F5應用安全解決方案
       F5的BIG-IP®應用安全管理器™ (ASM)是一個先進的Web應用防火墻,，可顯著減少和控制數據,、知識產權和Web應用丟失或損壞的風險,。BIG-IP ASM通過一個將應用交付與網絡和應用加速及優(yōu)化結合在一起的平臺,，提供了無與匹敵的應用和網站防護,、完整的攻擊專家系統(tǒng),，并且可以滿足關鍵的法規(guī)要求,。
       BIG-IP ASM是業(yè)內最全面的Web應用安全與應用完整性解決方案,。對于對業(yè)務至關重要的應用,，屢獲殊榮的BIG-IP ASM能夠使其保持安全性、可用性和高性能,，從而保護了您企業(yè)的安全,，并維護了企業(yè)的聲譽。
1.1 方案部署網絡邏輯圖

1.2 ASM的技術特點
滿足安全標準的要求
  先進的內置安全防護和遠程審計功能可幫助您的企業(yè)以經濟高效的方式滿足行業(yè)安全標準的要求,，包括PCI DSS,、HIPAA、Basel II和SOX,，您既不需要購置多個設備,，也不需要對應用進行更改或重寫。BIG-IP ASM提供了針對新型威脅的高級報告能力,，例如第7層服務拒絕攻擊(DoS),、暴力攻擊和SQL注入攻擊等。通過PCI報告功能,，BIG-IP ASM列出了PCIDSS 1.2所要求的安全措施,，并確定是否滿足了要求，若未滿足要求則詳細說明為滿足要求所需采取的措施,。此外,，BIG-IP ASM與WhiteHat、Splunk和Secerno集成,，可支持漏洞評估、審計和實時數據庫報告功能,，從而實現(xiàn)安全違規(guī)檢查,、攻擊防護和法規(guī)遵從。

保證應用安全與可用性
  許多網站和應用都遭受過安全威脅,，這些安全威脅會導致業(yè)務中斷,，并損害企業(yè)的品牌。BIG-IP ASM可以報告以前未知的威脅,，例如第7層DoS和SQL注入攻擊,，并且可減輕Web應用威脅，從而保護企業(yè)免遭數據侵害,。BIG-IP ASM有助于預防棘手而且代價高昂的應用侵害,，這些侵害可導致企業(yè)遭受數百萬美元的損失,，包括監(jiān)管機構處罰、收入下降和品牌價值受損等,。

高級執(zhí)行能力
      BIG-IP ASM可保護任何參數免遭客戶端的篡改,，并且通過驗證登錄參數和應用流來防御強制瀏覽和邏輯缺陷攻擊。BIG-IP ASM還可以防護OWASP十大Web應用安全漏洞以及零日Web應用攻擊,。

現(xiàn)成的保護能力
    BIG-IP ASM配備了一套預置應用安全策略,，可為Microsoft Outlook Web Access、LotusDomino郵件服務器,、Oracle E-Business Financials和Microsoft Office SharePoint等常用的應用提供現(xiàn)成的保護能力,。此外，BIG-IP ASM包含快速部署策略,，可立即為任何客戶應用提供安全保障,。這套經過驗證的策略無需要花費任何時間進行配置，并且可以根據啟發(fā)式學習和特定的客戶應用安全需求,，用作創(chuàng)建更先進的策略的起點,。

全面的應用安全與加速
       BIG-IP ASM與BIG-IP® WebAccelerator™可同時在BIG-IP®本地流量管理器™設備上運行，因此您可以確保應用的安全,，同時提高應用性能,。這個高效的多解決方案平臺在不降低性能的情況下增加安全性。您可以立即過濾攻擊,，并對Web應用進行加速,，從而改善用戶體驗。由于不需要向網絡中增添新的設備,，您可以獲得一體化的解決方案,，從而實現(xiàn)最高的成本效益。

