有一则笑话,一位母亲告诫临上战场的儿子:“一定要紧跟将军,那里是最安全的地方。”虽然是笑话,但这位母亲对安全的理解没错:越是靠近重要的地方,就越安全。服务器,这个IT系统中的将军,离它最近的地方是负载均衡设备,负载均衡恰恰又是F5的发家之路,基于这个位置,F5提供了多款用于Web应用安全与提速的产品,以保证服务器的安全与性能。
F5是一家以应用交付网络著称的公司,所谓应用交付网络,就是以安全、快速和高可用的方式把应用交付到使用者手上,其中负载均衡保证高可用,Web应用安全与提速则保证安全与快速。提到安全与快速,很多人都会说这是防火墙与带宽的事嘛,又何来F5的事呢?抱着这个疑问,记者采访了F5北方区技术经理杨明非。
F5北方区技术经理杨明非
安全防范三阶段
如今,因特网已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为用户提供更为方便、快捷的服务支持,例如网上银行、网上购物等。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
针对这个现状,杨明非把目前的安全防范划分为三个阶段:第一阶段是传统的防火墙,第二阶段是IPS/IDS,第三阶段是Web应用安全防范。
在第一阶段,防火墙采用的是正向安全原则,它只允许符合安全原则的访问通过,采用的是一种白名单机制。但从技术上来看,防火墙工作在七层网络协议的第三-四层,采用状态检测技术检查和转发TCP/IP包,从而实现安全区域的隔离和访问控制。这就决定了防火墙只能判断TCP层面的网络攻击,而不能防Web应用攻击,因为它识别不了数据包的内容。黑客利用系统本身漏洞、程序漏洞,通过正常的连接完全可以取得Web权限,进而篡改网页,如常见的 SQL 注入攻击,其表现层面完全是正常的数据交互查询。对于防火墙而言,这是正常的访问连接,没有任何特征能够说明此种访问连接存在攻击,但其实系统已经受到攻击。
在第二阶段,IPS/IDS可以识别网络数据包的内容,进而判断是否安全,但IPS/IDS采用的是负向安全原则,是一种黑名单的机制,这就导致两个问题:一是难以跟上新的攻击手段,对于一些新的攻击手段或者变化的攻击手段,对IPS/IDS来说就很容易产生漏报;二是要判断的攻击行为太多的时候,会造成性能的急剧下降,从而导致实际使用IPS的时候更多的是采用抽样检查的模式,而这种模式在大多数情况下只能针对DDOS攻击有效,而对真正的黑客攻击无法有效进行防御。
