应用安全解决方案

F5应用安全解决方案
       F5的BIG-IP®应用安全管理器™ (ASM)是一个先进的Web应用防火墙，可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG-IP ASM通过一个将应用交付与网络和应用加速及优化结合在一起的平台，提供了无与匹敌的应用和网站防护、完整的攻击专家系统，并且可以满足关键的法规要求。
       BIG-IP ASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用，屡获殊荣的BIG-IP ASM能够使其保持安全性、可用性和高性能，从而保护了您企业的安全，并维护了企业的声誉。
1.1 方案部署网络逻辑图

1.2 ASM的技术特点
满足安全标准的要求
  先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求，包括PCI DSS、HIPAA、Basel II和SOX，您既不需要购置多个设备，也不需要对应用进行更改或重写。BIG-IP ASM提供了针对新型威胁的高级报告能力，例如第7层服务拒绝攻击(DoS)、暴力攻击和SQL注入攻击等。通过PCI报告功能，BIG-IP ASM列出了PCIDSS 1.2所要求的安全措施，并确定是否满足了要求，若未满足要求则详细说明为满足要求所需采取的措施。此外，BIG-IP ASM与WhiteHat、Splunk和Secerno集成，可支持漏洞评估、审计和实时数据库报告功能，从而实现安全违规检查、攻击防护和法规遵从。

保证应用安全与可用性
  许多网站和应用都遭受过安全威胁，这些安全威胁会导致业务中断，并损害企业的品牌。BIG-IP ASM可以报告以前未知的威胁，例如第7层DoS和SQL注入攻击，并且可减轻Web应用威胁，从而保护企业免遭数据侵害。BIG-IP ASM有助于预防棘手而且代价高昂的应用侵害，这些侵害可导致企业遭受数百万美元的损失，包括监管机构处罚、收入下降和品牌价值受损等。

高级执行能力
      BIG-IP ASM可保护任何参数免遭客户端的篡改，并且通过验证登录参数和应用流来防御强制浏览和逻辑缺陷攻击。BIG-IP ASM还可以防护OWASP十大Web应用安全漏洞以及零日Web应用攻击。

现成的保护能力
    BIG-IP ASM配备了一套预置应用安全策略，可为Microsoft Outlook Web Access、LotusDomino邮件服务器、Oracle E-Business Financials和Microsoft Office SharePoint等常用的应用提供现成的保护能力。此外，BIG-IP ASM包含快速部署策略，可立即为任何客户应用提供安全保障。这套经过验证的策略无需要花费任何时间进行配置，并且可以根据启发式学习和特定的客户应用安全需求，用作创建更先进的策略的起点。

全面的应用安全与加速
       BIG-IP ASM与BIG-IP® WebAccelerator™可同时在BIG-IP®本地流量管理器™设备上运行，因此您可以确保应用的安全，同时提高应用性能。这个高效的多解决方案平台在不降低性能的情况下增加安全性。您可以立即过滤攻击，并对Web应用进行加速，从而改善用户体验。由于不需要向网络中增添新的设备，您可以获得一体化的解决方案，从而实现最高的成本效益。

Web scraping防护
       BIG-IP ASM可保护您的网站免遭Web Scraping攻击(复制并重复利用宝贵的知识产权和信息)，从而保护您的品牌。通过辨别使用浏览器的是人还是僵尸程序，BIG-IP ASM可防止通过自动请求获得数据。Web应用策略可以识别请求量的增加，并通知BIG-IP ASM检查这些是否为需要的请求。以前曾发生过Web Scraping攻击的已知IP地址可以列入黑名单，以便对其进行检测和阻止。

Attack Expert系统
  随着威胁数量的增加和和复杂程度日益提高，集成的综合Attack Expert系统提供了对攻击的即时了解，新策略的配置和攻击的报告能力，以立即通知管理员。攻击专家系统将网络和应用团队结合在一起，使管理员能够随时了解应用安全性。

