Web业务边界被绕过事件屡见不鲜，原因是什么？

根据 Neustar 国际安全委员会2020年的调查，49% 的安全专业人员表示，在过去 12 个月中，超过四分之一的 Web 应用攻击都是采用绕过手段并且入侵成功。其根源在于利用HTTP协议复杂性成功绕过边界防御，具体如下：

1、多种攻击入口：HTTP协议请求结构复杂，对攻击者来说意味着存在多个攻击入口。

HTTP协议请求结构

2、多种编码方式：由于业务不可预测的变化性、大量的Web框架和Web服务器，导致编码类型和编码顺序复杂多样，如果安全设备对编码类型识别不全，或只能对特定编码顺序的数据进行解析，则攻击者可以利用编码轻松绕过，安全能力大打折扣。

3、多种语句变化：攻击者会采用业务也经常使用的操作（如转义、拼接、赋值等）来隐藏其恶意，如果安全设备无法深入理解代码语义，还原攻击特征，则无法应对各种绕过攻击。

基于HTTP解析链，深信服下一代防火墙全程有效防御攻击

从HTTP解析链分析来看，要加强Web防绕过能力需要从协议异常解析能力、编码解析能力，以及语句深度识别能力三方面入手。

首先，加强协议异常解析能力。

对HTTP请求协议的每一部分针对性加强解析能力：针对请求行，对不常见的HTTP请求方法（PUT、Delete等）设置黑白名单，达到请求方法的“权限最小化”；针对请求头，覆盖所有头部字段的攻击检测，如Content-Type随机大小写变化、重复头部字段等问题；针对请求体，加强对Multipart、 Chunk等格式的数据进行攻击检测。

针对协议层面暴露的绕过风险，深信服下一代防火墙深入加强HTTP协议异常解析能力，全面覆盖请求行、请求头及请求体各个字段的检测，HTTP协议异常检测率高达90%以上。

其次，加强编码解析能力。

1）基于编码特征的数据还原：通过依次循环识别编码类型，走到相应的解码过程。无论攻击者依据什么样的编码顺序进行编码，对于解码过程都不会有影响。

基于编码特征的数据还原

2）提升编码类型的识别率：不论是常见编码还是小众编码，是单一编码或混合编码，都能成功解析。

3）提取关键字段靶向分析：一方面增大编码类型识别的准确度，另一方面也能进一步降低检测过程中其他字符的干扰。

提取关键字段靶向分析

针对过去由于编码类型覆盖不全、多层编码无法解析等原因，导致传统边界安全设备容易被绕过的问题，深信服下一代防火墙基于以上技术，实现了更全面、更精准的编码解析能力，整体编码解析率达99.24%，包括其他边界安全设备覆盖率低的小众编码290余种，如utf-7、 utf-16(BE/LE) 、utf-32(BE/LE) 等。

另外，加强攻击语句检测能力。

目前大多数检测引擎支持词法分析、语法分析和语义分析三件套，即分析其参数、操作、类型等，然后判断符合哪种语法，最后根据可疑的攻击特征来进行判黑。而面对攻击者有意识地隐藏攻击特征的行为，需要增加对语句的虚拟执行，根据执行后的结果进行判定，实现高精度的检出效果。

针对攻击者构造的隐藏恶意代码，深信服下一代防火墙的WISE智能语义引擎，在已有的词法+语法+语义解析的基础上，创新引入了虚拟执行技术，通过自底向上遍历语法树，执行可疑的操作，高度还原绕过手法，识别请求的真实意图。

WISE智能语义引擎解析示例

最后，联动云端蜜罐，主动诱捕并深度溯源「绕过攻击」。

除了从HTTP解析链全过程加强防绕过能力，深信服下一代墙还对绕过攻击进行主动诱捕和深度溯源，即联动云蜜罐。

针对传统的被动型安全防御面临的攻击行为感知不及时、分析过程繁琐、处置效率低等问题，深信服下一代防火墙通过部署一些作为诱饵的伪装业务，诱捕攻击行为，再引流至云端蜜罐，通过云端蜜罐的高仿真虚拟环境及多种分析引擎，实现：

一诱捕攻击，转移黑客攻击，保护真实业务；

二深度溯源攻击者画像，实现监控取证；

三针对攻击者唯一指纹进行封锁，即使更换攻击IP仍可拦截。

下一代防火墙主动诱捕及深度溯源功能展示

一个小福利：试用云蜜罐一个月

感兴趣的快来试试吧

扫描下方二维码

体验主动诱捕及深度溯源能力

聚焦安全效果，深信服下一代防火墙秉持“提升用户业务边界安全效能”的安全理念，不断进行技术更新，持续增强安全能力，更有效的帮助用户抵御安全威胁。截止目前，深信服下一代防火墙有10万+台设备稳定运行，覆盖全行业，赢得各级政府单位、教育、医疗、大型企业、金融等众多用户的认可，广泛应用于互联网出口、对外业务发布、分支机构、数据中心、物联网等场景,为更多用户业务提供持续的安全保护！