关于我们

    上海亿和生物科技有限公司,从事生物技术领域内的技术开发、技术服务、技术咨询、技术转让,电子商务(不得从事增值电信、金融业务),仪器仪表、机械设备及配件、一类医疗器械、二类医疗器械、橡塑制品、化工产品(除危险化学品、监控化学品、烟花爆竹、民用爆炸物品、易制毒化学品)、办公用品、电子产品、宠物用品的销售,机械设备、机电设备安装及维修(除特种设备),从事货物进出口及技术进出口业务,文化艺术交流策划。

联系我们

咨询电话:

86-021-59907026

Universal product通用产品

web应用防火墙

HTTP协议解析/封装模块:当Web服务器接收到客户端发送的HTTP请求时,调用本模块对该请求进行HTTP协议解析,获取符合HTTP协议的单独项,如请求方法、被请求的URL、使用的HTTP版本、各HTTP头域(如内容类型、客户端、访问来路等)及内容、Cookie等,供规则应用模块判断;当Web服务器返回客户端的请求结果,即发回HTTP响应时,依据事件处理模块的结果,对HTTP响应包中的特定内容(如服务器信息等)重新封装,之后再返回给客户端。

检测模块:该模块是应用防火墙的核心。HTTP请求经过HTTP协议解析/封装模块的解析后,将符合HTTP协议的单独项传入本模块,检测模块依据防火墙配置模块中的相应设置,对各单独项实施处理,以确定该请求是否符合应用防火墙的安全要求。对于符合安全要求的HTTP请求,该模块不做进一步处理,对不符合安全要求的HTTP请求,交由事件处理模块作进一步处理。

事件处理模块:依据检测模块的结果对HTTP请求实施处理,有时也在检测模块的控制下,直接调用防火墙配置模块的内容,作用于HTTP协议解析/封装模块。例如,当检测到具有攻击性质的HTTP请求时,本模块将依据检测模块的内部参数设置,断开客户端的连接,或者是将警告页面返回给客户端。防火墙配置模块:本模块存储防火墙的配置,供检测模块、事件处理模块、日志记录模块调用,同时也是用户设置应用防火墙的接口。应用防火墙的所有安全策略均通过本模块进行配置,在应用防火墙的运行过程中,用户可以随时修改相关设置,新的配置将在重新启动Web服务器时生效。

日志记录模块:记录应用防火墙的运行日志;有时也在检测模块的控制下,依据防火墙配置模块中的相应设置,记录HTTP协议的部分头域信息,如果客户端或者Web服务器发生错误,也可被记入应用防火墙的日志。应用防火墙的运行日志包括攻击时间日期、运行信息、事由、客户端IP地址、用户名、主机头信息和连接请求的附加信息。

能防御如下web攻击:

(1)注入

注入往往是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入,OS Shell,LDAP,Xpath等等,而其中SQL注入尤为常见。这种攻击所造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入,攻击者甚至能够获得更多的包括管理员的权限。

HDS通过规则设置,对web请求中特殊字符进行过滤,能够有效阻断恶意用户对web应用注入漏洞的检测,即使web应用本身存在注入漏洞,恶意用户也无法通过各种方法探测到注入漏洞的存在。另外,通过对SQL命令特别是数据库存储过程的过滤控制,能够阻止通过SQL查询获取数据库信息,远程过程调用。对于一些采用各种各样方法对SQL查询命令进行编码来逃避过滤检查的情况,由于web防火墙基于ISAPI实现,也能够准确发现并阻断这些攻击。极大提高了产品防注入特别是SQL注入的能力。

(2)跨站

“跨站脚本攻击”。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页面时,嵌入Web页面里面的html代码会被执行,从而达到攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。XSS漏洞可能造成的后果包括窃取用户会话,窃取敏感信息,重写Web页面,重定向用户到钓鱼网站等,尤为严重的是,XSS漏洞可能使得攻击者能够安装XSS代理,从而攻击者能够观察到该网站上所有用户的行为,并能操控用户访问其他的恶意网站。

HDS通过以下手段防止跨站脚本攻击:验证用户输入是否存在恶意代码;过滤用户输入中的 Meta 字符;将所有非字母和数字字符转变成 HTML 字符等。

(3)http会话劫持

http会话劫持,指的是在一次正常的http会话过程当中,攻击者作为第三方参与到其中,或者在正常数据包中插入恶意数据,或者在双方的会话当中进行简听,甚至是代替某一方主机接管会话。可以把会话劫持攻击分为两种形式:1)被动劫持,2)主动劫持;被动劫持实际上就是在后台监视双方会话的数据流,丛中获得敏感数据;而主动劫持则是将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,这种攻击方法危害非常大,攻击者可以做很多事情。

分析发现,进行会话劫持的第三方无非采用了嗅探或网络欺骗技术,HDS从这两个角度出发,采用加密机制通信防止http会话被劫持。

(4)cookie投毒

HDS通过对HTTP协议中的“Cookie”头域进行限制:禁止在“cookie”头域中包含SQL注入代码、禁止在“cookie”头域中植入代码、禁止在“cookie”头域中包含"../"、"..\"、禁止在“cookie”头域中包含ASCII大于127的字符、禁止“cookie”头域中包含列表中的字符(串) 等等,彻底阻止cookie投毒。

(5)网络爬虫

对Web应用特别是网站的攻击,恶意用户往往都是从使用网络爬虫开始的。通过使用网络爬虫,恶意攻击者能够掌握网站的结构,得到整个网站的文件列表,以便进一步分析,找出网站所有的漏洞。通过对这些网络爬虫的禁用,能够有效的防止web应用相关信息的泄露,防止攻击者对网站进行目录和文件遍历。

(6)暴力攻击

HDS能够对用户登录过程进行扫描,通过帐号判断,及时发现并阻断暴力破解,同时,还可进行弱口令扫描。

(7)DDos拒绝服务

HDS具备对单一IP或者IP范围的流量监控功能,能够对某一地址范围的流量进行控制,阻止针对http流量的拒绝服务攻击。

(8)缓冲区溢出

HDS通过以下两种方法防止缓冲区溢出攻击:非执行的缓冲区、数组边界检查和程序指针完整性检查。所谓非执行的缓冲区是指通过操作系统控制,使得缓冲区不可执行,从而攻击者不可能执行植入到被攻击程序输入缓冲区的代码。而数组边界检查通过利用编译器进行数组边界检查的方法,使得缓冲区溢出不可能出现,从而完全消除缓冲区溢出的威胁,实现缓冲区的保护。

(9)错误信息泄露

HDS能够实时记录下web应用服务器返回的错误消息,可以控制错误信息的返回形式和内容,以统一的格式和变换后的错误信息内容反馈给客户端,防止错误信息直接反馈给恶意用户,以便造成更大的损失。

(10)上传与挂马

HDS内置了文件访问控制功能,对客户端所访问的文件列表或者文件类型进行了限制,阻止恶意攻击者利用web服务器的上传漏洞上传网马和可执行脚本文件。