WAF应用防火墙

WAF学习笔记：

       技术攻击：

(OWASP Top-10)

• SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

什么时候可能发生SQL Injection：假设我们在浏览器中输入URL www.sample.com，由于它只是对页面的简单请求无需对数据库动进行动态请求，所以它不存在SQL Injection，当我们输入www.sample.com?testid=23时，我们在URL中传递变量testid，并且提供值为23，由于它是对数据库进行动态查询的请求（其中?testid＝23表示数据库查询变量），所以我们可以该URL中嵌入恶意SQL语句。

如何防止SQL Injection：

总的来说有以下几点：

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。

通过正则表达校验用户输入

参考：正则表达式https://www.runoob.com/regexp/regexp-syntax.html

元字符  https://www.runoob.com/regexp/regexp-metachar.html

运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

匹配规则  https://www.runoob.com/regexp/regexp-rule.html

示例  https://www.runoob.com/regexp/regexp-example.html

在线测试  https://c.runoob.com/front-end/854

正则表达式(regular expression)描述了一种字符串匹配的模式（pattern），可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含：对单引号和双"-"进行转换等字符。

然后继续校验输入数据中是否包含SQL语句的保留字，如：WHERE，EXEC，DROP等。

 

• Broken Authen./Session Management

参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

Broken Authentication：在应用程序中，如果验证和会话（Session）管理的功能没有正确实现时，导致攻击者可以窃取用户密码，会话令牌或利用其他漏洞来伪装成其他用户身份。

应该牢记在心充足的数据加密可以确保用户身份验证数据安全性，实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程：

1．通过存储持久数据层的加密（关于数据加密请参看这里和这里）。

2．正确使用 SSL。

Cookie一个不太常被使用的属性是Secure. 这个属性启用时，浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务，比如登录或者付款，需要使用HTTPS来保证内容的传输安全；而在用户成功获得授权之后，获得的客户端身份Cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面中拿到，从而造成重要的身份泄露。所以，在我们的Web站点中，如果使用了SSL，那么我们需要仔细检查在SSL的请求中返回的Cookie值，是否指定了Secure属性。

本文介绍了验证破坏和会话劫持攻击，通过具体的例子介绍了会话（Session）在浏览器中的工作原理，通过Cookie来保持身份认证的服务端状态，这种保持可能是基于会话（Session）的，也可以是通过在Url中嵌入SessinId持久化。

接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

最后，介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

 

• Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考：av32599703

涉及：攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本，脚本执行后窃取用户信息 比如cookie，再发送到攻击者的网站，这就是跨站。

挂马：

防止XSS攻击的方法：

输入处理：

1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字，但不可过滤如富文本编辑器里的内容，可根据需求添加关键字。

输出处理：

对动态输出内容进行编码和转义（根据上下文转义）

转义网站：html entities 即html实体。

将用户的cookie设置为http-only

• Insecure Direct Object Reference   不安全的直接对象引用

 

• Security Misconfiguration  安全配置错误
• Sensitive Data Exposure   敏感数据曝光
• Missing Function Level Access Control  缺少功能级别访问控制
• Cross Site Request Forgery  跨现场请求伪造
• Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

Unvalidated Redirects and Forwards  未经验证的重定向和转发

•  

自动化攻击

(OWASP Top-20)

Account Creation and Aggregation

Credit Carding, Card Cracking

Credential Cracking, Stuffing

DDoS Attacks

Fingerprinting, Footprinting

Site Scraping

Comment Spamming

Skewing, Spamdexing

Token Cracking

Vulnerability Scanning

FW/IDS/IPS/WAF等安全设备部署方式及优缺点

https://blog.csdn.net/chenyulancn/article/details/78927916

IPS（Intrusion Prevention System）即入侵防御系统。IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式，对于模式库中不能识别出来的攻击，默认策略是允许访问的。

Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身。而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

DDoS Protection DDoS 保护

Virtual Patching 虚拟修补

Correlated Attack Validation 相关的攻击验证

Fraud Connectors  欺诈连接器

Account Takeover Protection  账户接管保护

IP Geolocation IP 地理位置

Bot Mitigation Policies 机器人缓解政策

Anti-Scraping Policies 防刮除策略

IP Reputation 知识产权声誉

Dynamic Profiling 动态分析

Cookie Protection cookie 保护

Protocol Validation 协议验证

Attack Signatures 攻击签名

重点：Imperva 的技术创新 – 专利技术

动态建模：Web 模型学习，基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

  Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量，例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术，只需少量甚至无需手动调整即可了解应用程序结构和用途，从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

  Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联，可实现高精密阻止攻击。

Imperva产品特有技术：透明检测专利技术。

ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分，可保护所有 WAF 网关远离各种新兴的应用程序威胁。

  ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全，无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务，ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

  漏洞扫描程序会给组织带来严重威胁，因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备，往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究，恶意扫描程序 IP 源基于 Imperva ThreatRadar 社区防御系统参与者的众包攻击数据制定而成，并通过 Imperva 应用程序防御中心 (ADC) 进行分析。组织可使用此信誉源来阻止认定是在扫描多个网站中漏洞的 IP 地址。

  解决垃圾评论问题对于组织而言是一个非常耗费时间的任务。在垃圾评论张贴后，组织通常需要手动编辑内容以外的垃圾评论，或依靠论坛版主来过滤出个别帖子。本技术概要详细介绍了 Imperva 的应用程序防御中心 (ADC) 对一段时间内垃圾评论发布者行为进行的研究。凭借识别最活跃的攻击者的能力，组织可阻止来自认定是张贴垃圾评论的 IP 地址的流量。基于 Incapsula（Imperva 的基于云的 Web 应用程序防火墙服务）生成的匿名攻击数据，Imperva 制定了垃圾评论 IP 源。

Imperva 统一用户跟踪技术运用了两种主要的用户识别方法，可准确识别最终用户，无论用户以何种方式访问数据库。 应用程序用户跟踪可对那些通过应用程序直接连接到数据库的用户进行跟踪。 相反，直接用户跟踪，顾名思义会对通过标准 SQL 客户端直接连接到数据库的用户进行跟踪。

关联攻击验证：智能的误判机制。Imperva 的相关攻击验证可分析多个数据点（例如协议漏洞、攻击特征、数据泄露特征、用户信誉及与过往行为的差异之处等），为客户提供准确保护，防止发生恶意活动。 本技术概要阐述了相关验证攻击如何对抗高级多向攻击、持续且讲究方法的侦测活动以及自动化攻击。

特点：多层次平行检查、

Protocol validation ———http协议合规：比如“心脏流血”通过443发送的是异常的数据包。

Attack signatures：签名机制

Application profile：应用程序配置文件，白名单，识别可疑事件、行为

Data leak prevention：检查返回内容是否有敏感内容，银行

ThreatRadar：威胁雷达，阻止恶意用户。

安全球体采用深度防御方法来保护 Web 应用程序。第一层过滤利用 HTTP 协议本身的 HTTP 协议冲突和攻击。例如, 尝试使用 HTTP 请求的异常大的标头进行缓冲区溢出。 下一层是签名层, 用于标识已知的应用程序、平台和网络攻击。安全球体有一个包含6500签名的数据库, 由应用防御中心的专家每周更新一次。 下一层是 "应用程序配置文件" 或 "白" 列表。这就是 SecureSphere 将应用程序的实际使用情况与模型中的预期使用情况进行比较的地方, 以识别可疑事件或可疑用户行为。稍后我们将讨论 Imperva 动态分析或自动学习和适应应用程序更改的能力。 下一层是数据泄漏防护层, 这将在需要时检测敏感数据 (如信用卡数据或个人身份信息)。当敏感数据退出应用程序时, Secursphere 能够看到, 管理员可以确保该数据的合法使用。 最后一层是 ThreatRadar, 即安全球体基于信誉的安全性。ThreatRadar 评估用户和网站的声誉, 以便对 web 请求做出更准确、更明智的决策。