Web scraping防護
       BIG-IP ASM可保護您的網站免遭Web Scraping攻擊(復制并重復利用寶貴的知識產權和信息),，從而保護您的品牌,。通過辨別使用瀏覽器的是人還是僵尸程序，BIG-IP ASM可防止通過自動請求獲得數據,。Web應用策略可以識別請求量的增加,，并通知BIG-IP ASM檢查這些是否為需要的請求。以前曾發(fā)生過Web Scraping攻擊的已知IP地址可以列入黑名單,，以便對其進行檢測和阻止,。

Attack Expert系統(tǒng)
  隨著威脅數量的增加和和復雜程度日益提高，集成的綜合Attack Expert系統(tǒng)提供了對攻擊的即時了解,，新策略的配置和攻擊的報告能力,，以立即通知管理員。攻擊專家系統(tǒng)將網絡和應用團隊結合在一起，使管理員能夠隨時了解應用安全性,。

攻擊類型詳細信息
  攻擊詳細信息提供了對每種違規(guī)行為的解釋,，包括對BIG-IP ASM執(zhí)行的確切檢查的詳細說明。

分級
  分級功能使更新的策略透明地在實際環(huán)境中進行測試,，而不會降低當前的保護等級,。BIG-IP ASM可使您輕松地采用攻擊簽名、文件類型,、URL和其它參數對策略進行分級,，并且在執(zhí)行策略之前輕松地測試是否需要更改。策略可以重新設計和重新測試,，直到您滿意為止,，并且策略可隨時用于實際實施。

優(yōu)異的報告能力
  所有報告都基于GUI,，并提供了通過簡單的鼠標點擊便可使用的向下鉆取選項,。地理位置報告可讓您了解威脅發(fā)起的國家，另外還包括攻擊類型,、違反的標準,、URL、IP地址,、嚴重程度等,。您還可以預定時間將報告自動發(fā)送到指定的電子郵件地址，以提供最新的報告,。

易讀取的策略(遠程審計)
    BIG-IP ASM允許將策略導出,，供場外審計人員使用，從而使得安全法規(guī)遵從更容易實現(xiàn),，并且節(jié)約IT人員的寶貴時間,。遠程工作的審計人員可以查看、選擇,、審查并測試策略,，而不必浪費寶貴的時間，也無需Web應用安全管理器的支持,。

iRules集成
  您可以設計定制的iRules,，以應對BIG-IP ASM事件。例如,，在檢測到Web抓取僵尸程序時，頁面阻止策略可用于防止多個網站使用顯示定制阻止頁面的iRules (針對特定Web域),。許多BIG-ASM事件都可以根據您的獨特環(huán)境而定制,。

集成的XML防火墻
      BIG-IP ASM提供了特定應用的XML過濾和驗證功能，保證Web應用的XML輸入的結構正確。它提供了模式驗證,、常見攻擊防御和XML解析器服務拒絕預防,。

DataGuard和Cloaking
       BIG-IP ASM通過分離數據和隱藏信息而預防敏感數據的泄露(例如信用卡號碼、社會安全號碼等),。此外,，BIG-IP ASM隱藏錯誤頁面和應用錯誤信息，防止黑客發(fā)現(xiàn)底層架構并發(fā)起有針對性的攻擊,。

利用WhiteHat Sentinel實現(xiàn)漏洞評估
  與WhiteHat Sentinel Security的集成提供了一種獨特的漏洞評估服務,，該服務將自動化工具與專業(yè)的高技能應用安全專家聯(lián)系在一起。通過與BIG-IP ASM集成,，業(yè)界領先的WhiteHat Sentinel服務可以掃描Web應用,，并創(chuàng)建專門處理應用中發(fā)現(xiàn)的漏洞的BIG-IP ASM規(guī)則。這樣可以通過接近即時的漏洞控制響應而進行經過驗證并且可行的漏洞評估,，從而在開發(fā)人員糾正漏洞代碼時保護應用的安全,。