攻击类型详细信息
  攻击详细信息提供了对每种违规行为的解释，包括对BIG-IP ASM执行的确切检查的详细说明。

分级
  分级功能使更新的策略透明地在实际环境中进行测试，而不会降低当前的保护等级。BIG-IP ASM可使您轻松地采用攻击签名、文件类型、URL和其它参数对策略进行分级，并且在执行策略之前轻松地测试是否需要更改。策略可以重新设计和重新测试，直到您满意为止，并且策略可随时用于实际实施。

优异的报告能力
  所有报告都基于GUI，并提供了通过简单的鼠标点击便可使用的向下钻取选项。地理位置报告可让您了解威胁发起的国家，另外还包括攻击类型、违反的标准、URL、IP地址、严重程度等。您还可以预定时间将报告自动发送到指定的电子邮件地址，以提供最新的报告。

易读取的策略(远程审计)
    BIG-IP ASM允许将策略导出，供场外审计人员使用，从而使得安全法规遵从更容易实现，并且节约IT人员的宝贵时间。远程工作的审计人员可以查看、选择、审查并测试策略，而不必浪费宝贵的时间，也无需Web应用安全管理器的支持。

iRules集成
  您可以设计定制的iRules，以应对BIG-IP ASM事件。例如，在检测到Web抓取僵尸程序时，页面阻止策略可用于防止多个网站使用显示定制阻止页面的iRules (针对特定Web域)。许多BIG-ASM事件都可以根据您的独特环境而定制。

集成的XML防火墙
      BIG-IP ASM提供了特定应用的XML过滤和验证功能，保证Web应用的XML输入的结构正确。它提供了模式验证、常见攻击防御和XML解析器服务拒绝预防。

DataGuard和Cloaking
       BIG-IP ASM通过分离数据和隐藏信息而预防敏感数据的泄露(例如信用卡号码、社会安全号码等)。此外，BIG-IP ASM隐藏错误页面和应用错误信息，防止黑客发现底层架构并发起有针对性的攻击。

利用WhiteHat Sentinel实现漏洞评估
  与WhiteHat Sentinel Security的集成提供了一种独特的漏洞评估服务，该服务将自动化工具与专业的高技能应用安全专家联系在一起。通过与BIG-IP ASM集成，业界领先的WhiteHat Sentinel服务可以扫描Web应用，并创建专门处理应用中发现的漏洞的BIG-IP ASM规则。这样可以通过接近即时的漏洞控制响应而进行经过验证并且可行的漏洞评估，从而在开发人员纠正漏洞代码时保护应用的安全。

攻击签名的实时更新
  为了保证最新的防护能力，新攻击的新签名需要经常更新。BIG-IP ASM每天查询F5签名服务，并自动下载和应用新的签名。

SMTP和FTP安全
      BIG-IP ASM使FTP服务器组的管理轻松易行。BIG-IP ASM验证FTP协议，控制暴力攻击，而且也可以对允许的FTP命令进行白名单控制。此外，BIG-IP ASM可以执行命令长度限制和主动/被动连接。对于SMTP，BIG-IP ASM提供了额外的全面安全检查。它还支持灰名单，目的是预防垃圾邮件，执行SMTP协议，将危险SMTP命令加入黑名单，并且控制目录获取攻击。BIG-IP ASM的速率限制能力有助于应对DoS攻击。

实时流量策略构建器
       BIG-IP ASM的核心是动态策略构建器引擎，它负责自动的自我学习并创建安全策略。它围绕新发现的漏洞自动构建和管理安全策略，部署快速、敏捷的业务流程，而无需手工干预。当流量通过BIGIPASM传输时，策略构建器解析请求和响应，提供独特的能力检验完整的客户端和应用流量的双向流程—包括数据和协议。通过利用先进的统计和启发式引擎，策略构建器可以过滤掉攻击和异常流量。策略构建器也可以在被告知站点更新的模式下运行。通过解析响应和请求，它可以探测站点的变化，并且相应地自动更新策略，而无需用户干预。
1.3 BIG-IP ASM架构
        BIG-IP ASM运行于F5独特、专用的TMOS®架构上。TMOS是一个智能的、模块化、高性能平台，可增强BIG-IP ASM的每项功能。TMOS提供了洞察力、灵活性和控制力，旨在帮您智能地保护您的Web应用。

