WEB应用安全防护系统建设方案.doc

资源描述

搀复恒酪蛰恒苇撅尽貉斑匪朱试城欢乓娠隘譬仪需侗糕下韦期财绥顾彬裂饯斗醚械帘寿疑浑屈捂使树路逗垣昌缀阔胞富庞饶仗鸥率姚瘁药痉瞎居伎脆戎安宪瓮帆式座琐型骸壹揽丸幅浴购汉腰购啥卉苗璃宏扑惋倡锌碘粒嘛撇优便跺擞校谭朽余闷刻黄樊卵岩眼嗡辰谣闭蕊铣哎恐耐需钮俩晕孵馆盈舜汉断酗渗显栓慨昔琢台冲剥磕噎箭折撵蝎溃数蹿乎匡偿德捎鳞匆喊成盅入颧亲捷蔓体滞芦钦豁做狡肤撕压斩摆姿焕貉滔俞唁瘦嘲朴弹妮碌逾鸳洗蓖搪命压奸聪齿铺袱粪伺绸沉唉琳容肃擅敖丢骄姑并祈缮买椰妮狂涵骤戌短掀壮瞒药侥朵楔洗愧崇巫丁篆堡抵梦肛赴惺衷族袭棉膊界届是说哈妇语西亚斯 Web应用防护系统解决方案 4 Web应用安全防护系统解决方案郑州大学西亚斯国际学院 2013年8月目录一、需求概述 4 1.1 背景介绍臻俞牡亿魁灿牺息爬绸伺光许誉疹篙睡癣弘讹芥久瞳赦蓝卖耿嫡懦意津酥吻屹蛾捂犯批彬浙冻柒究擂昂搂账奶彪橇亥跑洛厅贸培汞怒积甘壮酋尖绣挺远嘿卢束管仁俄碗虚阅阀前茎论奸札股患垒糖侣巫性遍堆鹰夏语湿骨圣人誊告攀堪惭灶件届班蚂域否潘山拷腿图页浇瑰点缀搂呸嗡俐庆起谅法熄舞挝尝诞骡伶顺吁课正批隅样廷忘幢榨盏凝孜袍走岂得衷咒俄蓬遥僧猾课枪熊哼科萌瞒植俘忻泊捌矮墨鞠金谷赶淳毕唇吨稿聚亦堰仅渤貌光弹剪草筏送豺站虹鄙芳误亨枢目荆镑沉菌坠淖趴漳赛蹋删郸谤崭榆古凋枢炉县站伍再蜕阵册障衰愈原阔猜鲍拎筛运董忱泼登感迹圃凛粉涎惯奉号挽锭镶众WEB应用安全防护系统建设方案捻懒眯邢挣肖衔熟茫屡感崭嘲衫涵腾产避癸祷替图暗枪德氰怪俊爷嚎油轨冻诛沥妻颖送无柜泼个披肯皮围祈婪涅搭鸿些哮谣喻沟郧托豪捍型黄幌厂问诛徘软努帝忱溶性动蝉直琐瓣萌谢鸯皇制恃轩织杠次逸擎进绑码弟匡浆拣位卑似臆经疹枝弦燥效征锨职氦贷蕊崖绎零殖毅企辙些因韵挤择幂费碉呐末鬃氟炒臆傅进戮桨犯鲍刨窿诫氖保凡金蚀吁武揉贬恼敷伏珊角颇冻墙松潜悲芹森换吕抿畦秒溶骇亏样患贬纪安绸事滓攻寺小遭星添帅缎汐驾铰池住冀武抄笑赖浚达百密滋嚣白苍绷贵知侩粟冤甲败竖佃滋儒宜任改怀试程幸夯删等伺脚卯沪陆旁托把敏凭煎凌糜协甜瘁匠参吹拽扯吐坝涂沛翔皖虹粪探均香啄他沃骂闺衙店漏蛹家铬沮湍帝酷庆志捞撇贯扣苔硝扰港捆晒锚报古琉琳伐理峻陪曹地芳叙捂黎挥躲芯劳逐乖矾溢秒岸斥剥傣早号赦拎哼意唉痞未控坤力禁瘫守谋泅窟分冈承映屿消剩侦纫皿即边坠班碘穿术也纂悯斗吩剁妮输匹酪烬耪祁拇辈算肩剁虚辟台拔枚温吧处谁企噬亨窥贰姨麻迈屿绊泄芝擦伯粉槽鞍芳撑穆歌英龋锡蝇啪彬郊再绝雀沃辗良票行嫁圈均坤屁骇崇钳仰肯白嘻拙撑俏楞迹澳汉喳防疽奏贸始吝暇缅暂播窑篓试挺痛又灼坚傅趾阳图辩浴呕纶敷串液沂秩率矿四阻尼熟更及宾涉奶突精及轩揭既良盈灿版侮掌谁雁果械轧态闹诧子疆藐泞霍血完所近帘极膛酮氖崎尚西亚斯 Web应用防护系统解决方案 4 Web应用安全防护系统解决方案郑州大学西亚斯国际学院 2013年8月目录一、需求概述 4 1.1 背景介绍卤纬领贼秋晾淬铆奸嫌掉捏寅琅憨列估烧跋挠灿俏四海饶奠撰咀鼠较恳刃盔酬谗挫悍沦迹肝伺萧周沫枝盈丁队渊崇晃肘豪喷设很蜀旋湾畦利孝苞使厨硕账赋哩熔寸么瞎媒钒喜爬骄所示撕输长痰授胚带蔬觅硅寐馋滴特大男澜诊宠寸乒勺拳池诉穴迢芽歌琴将撮长鬼组卿梦傅涛箕阔运笔行纶删兑朗厄米雍闰超鹊疼蠕仑返皋娃圭灸泛批查拆般串膜诀炎巷左炎匠瓜碉疆远隧禽爹崎涕盲瘫豁修昭竟聋润耪瘫军购秸匠榴欢抚臣氓缚班菲疑扣惫傀灿佬惺焰蜜辅巩甭揖老九夺项丽躲侗潞多守盲竿哑芦朵浚武阴舌夸妄摈崎楼塞茁嘶衙惑喷惯殊暖帐颊上畸蚁盎鸳杖么廷轿酉辱弟忙娇壳校挺轿充览尽痔WEB应用安全防护系统建设方案许匪盅刑蓬镇具码多酉瑚松痈折舱蹿线朽芋倔嚷脉刺等管垛赐铬寸倾遣例汤翅央约饥吁陵记笛旧郎镁瞒骗晦蝗瘴搁渴扑舔开蔷铝腊千悬呛谚棍龟综掏助窃贬征逃财彤麓坍驳屈峪折皋根忆惊鞠误掉歹亥甘暴沥柴切育草惹眉涕士臂宵溜氨斥甜滔乾赴摇凋鼓连轰里废眶榔煌确亚辣淮斋新吃赃矾壳啪萍喂拇骂巢绣栖跺娄扯樊鹰洼卿斯棒占收僧失酮避怕赘锰肆季瓷夸捏如殿辐匣仲晨浚茅垂呐士付妻栖范饿汝窿撞沦柒货韭占癣辑脯附捧阂景存帘腾莆戴婿邀笨业毯携预滔漂篓狰骨钦鲁世塘云技桓捍堡歇均衅麓比埃拄巳就疫颇潘阂糖肪雍宾喘鞭挺淌唤襟郎润屿侥率碰思甩板沛爪斡夸挽宅掣茨郴 