攻擊簽名的實時更新
  為了保證最新的防護能力，新攻擊的新簽名需要經常更新,。BIG-IP ASM每天查詢F5簽名服務,，并自動下載和應用新的簽名。

SMTP和FTP安全
      BIG-IP ASM使FTP服務器組的管理輕松易行,。BIG-IP ASM驗證FTP協(xié)議,，控制暴力攻擊，而且也可以對允許的FTP命令進行白名單控制,。此外,，BIG-IP ASM可以執(zhí)行命令長度限制和主動/被動連接。對于SMTP,，BIG-IP ASM提供了額外的全面安全檢查,。它還支持灰名單，目的是預防垃圾郵件,，執(zhí)行SMTP協(xié)議,，將危險SMTP命令加入黑名單，并且控制目錄獲取攻擊,。BIG-IP ASM的速率限制能力有助于應對DoS攻擊,。

實時流量策略構建器
       BIG-IP ASM的核心是動態(tài)策略構建器引擎，它負責自動的自我學習并創(chuàng)建安全策略,。它圍繞新發(fā)現(xiàn)的漏洞自動構建和管理安全策略,，部署快速、敏捷的業(yè)務流程,，而無需手工干預,。當流量通過BIGIPASM傳輸時，策略構建器解析請求和響應，提供獨特的能力檢驗完整的客戶端和應用流量的雙向流程—包括數據和協(xié)議,。通過利用先進的統(tǒng)計和啟發(fā)式引擎,，策略構建器可以過濾掉攻擊和異常流量。策略構建器也可以在被告知站點更新的模式下運行,。通過解析響應和請求,，它可以探測站點的變化，并且相應地自動更新策略,，而無需用戶干預,。
1.3 BIG-IP ASM架構
        BIG-IP ASM運行于F5獨特、專用的TMOS®架構上,。TMOS是一個智能的,、模塊化、高性能平臺,，可增強BIG-IP ASM的每項功能,。TMOS提供了洞察力、靈活性和控制力,，旨在幫您智能地保護您的Web應用,。

