如單選按鈕、下拉菜單之類(lèi)的邊界值

?2005NetContinuum, Inc.

6. 服務(wù)器在產(chǎn)生的query string 參數(shù)

接下來(lái)的幾部分將詳細(xì)描述動(dòng)態(tài)應(yīng)用防護(hù)如何進(jìn)行工作。

?2005NetContinuum, Inc.

動(dòng)態(tài)應(yīng)用防護(hù)如何工作9

動(dòng)態(tài)應(yīng)用防護(hù)對(duì)數(shù)據(jù)進(jìn)行雙向檢測(cè)。

例如，瀏覽器向應(yīng)用請(qǐng)求一個(gè)頁(yè)面。NC-1000部署在WEB 服務(wù)器前，終止來(lái)自瀏覽器的請(qǐng)求，對(duì)其進(jìn)行安全掃描，通過(guò)后對(duì)服務(wù)器發(fā)起新的請(qǐng)求。

服務(wù)器響應(yīng)該請(qǐng)求。此響應(yīng)來(lái)到NC-1000。

NC-1000分析該來(lái)自服務(wù)器的頁(yè)面，根據(jù)安全策略對(duì)此響應(yīng)進(jìn)行完整的分析。在此過(guò)程中，NC-1000學(xué)習(xí)所有來(lái)自服務(wù)器的合法參數(shù)，比如多層URL 、隱藏區(qū)域、只讀區(qū)域和最大長(zhǎng)度。

如果查看瀏覽器中的“查看源文件”，你可以清楚地看到NC-1000所學(xué)習(xí)到數(shù)據(jù)參數(shù)（參見(jiàn)圖4）。當(dāng)瀏覽器再次發(fā)起請(qǐng)求，NC-1000會(huì)通過(guò)安全策略對(duì)請(qǐng)求進(jìn)行掃描。對(duì)于上行數(shù)據(jù)流，NC-1000根據(jù)應(yīng)用和已學(xué)習(xí)到的參數(shù)對(duì)所有的對(duì)象進(jìn)行定位處理。將這些通過(guò)動(dòng)態(tài)學(xué)習(xí)得來(lái)的參數(shù)以安全策略的方式加以應(yīng)用。

NC-1000對(duì)輸入的頁(yè)面請(qǐng)求進(jìn)行深入分析，確保沒(méi)有任何非法流量進(jìn)入網(wǎng)絡(luò)。如果是合法流量，請(qǐng)求被發(fā)送到后端服務(wù)器；如果是非法請(qǐng)求，該請(qǐng)求將在本地被阻斷，后端服務(wù)器完全不知道發(fā)生了什么。以下是一些實(shí)例。

動(dòng)態(tài)應(yīng)用防護(hù)如何阻擋各種攻擊

由于NC-1000只定義合法的請(qǐng)求，其余請(qǐng)求均被阻斷，動(dòng)態(tài)應(yīng)用防護(hù)可以以此來(lái)阻擋各種攻擊，這些攻擊包括：●

●

●

●

●強(qiáng)制瀏覽隱藏區(qū)域參數(shù)篡改緩沖溢出單選按鈕、下拉菜單值篡改參數(shù)篡改

動(dòng)態(tài)應(yīng)用防護(hù)通過(guò)以下所示部分來(lái)阻擋各種形式的攻擊。