为了保护应用程序不受复杂 web 应用程序的影响, 它需要对应用程序有很大的了解。这意味着了解每个元素: Url、目录、参数、用于调用这些不同 Url 的方法, 甚至是通常用于会话跟踪的 cookie。而这只是个开始。 有了使用动态内容和 JavaScript 的 Web 服务应用程序和 Web 2.0 应用程序, 它实际上变得更加复杂, 除此之外, 您还必须了解与所有这些元素相关的预期用户行为。其结果是, 为了准确保护应用程序, 您需要一个能够随着时间的推移自动生成和更新该应用程序的模型的解决方案。

此图显示配置文件随时间的变化情况。此图显示了为实际的 Secursphere 零售客户分析的网页数, 图表显示了随着时间的推移而发生的配置文件更改, 因为 Secursphere 首先了解了应用程序, 然后自动适应随时间变化的变化。在初始阶段, 您会看到很多变化--这是 Securhere 首次学习应用程序的时候, 但在接近月底时, 您会看到更改的数量显著减少, 但尚未变为零。这是因为几乎每一个应用程序, 我们看到的变化几乎每天。我们可以在稳定状态下每周看到5到15次更改, 并且使用无法自动执行安全模型的解决方案, 管理员通常会花费1到2个小时每次更改, 以便了解更改发生了什么, 了解更改是什么, 找出这是否对安全模型有任何影响, 然后实现。 因此, 当我们说每周5到15次更改时, 这通常相当于无法自动化的解决方案的5-30小时配置。此图表示安全球体自行学习这些更改, 真正减少了维护解决方案所需的时间。 请注意, Securehere 可以自动学习更改, 而无需任何手动干预 (例如, 需要手动接受新页面, 需要额外的规则或正则表达式来考虑使用偏差)。这意味着安全球体将在不阻塞合法通信的情况下保护应用程序。

Eg：应用防火墙识别的是内网AD上的用户，WAF识别的是所有使用的用户。原理大概是学习用户登录页面，参数代表，成功/失败登录，引进用户概念。

准确性的另一个关键组成部分与阻塞有关, 并且能够在特定的用户级别进行阻止。除了学习应用程序结构, SecureSphere 还可以学习登录 Url、用户如何登录, 以及如何了解这是成功还是失败的登录。然后, Securehere 可以在该用户的会话中跟踪该用户的时间。在需要执行操作的情况下, 安全球体可以对用户执行操作, 而不仅仅是对 IP 地址执行操作。对于观众中的那些技术, 你会明白为什么这很重要。IP 地址很容易被欺骗, 攻击者可以从一个 IP 地址跳转到另一个 ip 地址, 然后合法用户通常隐藏在单个 IP 地址后面, 因为他们可能通过代理访问 Internet。因此, 如果 Web 应用程序防火墙仅基于 IP 地址阻止, 很可能会给合法用户带来很多头疼的问题, 而不是对攻击者真正的威慑。因此, 精确的阻止--在应用程序用户级别进行阻止的能力--是 Web 应用程序防火墙所需精度的一个关键组成部分。这就是安全球体所提供的。

eg：profile预判sql类型，输出不符合预判则报错。

让我们举一个需要相关攻击验证的示例。因此, 在此请求中, 第一层 (协议验证层) 看到请求使用 Unicode 进行编码, 这种情况并不常见, 但不一定是攻击。应用程序配置文件层在应用程序中看到一些可疑的行为, 可能表单字段输入比预期的要长, 并且窗体字段输入的类型也不完全是预期的类型。这可能表示攻击, 但同时也可能表示用户的错误, 甚至可能是应用程序中的更改。攻击签名层还标识 JavaScript 的可疑签名。同样, 这可能是一种攻击, 但也可能只是一个角落的情况下, 或者是一个新的用法或应用程序的合法用法。但是, 当这三种情况都发生在同一请求中时, Securhere 能够关联该信息, 然后准确地识别跨站点脚本攻击。这就是安全球体如何能够在很少或零误报的情况下实现行业内最高的准确率。

安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

本幻灯片显示了 ADC 如何进行研究。它从各种来源调查世界各地报告的新威胁, 并进行自己的独立研究。当 ADC 提出新的防御措施时, 它将信息广播到安全球体部署, 新的防御可以自动安装在安全球体部署中。

安全领域提供了统一的管理基础结构, 提供了集中管理的功能。管理员可以从单个控制台管理所有安全球体设备, 并在该控制台上获得集成的警报和报告。它还提供了新的安全球体设备的部署, 因为这些设备是从 MX 管理服务器自动配置的。 所需要的只是将它们安装在网络中, 将它们指向 MX 管理服务器, 然后它们将从 MX 下载它们的配置。 SecureSphere 还提供了更高级的证书身份验证, 因此您可以将其集成到用户设置系统的其余部分。 最后, 所有这些都是通过一个简单的 Web 浏览器界面来实现的, 该界面通过安全通道连接到 MX 管理服务器。

实时仪表板提供了对系统状态以及实时发生的安全警报的一目了然的检查。正如您在这里看到的, 您可以看到系统 CPU 上的负载、它所看到的每秒的连接、按严重程度查看警报的饼图, 以及显示的各个警报以及随着时间的推移而发生的系统事件。

安全球体提供了安全事件的完整可见性。这是安全球体界面中安全警报的屏幕截图。您可以看到, 如果用户的用户名来自用户跟踪功能、来自 Web 服务器的响应代码 (如果可用)、完整的 HTTP 请求。安全球体突出显示触发此警报的请求的相关部分。在警报中, 只需单击一下, 即可轻松查看安全策略、了解有关攻击类型的详细信息并创建安全规则例外。

总之, Securehere 是业界领先的 Web 应用程序防火墙。它提供了多层防御的精确保护, 并为相关攻击验证提供了独特的技术, 使其成为市场上最准确的解决方案。 通过灵活的部署选项, 安全球体可以透明地部署到几乎任何环境中。使用 SecureSphere, 管理员和网络操作人员不必担心更改应用程序, 也不必担心更改网络。 最后, 通过动态分析和自动安全更新以及信誉数据馈送, SecureSphere 提供了简单、自动化的管理, 即使应用程序会随着时间的推移而变化。 这就是为什么安全球体 Web 应用程序防火墙是市场上领先的 Web 应用程序防火墙的原因。

Eg：反向代理相比透明桥 设备性能会下降30%~40%

旁路监听：相比前二者100%的阻断，阻断原理不同（利用tcp reset，效果不佳，可以用于测试，不建议用于真实环境）

安全球体支持业界最广泛的部署选项。最常见的选项是透明内联桥接。这在网络堆栈的第2层运行, 类似于网络交换机。它支持完全执行、非常高性能和非常低的延迟。通常情况下, 将在不更改网络环境的情况下安装内联桥。SecureSphere 还包括故障打开接口, 因此, 如果设备因其他原因断电或出现故障, 它实际上只会失败打开 (卡将自动桥接连接), 并且流量仍将流动。当然, 如果您想对应用程序采取这种安全姿态, 您可以选择关闭失败。 SecureSphere 还支持透明和反向代理模式, 这些模式为内容修改功能 (如 URL 重写、cookie 签名甚至 SSL 终止) 提供了高性能引擎。 最后, SecureSphere 支持非内联部署。这主要用于仅监视部署和部署, 在这些部署中, 客户希望确保在将 SecureSphere 安全模型内联以主动保护其应用程序之前, 准确了解其工作原理。

透明桥，二层桥只转发不修改，速度快，对业务无影响。

透明代理不传port tunnel、 ip sec等。优点如上图。

透明检测技术：waf部署多为透明桥。在透明引擎里有一个内存存放类似影子（shadow）的堆栈，堆栈确保数据传输方式一致。传输单位是Frame，影子引擎堆栈会拷贝继续传输大部分只留一小部分，若无问题则传输剩下的一小部分，相比未传输的只延后一两个数据包。若有问题则会有重置的tcp包。