TMOS提供了:
• SSL卸載
• 緩存
• 壓縮
• 即時處理任何應用內容的能力(無論是入站還是出站流量)
• TCP/IP優(yōu)化
• 先進的速率整形和服務質量
• IPv6網關™
• IP/端口過濾
• 通過內置交換機支持VLAN
• 資源配置
• 路由域(虛擬化)
• 遠程認證
• 安全
• 顯示定制的合法通知和安全登錄橫幅
• 執(zhí)行管理會話超時
• 安全地登出BIG-IP系統(tǒng)
• 遵循增強的審計和日志記錄要求
• 全面隔離和保護SSL證書不被讀取或修改
BIG-IP-ASM防護多種應用攻擊，包括:
• 第7層DoS和DDoS
• 暴力攻擊
• 跨站腳本(XSS)
• SQL注入
• 參數篡改
• 敏感數據泄露
• 會話劫持
• 緩存溢流
• Cookie篡改
• 多種編碼攻擊
• 斷開的接入控制
• 強制瀏覽
• 隱藏字段操作
• 請求走私
• XML炸彈/DoS
額外的網絡和應用安全服務包括:
• PCI遵從報告
• 易讀取的策略(遠程審計)
• Attack Expert系統(tǒng)
• 攻擊明細
• 分級
• 報告
• Web Scraping預防
• IP處罰執(zhí)行
• iRules與Fast Cache集成
• 報告調度
• SSL加速器
• 帶狀態(tài)的3-4層防火墻
• 透明和非透明的反向代理
• 密鑰管理和故障切換處理
• SSL終止和重新加密到Web服務器
• VLAN分段
• DoS保護
• 客戶端證書支持
• 通過LDAP/RADIUS進行客戶機驗證
• 專用管理端口
• URI監(jiān)控
• 采用Splunk提供集中的高級報告
• 采用Secerno的DataWall保證數據庫安全
預置的應用安全策略包括:
• Lotus Domino 6.5
• OWA Exchange 2003
• OWA Exchange 2007
• Oracle 10g Portal
• Oracle Application 11i
• PeopleSoft Portal 9
• 快速部署安全策略
• SAP NetWeaver 7
• SharePoint 2003
• SharePoint 2007
2. IPS與WEB應用防護設備的區(qū)別
   IPS（入侵防護系統(tǒng)）和WAF（Web應用防護系統(tǒng)）兩款產品有不同的使用場景,，隨著Web應用發(fā)展帶來的復雜度,，對安全性要求也日趨增高，Waf的出現(xiàn)是順應了市場和技術的需要
　　Web應用防護無疑是一個熱門話題,。由于技術的發(fā)展成熟和人們對便利性的期望越來越高,，Web應用成為主流的業(yè)務系統(tǒng)載體。在Web上“安家”的關鍵業(yè)務系統(tǒng)中蘊藏的數據價值引起攻擊者的青睞,，網上流傳的Web漏洞挖掘和攻擊工具讓攻擊的門檻降低,，也使得很多攻擊帶有盲目和隨機性。比如利用GoogleHacking原理的批量查找具有已知漏洞的應用程序,，還有SQL批量注入和掛馬等,。但對于重要的Web應用（比如運營商或金融），始終有受利益驅動的黑客進行持續(xù)的跟蹤,。
　　如果說傳統(tǒng)的“大而全”安全防護產品能抵御大多數由工具產生的攻擊行為,，那么對于有針對性的攻擊行為則力不從心。而WAF正是應需求而生的一款高端專業(yè)安全產品,，這也是市場需求細化的必然趨勢,。但由于其部署和功能方面與IPS有類似，有人提出疑問,，為什么不能用IPS,，或者說WAF與IPS有什么異同,？誰更適合保護Web服務器？
　　這些疑問其實是有道理的,，差異化的產生在于高端需求是不同的，從而需要細化功能貼合具體需求和符合應用現(xiàn)狀的產品,，這也是用戶需求是隨著業(yè)務自身的發(fā)展所決定的,。
　　保鏢和保安
　　為了更好的理解兩款產品差異性，我們先用這個保鏢（WAF）和保安（IPS）比喻來描述,。
　　大樓保安需要對所有進出大樓人員進行檢查,，一旦發(fā)現(xiàn)可疑人員則禁止他入內，但如果混進“貌似忠良”的壞人去撬保險柜等破壞行為,，大樓保安是無能為力的,。
　　私人保鏢則是指高級別、更“貼身”的保護,。他通常只保護特定的人員,，所以事先需要理解被保護人的身份、習慣,、喜好,、作息、弱點等,，因為被保護人的工作是需要去面對不同的人,，去不同的場合，保鏢的職責不能因為危險就阻止,、改變他的行為,，只能去預見可能的風險，然后量身定做合適的保護方案,。
　　這兩種角色的區(qū)別在于保安保護的是整個大樓,，他不需要也無法知道誰是最需要保護的人，保鏢則是明確了被保護對象名單,，需要深刻理解被保護人的個性特點,。
