在6月份的時候有這樣一則新聞:美國科學家表示,許多網站目前都面臨一種新形式網路攻擊——“HTTP請求走私”的威脅,這種攻擊將有害的數據包隱藏在看似合法的數據包中,通過HTTP請求破壞網站。
專家發現,“HTTP請求走私”最簡單的一種攻擊形式是添加多餘的“內容長度的頭資訊標籤”。通常,當流覽器發出網頁請求時,它會發送包含詳細請 求內容的數據包。一般情況下,數據包中只包含一個“內容長度的頭資訊標籤”,以保證需要處理的數據大小。而在“HTTP請求走私”中,可能會出現兩個以上 “內容長度的頭資訊標籤”。科學家發現,不同的網站在遭到這種攻擊時會作出不同的反應,很可能會造成處理錯誤。另外,“HTTP請求走私”能夠突破安全過 濾器,可以將新網站非法上載到網站緩衝區中。
專家認為,駭客可能很快就會利用“HTTP請求走私”,對網站進行大規模攻擊。最好的防範措施,就是嚴格遵循超文本數據傳輸協議的各項要求。同時,專家也認為,之所以出現“HTTP請求走私”,說明超文本傳輸協議存在漏洞,應對其進行修改。
這條新聞所提到的攻擊只是網站所面對的眾多攻擊中的比較新的一個。隨著互聯網的飛速發展,Web應用也日益增多。今天,商業交易的各個部分都正在 向Web上轉移,但每增加一個新的基於Web的應用系統,都會導致之前處於保護狀態下的後端系統直接連接到互聯網上,最後的結果就是將公司的關鍵數據置於 外界攻擊之下。
據Gartner調查顯示,現在有75%的攻擊都是針對Web應用層發起的。尤其是金融服務業成為了眾矢之的,而攻擊者的主要目的就是直接獲取個人數據。
據美國電腦安全協會(CSI)/美國聯邦調查局(FBI)的研究表明,在接受調查的公司中,2004年有52%的公司的系統遭受過外部攻擊(包 括系統入侵、濫用Web應用系統、網頁置換、盜取私人資訊及拒絕服務等等),這些攻擊給269家受訪公司帶來的經濟損失超過1.41億美元,但事實上他們 中有98%的公司都裝有防火牆。
為什麼防火牆沒有防住攻擊?因為他們安裝的是網路防火牆,而真正能防禦這些攻擊的是應用防火牆。早在2002年,IDC就曾在報告中認為,“網路防火牆對應用層的安全已起不到什麼作用了,因為為了確保通信,網路防火牆內的端口都必須處於開放狀態。”
從概念走向實用
應用防火牆其實是個安全“老兵”了。在十幾年前,就已經出現了應用防火牆的概念。但是為什麼遲遲沒有產品出現呢?華城技術有限公司負責人楊磊說: “因為系統的硬體平臺跟不上。以前,網路層數據的轉發處理就佔用了CPU大量的資源,CPU根本無法再做應用層的處理;而可以進行高速網路數據處理的 ASIC技術又處理不了應用層數據的複雜性,所以應用防火牆沒有誕生的條件。”隨著NP(網路處理器)性能的迅速提升,特別是基於通用CPU的多核NP 體系(例如Broadcom的雙核NP 1250,將2個64位MIPS晶片集成在一塊處理器晶片裏面,而且後續推出了集成4個CPU的處理器;而 Cavium公司也推出了集成16個MIPS CPU和硬體加速處理單元的網路服務處理器OCTEON)產生之後,利用多CPU的並行處理能力和軟體的靈 活性,應用防火牆可以實現對複雜應用的安全處理,並且能夠達到千兆線速的性能。
在2004年,應用防火牆終於衝破概念的圍城,真正實現了產品化。國外有Teros、Sanctum、Netcontinuum和Kavado等 廠商推出了Web應用防火牆,目前在國內記者看到的產品僅僅有華城技術(secnumen)的AppRock和F5網路公司的 TrafficShield.