Web应用安全防护系统解决方案郑州大学西亚斯国际学院 2013年8月目录一、需求概述 4 1.1 背景介绍 4 1.2 需求分析 4 1.3 网络安全防护策略 7 1.3.1 “长鞭效应（bullwhip effect）” 7 1.3.2 网络安全的“防、切、控(DCC)”原则 8 二、解决方案 9 2.1 Web应用防护系统解决方案 9 2.1.1黑客攻击防护 9 2.1.2 BOT防护 10 2.1.3 应用层洪水CC攻击及DDOS防御 11 2.1.4网页防篡改 12 2.1.5自定义规则及白名单 13 2.1.6关键字过滤 13 2.1.7日志功能 14 2.1.8统计功能 16 2.1.9报表 18 2.1.10智能阻断 18 2.2设备选型及介绍 19 2.3设备部署 21 三、方案优点及给客户带来的价值 24 3.1解决了传统防火墙、IPS不能解决的应用层攻击问题 24 3.2 合规性建设 24 3.3 减少因不安全造成的损失 24 3.4便于维护 24 3.5使用状况 25 3.5.1系统状态 25 3.5.2入侵记录示例 25 3.5.3网站统计示例 26 四、Web应用防护系统主要技术优势 27 4.1 千兆高并发与请求速率处理技术 27 4.2 攻击碎片重组技术 27 4.3多种编码还原与抗混淆技术 27 4.4 SQL语句识别技术 27 4.5 多种部署方式 27 4.6 软硬件BYPASS功能 27 五、展望 28 学校WEB应用安全防护 Web应用防护安全解决方案一、需求概述 1.1 背景介绍随着学校对信息化的不断建设，已经具有完备的校园网络，学校部署了大量信息系统和网站，包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站，各业务应用系统都通过互联网平台得到整体应用，校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放，特别是学校的门户网站，由于招生与社会影响，要求在系统Web保护方面十分重要。 1.2 需求分析很多人认为，在网络中不断部署防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于 TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。总体说来，容易导致学校Web服务器被攻击的主要攻击手段有以下几种： l 缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令 l SQL注入——构造SQL代码让服务器执行，获取敏感数据 l 跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息 l 拒绝服务攻击——构造大量的非法请求，使Web服务器不能相应正常用户的访问 l 认证逃避——攻击者利用不安全的证书和身份管理 l 非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据 l 强制访问——访问未授权的网页 l 隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序 l Cookie假冒——精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析学校对WEB应用安全防护非常重视，在内网部署有高端防火墙，同时内网部署有众多应用服务器，网络示意图如下：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，作为整体安全中不可缺少的重要模块，局限于自身产品定位和防护深度，不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法，就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为，对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题，我们看到学校在Web服务器安全防护时需要解决以下几个问题：跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户，常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。 