Imperva WAF 技术白皮书

Imperva WAF技术概述

Imperva WAF 技术概述

Imperva SecureSphere 概述 .................................................................................... 2 部署拓扑 ........................................................................................................................... 3

部署选项 ................................................................................................................... 3 安全引擎 ........................................................................................................................... 3 透明检测 ................................................................................................................... 4 透明检测架构 ................................................................................................................... 5

透明检测概览 ........................................................................................................... 5 全面的应用程序感知 ............................................................................................... 7 会话保护 ................................................................................................................... 7 网络和平台攻击保护 ............................................................................................... 8

URL 特征 ................................................................................................................. 8

Imperva WAF技术概述

IMPERVA SECURESPHERE 概述

传统的防火墙，在发挥重要作用的同时，却无法解决以上任何问题。防火墙能够提供广泛的网络安全防护，有时还能够提供基本的应用程序感知，但缺乏认识或保护应用程序及其数据的能力。

对这些威胁的防护需要更高级别的认识 - 在应用程序行为层。SecureSphere? 系统专门针对这一问题进行了开发，从而提供了该级别的保护。 应用程序行为层 - OSI 及其上层

SecureSphere 系统的保护分布在近似 OSI 7 层模型的多个层面上。防火墙对应 OSI 的第 2 到 第 4 层，协议验证和应用程序层特征码类似于 OSI 第 7 层，如下图所示。但是，多个 SecureSphere 的高级保护进程（例如：特征评估、Web/数据库关联和关联攻击检测）面向应用程序的行为，相当于第 8 层，该层未在 OSI 模型中定义。

图 2.1：应用程序行为层 － 位于 OSI 模型之上 中心管理

SecureSphere 系统的 MX 管理服务器是三层管理架构的中心点，允许组织机构同时自动管理多个网关。安全策略是集中式管理，因此只需单击一下鼠标，就可以自动下发到多个网关。MX 可用于各种任务，例如：配置管理、告警汇聚、分析及浏览、审计分析、报告、系统事件搜集等等。

Imperva WAF技术概述

部署拓扑

SecureSphere? 网络架构同时支持非在线网关（嗅听）和在线网关。在线网关的侵入性强一些，但具有更好的阻止能力。嗅听网关是完全非侵入式的，不能提供较为可靠的阻止能力（即：TCP 重置）。 部署选项

SecureSphere? 系统支持以下部署模式：

?

扑拓线在

如果要为数据中心提供最高级别的安全性保护，则可以将 SecureSphere 网关部

署为在线模式。在此部署方案中，网关充当外部网络与受保护的网段之间的连接设备。网关将阻止在线（即：丢弃包）恶意通信。

一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。但不能工作于在线/嗅听混合模式。

其中的两个端口用于管理：一个用于连接管理服务器，另一个是可选的，可用于连接外部局域网。其他四个端口属于两个用于在线检查的网桥。每个网桥都包含一个外部网络端口和一个受保护网络端口。

?

扑拓听嗅

SecureSphere 使用无在线故障点和性能瓶颈的透明网络网关，以确保为部署和集成消除此类安全产品通常所具有的风险。阻止是通过发送 TCP 重置实现 - 但这无法保证阻止操作一定成功，因此 TCP 重置可能：

到达受?保护 的服不能务器被发送设?备 忽略

嗅听网关是一种被动嗅听设备。用于连接企业集线器与交换机，可控制受保护

服务器的通信。通信信息将会被复制到该设备，而不会直接通过。因为不是在线的，因此嗅听网关不会影响性能，也不会影响服务器的稳定性。

单个 SecureSphere 网关可以轻松监控多个网段，因为它包含多个可用于嗅听不同网段的网络接口端口。唯一的限制就是其所能处理的通信量。单个网关可以监控不同类型的服务器（例如：Web 服务器、数据库和电子邮件服务器）。不需要在多个不同网关之间分离这些任务。

