随着面向公众服务的动态网站应用快速增加,我们日常工作和生活也常使用大量的Web应用,比如:手机和网上银行、电子商务、社保查询等。大企业的各分支机构分布地域广阔,企业内部也通过互联网实现财务、办公、商务等信息化管理。甚至在某些企业,数据库就直接安装在对外提供Web服务的计算机上,web服务器被黑客攻陷了,数据库中的敏感也可能被黑客访问。因此,Web应用网络安全防护无疑是一个很重要的课题。
Web应用的互联网访问过程
Web用户通过在笔记本上使用浏览器输入网址访问Web服务器,这就是通常所说的B/S架构,既浏览器/服务器模式。还有一种常见的情况,Web用户通过在笔记本上使用安装好的软件应用程序通过互联网访问web服务器,这就是我们常说的C/S架构,既客户端/服务器模式。两种模式各有利弊,但通常在互联网上使用的是http协议,既超文本传输协议,或者是https协议(带SSL的http加密协议,比http协议安全)。当然,我们现在使用移动互联网的也很多,是通过手机app或者手机浏览器访问web应用服务器的。
随着公有云环境使用越来越广泛,Web应用服务器多数部署在云服务器上,比如:阿里云、腾讯云等,也有很多重要的单位部署在传统的IDC机房中。大型Web应用有可能有多台Web服务器,前面常部署Web负载均衡来满足众多网民并发访问需求,还有的Web服务器主要放静态网页。当调用动态网页程序的时候,会访问Web应用服务服务器,常采用的开发架构有J2EE、.Net Framework等,当然,现在使用PHP的程序框架也很多,有的时候还会有中间件服务器,主要放Java或C#的程序。Web用户在表单中的输入与程序结合后,形成SQL语句访问数据库服务器。
这就是一个Web应用大致的执行过程,这是我们做好网络安全防护的基础。
网络防火墙
互联网和内网之间是要部署网络防火墙,传统的网络防火墙产品主要是基于:源IP + 源端口 + 目的IP + 目的端口 + 协议类型进行访问控制,是不对协议的内容进行解析和控制。由于应用要访问数据库,因此数据库的通讯端口总是开放的,本质来说传统防火墙对于数据库网络通讯无任何的安全防护能力。
行业标准OSI参考模型将网络通信过程分为7个不同层次,分别是:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层,网络防火墙主要是负责1~4层的网络安全,网络防火墙俗称“三层设备”,内外网隔离必备防护设备。
IDS/IPS
IDS/IPS(入侵侦测系统/入侵防护系统)产品比起网络防火墙更进了一步,开始尝试对应用层的通讯协议进行解析,但这些协议都限于标准通讯协议,如FTP、邮件、LDAP、Telnet等,对一些针对标准协议的攻击行为进行防范;但对于数据库这样的非标准化通讯协议,协议的复杂度很高,当前市场上的主流IDS/IPS产品均未实现对数据库通讯协议的解析和防护。
WAF
WAF的部署位置
WAF(Web Application Firewall 网站应用防火墙),串联部署在Web应用服务器之前,通过对Http协议中的内容进行分析,实现对攻击的防御,在行业标准OSI参考模型中是应用层协议,是第七层协议,因此,WAF俗称“七层设备”。通过WAF可以实现对部分SQL注入行为的阻止,但WAF对于复杂的SQL注入和攻击行为无能为力;大约有150多种方法可以绕开WAF实现对Web应用服务器的攻击。在Web应用服务器上利用应用的数据库账户攻击数据库服务器是当前刷库的主要手段。
堡垒机
堡垒机是针对来自于内部的主机、网络、数据库的运维安全问题,可以将运维人员对主机设备和数据库的维护集中到堡垒机上完成,在堡垒机上完成统一的认证、授权和审计。但堡垒机存在以下安全缺陷:无法对图形化工具的操作进行控制,只能通过录屏的方式进行录像记录。
数据库防火墙
数据库防火墙的部署位置
数据库防火墙串联部署在数据库服务器之前,是一款基于数据库访问协议分析与控制技术的网络数据库安全防护系统,基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计,提供SQL注入禁止和数据库虚拟补丁包功能,通过虚拟补丁,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。数据库访问协议在行业标准OSI参考模型中是应用层协议,是第七层协议,因此,数据库防火墙也俗称为“七层设备”。
数据库审计
数据库审计部署位置
数据库审计是通过交换机镜像流量旁路部署,因为对现有业务环境影响为零,所以在银行、电力、医院对业务连续性和并发性能要求很高的单位,数据库审计产品是首选。再有,堡垒机只能管运维操作,数据库审计既可以管运维侧又可以管应用侧,所以,在很多与数据库有关的安全建设中成为必选产品。
Web敏感数据监测系统
近年来国内外曝出多起与Web应用及API相关的数据安全事件,大型客户如通信、金融、交通等诸多领域,更关心Web应用是否有敏感数据从API接口等方式泄露及如何防护,安华金和结合多年致力于数据处理和数据安全的经验推出DWSMS(DBSec Web Sensitive Data Monitoring System)Web敏感数据监测系统,是一款基于网络流量通讯协议分析和解析技术的数据安全产品,具有应用接口自动发现、敏感数据识别、应用账号发现、流式计算殷勤及高速匹配引擎等核心技术。