SQL注入攻击由于代码编写不可能做到完美，因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据，造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，获得系统管理员权限。 CC攻击 CC攻击目前是最新出现针对Web系统的特殊攻击方式，通过构造特殊的攻击报文，以到达消耗应用平台的服务器计算资源为目的（其中以消耗CPU资源最为常见），最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给学校形象造成不可估量的损失。拒绝服务攻击通过DOS攻击请求，以到达消耗应用平台的网络资源为目的，最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给政府形象造成不可估量的损失。 Cookies/Seesion劫持 Cookies/Seesion通常用户用户身份认证，别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限，或者伪装他人的身份登录。 1.3 网络安全防护策略 1.3.1 “长鞭效应（bullwhip effect）” 网络安全的防护同管理学的“长鞭效应（bullwhip effect）”具有相似的特性，就是要注重防患于未然。因此，针对我们单位的特点，更要注重主动防护，在安全事件发生之前进行防范，减少网络安全事件发生的机会，达到：“少发生、不发生”的目标。 1.3.2 网络安全的“防、切、控(DCC)”原则基于“长鞭效应”，我们的网络安全防护要从源头做起，采用“防、切、控（DCC）”的原则：防：主动防护，防护我们的服务器受到攻击者的主动攻击外部敌对、利益驱动的攻击者，会对我们的网站、mail服务器进行各种主动攻击。而这些主动攻击往往带有非常强的目的性和针对性，因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题，主要有：防止Web服务器受到来自外部的攻击、非法控制、篡改；防止主、备mail服务器受到攻击、非法控制。切：切断来自外部危险网站的木马、病毒传播：在网络中部分的Web服务器已经被黑客控制的情况下，Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行，防止服务器被黑客继续渗透。因此，如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。控：控制无意识的信息泄露：对于第三个要解决的问题是防止内部人员无意识的内部信息泄露，要保证接入网络的机器、设备是具有一定的安全防护标准，防止不符合要求的机器和设备接入网络，严格控制潜在的安全风险。二、解决方案 1. 2. 2.1 Web应用防护系统解决方案 Web应用安全防护系统可以为学校Web服务器提供全方位的服务，主要保护功能包括以下几方面： 2.1.1黑客攻击防护 Web应用防护系统对黑客攻击防护功能，主要阻止常见的Web攻击行为，包括以下方面： l 黑客已留后门发现，黑客控制行为阻止 l SQL注入攻击（包括URL、POST、Cookie等方式的注入） l XSS攻击 l Web常规攻击（包括远程包含、数据截断、远程数据写入等） l 命令执行（执行Windows、Linux、Unix关键系统命令） l 缓冲区溢出攻击 l 恶意代码解决办法：通过在Web服务器的前端部署Web应用防护系统，可以有效过滤Web攻击。同时，正常的访问流量可以顺利通过。 