网页防篡改&WAF

写在最前：
安全产品系列目录：目录&总述

网页防篡改

网页防篡改系统所需要保护的网页，可以归结于保护文件（无论是静态网页文件还是脚本文件）和保护数据库。实现对网页文件的完整性检查和保护，并达到100%的防护效果，即被篡改网页不可能被访问到。

产品简介

保护站点内容安全，防止黑客非法篡改网页。

产品特点

1. 对网页打开速度无影响
2. 动态网页脚本保护
3. 网页恢复

用户价值

1. 保护公众形象
2. 防止财产损失

1.技术与缺陷

1. 定时循环扫描技术
   这是早期使用的技术，比较落后，已经被淘汰了，原因是：现在的网站少则几千个文件，大则几万，几十万个文件，如果采用定时循环扫描，从头扫到尾，不仅需要耗费大量的时间，还会大大影响服务器性能。
   在扫描的间隙或者扫描过程中，如果有文件被二次篡改，那么在下次循环扫描到该文件之前，文件就一直是被篡改的，公众访问到的也将是被篡改的网页，这是一段“盲区”，“盲区”的时长由网站文件数量、磁盘性能、CPU性能等众多客观因素来决定。
2. 事件触发技术
   这是目前主流的防篡改技术之一，该技术以稳定、可靠、占用资源极少著称，其原理是监控网站目录，如果目录中有篡改发生，监控程序就能得到系统通知事件，随后程序根据相关规则判定是否是非法篡改，如果是非法篡改就立即给予恢复。
   可以看出，该技术是典型的“后发制人”，即非法篡改已经发生后才可进行恢复，
   其安全隐患有三：
   其一，如果黑客采取“连续篡改”的攻击方式，则很有可能永远也无法恢复，公众看到的一直是被篡改的网页。因为：篡改发生后，防篡改程序才尝试进行恢复，这有一个系统延迟的时间间隔，而“连续篡改”攻击则是对一个文件进行每秒上千次的篡改，如此一来，“后发制人”的方式永远也赶不上“连续篡改”的速度。
   其二，如果文件被非法篡改后，立即被恶意劫持，则防篡改进程将无法对该文件进行恢复。
   其三，目录监控的安全性受制于防篡改监控进程的安全性，如果监控进程被强行终止，则防篡改功能就立刻消失，网站目录就又面临被篡改的危险。
3. 核心内嵌（数字水印）技术
   这也是目前的主流技术之一，该技术以无进程、篡改网页无法流出、使用密码学算法作支撑而著称，其原理是：对每一个流出的网页进行数字水印(也就是HASH散列)检查，如果发现当前水印和之前记录的水印不同，则可断定该文件被篡改，并且阻止其继续流出，并传唤恢复程序进行恢复。
   是：即使黑客该技术的特点通过各种各样未知的手段篡改了网页文件，被篡改的网页文件也无法流出被公众访问到。
   该技术的安全隐患有三：
   其一：“数字水印”的密码学算法，使用散列算法，在密码存储和文件完整性校验方面广为运用。但MD5等可以通过碰撞等手段破解（王小云教授）
   其二：“数字水印”技术在计算大于100KB大小的文件“指纹”时，其速度将随着文件的增大而逐步下降到让人无法忍受的地步，因此大多数产品都会默认设置一个超过xxx KB的文件不进行数字水印检查规则。如此一来，黑客只要把非法篡改文件的大小调整到xxx KB以上，就可以让非法文件自由流出了，这又是一个潜在的巨大安全隐患。关于这项安全隐患，读者可以随便找个10MB以上的文件放入网站目录中，然后再访问该文件，如果发现文件可以访问或者下载，即可证明当前使用的防篡改产品存在该安全隐患。
   其三：计算每个请求文件的水印散列，必须将计算水印散列的功能模块插入到web服务软件中，比如IIS的ISAPI Filter/Extension，Apache的模块等。换句话说，基于核心内嵌技术的防篡改产品，关键点就在于向web服务软件中插入了计算水印散列模块，一旦计算水印散列模块被卸载，那么防篡改功能将立即消失，被篡改网页就可以随意流出被公众浏览到。
4. 文件过滤驱动技术
   其原理是采用操作系统底层文件过滤驱动技术，拦截与分析IRP流，对所有受保护的网站目录的写操作都立即截断，与“事件触发技术”的“后发制人”相反，该技术是典型的“先发制人”，在篡改写入文件之前就阻止。
   其安全隐患有三：
   其一：基于实际应用中各种复杂环境与因素的考虑，操作系统的设计者在系统内核底层设计了多种可以读写文件的方式，相关数据流不单单是走文件过滤驱动这一条线。网络上大家常用的各种“文件粉碎机”强制删除顽固文件就是基于相关原理的。
   其二：文件路径表示除了正常的方式之外，还可以用DOS8.3文件路径表示法，当文件名的长度超过8个字符时，就可以用DOS8.3路径表示，这里举例说明：
   假设D盘下有一个文件 123456789.txt，那么该文件的全路径可以表示为：D:\123456789.txt，或者用DOS8.3的格式表示为：D:\1234567~1.txt。也就是说，如果一个攻击者要篡改D:\123456789.txt，那么他输入路径D:\1234567~1.txt也一样可以访问文件并进行篡改。因此网页防篡改系统必须要能抵御DOS8.3文件路径方式的攻击。根据我们实际市场检测，绝大部分使用文件过滤驱动技术的网页防篡改产品没能抵挡住此类攻击。
   其三：如果操作系统存在默认共享，文件路径表示除了上述方法之外，还可以用网络路径表示法，并且任意文件、任意文件名长度的都适用，这里举例说明：
   假设D盘下有一个文件 index.html，那么该文件的全路径可以表示为：D:\index.html，或者用网络路径格式表示为：\127.0.0.1\D$\ index.html。也就是说，如果一个攻击者要篡改D:\ index.html，那么他输入路径\127.0.0.1\D$ \index.html也一样可以访问文件并进行篡改。因此网页防篡改系统必须要能抵御网络路径路径方式的攻击。根据我们实际市场检测，同样是绝大部分使用文件过滤驱动技术的网页防篡改产品没能抵挡住此类攻击。
   操作系统内核底层好比深海，暗流颇多，如果对它没有深入、细致、广泛的理解与分析而去编写一个文件过滤驱动，那这个文件过滤驱动就好比是“马奇诺防线”，而当文件过滤驱动被绕过后，其防篡改功能也同样荡然无存了。