現在我們所說的應用防火牆,一般是指Web應用防火牆和數據庫防火牆(也叫SQL防火牆),而現在我們所能見到的產品基本都是Web應用防火牆。
應用前面的銅牆鐵壁
安裝了網路防火牆和IDS,就能抵擋應用層攻擊嗎?不能。因為在保護應用方面,網路防火牆和IDS各有不足。
網路防火牆有洞
網路防火牆技術的發展已經非常成熟,也是目前網路安全技術中最實用和作用最大的技術。但是,作為目前應用最為廣泛的HTTP伺服器等應用伺服器, 通常是部署在防火牆的DMZ區域,防火牆完全向外部網路開放HTTP應用端口,這種方式對於HTTP應用沒有任何的保護作用。即使使用HTTP代理型的防 火牆,防火牆也只是驗證HTTP協議本身的合法性,完全不能理解HTTP協議所承載的數據,也無從判斷對HTTP伺服器的訪問行為是否合法。攻擊者知道正 面攻破網路防火牆十分困難,於是從簡單的端口掃描攻擊轉向通過應用層協議進入企業內部,目前,利用網上隨處可見的攻擊軟體,攻擊者不需要對網路協議有深厚 的理解,即可完成諸如更換Web網站主頁、盜取管理員密碼、破壞整個網站數據等攻擊。而這些攻擊過程中產生的網路層數據,和正常數據沒有什麼區別。一個最 簡單的例子就是在請求中包含SQL注入代碼,或者提交可以完成獲取其他用戶認證資訊的跨站腳本,這些數據不管是在傳統防火牆所處理的網路層和傳輸層,還是 在代理型防火牆所處理的協議會話層,都會認為是合法的。
明白了防火牆的工作原理,我們就知道,對於應用層攻擊,網路防火牆是無能為力的。
入侵檢測有限
目前最成熟的入侵檢測技術就是攻擊特徵檢測。入侵檢測系統首先建立一個包含目前大多已知攻擊特徵的資料庫,然後檢測網路數據中的每一個報文,判斷是否含有資料庫中的任何一個攻擊特徵,如果有,則認為發生相應的攻擊,否則認為是合法的數據。
入侵檢測系統作為防火牆的有力補充,加強了網路的安全防禦能力。但是,入侵檢測技術的作用存在一定的局限性。由於需要預先構造攻擊特徵庫來匹配網 絡數據,對於未知攻擊和不能有效提取攻擊特徵的攻擊,入侵檢測系統不能檢測和防禦。另外就是其技術實現的矛盾,如果需要防禦更多的攻擊,那麼就需要很多的 規則,但是隨著規則的增多,系統出現的虛假報告(對於入侵防禦系統來說,會產生中斷正常連接的問題)率就會上升,同時,系統的效率會降低。
對於應用攻擊,入侵檢測系統可以有效的防禦部分攻擊,但不是全部。
應用防火牆有效
網路面臨的許多安全問題單靠網路防火牆是無法解決的,必須通過一種全新設計的高性能安全代理專用設備來配合網路防火牆。具體來說,利用網路防火牆 阻擋外面的端口掃描攻擊,利用應用安全防護技術,深層管理和控制由用戶訪問外部資源而引起的應用層攻擊,解決針對應用的、具有破壞性的複雜攻擊。
應用防火牆真正實現了對網路應用的保護,是傳統安全技術的有效補充。應用防火牆可以阻止針對Web應用的攻擊,而不僅僅是驗證HTTP協議。這些 攻擊包括利用特殊字元或通配符修改數據的數據攻擊、設法得到命令串或邏輯語句的邏輯內容攻擊,以及以帳戶、檔或主機為主要目標的目標攻擊。2004年所 出現的Web應用10大漏洞,應用防火牆均可以防禦,未知攻擊也無法越過應用防火牆。
業界標準的應用防火牆一般採用主動安全技術實現對應用的保護。主動安全技術是指建立正面規則集,也就是說明哪些行為和訪問是合法的規則描述。對於 接收到的應用數據(從網路協議還原出來的應用數據,不是數據報文頭),判斷是否符合合法規則。因為只允許通過已知的正常數據,這種方式可以防禦所有的未知 攻擊。
應用防火牆技術是現有網路安全架構的一個重要補充,而不是取代傳統防火牆和入侵檢測等安全設備。傳統安全設備阻擋攻擊者從正面入侵,著重進行網路層的攻擊防護;而應用防火牆著重進行應用層的內容檢查和安全防禦,與傳統安全設備共同構成全面、有效的安全防護體系。 B26 |