IMPERVA WAF应用场景

Imperva 安全球体 Web 应用程序防火墙解决了困扰组织内多个不同组的安全问题。了解不同的用例以发现可能影响组织其他部分的问题非常重要。此处未显示但通常受所有这些用例影响的组是 IT 安全团队。 使用案例包括: Web 应用程序保护, 这主要意味着停止 Web 应用程序攻击, 如 SQL 注入、跨站点脚本和远程文件包含 应用程序虚拟修补 应用程序分布式拒绝服务或 DDoS 保护 网站刮擦预防, 例如竞争对手窃取您网站上的数据并在自己的网站上重新发布 防止欺诈, 以阻止基于恶意软件的欺诈和浏览器中的人攻击 旧式应用程序安全性, 以保护旧的旧的旧应用程序的漏洞。 托管应用程序保护, 以保护外部或云中托管的 Web 应用程序的安全。 现在, 我们将查看这些用例, 并展示安全球体如何帮助组织应对这些重大挑战。

我们要研究的第一个用例是 Web 应用程序保护, 由于它是一个重要的用例, 我们将检查不同的 Web应用程序威胁以及 Secursphere 是如何缓解这些威胁的。 第一个是一家跨国公司, 遭到黑客组织 "匿名" 的袭击。因佩瓦目睹了在25天内发生的袭击事件。它首先是通过尼科托和阿库奈蒂等扫描仪招募活动和应用探索。这些扫描试图发现 Web 漏洞。 在第二阶段, 匿名者转向攻击工具, 如 Havij SQL 注入工具, 试图破解网站。他们还利用匿名代理等匿名服务来掩盖自己的身份。在这两个阶段, Imperva 阻止了所有攻击。 当技术攻击失败后, 匿名者转向 DDoS 攻击, 试图关闭网站。他们使用 LOIC 或低轨道离子加农炮和新的移动版本的攻击工具来中断应用程序访问。流量激增, 但安全球体能够缓解这种基于 web 的 DDoS 攻击。

安全球体 Web 应用程序防火墙提供了阻止匿名和其他黑客团体、网络犯罪分子和国家支持的黑客等威胁所需的防御。 首先, SecureSphere 提供了多层防御, 以阻止利用应用程序漏洞 (如 SQL 注入和跨站点脚本) 的技术攻击。安全球体提供动态分析, 以学习受保护的应用程序并识别异常活动。攻击签名可阻止已知的攻击。HTTP 协议验证可防止重复编码和冗余标头等逃避技术。SecureSphere监视 cookie 和会话, 并可以对 cookie 进行签名或加密, 以阻止 cookie 中毒和会话劫持攻击。而 IP 信誉意识识别已知的恶意用户。SecureSphere 提供了更多的防御功能, 如 Web 蠕虫保护和数据泄漏保护, 但这些都是阻止技术攻击的最重要的。

此外, SecureSphere 停止业务逻辑攻击, 如网站擦除、评论垃圾邮件、参数篡改和应用程序 DDoS。它使用基于信誉的安全和预定义的安全策略来检测过多的请求和机器人。此外, SecureSphere 还提供了地理位置来检测和阻止来自不受欢迎国家的来源。 

 最后, SecureSphere 通过其恶意软件欺诈检测功能防止欺诈。我们还提供了预定义和自定义的策略, 可以将这些防御结合起来, 以进行极其准确的攻击检测。

在攻击的第一阶段, 匿名者扫描了站点的漏洞。基于因珀瓦应用防御中心或 ADC 的最新安全签名和策略, SecureSphere 能够检测并停止探测器。ADC 不断调查世界各地报告的新威胁, 并开展初步研究, 以发现未报告的脆弱性。然后, 它将新的攻击签名和 ADC 策略分发到安全球体 web 应用程序防火墙设备。通过检测已知的 Web 攻击和已知的扫描仪代理, Securehere 能够减轻攻击。

在第二阶段, 匿名转向 SQL 注入、跨站点脚本和远程文件包含等攻击。对于 SQL 注入等高级攻击, Securehere 首先应用签名来检测已知的攻击。明确的攻击被阻止。具有配置文件、HTTP 协议或其他签名冲突的其他请求将发送到 SQL 注入引擎, 该引擎使用 regex 代码检查配置文件冲突、SQL 攻击关键字和处理可疑字符串以识别攻击。 大多数 WAFs 只是依靠签名或特征违规来阻止攻击。他们不检查违规行为, 如个人资料违规, 以及攻击签名来评分请求。这意味着其他 Waf 更有可能产生误报, 并且无法检测到更复杂的 SQL 注入攻击。Imperva 提供了最佳、最准确的攻击检测功能, 可用于准确阻止 Web 攻击。

在攻击的第三阶段, 匿名者依靠志愿者来攻击网站。他们使用 LOIC 或低轨道离子加农炮和移动版本的工具来攻击目标网站。安全球体可以通过其默认的 DDoS 攻击模板或通过自定义 DDoS 策略检测攻击, 这些策略可识别一段时间内请求数量过多、url 格式错误和未知的 HTTP 方法。

如果将 Web 应用程序防火墙与入侵防御系统和下一代防火墙进行比较, 则差异是显而易见的。 虽然这些产品可能包含少量攻击签名, 但它们在阻止 Web 应用程序攻击方面并不有效。它们没有复杂的安全引擎来分析 Web 应用程序配置文件冲突、关键字和协议冲突情况, 以便正确识别 Web 攻击。其次, 他们无法阻止机器人等威胁, 也无法保护 cookie 或会话。他们通常不提供任何类型的基于声誉的保护, 如果他们提供了, 它的重点是电子邮件垃圾邮件发送者, 而不是 Web 威胁。 此外, IPS 无法阻止站点擦除和应用程序 DDoS 等业务逻辑攻击, 也无法阻止 Web 欺诈。此外, 许多 IPS 产品甚至无法解密 SSL 通信。 

 正因为如此, IPS 在试图阻止 Web 应用程序攻击时, 会出现较高的误报和误报率。此外, 黑客很容易通过使用编码或利用自定义应用程序漏洞来逃避他们。希望避免 Web 应用程序攻击的痛苦后果的企业需要部署 Web 应用程序防火墙。

左侧图形旨在显示问题既是应用层, 也是基础结构层。右侧显示, 部分问题必须在外围解决, 而部分问题必须在边界内解决 (在外界外不被注意)。它还表明, 我们放置在较高层的任何解决方案都依赖于在较低层采用其他缓解解决方案。例如, WAF 假定有人正在处理 SYN 洪泛或网络管道耗尽。（SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应 [2]  报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。）

网上购票面临着几个挑战。首先, 和许多在线网站一样, 它也是网络攻击的目标。但它也面临着一个独特的挑战: 机器人不断在网上买票, 窃取票的信息。机器人用不必要的流量封锁了网站。 他们已经从 f 5 购买了 WAF, 但无法跟上公司的业绩和安全要求。因此, 该公司对 SecureSphere 进行了评估, 并对其阻止 SQL 注入等技术攻击的能力非常满意, 也因为它可以阻止自动攻击。 借助 SecureSphere, 在线票务交换能够在不影响 Web 应用程序性能的情况下保护其网站。SecureSphere能阻止占公司网络流量25% 的自动攻击和机器人。

Anti Bot:判断是否是正常网站浏览。

Anti scraping：防刮。

防频率，慢速DDoS防御。

DDOS IP feed?