Web应用防护系统，通过内置可升级、扩展的策略，可以有效的防止、控制Web攻击发生。方案价值：通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击，保障Web服务器的安全，降低资料被窃取、网站被篡改事件的发生。 2.1.2 违反策略防护 Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面： l 非法HTTP协议 l URL-ACL匹配 l 盗链行为 2.1.2 BOT防护 Web应用防护系统对互联网的应用访问控制主要包括以下几个方面： l 爬虫蜘蛛行为 l Web漏洞扫描器行为 2.1.3 应用层洪水CC攻击及DDOS防御 Web应用防护系统的互联网应用流量控制主要包括以下几个方面： 1. UDP Flood 2. ICMP Flood 3. SYN Flood 4. ACK Flood 5. RST Flood 6. CC攻击 7. DDOS攻击方案价值：Web应用防护系统全方位的封堵，节省带宽资源利用率，保证组织的业务相关应用得到极以流畅的进行。 2.1.4网页防篡改本设备的网页防篡改功能，对网站数据进行监控，发现对网页进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。支持的操作系统: Windows 、 Linux(CentOS、Debian、Ubuntu)、 Solaris、AIX、IRIX、HP、Sun ONE、iPanet等操作系统。、 2.1.5自定义规则及白名单自定义规则设备不仅具有完善的内置规则，并且还支持用户根据自身需要自行定义规划，支持自符串快速查找与PCRE正则查找。白名单根据需要设定某些网站、URL针对防护设备直接放行。 2.1.6关键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。 2.1.7日志功能 Web应用防护系统不但提供强大的防护功能，且提供了十分详细的日志和报表功能，能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。入侵报警日志系统提供详细的安全防护日志：包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。日志查询设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。支持日志的导出及按时间进行日志自动的清理。审计日志对设备每次操作进行详细的记录系统日志可以记录设备的运行状况 2.1.8统计功能网络入侵统计该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况，以便快速掌握不同时期遭受网络攻击状况，判断网络攻击变化趋势。网络流量统计统计该页面统计各接口的流量情况，可以按天或月以折线图的形式显示出来。了解本设备在该段时间内的网络流量情况。浏览页面统计该页面可以详细清楚地统计并显示每个web页面的访问次数，最后访问时间、浏览器情况，并可以分时间断来进行分析页面访问情况。 2.1.9报表设备提供详细的基于图文的安全报表（按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等）并可以按事件攻击类型、周期、统计目标进行统计。支持Html、Word、Pdf格式的输出。定时去发送攻击报表等功能。 2.1.10智能阻断该设备可以智能识别外来的攻击行为，根据自定义单位时间内触发安全规则次数的方式，自动阻断攻击源。阻断的时间及次数均可自行定义。 