　　通過上面的比喻，大家應該明白兩者的之所以會感覺相似是因為職責都是去保護,，但差異在于職能定位的不同,。從技術原理上則會根據定位來實現(xiàn)。下面通過幾個層面來分析WAF和IPS的異同,。
　　事件的時間軸
　　對于安全事件的發(fā)生,，有三個時間點：事前、事中,、事后,。傳統(tǒng)的IPS通常只對事中有效,，也就是檢查和防護攻擊事件，其他兩個時間點是WAF獨有的,。
　　事前是指能在事件發(fā)生之前通過主動掃描檢測Web服務器來發(fā)現(xiàn)漏洞,，通過修復Web服務器漏洞或在前端的防護設備上添加防護規(guī)則等積極主動手段來預防事件發(fā)生。事后則是指即使Web服務器被攻擊了,，也必須有網頁防篡改功能,，讓攻擊者不能破壞網站數據。
　　為什么不能具備事中的100%防護能力,？其實從以下幾個方面就知道對于事中只能做到相對最佳防護而不能絕對,，因為：
　　1. 軟件先天是有缺陷的，包括應用到第三方的組件和函數庫無法控制其安全性,；
　　2. 應用程序在更新,，業(yè)務是持續(xù)發(fā)展的、動態(tài)的,，如果不持續(xù)監(jiān)控和調整安全策略,，也是會有疏漏的；
　　3. 攻擊者永遠在暗處,，可以對業(yè)務系統(tǒng)跟蹤研究,，查找漏洞和防護缺陷，用各種變形繁雜的手法來探測,，并用于攻擊,；
　　4. 任何防護設備都難以100%做到沒有任何缺陷，無論是各種算法還是規(guī)則,，都是把攻擊影響降低到最小化,。
　　所以需要用一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對于事中疏漏的攻擊,，可用事前的預發(fā)現(xiàn)和事后的彌補,，形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網站并把結果形成新的防護規(guī)則增加到事中的防護策略中,，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此,，不能進一步修改和損壞網站文件，對于要信譽高和完整性的用戶來說,，這是尤為重要的環(huán)節(jié),。　　
　　如果僅僅是對于事件的時間軸有區(qū)別,，那么還是可以采用其他產品來進行輔助,，但關鍵的是事中的防護也是有深度的差異，那么下面我們來談談對于事中的差異,。
　　縱深度差異
　　事中,，也就是實時防護,，兩者的區(qū)別在于一個是縱橫度，一個是深度,。IPS凸顯的優(yōu)勢在于縱橫度,，也就是對于網絡中的所有流量進行監(jiān)管，它面對的是海量數據,，處理TCP/IP模型中網絡流量從物理層到應用層是逐層遞交,，IPS主要定位在分析傳輸層和網絡層的數據，而再往上則是復雜的各種應用層協(xié)議報文,，WAF則僅提供對Web應用流量全部層面的監(jiān)管。
　　監(jiān)管層面不同,，如果面對同樣的攻擊,，比如SQL注入，它們都是可以防護的,，但防護的原理有區(qū)別,，IPS基本是依靠靜態(tài)的簽名進行識別，也就是攻擊特征,，這只是一種被動安全模型,。如下是一個Snort的告警規(guī)則：
　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS （msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/（%27）|（‘）|（--）|（%23）|（#）/i”; classtype:Web-application-attack; sid:9099; rev:5;
　　這里主要是檢查在SQL注入中提交的元字符，包括單引號（ ' ）和雙橫（ -- ）,，從而避免注入'1 or 1=1—之類的攻擊發(fā)生,，但同時又要考慮這些元字符轉換成Hex值來逃脫過濾檢查，于是又在規(guī)則里增加了其對應的十六進制編碼后的字符串,。
　　當然,，要從簽名特征來識別攻擊要考慮的東西還很多，不僅元字符還有SQL關鍵字,，包括：select insert update等,，以及這些關鍵字的大小寫變形和拼接，利用注釋逃脫過濾,，如下所示例：
　　使用大小寫混雜的字符：SeLecTfRom“
　　把空格符替換為TAB符或回車符：select[TAB]from
　　關鍵詞之間使用多個空格：select from
　　字符串的數值編碼：0x414141414141 或 0x41004100410041004100
　　插入被數據庫忽略的注釋串：sel/**/ectfr/**/om select/**/ from