在线交换依靠 SecureSphere 的机器人缓解技术来检测和阻止来自机器人的访问。

为了了解 ThreatRadar 是如何工作的, 首先威胁雷达在全球范围内跟踪攻击源。基于卓越的第三方资源 (如 Cyvel监视、D和thatradar 服务器) 收集有关已知恶意 IP 地址、匿名代理、Tor （傻瓜）网络和网络钓鱼网站的信息。 然后, ThreatRadar 服务器全天候将此信息分发到安全球体 WAF 设备, 以确保 Waf 具有针对已知攻击源的最新保护。 有了这些信息, 安全球体可以阻止或警报已知的恶意源。威胁雷达检测可以与其他策略 (如浏览器代理和细粒度控制请求的频率) 相结合。

除了阻止已知的恶意来源外, ThreatRadar 信誉服务还允许企业按地理位置监视和阻止访问。

一家金融服务公司面临着几个网站挑战。 首先, 安全团队发现竞争对手在刮和重新公布公司的股票选秀权。其次, 广告垃圾邮件发送者正在向该公司的论坛投放广告。 最后, 当他们试图使用现有的 IPS 解决方案来阻止 Web 攻击时, 他们只是在不阻止攻击的情况下产生了大量噪音。 该公司利用安全球的网站刮擦政策, 阻止了刮擦攻击。而且, 通过使用策略阻止大多数评论垃圾邮件, 他们减少了手动检查论坛所花费的时间。 有了安全球体, 他们还能够以极低的误报率阻止网络攻击。

Google capture（采集 捕获）： 安全环球 WAF 帮助金融服务公司的战斗现场刮起它的: 机器人缓解技术, 可检测自动刮擦网站的机器人和工具。基本上, SecureSphere 向最终用户的客户端发送透明的 JavaScript 质询。如果客户端可以处理 JavaScript 并存储 cookie, 则 Secursphere 将其视为常规 Web 浏览器。如果客户端不能, 则它是脚本或机器人。 反刮擦策略检测到对唯一 Url 的过度请求, 这表明是刮擦攻击。上述两种策略都可以与其他规则结合使用, 以精确的精度阻止刮擦。例如, 用户可以将这些策略限制为已知的、刮擦的 Url。策略还可以查看浏览器代理 ID, 或查看客户端是否来自匿名代理或 Tor 网络来检测和停止刮板。

        财富100美国银行继承了一份国库申请, 作为收购另一家银行的一部分。Web 应用程序扫描发现, 该应用程序有57个漏洞, 需要数百万美元才能修复。 收购银行不允许易受攻击的应用进入自己的数据中心。因此, 他们需要快速修复应用程序或付费以保持旧数据中心的打开状态, 以便承载旧版应用程序。他们计划更换应用程序, 他们不想投入大量资源来手动修复漏洞。 通过安全球体 WAF, 银行能够缓解扫描发现的所有漏洞。银行进行的定期扫描证实, 国库申请仍然是安全的。

        五星们扫描了银行的遗留应用程序, 发现了漏洞。 安全球体 Web 应用程序防火墙提供了一组广泛的默认安全策略, 可在开箱即用的情况下缓解几乎所有漏洞。 用户可以创建自定义签名或策略来阻止其他类型的威胁, 如特定于应用程序的探测器或错误消息。 此处显示的自定义签名标识利用远程文件的尝试, 其中包括漏洞。通过默认策略和多个自定义策略, 银行能够修复旧版应用程序中的所有漏洞。

             SecureSphere 提供了 25+ 匹配条件供客户选择，实现强大的管理功能 Session：WAF定义的是http的session，非防火墙。 安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

黑盒扫描：应用漏洞扫描。 白盒扫描： 支付处理器承受着昂贵而耗时的漏洞修复周期。IT 安全团队使用 Cenzic 扫描公司的应用程序中的漏洞, 但需要由开发团队来修复这些漏洞, 开发人员还有其他优先级, 如添加新的应用程序功能。IT 安全团队知道网络犯罪分子将目标锁定在支付应用程序上, 因此安全是重中之重。 该公司选择了安全球体 WAF 来几乎修补漏洞。安全领域可以导入其扫描仪发现的漏洞, 以立即减轻这些漏洞。它还允许开发人员和安全管理员查看 Web 攻击和应用程序错误。

安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

  安全球体几乎修补已知的漏洞。 如果没有安全球体, 组织必须手动修补漏洞, 这些漏洞可能需要数周或数月的时间。在此期间, 应用程序会被公开进行利用。借助 Secursphere, 组织可以立即修补漏洞, 降低安全风险, 并允许组织在没有紧急修复和测试周期的情况下按计划修补安全问题。

  安全球体以多种方式改进了应用程序开发过程。该软件开发生命周期展示了软件设计、测试和实现的各个阶段。当然, 开发软件还需要更多的步骤, 但我们已经对其进行了简化, 以展示 Imperva 安全球体如何提高可见性并消除紧急修复和测试周期。 首先, 开发人员必须构建和实现代码。然后, QA 必须使用手动和自动测试工具测试代码中的漏洞。通过因佩瓦的扫描仪集成, 安全球体几乎可以修补漏洞。然后, 开发人员可以修复他们的时间表上的漏洞。 然后, 应用程序开发人员必须将他们的新应用程序部署到生产环境中。一旦新应用程序上线, SecureSphere 就可以监视应用程序的滥用、阻止攻击、报告威胁并查找应用程序泄漏和错误。应用程序监视和报告提供了对黑客如何尝试利用应用程序 (从攻击方法到所针对的各个 Url 和参数) 的无与伦比的可见性。使用这些信息, 程序员可以确定其开发过程的优先级。安全球体还跟踪 web 服务器响应代码、错误、敏感数据和代码泄漏等。它可以选择存储 Web 服务器响应。使用此信息, 开发人员可以快速识别和修复应用程序错误。

  那么, 是什么推动了 CASB 市场呢？ [下一页]嗯, 我刚才简单地提到了它, 当我提到我们开始看到更多的云应用在工作场所被用来完成事情。 因此, 它与整个基础架构迁移到云的总体趋势是一致的。 您拥有基础架构即服务 (IaaS) 平台 (如 Amazon Web 服务和 Windows Azure), 这些平台是面向客户的应用程序, 采用速度非常快。 同样, 面向员工的应用 (如 Office 365、Box 和 Salesforce) 也是基于云的企业, 可为客户提供更好的可扩展性和可访问性、更高的成本可预测性和更轻松的更新。 [下一页] 像 Sky界和 Imperva 这样的公司填补了传统安全解决方案留下的安全空白, 这些解决方案无法解决当今的云问题。 再加上员工期望 (甚至可能要求) 使用他们想要高效的云应用, 今天的 IT 正在见证某种范式的转变, 它不能再仅仅说 "不", 切断对云应用的访问。 他们必须找到一种说 "是" 的方法, 使他们支持的员工能够利用他们想要使用的云应用来提高他们的生产力。

主动安全类

  和前面的产品均不同，主动安全产品的特点是协议针对性非常强，比如WAF就是专门负责HTTP协议的安全处理，DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。
  WAF:Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。
  5.1 WAF部署位置
  通常情况下，WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域，也可以与防火墙或IPS等网关设备串联在一起（这种情况较少）。总之，决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
  5.2 WAF部署模式及优缺点
  透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。

  部署模式1 透明代理模式（也称网桥代理模式）
  透明代理模式的工作原理是，当WEB客户端对服务器有连接请求时，TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在；从WAF工作转发原理看和透明网桥转发一样，因而称之为透明代理模式，又称之为透明桥模式。
  这种部署模式对网络的改动最小，可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效。缺点是网络的所有流量（HTTP和非HTTP）都经过WAF对WAF的处理性能有一定要求，采用该工作模式无法实现服务器负载均衡功能。 
  部署模式2 反向代理模式
  反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF，因此在WAF无需像其它模式（如透明和路由代理模式）一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器，所以透明代理工作方式不需要在WAF上配置IP映射关系。
  这种部署模式需要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话（没经过NAT转换）那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
  

部署模式3 路由代理模式
  路由代理模式，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。
  这种部署模式需要对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时，可以直接作为WEB服务器的网关，但是存在单点故障问题，同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

部署模式4 端口镜像模式
  端口镜像模式工作时，WAF只对HTTP流量进行监控和报警，不进行拦截阻断。该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言，流量只进不出。
  这种部署模式不需要对网络进行改动，但是它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断，适合于刚开始部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署提供优化配置参考。这种部署工作模式，对原有网络不会有任何影响。

窗体顶端

Imperva云安全方案

WAF学习笔记：

       技术攻击：

(OWASP Top-10)

• SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

什么时候可能发生SQL Injection：假设我们在浏览器中输入URL www.sample.com，由于它只是对页面的简单请求无需对数据库动进行动态请求，所以它不存在SQL Injection，当我们输入www.sample.com?testid=23时，我们在URL中传递变量testid，并且提供值为23，由于它是对数据库进行动态查询的请求（其中?testid＝23表示数据库查询变量），所以我们可以该URL中嵌入恶意SQL语句。