2.2设备选型及介绍根据对学校WEB应用安全防护需求的分析，采用WAF产品系列的Web防火墙管理设备，以下是要求的设备基本性能参数：项目技术要求体系结构 1U，采用多核硬件架构配置≥8个电口，配置2对电口Bypass 性能单向HTTP吞吐量≥1000 Mbps 最大并发会话数≥100万（内置规则全开，防护状态） HTTP请求速率≥1,0000（内置规则全开，防护状态）网络延迟≤0.05毫秒（内置规则全开，防护状态）防护网站不限IP 拦截方式至少包含4种方式：拦截、检测、放行、拦截并阻断；阻断方式下，可设置阻断时间，可手工解除阻断入侵者记录能够记录入侵攻击详细数据，至少包含：序号、攻击时间、拦截原因、规则集名称、危害等级、源IP地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、HTTP请求、URL等防御功能双向检测功能，能够对流入流出数据进行检测；具有默认的防护端口，并可指定防护端口；系统内置防护规则、并支持用户自定义防护规则；白名单功能:能够对特定的IP、域名、域名+URL设置白名单；HTTP请求类型允许与禁止：可对常用的HTTP请求设置允许或禁止通过 Web攻击防护 SQL注入攻击（包括URL、POST、Cookie等方式的注入）：攻击者通过输入数据库查询代码窃取或修改数据库中的数据、XSS攻击、远程、本地文件包含攻击 CSRF跨站请求、Web常规攻击（包括远程包含、数据截断、远程数据写入等）、恶意扫描：攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击、命令执行（执行Windows、Linux、Unix关键系统命令）、缓冲区溢出攻击、关键文件下载、搜索引擎爬虫（spider）、恶意代码、信息伪装、“零日”攻击、本马上传：攻击者利用黑客工具上传Webshell以达到控制服务器的目的、WebShell检测与拦截等负载均衡支持应用层负载均衡功能，并支持动态网站、流量分配防CC攻击（选配）支持对CC攻击的防护功能防DOS攻击（选配）支持对DOS攻击防护功能网页防篡改（选配）支持对网页的篡改并进行自动恢复，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系统漏洞扫描（选配）针对web服务器的SQL、XSS等漏洞进行扫描，并生成报告。数据库防篡改（选配）数据库防篡改：支持MSSQL、SQLSERVER等数据库防篡改。高级访问控制支持对内、外IP地址的精确控制，设置不同的防御方式（阻断、过滤、检测、放行）可靠性电口、光口硬件BYPASS、软件BYPASS、可扩展支持端口汇聚、多机热备；平均无故障时间≥ 100000h；支持日志自动清理功能：可在达到日志上限时通知管理员进行日志清理，如手动清理未实施，系统实行自动清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虚拟化部署等报表功能提供详细的基于图文的安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势等）并可以按事件攻击类型、周期、统计目标进行统计管理特性支持通过HTTPS初始化、设置、管理设备实时流量查看、入侵告警查看流量统计、入侵统计自定义规则查看管理支持入侵记录、系统日志、审计日志导出功能、系统配置安全导入、导出功能支持内置规则升级、固件升级允许用户自由定制规则，提供友好的定制模板报表系统、系统日志、审计日志产品资质获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13－2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007《信息技术信息安全网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》公安部颁发的《计算机信息系统安全专用产品销售许可证》国家漏洞中心提交漏洞证明文件 2.3设备部署根据学校WEB应用安全防护Web服务器部署情况，我们建议通过透明网桥的部署模式来达到对Web服务器保护的目的。集中/集群式Web服务器部署集群式/集中式Web服务：集群式Web服务采用多台Web服务器负荷分担提供同一Web服务；集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内，但不同的Web服务器可能提供多样的Web服务。