TMOS提供了:
• SSL卸载
• 缓存
• 压缩
• 即时处理任何应用内容的能力(无论是入站还是出站流量)
• TCP/IP优化
• 先进的速率整形和服务质量
• IPv6网关™
• IP/端口过滤
• 通过内置交换机支持VLAN
• 资源配置
• 路由域(虚拟化)
• 远程认证
• 安全
• 显示定制的合法通知和安全登录横幅
• 执行管理会话超时
• 安全地登出BIG-IP系统
• 遵循增强的审计和日志记录要求
• 全面隔离和保护SSL证书不被读取或修改
BIG-IP-ASM防护多种应用攻击，包括:
• 第7层DoS和DDoS
• 暴力攻击
• 跨站脚本(XSS)
• SQL注入
• 参数篡改
• 敏感数据泄露
• 会话劫持
• 缓存溢流
• Cookie篡改
• 多种编码攻击
• 断开的接入控制
• 强制浏览
• 隐藏字段操作
• 请求走私
• XML炸弹/DoS
额外的网络和应用安全服务包括:
• PCI遵从报告
• 易读取的策略(远程审计)
• Attack Expert系统
• 攻击明细
• 分级
• 报告
• Web Scraping预防
• IP处罚执行
• iRules与Fast Cache集成
• 报告调度
• SSL加速器
• 带状态的3-4层防火墙
• 透明和非透明的反向代理
• 密钥管理和故障切换处理
• SSL终止和重新加密到Web服务器
• VLAN分段
• DoS保护
• 客户端证书支持
• 通过LDAP/RADIUS进行客户机验证
• 专用管理端口
• URI监控
• 采用Splunk提供集中的高级报告
• 采用Secerno的DataWall保证数据库安全
预置的应用安全策略包括:
• Lotus Domino 6.5
• OWA Exchange 2003
• OWA Exchange 2007
• Oracle 10g Portal
• Oracle Application 11i
• PeopleSoft Portal 9
• 快速部署安全策略
• SAP NetWeaver 7
• SharePoint 2003
• SharePoint 2007
2. IPS与WEB应用防护设备的区别
   IPS（入侵防护系统）和WAF（Web应用防护系统）两款产品有不同的使用场景，随着Web应用发展带来的复杂度，对安全性要求也日趋增高，Waf的出现是顺应了市场和技术的需要
　　Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。但对于重要的Web应用（比如运营商或金融），始终有受利益驱动的黑客进行持续的跟踪。
　　如果说传统的“大而全”安全防护产品能抵御大多数由工具产生的攻击行为，那么对于有针对性的攻击行为则力不从心。而WAF正是应需求而生的一款高端专业安全产品，这也是市场需求细化的必然趋势。但由于其部署和功能方面与IPS有类似，有人提出疑问，为什么不能用IPS，或者说WAF与IPS有什么异同？谁更适合保护Web服务器？
　　这些疑问其实是有道理的，差异化的产生在于高端需求是不同的，从而需要细化功能贴合具体需求和符合应用现状的产品，这也是用户需求是随着业务自身的发展所决定的。
　　保镖和保安
　　为了更好的理解两款产品差异性，我们先用这个保镖（WAF）和保安（IPS）比喻来描述。
　　大楼保安需要对所有进出大楼人员进行检查，一旦发现可疑人员则禁止他入内，但如果混进“貌似忠良”的坏人去撬保险柜等破坏行为，大楼保安是无能为力的。
　　私人保镖则是指高级别、更“贴身”的保护。他通常只保护特定的人员，所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等，因为被保护人的工作是需要去面对不同的人，去不同的场合，保镖的职责不能因为危险就阻止、改变他的行为，只能去预见可能的风险，然后量身定做合适的保护方案。
　　这两种角色的区别在于保安保护的是整个大楼，他不需要也无法知道谁是最需要保护的人，保镖则是明确了被保护对象名单，需要深刻理解被保护人的个性特点。