如何防止SQL Injection：

总的来说有以下几点：

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。

通过正则表达校验用户输入

参考：正则表达式https://www.runoob.com/regexp/regexp-syntax.html

元字符  https://www.runoob.com/regexp/regexp-metachar.html

运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

匹配规则  https://www.runoob.com/regexp/regexp-rule.html

示例  https://www.runoob.com/regexp/regexp-example.html

在线测试  https://c.runoob.com/front-end/854

正则表达式(regular expression)描述了一种字符串匹配的模式（pattern），可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含：对单引号和双"-"进行转换等字符。

然后继续校验输入数据中是否包含SQL语句的保留字，如：WHERE，EXEC，DROP等。

 

• Broken Authen./Session Management

参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

Broken Authentication：在应用程序中，如果验证和会话（Session）管理的功能没有正确实现时，导致攻击者可以窃取用户密码，会话令牌或利用其他漏洞来伪装成其他用户身份。

应该牢记在心充足的数据加密可以确保用户身份验证数据安全性，实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程：

1．通过存储持久数据层的加密（关于数据加密请参看这里和这里）。

2．正确使用 SSL。

Cookie一个不太常被使用的属性是Secure. 这个属性启用时，浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务，比如登录或者付款，需要使用HTTPS来保证内容的传输安全；而在用户成功获得授权之后，获得的客户端身份Cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面中拿到，从而造成重要的身份泄露。所以，在我们的Web站点中，如果使用了SSL，那么我们需要仔细检查在SSL的请求中返回的Cookie值，是否指定了Secure属性。

本文介绍了验证破坏和会话劫持攻击，通过具体的例子介绍了会话（Session）在浏览器中的工作原理，通过Cookie来保持身份认证的服务端状态，这种保持可能是基于会话（Session）的，也可以是通过在Url中嵌入SessinId持久化。

接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

最后，介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

 

• Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考：av32599703

涉及：攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本，脚本执行后窃取用户信息 比如cookie，再发送到攻击者的网站，这就是跨站。

挂马：

防止XSS攻击的方法：

输入处理：

1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字，但不可过滤如富文本编辑器里的内容，可根据需求添加关键字。

输出处理：

对动态输出内容进行编码和转义（根据上下文转义）

转义网站：html entities 即html实体。

将用户的cookie设置为http-only

• Insecure Direct Object Reference   不安全的直接对象引用

 

• Security Misconfiguration  安全配置错误
• Sensitive Data Exposure   敏感数据曝光
• Missing Function Level Access Control  缺少功能级别访问控制
• Cross Site Request Forgery  跨现场请求伪造
• Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

Unvalidated Redirects and Forwards  未经验证的重定向和转发

•  

自动化攻击

(OWASP Top-20)

Account Creation and Aggregation

Credit Carding, Card Cracking

Credential Cracking, Stuffing

DDoS Attacks

Fingerprinting, Footprinting

Site Scraping

Comment Spamming

Skewing, Spamdexing

Token Cracking

Vulnerability Scanning

FW/IDS/IPS/WAF等安全设备部署方式及优缺点

https://blog.csdn.net/chenyulancn/article/details/78927916

IPS（Intrusion Prevention System）即入侵防御系统。IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式，对于模式库中不能识别出来的攻击，默认策略是允许访问的。

Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身。而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

DDoS Protection DDoS 保护

Virtual Patching 虚拟修补

Correlated Attack Validation 相关的攻击验证

Fraud Connectors  欺诈连接器

Account Takeover Protection  账户接管保护

IP Geolocation IP 地理位置

Bot Mitigation Policies 机器人缓解政策

Anti-Scraping Policies 防刮除策略

IP Reputation 知识产权声誉

Dynamic Profiling 动态分析

Cookie Protection cookie 保护

Protocol Validation 协议验证

Attack Signatures 攻击签名

重点：Imperva 的技术创新 – 专利技术

动态建模：Web 模型学习，基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

  Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量，例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术，只需少量甚至无需手动调整即可了解应用程序结构和用途，从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

  Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联，可实现高精密阻止攻击。

Imperva产品特有技术：透明检测专利技术。

ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分，可保护所有 WAF 网关远离各种新兴的应用程序威胁。

  ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全，无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务，ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

  漏洞扫描程序会给组织带来严重威胁，因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备，往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究，恶意扫描程序 IP 源基于 Imperva ThreatRadar 社区防御系统参与者的众包攻击数据制定而成，并通过 Imperva 应用程序防御中心 (ADC) 进行分析。组织可使用此信誉源来阻止认定是在扫描多个网站中漏洞的 IP 地址。

  解决垃圾评论问题对于组织而言是一个非常耗费时间的任务。在垃圾评论张贴后，组织通常需要手动编辑内容以外的垃圾评论，或依靠论坛版主来过滤出个别帖子。本技术概要详细介绍了 Imperva 的应用程序防御中心 (ADC) 对一段时间内垃圾评论发布者行为进行的研究。凭借识别最活跃的攻击者的能力，组织可阻止来自认定是张贴垃圾评论的 IP 地址的流量。基于 Incapsula（Imperva 的基于云的 Web 应用程序防火墙服务）生成的匿名攻击数据，Imperva 制定了垃圾评论 IP 源。

Imperva 统一用户跟踪技术运用了两种主要的用户识别方法，可准确识别最终用户，无论用户以何种方式访问数据库。 应用程序用户跟踪可对那些通过应用程序直接连接到数据库的用户进行跟踪。 相反，直接用户跟踪，顾名思义会对通过标准 SQL 客户端直接连接到数据库的用户进行跟踪。

关联攻击验证：智能的误判机制。Imperva 的相关攻击验证可分析多个数据点（例如协议漏洞、攻击特征、数据泄露特征、用户信誉及与过往行为的差异之处等），为客户提供准确保护，防止发生恶意活动。 本技术概要阐述了相关验证攻击如何对抗高级多向攻击、持续且讲究方法的侦测活动以及自动化攻击。

特点：多层次平行检查、

Protocol validation ———http协议合规：比如“心脏流血”通过443发送的是异常的数据包。

Attack signatures：签名机制

Application profile：应用程序配置文件，白名单，识别可疑事件、行为

Data leak prevention：检查返回内容是否有敏感内容，银行

ThreatRadar：威胁雷达，阻止恶意用户。

安全球体采用深度防御方法来保护 Web 应用程序。第一层过滤利用 HTTP 协议本身的 HTTP 协议冲突和攻击。例如, 尝试使用 HTTP 请求的异常大的标头进行缓冲区溢出。 下一层是签名层, 用于标识已知的应用程序、平台和网络攻击。安全球体有一个包含6500签名的数据库, 由应用防御中心的专家每周更新一次。 下一层是 "应用程序配置文件" 或 "白" 列表。这就是 SecureSphere 将应用程序的实际使用情况与模型中的预期使用情况进行比较的地方, 以识别可疑事件或可疑用户行为。稍后我们将讨论 Imperva 动态分析或自动学习和适应应用程序更改的能力。 下一层是数据泄漏防护层, 这将在需要时检测敏感数据 (如信用卡数据或个人身份信息)。当敏感数据退出应用程序时, Secursphere 能够看到, 管理员可以确保该数据的合法使用。 最后一层是 ThreatRadar, 即安全球体基于信誉的安全性。ThreatRadar 评估用户和网站的声誉, 以便对 web 请求做出更准确、更明智的决策。

为了保护应用程序不受复杂 web 应用程序的影响, 它需要对应用程序有很大的了解。这意味着了解每个元素: Url、目录、参数、用于调用这些不同 Url 的方法, 甚至是通常用于会话跟踪的 cookie。而这只是个开始。 有了使用动态内容和 JavaScript 的 Web 服务应用程序和 Web 2.0 应用程序, 它实际上变得更加复杂, 除此之外, 您还必须了解与所有这些元素相关的预期用户行为。其结果是, 为了准确保护应用程序, 您需要一个能够随着时间的推移自动生成和更新该应用程序的模型的解决方案。