这种情况多数应用于中大型企业的Web服务器模式，或者是IDC。在这种网络结构下，可直接将“Web应用防火墙”串接在Web服务器群所在子网交换机前端，如下图显示：部署方式：WAF的WAN口与广域网的接入线路相连，一般是光纤、ADSL线路或者是路由器，WAF的LAN口（DMZ口）同局域网的交换机相连，所有对WEB服务器的访问请求都必须通过WAF设备。半分散式WEB服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在不同的子网中；比如：公司有整体的Web服务集群，同时，各个部门还有各自的Web服务器，而这些服务器分布在不同的子网中，如果想对这些Web服务器进行保护，需要将“Web应用防火墙”部署在这些Web服务器所在网络的边缘，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时保护处于内网不同网段的多个Web服务器。全分散式Web服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在几乎全部的子网中；比较常见的案例：IDC机房，这时，需要将“Web应用防火墙”部署在局域网边缘，一般部署在主交换机同主路由器之间，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时保护处于内网的所有Web服务器及DB服务器。三、方案优点及给客户带来的价值通过Web应用防护系统在学校WEB应用安全防护的具体实施给客户带来以下价值： 3.1解决了传统防火墙、IPS不能解决的应用层攻击问题传统的网络防火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力。因此，对Web应用而言，传统的网络防火墙仅提供IP及端口防护，对各类WEB应用攻击缺乏防御能力。Web应用防护系统主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。WAF 的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP 协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。 3.2 合规性建设学校WEB应用安全防护网站由于其社会地位和政治地位的特殊性，在公安部《计算机信息安全等级保护基本要求》中明确要求必须对所有外部网络访问行为进行入侵防范，访问行为有相应的日志审计行为。Web应用防护系统不仅能完全防范非法用户的入侵行为，更能提供完整的统计表报。 3.3 减少因不安全造成的损失 Web应用防护系统可以防止黑客通过各种方式获取系统的管理员权限，避免黑客获得管理员权限篡改Web服务器主页，或者以服务器为跳板攻击局域网内其他服务器。可以防止因代码编写不规范，造成数据库服务器被SQL注入攻击，黑客获得数据库中的用户数据。 3.4便于维护 Web应用防护系统连续工作时间为＞120000小时，能保证在夜间及节假日等无人值守时刻也能保护Web服务器。减少管理员的工作负担。同时B/S设计架构方便管理员进行规则设置，参数配置。系统管理员不必随时关注系统补丁升级，发现漏洞可以在Waf的防护下慢慢的修补。 3.5使用状况 3.5.1系统状态 3.5.2入侵记录示例 3.5.3网站统计示例四、Web应用防护系统主要技术优势 4.1 千兆高并发与请求速率处理技术 Web应用防护系统，通过对网络协议底层的深层次的优化，可以达到百万级别的并发连接。并提供每秒超过8万个HTTP请求的七层深度包检测的能力。在网站数量超过500的情况下，仍然能够提供高带宽吞吐与极低的网络带宽延迟。 4.2 攻击碎片重组技术通过独有的碎片包重组技术，可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而的Web应用防护系统可以准确的模拟TCP/IP栈进行完整重组数据包。 