　　通过上面的比喻，大家应该明白两者的之所以会感觉相似是因为职责都是去保护，但差异在于职能定位的不同。从技术原理上则会根据定位来实现。下面通过几个层面来分析WAF和IPS的异同。
　　事件的时间轴
　　对于安全事件的发生，有三个时间点：事前、事中、事后。传统的IPS通常只对事中有效，也就是检查和防护攻击事件，其他两个时间点是WAF独有的。
　　事前是指能在事件发生之前通过主动扫描检测Web服务器来发现漏洞，通过修复Web服务器漏洞或在前端的防护设备上添加防护规则等积极主动手段来预防事件发生。事后则是指即使Web服务器被攻击了，也必须有网页防篡改功能，让攻击者不能破坏网站数据。
　　为什么不能具备事中的100%防护能力？其实从以下几个方面就知道对于事中只能做到相对最佳防护而不能绝对，因为：
　　1. 软件先天是有缺陷的，包括应用到第三方的组件和函数库无法控制其安全性；
　　2. 应用程序在更新，业务是持续发展的、动态的，如果不持续监控和调整安全策略，也是会有疏漏的；
　　3. 攻击者永远在暗处，可以对业务系统跟踪研究，查找漏洞和防护缺陷，用各种变形繁杂的手法来探测，并用于攻击；
　　4. 任何防护设备都难以100%做到没有任何缺陷，无论是各种算法还是规则，都是把攻击影响降低到最小化。
　　所以需要用一个可闭环又可循环的方式去降低潜在的威胁，对于事中疏漏的攻击，可用事前的预发现和事后的弥补，形成环环相扣的动态安全防护。事前是用扫描方式主动检查网站并把结果形成新的防护规则增加到事中的防护策略中，而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此，不能进一步修改和损坏网站文件，对于要信誉高和完整性的用户来说，这是尤为重要的环节。　　
　　如果仅仅是对于事件的时间轴有区别，那么还是可以采用其他产品来进行辅助，但关键的是事中的防护也是有深度的差异，那么下面我们来谈谈对于事中的差异。
　　纵深度差异
　　事中，也就是实时防护，两者的区别在于一个是纵横度，一个是深度。IPS凸显的优势在于纵横度，也就是对于网络中的所有流量进行监管，它面对的是海量数据，处理TCP/IP模型中网络流量从物理层到应用层是逐层递交，IPS主要定位在分析传输层和网络层的数据，而再往上则是复杂的各种应用层协议报文，WAF则仅提供对Web应用流量全部层面的监管。
　　监管层面不同，如果面对同样的攻击，比如SQL注入，它们都是可以防护的，但防护的原理有区别，IPS基本是依靠静态的签名进行识别，也就是攻击特征，这只是一种被动安全模型。如下是一个Snort的告警规则：
　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS （msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/（%27）|（‘）|（--）|（%23）|（#）/i”; classtype:Web-application-attack; sid:9099; rev:5;
　　这里主要是检查在SQL注入中提交的元字符，包括单引号（ ' ）和双横（ -- ），从而避免注入'1 or 1=1—之类的攻击发生，但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查，于是又在规则里增加了其对应的十六进制编码后的字符串。
　　当然，要从签名特征来识别攻击要考虑的东西还很多，不仅元字符还有SQL关键字，包括：select insert update等，以及这些关键字的大小写变形和拼接，利用注释逃脱过滤，如下所示例：
　　使用大小写混杂的字符：SeLecTfRom“
　　把空格符替换为TAB符或回车符：select[TAB]from
　　关键词之间使用多个空格：select from
　　字符串的数值编码：0x414141414141 或 0x41004100410041004100
　　插入被数据库忽略的注释串：sel/**/ectfr/**/om select/**/ from
　　使用数据库支持的一些字符串转换功能：char（65）或chr（65）