此图显示配置文件随时间的变化情况。此图显示了为实际的 Secursphere 零售客户分析的网页数, 图表显示了随着时间的推移而发生的配置文件更改, 因为 Secursphere 首先了解了应用程序, 然后自动适应随时间变化的变化。在初始阶段, 您会看到很多变化--这是 Securhere 首次学习应用程序的时候, 但在接近月底时, 您会看到更改的数量显著减少, 但尚未变为零。这是因为几乎每一个应用程序, 我们看到的变化几乎每天。我们可以在稳定状态下每周看到5到15次更改, 并且使用无法自动执行安全模型的解决方案, 管理员通常会花费1到2个小时每次更改, 以便了解更改发生了什么, 了解更改是什么, 找出这是否对安全模型有任何影响, 然后实现。 因此, 当我们说每周5到15次更改时, 这通常相当于无法自动化的解决方案的5-30小时配置。此图表示安全球体自行学习这些更改, 真正减少了维护解决方案所需的时间。 请注意, Securehere 可以自动学习更改, 而无需任何手动干预 (例如, 需要手动接受新页面, 需要额外的规则或正则表达式来考虑使用偏差)。这意味着安全球体将在不阻塞合法通信的情况下保护应用程序。

Eg：应用防火墙识别的是内网AD上的用户，WAF识别的是所有使用的用户。原理大概是学习用户登录页面，参数代表，成功/失败登录，引进用户概念。

准确性的另一个关键组成部分与阻塞有关, 并且能够在特定的用户级别进行阻止。除了学习应用程序结构, SecureSphere 还可以学习登录 Url、用户如何登录, 以及如何了解这是成功还是失败的登录。然后, Securehere 可以在该用户的会话中跟踪该用户的时间。在需要执行操作的情况下, 安全球体可以对用户执行操作, 而不仅仅是对 IP 地址执行操作。对于观众中的那些技术, 你会明白为什么这很重要。IP 地址很容易被欺骗, 攻击者可以从一个 IP 地址跳转到另一个 ip 地址, 然后合法用户通常隐藏在单个 IP 地址后面, 因为他们可能通过代理访问 Internet。因此, 如果 Web 应用程序防火墙仅基于 IP 地址阻止, 很可能会给合法用户带来很多头疼的问题, 而不是对攻击者真正的威慑。因此, 精确的阻止--在应用程序用户级别进行阻止的能力--是 Web 应用程序防火墙所需精度的一个关键组成部分。这就是安全球体所提供的。

eg：profile预判sql类型，输出不符合预判则报错。

让我们举一个需要相关攻击验证的示例。因此, 在此请求中, 第一层 (协议验证层) 看到请求使用 Unicode 进行编码, 这种情况并不常见, 但不一定是攻击。应用程序配置文件层在应用程序中看到一些可疑的行为, 可能表单字段输入比预期的要长, 并且窗体字段输入的类型也不完全是预期的类型。这可能表示攻击, 但同时也可能表示用户的错误, 甚至可能是应用程序中的更改。攻击签名层还标识 JavaScript 的可疑签名。同样, 这可能是一种攻击, 但也可能只是一个角落的情况下, 或者是一个新的用法或应用程序的合法用法。但是, 当这三种情况都发生在同一请求中时, Securhere 能够关联该信息, 然后准确地识别跨站点脚本攻击。这就是安全球体如何能够在很少或零误报的情况下实现行业内最高的准确率。

安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

本幻灯片显示了 ADC 如何进行研究。它从各种来源调查世界各地报告的新威胁, 并进行自己的独立研究。当 ADC 提出新的防御措施时, 它将信息广播到安全球体部署, 新的防御可以自动安装在安全球体部署中。

安全领域提供了统一的管理基础结构, 提供了集中管理的功能。管理员可以从单个控制台管理所有安全球体设备, 并在该控制台上获得集成的警报和报告。它还提供了新的安全球体设备的部署, 因为这些设备是从 MX 管理服务器自动配置的。 所需要的只是将它们安装在网络中, 将它们指向 MX 管理服务器, 然后它们将从 MX 下载它们的配置。 SecureSphere 还提供了更高级的证书身份验证, 因此您可以将其集成到用户设置系统的其余部分。 最后, 所有这些都是通过一个简单的 Web 浏览器界面来实现的, 该界面通过安全通道连接到 MX 管理服务器。

实时仪表板提供了对系统状态以及实时发生的安全警报的一目了然的检查。正如您在这里看到的, 您可以看到系统 CPU 上的负载、它所看到的每秒的连接、按严重程度查看警报的饼图, 以及显示的各个警报以及随着时间的推移而发生的系统事件。

安全球体提供了安全事件的完整可见性。这是安全球体界面中安全警报的屏幕截图。您可以看到, 如果用户的用户名来自用户跟踪功能、来自 Web 服务器的响应代码 (如果可用)、完整的 HTTP 请求。安全球体突出显示触发此警报的请求的相关部分。在警报中, 只需单击一下, 即可轻松查看安全策略、了解有关攻击类型的详细信息并创建安全规则例外。

总之, Securehere 是业界领先的 Web 应用程序防火墙。它提供了多层防御的精确保护, 并为相关攻击验证提供了独特的技术, 使其成为市场上最准确的解决方案。 通过灵活的部署选项, 安全球体可以透明地部署到几乎任何环境中。使用 SecureSphere, 管理员和网络操作人员不必担心更改应用程序, 也不必担心更改网络。 最后, 通过动态分析和自动安全更新以及信誉数据馈送, SecureSphere 提供了简单、自动化的管理, 即使应用程序会随着时间的推移而变化。 这就是为什么安全球体 Web 应用程序防火墙是市场上领先的 Web 应用程序防火墙的原因。

Eg：反向代理相比透明桥 设备性能会下降30%~40%

旁路监听：相比前二者100%的阻断，阻断原理不同（利用tcp reset，效果不佳，可以用于测试，不建议用于真实环境）

安全球体支持业界最广泛的部署选项。最常见的选项是透明内联桥接。这在网络堆栈的第2层运行, 类似于网络交换机。它支持完全执行、非常高性能和非常低的延迟。通常情况下, 将在不更改网络环境的情况下安装内联桥。SecureSphere 还包括故障打开接口, 因此, 如果设备因其他原因断电或出现故障, 它实际上只会失败打开 (卡将自动桥接连接), 并且流量仍将流动。当然, 如果您想对应用程序采取这种安全姿态, 您可以选择关闭失败。 SecureSphere 还支持透明和反向代理模式, 这些模式为内容修改功能 (如 URL 重写、cookie 签名甚至 SSL 终止) 提供了高性能引擎。 最后, SecureSphere 支持非内联部署。这主要用于仅监视部署和部署, 在这些部署中, 客户希望确保在将 SecureSphere 安全模型内联以主动保护其应用程序之前, 准确了解其工作原理。

透明桥，二层桥只转发不修改，速度快，对业务无影响。

透明代理不传port tunnel、 ip sec等。优点如上图。

透明检测技术：waf部署多为透明桥。在透明引擎里有一个内存存放类似影子（shadow）的堆栈，堆栈确保数据传输方式一致。传输单位是Frame，影子引擎堆栈会拷贝继续传输大部分只留一小部分，若无问题则传输剩下的一小部分，相比未传输的只延后一两个数据包。若有问题则会有重置的tcp包。

IMPERVA WAF应用场景

Imperva 安全球体 Web 应用程序防火墙解决了困扰组织内多个不同组的安全问题。了解不同的用例以发现可能影响组织其他部分的问题非常重要。此处未显示但通常受所有这些用例影响的组是 IT 安全团队。 使用案例包括: Web 应用程序保护, 这主要意味着停止 Web 应用程序攻击, 如 SQL 注入、跨站点脚本和远程文件包含 应用程序虚拟修补 应用程序分布式拒绝服务或 DDoS 保护 网站刮擦预防, 例如竞争对手窃取您网站上的数据并在自己的网站上重新发布 防止欺诈, 以阻止基于恶意软件的欺诈和浏览器中的人攻击 旧式应用程序安全性, 以保护旧的旧的旧应用程序的漏洞。 托管应用程序保护, 以保护外部或云中托管的 Web 应用程序的安全。 现在, 我们将查看这些用例, 并展示安全球体如何帮助组织应对这些重大挑战。