2.部署模式

第一步：部署监控代理，分别将监控代理部署在中心机房每台需要保护的服务器上面；
第二步：部署同步代理，将同步代理部署在两台或者多台冗余部署的发布服务器上面，保持各个冗余发布服务器与中心机房网站服务器之间的网络通讯正常；
第三步：部署管理中心，将管理中心部署在发布服务器或者办公区任意一台与发布服务器正常通讯的机器上面。

生产厂商

网页防篡改：
安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、盛邦安全（WebRay）、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安、浙江乾冠、三零卫士、有云信息、卫达安全、锐捷、深信达

WAF Web应用防火墙

Web Application Firewall
用来处理一般防火墙达不到的Web应用安全问题
工作在应用层，有硬件有软件
WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护

产品简介

对网站服务器的各类访问请求进行检测和验证。确保其安全性和合法性，对非法的请求予以实时阻断

产品特点

1. 审计功能
2. 访问控制功能
3. Web应用加固功能

用户价值

1. 满足用户合规性的Web安全防护要求
2. 防止Web应用及Web网站被攻击及篡改，保护财产利益

1.产品功能

主要有四方面

1. 审计功能：用来截获所有HTTP数据或者仅仅满足某些规则的会话。
2. 访问控制功能：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。
3. 架构/网络设计功能：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。
4. Web应用加固功能：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患

2.工作内容

1. 事前主动防御，智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击，全方位保护WEB应用。
2. 事中智能响应，快速P2DR建模、模糊归纳和定位攻击，阻止风险扩散，消除“安全事故”于萌芽之中。
3. 事后行为审计，深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表。
4. 面向客户的应用加速，提升系统性能，改善WEB访问体验。
5. 面向过程的应用控制，细化访问行为，强化应用服务能力。
6. 面向服务的负载均衡，扩展服务能力，适应业务规模的快速壮大。

3.部署模式

透明模式、代理模式，一般支持支持双bypass（硬件+软件）

生产厂商

Web应用防火墙·WAF·硬件：
安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、盛邦安全（WebRay）、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、奇安信、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技、长亭科技、华清信安、信诺瑞得、雨人网安、能信安（能士）、有云信息、安数云、上元信安、成都世纪顶点、安信天行、锐捷、瑞数信息
Web应用防火墙·WAF·软件：
福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技、安数云、瑞数信息
Web应用防火墙·服务&云WAF：
安恒信息、阿里云、腾讯云、奇安信、知道创宇、有云信息、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场、网堤安全、漏洞银行、中国电信·安全帮、安百科技、中国网安、钛星数安、盛邦安全（WebRay）