【IT专家网独家】传统的防火墙被普遍用于限制例如80、443端口访问,以及用于HTTP和SSL(安全套接字层)的通讯.然而,当在这种连接中出现攻击的时候,防火墙能做的防护就显得非常小。URL查询字符串操作,包括SQL注入、修改Cookie值、干扰表单中的数据、格式要求及其他各种恶劣的手段往往都能轻松的通过检查。
WEB应用防火墙在面对以上事件时,可以应对WEB服务器及WEB应用中的安全漏洞。在对企业网络采取安全措施时,我们必须思考一些企业实际需求。本文,我们将为用户介绍网络应用安全的8个关键事项。
诀窍1:不要轻易相信
如果你是在负责设计或管理一个公共网站,你不得不面对是否相信你的用户。如果你是特别偏执,你可能会把这个想法带入到整个网站中。但问题是,除非用户在网站中进行自我验证,否则你就不知道他们是谁以及他们要做什么.
作为网站的管理员,无论黑客如何伪装自己的IP,您是否能够分辨出哪些是合法流量,哪些是非法流量吗?当服务器日志过多出现404错误时,是否有人正在窥探您的网络安全防御?作为管理员必须时刻保持警惕,对网络中的异常行为进行验证。
诀窍2:保持低调
对一个潜在的入侵者来说,他们要做的第一步就是搜集有关你的Web服务器和任何主机应用程序。不要将任何信息暴露给没有相应权限的终端用户,并考虑实施以下反侦察手段:
•从您的WHOIS记录中删除个人信息对于防御社会工程学攻击十分重要;
•确保您的电脑中没有能够显示电脑是什么系统及版本的文件名称;
•从服务器响应中删除服务器上的标题;
•重新映射动态网页的文件扩展名,如JSP到SHTM;
•添加自定义错误页面,有助于隐藏服务器或相关开发平台的有价值信息;
•从HTML、CSS样式表、以及JavaScript源代码中,删除注释,特别是那些能够表明实施信息或网站及管理人员的信息;
•不在robots.txt文件中暴露出敏感的文件或目录名.
您可以调整您的网络防火墙和服务器关联设置从而进行反侦察,这方面可以参考的工具如NMAP(www.insecure.org),通过TCP回执能够帮您识别您的服务器。在http层,你可以考虑改变您的Web服务器的回应来伪装session cookie的名称,并删除其他项目的回应。此类参考工具如ServerMask,能够帮助用户执行多种掩蔽方法.
显然,安全并不能仅仅靠一个称职的WEB管理员来全面防范,安全是防护是必须的,但一些公司邀请部分黑客进行攻击以测试网站的防护功能是十分愚蠢的;攻击的真实目的是使潜在的攻击者远离真正需要保护的网站,让他们去攻击用来做诱饵的网站或服务器。
诀窍3:障眼法避免信息泄露
如果有些信息需要共享时,管理员需要考虑采用障眼法来保证安全。通常我们可以将服务器进行伪装,假装使用与正常业务不同的技术或给予矛盾的信息,来诱使攻击者采用错误的攻击手段并标注其意图。例如,你可以在网站的robots.txt文件、注释或错误网页中添加伪造的不受限的目录或文件,这样当攻击者或者恶意软件在进行监测或攻击时,就会暴露其意图。其他伪装保护的例子包括:
•在响应数据包中加入随机网络和HTTP服务器签名;
•通过实施欺骗性的管理员帐号和网络日志,可以及时发现社会工程需攻击的发生;
•诱捕服务器或蜜罐(www.honeypots.org)混淆入侵者.
•向入侵者发送不同的错误的相应或 “500 Server Error”来伪装服务器故障。
障眼法在安全应用中拥有很大的延展空间。通过创建集群化的诱捕设备和站点来不断的检测,这对潜在的攻击者而言无疑是巨大的烦恼。然而本分公司并不支持这种观点。
必须认识到:伪装并不能有效解决问题,而且有可能刺激攻击者。在许多情况下,面对来自机器人、蠕虫或脚本小子的攻击时,这些策略将无法发挥作用。攻击者并不在乎他们攻击的目标,因此管理员有必要弄清在攻击者发起攻击行为前可以处理哪些问题。
诀窍4:强硬的拒绝恶意需求
必须意识到用户的执行请求并非都是安全的。通常攻击重点放在试图修改HTTP请求从而造成恶意行为发生。用户可以使用应用层防火墙或服务过滤器以消除不良的HTTP请求,包括冗长的URL、异常的字符、不被支持的方法和标题及任何其他畸形要求等.
用户应该清楚自己网站中的数据类型与程序种类。如果您知道什么是允许的,那这个范围以外的数据与程序就是不允许的。比如,需要ASP支持的网站用PHP制作就会有问题。请务必清除所有未使用的文件,特别是备份文件(.bak) 关闭您的服务器的目录浏览选项,并从服务器中删除任何未使用的扩展名。