安全引擎

SecureSphere? 网关可为不同通信流（Web、数据库以及所有其他通信）提供适当的保护，如下图所示。

在各个级别上，安全引擎都可以立即阻止通信（在线部署下）或连续监测特定 IP、应用程序用户和会话，以供将来阻止（如果证实需要的话）。SecureSphere 安全代理是

Imperva WAF技术概述

负载检查和处理定向至受保护服务器的通信的模块。安全引擎包含多个安全层，大致与 OSI 模型对应，从较低级别的网络安全层（防范基于网络的攻击）开始，通过协议和基本应用功能（例如：HTTP 协议合规性和应用程序攻击特征码）一直到高级别的保护（例如：应用程序特征和关联攻击验证）。

图 7.2：SecureSphere 安全引擎级别 透明检测

为何需要透明检测？

“透明检测”可解析、跟踪和重构 HTTP 事务而无需中断 HTTP 连接。该部署方法能够提供一个对应用程序与网络透明的（因此，几乎无需变更任何部署）、高吞吐量、低延迟的解决方案。因而，当系统运行环境对网络延迟敏感，需要高吞吐量或无法容忍应用程序和网络部署修改时，许多 SecureSphere WAF 客户选择将系统部署于透明桥接模式。

Imperva WAF技术概述

为何需要代理？

代理部署的最大优点是，在该模式下，代理可以轻松修改内容。当有超过安全性的其他重要部署需求时（例如：执行 URL 转译或诸如对象缓存的各种内容加速技术），客户可以选择代理部署。

透明检测与代理

在所有部署模式下，SecureSphere 的安全模型和安全处理都是相同的。无论处于哪种部署模式，SecureSphere 都将检查 HTTP 头字段、URL 参数、表单字段、方法、Cookie、SOAP 操作和所有其他 HTTP 元素。

SecureSphere 还跟踪会话信息，包括用户名、会话标识（Cookie 或参数）和其他会话数据，以允许其为用户提供针对基于会话的攻击的防护。SecureSphere 在所有四种部署模式下，都能够提供相同级别的应用程序感知，在所有在线部署模式下（网桥、路由器和代理）都能提供相同级别的保护。

从第一代 WAF 产品起，代理技术已使用多年，许多客户了解代理如何处理、检查和阻止网络通信。本文诣在描述“透明检测”是如何执行这些功能的。 最低延迟

SecureSphere 系统出众的吞吐能力基于其独特的分组存储处理方式。系统的基本设计理念是各个分组存储且仅存储一次。其他系统制作分组的复本以供需要处理分组的各个层使用。这种繁重的多重复制将大大消耗系统资源并降低系统性能。而 SecureSphere 系统仅将分组存储在单一、中心化的存储中，各个层的进程都可以直接访问和处理该分组。

透明检测架构

透明检测概览

要防护应用程序级攻击，应用程序层防火墙必须分析完整的 TCP 流。TCP 流是来自各个 IP 分组的数据的组合，使 TCP/IP 成为连续有序的应用数据流。一旦流被重构，WAF 可以查看和检测完整的应用程序请求并应用适当的安全策略。

SecureSphere 会维持一个“影子”TCP/IP 堆栈以重构 TCP 流。在将完整的请求发送至 Web 服务器之前，该影子 TCP/IP 堆栈会以正确的 TCP 序列处理数据，并会分析各个 HTTP 请求。如果检测到攻击，违规分组将会被丢弃，整个连接将会被阻止。因为 SecureSphere 会在完成连接之前分析 TCP 流，所以 SecureSphere 始终先于应用程序服务器一步，能够在完整的请求到达应用程序服务器之前，防范任何攻击和应用阻止策略。

分组 - 基本单元

作为基于网络的设备，SecureSphere? 系统的基本操作单元为分组（或帧）。

SecureSphere 存储分组，直到拥有在尽可能最低的层次中处理它们的足够信息。这可能意味着需要累积可以组成单个消息的分组，或者有时需要存储特定会话的所有分组（时间较长的任务）。

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库Imperva WAF 技术白皮书在线全文阅读。