我们要研究的第一个用例是 Web 应用程序保护, 由于它是一个重要的用例, 我们将检查不同的 Web应用程序威胁以及 Secursphere 是如何缓解这些威胁的。 第一个是一家跨国公司, 遭到黑客组织 "匿名" 的袭击。因佩瓦目睹了在25天内发生的袭击事件。它首先是通过尼科托和阿库奈蒂等扫描仪招募活动和应用探索。这些扫描试图发现 Web 漏洞。 在第二阶段, 匿名者转向攻击工具, 如 Havij SQL 注入工具, 试图破解网站。他们还利用匿名代理等匿名服务来掩盖自己的身份。在这两个阶段, Imperva 阻止了所有攻击。 当技术攻击失败后, 匿名者转向 DDoS 攻击, 试图关闭网站。他们使用 LOIC 或低轨道离子加农炮和新的移动版本的攻击工具来中断应用程序访问。流量激增, 但安全球体能够缓解这种基于 web 的 DDoS 攻击。

安全球体 Web 应用程序防火墙提供了阻止匿名和其他黑客团体、网络犯罪分子和国家支持的黑客等威胁所需的防御。 首先, SecureSphere 提供了多层防御, 以阻止利用应用程序漏洞 (如 SQL 注入和跨站点脚本) 的技术攻击。安全球体提供动态分析, 以学习受保护的应用程序并识别异常活动。攻击签名可阻止已知的攻击。HTTP 协议验证可防止重复编码和冗余标头等逃避技术。SecureSphere监视 cookie 和会话, 并可以对 cookie 进行签名或加密, 以阻止 cookie 中毒和会话劫持攻击。而 IP 信誉意识识别已知的恶意用户。SecureSphere 提供了更多的防御功能, 如 Web 蠕虫保护和数据泄漏保护, 但这些都是阻止技术攻击的最重要的。

此外, SecureSphere 停止业务逻辑攻击, 如网站擦除、评论垃圾邮件、参数篡改和应用程序 DDoS。它使用基于信誉的安全和预定义的安全策略来检测过多的请求和机器人。此外, SecureSphere 还提供了地理位置来检测和阻止来自不受欢迎国家的来源。 

 最后, SecureSphere 通过其恶意软件欺诈检测功能防止欺诈。我们还提供了预定义和自定义的策略, 可以将这些防御结合起来, 以进行极其准确的攻击检测。

在攻击的第一阶段, 匿名者扫描了站点的漏洞。基于因珀瓦应用防御中心或 ADC 的最新安全签名和策略, SecureSphere 能够检测并停止探测器。ADC 不断调查世界各地报告的新威胁, 并开展初步研究, 以发现未报告的脆弱性。然后, 它将新的攻击签名和 ADC 策略分发到安全球体 web 应用程序防火墙设备。通过检测已知的 Web 攻击和已知的扫描仪代理, Securehere 能够减轻攻击。

在第二阶段, 匿名转向 SQL 注入、跨站点脚本和远程文件包含等攻击。对于 SQL 注入等高级攻击, Securehere 首先应用签名来检测已知的攻击。明确的攻击被阻止。具有配置文件、HTTP 协议或其他签名冲突的其他请求将发送到 SQL 注入引擎, 该引擎使用 regex 代码检查配置文件冲突、SQL 攻击关键字和处理可疑字符串以识别攻击。 大多数 WAFs 只是依靠签名或特征违规来阻止攻击。他们不检查违规行为, 如个人资料违规, 以及攻击签名来评分请求。这意味着其他 Waf 更有可能产生误报, 并且无法检测到更复杂的 SQL 注入攻击。Imperva 提供了最佳、最准确的攻击检测功能, 可用于准确阻止 Web 攻击。

在攻击的第三阶段, 匿名者依靠志愿者来攻击网站。他们使用 LOIC 或低轨道离子加农炮和移动版本的工具来攻击目标网站。安全球体可以通过其默认的 DDoS 攻击模板或通过自定义 DDoS 策略检测攻击, 这些策略可识别一段时间内请求数量过多、url 格式错误和未知的 HTTP 方法。

如果将 Web 应用程序防火墙与入侵防御系统和下一代防火墙进行比较, 则差异是显而易见的。 虽然这些产品可能包含少量攻击签名, 但它们在阻止 Web 应用程序攻击方面并不有效。它们没有复杂的安全引擎来分析 Web 应用程序配置文件冲突、关键字和协议冲突情况, 以便正确识别 Web 攻击。其次, 他们无法阻止机器人等威胁, 也无法保护 cookie 或会话。他们通常不提供任何类型的基于声誉的保护, 如果他们提供了, 它的重点是电子邮件垃圾邮件发送者, 而不是 Web 威胁。 此外, IPS 无法阻止站点擦除和应用程序 DDoS 等业务逻辑攻击, 也无法阻止 Web 欺诈。此外, 许多 IPS 产品甚至无法解密 SSL 通信。 

 正因为如此, IPS 在试图阻止 Web 应用程序攻击时, 会出现较高的误报和误报率。此外, 黑客很容易通过使用编码或利用自定义应用程序漏洞来逃避他们。希望避免 Web 应用程序攻击的痛苦后果的企业需要部署 Web 应用程序防火墙。

左侧图形旨在显示问题既是应用层, 也是基础结构层。右侧显示, 部分问题必须在外围解决, 而部分问题必须在边界内解决 (在外界外不被注意)。它还表明, 我们放置在较高层的任何解决方案都依赖于在较低层采用其他缓解解决方案。例如, WAF 假定有人正在处理 SYN 洪泛或网络管道耗尽。（SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应 [2]  报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。）

网上购票面临着几个挑战。首先, 和许多在线网站一样, 它也是网络攻击的目标。但它也面临着一个独特的挑战: 机器人不断在网上买票, 窃取票的信息。机器人用不必要的流量封锁了网站。 他们已经从 f 5 购买了 WAF, 但无法跟上公司的业绩和安全要求。因此, 该公司对 SecureSphere 进行了评估, 并对其阻止 SQL 注入等技术攻击的能力非常满意, 也因为它可以阻止自动攻击。 借助 SecureSphere, 在线票务交换能够在不影响 Web 应用程序性能的情况下保护其网站。SecureSphere能阻止占公司网络流量25% 的自动攻击和机器人。

Anti Bot:判断是否是正常网站浏览。

Anti scraping：防刮。

防频率，慢速DDoS防御。

DDOS IP feed?

在线交换依靠 SecureSphere 的机器人缓解技术来检测和阻止来自机器人的访问。

为了了解 ThreatRadar 是如何工作的, 首先威胁雷达在全球范围内跟踪攻击源。基于卓越的第三方资源 (如 Cyvel监视、D和thatradar 服务器) 收集有关已知恶意 IP 地址、匿名代理、Tor （傻瓜）网络和网络钓鱼网站的信息。 然后, ThreatRadar 服务器全天候将此信息分发到安全球体 WAF 设备, 以确保 Waf 具有针对已知攻击源的最新保护。 有了这些信息, 安全球体可以阻止或警报已知的恶意源。威胁雷达检测可以与其他策略 (如浏览器代理和细粒度控制请求的频率) 相结合。

除了阻止已知的恶意来源外, ThreatRadar 信誉服务还允许企业按地理位置监视和阻止访问。

一家金融服务公司面临着几个网站挑战。 首先, 安全团队发现竞争对手在刮和重新公布公司的股票选秀权。其次, 广告垃圾邮件发送者正在向该公司的论坛投放广告。 最后, 当他们试图使用现有的 IPS 解决方案来阻止 Web 攻击时, 他们只是在不阻止攻击的情况下产生了大量噪音。 该公司利用安全球的网站刮擦政策, 阻止了刮擦攻击。而且, 通过使用策略阻止大多数评论垃圾邮件, 他们减少了手动检查论坛所花费的时间。 有了安全球体, 他们还能够以极低的误报率阻止网络攻击。