　　使用數據庫支持的一些字符串轉換功能：char（65）或chr（65）
　　使用數據支持的字符串拼接操作：'sel'+'ect '+'fr'+'om’”,、“‘sel'||'ect '||'fr'||'om'
　　可以設想一下，如果要檢測以上的變形字符后的攻擊則需要增加相應的簽名特征,，但更重要的是要充分考慮轉換編碼的種類,，上面示例的snort的規(guī)則把可疑字符以及其轉換后的Hex值放入同一條規(guī)則里檢查，如果對于變形后繁多的攻擊種類,，這是滯后的并且會造成簽名臃腫,。
　　對于比較粗淺的攻擊方式兩者都能防護，但市面上大多數IPS是無法對報文編碼做多重轉換的,，所以這將導致攻擊者只需構建諸如轉換編碼,、拼接攻擊語句,、大小寫變換等數據包就可繞過輸入檢查而直接提交給應用程序。
　　而這恰恰又是WAF的優(yōu)勢,，能對不同的編碼方式做強制多重轉換還原成攻擊明文,，把變形后的字符組合后在分析。那為什么IPS不能做到這個程度,？同樣還有對于HTTPS的加密和解密
　　產品架構
　　大家知道IPS和WAF通常是串聯(lián)部署在Web服務器前端,這兩者串聯(lián)部署在Web服務器前端時,，市面上的大多數IPS均采用橋模式，而WAF是采用反向代理模式,，IPS需要處理網絡中所有的流量,，而WAF僅處理與Web應用相關的協(xié)議，其他的給予轉發(fā),，如下圖：
　　橋模式和反向代理模式的差異在于：橋模式是基于網絡層的包轉發(fā),，基本都沒有協(xié)議棧，或只能簡單的模擬部分協(xié)議棧,，分析網絡報文流量是基于單包的方式,，所以要處理分片報文、數據流重組,、亂序報文,、報文重傳、丟包都不具備優(yōu)勢,。同時網絡流量中包括的協(xié)議種類是非常多的,，每種應用層協(xié)議都有自身獨特的協(xié)議特征和格式要求，比如Ftp,、SSH,、Telnet、SMTP等,，無法把各種應用流量放到應用層協(xié)議棧來處理,。
　　WAF系統(tǒng)內嵌的協(xié)議棧是經過修改和優(yōu)化的，能完全支持Http應用協(xié)議的處理,，這意味著必須遵循RFC標準（Internet Requests For Comments）來處理Http報文,，包括如下主要RFC：
　　l RFC 2616 HTTP協(xié)議語法的定義
　　l RFC 2396 URL語法的定義
　　l RFC 2109 Cookie是怎樣工作的
　　l RFC 1867 HTTP如何POST，以及POST的格式
　　RFC中對Http的request行長度,、URL長度,、協(xié)議名稱長度、頭部值長度等都是有嚴格要求的,，以及傳輸順序和應用格式,，比如Html參數的要求、Cookie的版本和格式,、文件上傳的編碼 multipart/form-data encoding等,，這些應用層內容只能在具有完整應用層協(xié)議棧的前提下才可正確識別和控制,，對于不完整的丟包，重傳包以及偽造的畸形包都會通過協(xié)議校驗機制來處理,。
　　上一節(jié)提到的WAF對Https的加解密和多重編碼方式的解碼正是由于報文必須經過應用層協(xié)議棧處理,。反之，IPS為什么做不到,？是由于其自身的橋模式架構,，把Http會話”打碎“成多個數據包在網絡層分析，而不能完整地從應用層角度來處理和組合多個報文,，并且應用層協(xié)議繁多,，全部去支持也是不現(xiàn)實的，產品的定位并不需要這樣,。下一節(jié)的學習模式更是兩者的截然不同的防護機制,，而這一機制也是有賴于WAF的產品架構。
　　基于學習的主動模式
　　在前面談到IPS的安全模型是應用了靜態(tài)簽名的被動模式,，那么反之就是主動模式。WAF的防御模型是兩者都支持的,，所謂主動模式在于WAF是一個有效驗證輸入的設備,，所有數據流都被校驗后再轉發(fā)給服務器，能增加應用層邏輯組合的規(guī)則,，更重要的是具備對Web應用程序的主動學習功能,。
　　學習功能包括：
　　1. 監(jiān)控和學習進出的Web流量，學習鏈接參數類型和長度,、form參數類型和長度等,；
　　2. 爬蟲功能，爬蟲主動去分析整個Web站點,，并建立正常狀態(tài)模型,；
　　3. 掃描功能，主動去掃描并根據結果生成防護規(guī)則,。
　　基于學習的主動模式目的是為了建立一個安全防護模型,，一旦行為有差異則可以發(fā)現(xiàn)，比如隱藏的表單,、限制型的Listbox值是否被篡改,、輸入的參數類型不合法等，這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護模型動態(tài)調整防護策略,。