　　使用数据支持的字符串拼接操作：'sel'+'ect '+'fr'+'om’”、“‘sel'||'ect '||'fr'||'om'
　　可以设想一下，如果要检测以上的变形字符后的攻击则需要增加相应的签名特征，但更重要的是要充分考虑转换编码的种类，上面示例的snort的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查，如果对于变形后繁多的攻击种类，这是滞后的并且会造成签名臃肿。
　　对于比较粗浅的攻击方式两者都能防护，但市面上大多数IPS是无法对报文编码做多重转换的，所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。
　　而这恰恰又是WAF的优势，能对不同的编码方式做强制多重转换还原成攻击明文，把变形后的字符组合后在分析。那为什么IPS不能做到这个程度？同样还有对于HTTPS的加密和解密
　　产品架构
　　大家知道IPS和WAF通常是串联部署在Web服务器前端,这两者串联部署在Web服务器前端时，市面上的大多数IPS均采用桥模式，而WAF是采用反向代理模式，IPS需要处理网络中所有的流量，而WAF仅处理与Web应用相关的协议，其他的给予转发，如下图：
　　桥模式和反向代理模式的差异在于：桥模式是基于网络层的包转发，基本都没有协议栈，或只能简单的模拟部分协议栈，分析网络报文流量是基于单包的方式，所以要处理分片报文、数据流重组、乱序报文、报文重传、丢包都不具备优势。同时网络流量中包括的协议种类是非常多的，每种应用层协议都有自身独特的协议特征和格式要求，比如Ftp、SSH、Telnet、SMTP等，无法把各种应用流量放到应用层协议栈来处理。
　　WAF系统内嵌的协议栈是经过修改和优化的，能完全支持Http应用协议的处理，这意味着必须遵循RFC标准（Internet Requests For Comments）来处理Http报文，包括如下主要RFC：
　　l RFC 2616 HTTP协议语法的定义
　　l RFC 2396 URL语法的定义
　　l RFC 2109 Cookie是怎样工作的
　　l RFC 1867 HTTP如何POST，以及POST的格式
　　RFC中对Http的request行长度、URL长度、协议名称长度、头部值长度等都是有严格要求的，以及传输顺序和应用格式，比如Html参数的要求、Cookie的版本和格式、文件上传的编码 multipart/form-data encoding等，这些应用层内容只能在具有完整应用层协议栈的前提下才可正确识别和控制，对于不完整的丢包，重传包以及伪造的畸形包都会通过协议校验机制来处理。
　　上一节提到的WAF对Https的加解密和多重编码方式的解码正是由于报文必须经过应用层协议栈处理。反之，IPS为什么做不到？是由于其自身的桥模式架构，把Http会话”打碎“成多个数据包在网络层分析，而不能完整地从应用层角度来处理和组合多个报文，并且应用层协议繁多，全部去支持也是不现实的，产品的定位并不需要这样。下一节的学习模式更是两者的截然不同的防护机制，而这一机制也是有赖于WAF的产品架构。
　　基于学习的主动模式
　　在前面谈到IPS的安全模型是应用了静态签名的被动模式，那么反之就是主动模式。WAF的防御模型是两者都支持的，所谓主动模式在于WAF是一个有效验证输入的设备，所有数据流都被校验后再转发给服务器，能增加应用层逻辑组合的规则，更重要的是具备对Web应用程序的主动学习功能。
　　学习功能包括：
　　1. 监控和学习进出的Web流量，学习链接参数类型和长度、form参数类型和长度等；
　　2. 爬虫功能，爬虫主动去分析整个Web站点，并建立正常状态模型；
　　3. 扫描功能，主动去扫描并根据结果生成防护规则。
　　基于学习的主动模式目的是为了建立一个安全防护模型，一旦行为有差异则可以发现，比如隐藏的表单、限制型的Listbox值是否被篡改、输入的参数类型不合法等，这样在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。