ImpervaWAF技术白皮书.docVIP

Imperva WAF 技术概述 Imperva SecureSphere 概述 3 部署拓扑 4 部署选项 4 安全引擎 4 透明检测 5 透明检测架构 6 透明检测概览 6 全面的应用程序感知 8 会话保护 9 网络和平台攻击保护 9 URL 特征 9 Imperva SecureSphere 概述 传统的防火墙，在发挥重要作用的同时，却无法解决以上任何问题。防火墙能够提供广泛的网络安全防护，有时还能够提供基本的应用程序感知，但缺乏认识或保护应用程序及其数据的能力。 对这些威胁的防护需要更高级别的认识 - 在应用程序行为层。SecureSphere? 系统专门针对这一问题进行了开发，从而提供了该级别的保护。 应用程序行为层 - OSI 及上 SecureSphere 系统的保护分布在近似 OSI 7 层模型的多个层面上。防火墙对应 OSI 的第 2 到 第 4 层，协议验证和应用程序层特征码类似于 OSI 第 7 层，如下图所示。但是，多个 SecureSphere 的高级保护进程（例如：特征评估、Web/数据库关联和关联攻击检测）面向应用程序的行为，相当于第 8 层，该层未在 OSI 模型中定义。 图 2.1：应用程序行为层 － 位于 OSI 模型之上 中心管理 SecureSphere MX 管理服务器是三层管理架构的中心点，允许组织机构同时自动管理多个网关。安全策略是集中式管理，因此只需单击一下鼠标，就可以自动下发到多个网关。MX 可用于各种任务，例如：配置管理、告警汇聚、分析及浏览、审计分析、报告、系统事件搜集等等。 部署拓扑 SecureSphere? TCP 重置）。 部署 SecureSphere? 系统支持以下部署模式： 在线拓扑 如果要为数据中心提供最高级别的安全性保护，则可以将 SecureSphere 网关部署为在线模式。在此部署方案中，网关充当外部网络与受保护的网段之间的连接设备。网关将阻止在线（即：丢弃包）恶意通信。 一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。但不能工作于在线/嗅听混合模式。 其中的两个端口用于管理：一个用于连接管理服务器，另一个是可选的，可用于连接外部局域网。其他四个端口属于两个用于在线检查的网桥。每个网桥都包含一个外部网络端口和一个受保护网络端口。 嗅听拓扑 SecureSphere 使用无在线故障点和性能瓶颈的透明网络网关，以确保为部署和集成消除此类安全产品通常所具有的风险。阻止是通过发送 TCP 重置实现 - 但这无法保证阻止操作一定成功，因此 TCP 重置可能： 不能到达受保护的服务器 被发送设备忽略 嗅听网关是一种被动嗅听设备。用于连接企业集线器与交换机，可控制受保护服务器的通信。通信信息将会被复制到该设备，而不会直接通过。因为不是在线的，因此嗅听网关不会影响性能，也不会影响服务器的稳定性。 单个 SecureSphere 网关可以轻松监控多个网段，因为它包含多个可用于嗅听不同网段的网络接口端口。唯一的限制就是其所能处理的通信量。单个网关可以监控不同类型的服务器（例如：Web 服务器、数据库和电子邮件服务器）。不需要在多个不同网关之间分离这些任务。 安全引擎 SecureSphere? Web、数据库以及所有其他通信）提供适当的保护，如下图所示。 在各个级别上，安全引擎都可以立即阻止通信（在线部署下）或连续监测特定 IP、应用程序用户和会话，以供将来阻止（如果证实需要的话）。SecureSphere 安全代理是负载检查和处理定向至受保护服务器的通信的模块。安全引擎包含多个安全层，大致与 OSI 模型对应，从较低级别的网络安全层（防范基于网络的攻击）开始，通过协议和基本应用功能（例如：HTTP 协议合规性和应用程序攻击特征码）一直到高级别的保护（例如：应用程序特征和关联攻击验证）。 图 7.2：SecureSphere 安全引擎级别 透明 为何需要透明检测？ “透明检测”可解析、跟踪和重构 HTTP 事务而无需中断 HTTP 连接。该部署方法能够提供一个对应用程序与网络透明的（因此，几乎无需变更任何部署）、高吞吐量、低延迟的解决方案。因而，当系统运行环境对网络延迟敏感，需要高吞吐量或无法容忍应用程序和网络部署修改时，许多 SecureSphere WAF 客户选择将系统部署于透明桥接模式。 为何需要代理？ 代理部署的最大优点是，在该模式下，代理可以轻松修改内容。当有超过安全性的其他重要部署需求时（例如：执行 URL 转译或诸如对象缓存的各种内容加速技术），客户可以选择代理部署。 透明 在所有部署模式下，SecureSphere 的安全模型和安全处理都是相同的。无论处于哪种部署模式，SecureSphere 都将检查 HTTP 头字段、URL