Google capture（采集 捕获）： 安全环球 WAF 帮助金融服务公司的战斗现场刮起它的: 机器人缓解技术, 可检测自动刮擦网站的机器人和工具。基本上, SecureSphere 向最终用户的客户端发送透明的 JavaScript 质询。如果客户端可以处理 JavaScript 并存储 cookie, 则 Secursphere 将其视为常规 Web 浏览器。如果客户端不能, 则它是脚本或机器人。 反刮擦策略检测到对唯一 Url 的过度请求, 这表明是刮擦攻击。上述两种策略都可以与其他规则结合使用, 以精确的精度阻止刮擦。例如, 用户可以将这些策略限制为已知的、刮擦的 Url。策略还可以查看浏览器代理 ID, 或查看客户端是否来自匿名代理或 Tor 网络来检测和停止刮板。

        财富100美国银行继承了一份国库申请, 作为收购另一家银行的一部分。Web 应用程序扫描发现, 该应用程序有57个漏洞, 需要数百万美元才能修复。 收购银行不允许易受攻击的应用进入自己的数据中心。因此, 他们需要快速修复应用程序或付费以保持旧数据中心的打开状态, 以便承载旧版应用程序。他们计划更换应用程序, 他们不想投入大量资源来手动修复漏洞。 通过安全球体 WAF, 银行能够缓解扫描发现的所有漏洞。银行进行的定期扫描证实, 国库申请仍然是安全的。

        五星们扫描了银行的遗留应用程序, 发现了漏洞。 安全球体 Web 应用程序防火墙提供了一组广泛的默认安全策略, 可在开箱即用的情况下缓解几乎所有漏洞。 用户可以创建自定义签名或策略来阻止其他类型的威胁, 如特定于应用程序的探测器或错误消息。 此处显示的自定义签名标识利用远程文件的尝试, 其中包括漏洞。通过默认策略和多个自定义策略, 银行能够修复旧版应用程序中的所有漏洞。

             SecureSphere 提供了 25+ 匹配条件供客户选择，实现强大的管理功能 Session：WAF定义的是http的session，非防火墙。 安全球体附带默认的相关规则, 可以防止行业中最常见的攻击, 但每个应用程序都是唯一的。 为了解决这种可变性, Sec子圈还能够允许安全管理员创建自己的相关规则。此屏幕截图显示了一个自定义规则, 该规则旨在阻止也违反正常用户行为的暴力登录尝试。该策略阻止在30秒内发生3次以上的登录请求, 并且登录字段偏离预期使用情况。 管理员可以从超过25个与 Web 请求相关的不同条件创建自定义应用程序关联规则, 包括 URL、配置文件冲突、签名、源和目标 IP 地址以及请求标头内的不同信息。这允许管理员对其安全策略进行完全精细的控制。

黑盒扫描：应用漏洞扫描。 白盒扫描： 支付处理器承受着昂贵而耗时的漏洞修复周期。IT 安全团队使用 Cenzic 扫描公司的应用程序中的漏洞, 但需要由开发团队来修复这些漏洞, 开发人员还有其他优先级, 如添加新的应用程序功能。IT 安全团队知道网络犯罪分子将目标锁定在支付应用程序上, 因此安全是重中之重。 该公司选择了安全球体 WAF 来几乎修补漏洞。安全领域可以导入其扫描仪发现的漏洞, 以立即减轻这些漏洞。它还允许开发人员和安全管理员查看 Web 攻击和应用程序错误。

安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

安全球体可以导入漏洞扫描结果, 从而立即创建缓解策略。这就省去了支付处理器在发现漏洞时进行昂贵的消防演习的需要。在不更改应用程序的情况下, 可以修复漏洞。 Imperva SecureSphere 集成了来自供应商 (如白帽安全、Qualys、Cenzic、HP、ibm、Acunetix 和 NT Obzectives) 的许多领先的应用程序漏洞扫描程序。通过与漏洞评估工具集成, SecureSphere 可以帮助组织满足整个应用程序安全生命周期的要求。

  安全球体几乎修补已知的漏洞。 如果没有安全球体, 组织必须手动修补漏洞, 这些漏洞可能需要数周或数月的时间。在此期间, 应用程序会被公开进行利用。借助 Secursphere, 组织可以立即修补漏洞, 降低安全风险, 并允许组织在没有紧急修复和测试周期的情况下按计划修补安全问题。

  安全球体以多种方式改进了应用程序开发过程。该软件开发生命周期展示了软件设计、测试和实现的各个阶段。当然, 开发软件还需要更多的步骤, 但我们已经对其进行了简化, 以展示 Imperva 安全球体如何提高可见性并消除紧急修复和测试周期。 首先, 开发人员必须构建和实现代码。然后, QA 必须使用手动和自动测试工具测试代码中的漏洞。通过因佩瓦的扫描仪集成, 安全球体几乎可以修补漏洞。然后, 开发人员可以修复他们的时间表上的漏洞。 然后, 应用程序开发人员必须将他们的新应用程序部署到生产环境中。一旦新应用程序上线, SecureSphere 就可以监视应用程序的滥用、阻止攻击、报告威胁并查找应用程序泄漏和错误。应用程序监视和报告提供了对黑客如何尝试利用应用程序 (从攻击方法到所针对的各个 Url 和参数) 的无与伦比的可见性。使用这些信息, 程序员可以确定其开发过程的优先级。安全球体还跟踪 web 服务器响应代码、错误、敏感数据和代码泄漏等。它可以选择存储 Web 服务器响应。使用此信息, 开发人员可以快速识别和修复应用程序错误。

  那么, 是什么推动了 CASB 市场呢？ [下一页]嗯, 我刚才简单地提到了它, 当我提到我们开始看到更多的云应用在工作场所被用来完成事情。 因此, 它与整个基础架构迁移到云的总体趋势是一致的。 您拥有基础架构即服务 (IaaS) 平台 (如 Amazon Web 服务和 Windows Azure), 这些平台是面向客户的应用程序, 采用速度非常快。 同样, 面向员工的应用 (如 Office 365、Box 和 Salesforce) 也是基于云的企业, 可为客户提供更好的可扩展性和可访问性、更高的成本可预测性和更轻松的更新。 [下一页] 像 Sky界和 Imperva 这样的公司填补了传统安全解决方案留下的安全空白, 这些解决方案无法解决当今的云问题。 再加上员工期望 (甚至可能要求) 使用他们想要高效的云应用, 今天的 IT 正在见证某种范式的转变, 它不能再仅仅说 "不", 切断对云应用的访问。 他们必须找到一种说 "是" 的方法, 使他们支持的员工能够利用他们想要使用的云应用来提高他们的生产力。

主动安全类

  和前面的产品均不同，主动安全产品的特点是协议针对性非常强，比如WAF就是专门负责HTTP协议的安全处理，DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。
  WAF:Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。
  5.1 WAF部署位置
  通常情况下，WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域，也可以与防火墙或IPS等网关设备串联在一起（这种情况较少）。总之，决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
  5.2 WAF部署模式及优缺点
  透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。

  部署模式1 透明代理模式（也称网桥代理模式）
  透明代理模式的工作原理是，当WEB客户端对服务器有连接请求时，TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在；从WAF工作转发原理看和透明网桥转发一样，因而称之为透明代理模式，又称之为透明桥模式。
  这种部署模式对网络的改动最小，可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效。缺点是网络的所有流量（HTTP和非HTTP）都经过WAF对WAF的处理性能有一定要求，采用该工作模式无法实现服务器负载均衡功能。 
  部署模式2 反向代理模式
  反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF，因此在WAF无需像其它模式（如透明和路由代理模式）一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器，所以透明代理工作方式不需要在WAF上配置IP映射关系。
  这种部署模式需要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话（没经过NAT转换）那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
  

部署模式3 路由代理模式
  路由代理模式，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。
  这种部署模式需要对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时，可以直接作为WEB服务器的网关，但是存在单点故障问题，同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

部署模式4 端口镜像模式
  端口镜像模式工作时，WAF只对HTTP流量进行监控和报警，不进行拦截阻断。该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言，流量只进不出。
  这种部署模式不需要对网络进行改动，但是它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断，适合于刚开始部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署提供优化配置参考。这种部署工作模式，对原有网络不会有任何影响。

窗体顶端

Imperva云安全方案