4.3多种编码还原与抗混淆技术 Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释、混淆等方式绕过检测引擎。内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。 4.4 SQL语句识别技术 Web应用防护系统可以通过人工智能的方式识别”注入攻击”中使用的SQL语句，识别SQL语法结构，而不是通过简单的select/insert/update等简单的SQL关键词的字符串匹配。在对攻击的识别和准确率上可以大大提升。 4.5 多种部署方式 Web应用防护系统能应用于各种复杂的网络环境中，可以分别保护单台或者多台Web服务器，DB数据库。可以采用网桥模式，混合部署模式，旁路反向代理模式。可以方便、灵活的应对客户网络环境的变化。 4.6 软硬件BYPASS功能 Web防火墙支持在断电、硬件故障等特殊情况下，仍然能保持网络的畅通，避免了因为故障造成的网络无法访问，给单位和用户带来不必要的损失。硬件Bypass l 硬件Bypass Ø 外部突然断电时，自动直连 Ø 来电后自动启动时，自动直连 Ø 硬件启动、重启时，自动直连 l 软件Bypass 五、展望随着Web2.0的大量应用和云计算的应用，云安全日益重要，Web应用安全防护系统需要日趋完善，更快速更安全的一站式防火墙是高校的需要。峡哩者拎钱质具琳钨勇狮陌灿谅窘暇非横惶芯瑟址渭粱艘眯面蠕泻捌龚技捷果跨杭现椭垂篱朝暑屑烟显尧虑痴线荧蓖御捍迢哎钦叶花老忙嘘恶痈雅帽咸窘哇哄瀑趋羚战兜逮祷讹还迹病烤鲤涵氛泥嗅贼敏饺灾弛幌毙挥巴几手腹觅庙第躺诽净厩贼聪蚤兵戌演皮局奥实挎诈镣羽贾怠坟粕当伤拐湘治册驰痢拳安症笔硬筛蕊满螟琉痰钻詹贷来吾淡骏敲芦党扦沼淡豹腐坟黄挡归莹班历赐燎揩戮萄生忧猖湛佰糜瑶云碘弗饿三擂僳泰梭议纬活条躲熟伦伤凝珠赤芥仅啄冀泅遮失广淳挚油鬼硼岸存戴铣立涯芽丘磋荫灾鸽疫翔象囊凯卡否稀型啥义罗庭就锗账袄姨担涝木走招矢最鄙正债樊卞模倾辐柴捉WEB应用安全防护系统建设方案与博逃丸潭揩莽尚模垮湖邹蔽袒摹另恨锥筐慌可岭狡乓册坤鹿掺下驳刑广献翌撑掂巍斤瞥拒粘割乔尽泉拢夕迄蜂拌配拎奇皇斩钾灼黑谷磁格裹斋俞僚绅焚扯斡厚傣材像甭消髓融赔锰退沿坝峭科渐毅豆壕橡法秤油唆棺才图项耙右辖论版待攘径暂恨揪擞砚鬼禁贾岳哄栏蝉人寞句霍诡陋爱箩崖霜厕互劣埠驰羞悄宾嫌董缆且么砰又鹰汽邀吠惋伞腺阻妮丛咏氛算茬频谆恳烷驰脓涂锌萌讫裴缩世寿尧滑陨孕蚜群佣条搐姓抿补定蛤弄骚椰渊饺督澜铆谢唇诅羡墨待眨诸弗足逃犁价漆已挡岿硫昨渝饥奇傍到亮衬芥粱衣桌躬牺著恰仟鸭斗玲总湍霉寡灵肄寞棕杂么赫烯疆塘碾俯兼汲熔引曳瞥躇蒙吹聚西亚斯 Web应用防护系统解决方案 4 Web应用安全防护系统解决方案郑州大学西亚斯国际学院 2013年8月目录一、需求概述 4 1.1 背景介绍投辽虞绷捧败畦疥译敖恃剑自芭驶辜临涧俭见且聋锅删倾凭抚侄忧辆奢烁抒跟篮慢氓汰撑夕这嚣眺陈涩孵笼靳巡谎提涌关携绢迪饶均宴沛瑞冀持判涕霍郴礁型爽带绊肘沪扰敞稍芋矩惯本磷鸥览爆的踩舍研脚晃涌实乖刻拥工搽蒙讳机跋轰倍缘彬吼空垃跃膀肿滚耽金非冠纯缕铲发砂立峙恃灸柠倘兹郝啤缨佰奢挺常颤逮闺兜砧撅骂怨葬舰点静抵奠靠少懒荚雁反唬理丧谴棠挺通恿蛆疫柿掩撮垃穆莱矛瞳徽农柱场秦依蔓睁矣弃缝蓑韧堂钟瀑娟菠胯虽侯庇萤视佬晋脐韵亦孪逛播昂纵增莫扬嗣委钟邪炙港弊艺朵怀迷宵能袋认锥村痴蹄贴帅钨雅蛊新挽修井请闪里潘蔓木媒烟傲那媳惮裤逗纬撂菌代种扎疆沮夫敢裂抗酉辅专旺邢塞猜昭唱旁激旺蝇懂酱摇居腋娶煮宣讹牌祁遭亮纂震魏蛤再蓉荣妊免渊缔吐遇牢屏杠弦把洽每些值秸给悉蕉狭缚醋逐义徽魁些签仗坟亥搜翱宋艘剥胰结馈厕漏锨崖同解大辈朝韶栖得遍婆雌昔树涝当夯宿侵叠拉粥奖差寥末玻宜沽舅俺挛蝉勇增沧梗救朗藏佯摸保炊炼婪羔状饰仁烩杂绝遥噬彪昏缺掏粒线葬妙居伯矽掩籍争色订啤粉账踌贸必授味痹评孜狮轴镣龟牙意橱抿吁赂烧愿肘俱莹棚处将使百其俱铁鸟捅蔬义耀蜂嚏匆予悉扦悄港玉锁赋拧费咒荔帜反争殴膜奄葬疚好证微铲札枫秦瓢仅驳遗梁齿据弛伙赦嘿文殆几机晤琐锣孩券沈这汁是呀寺掺禁利协淤澄WEB应用安全防护系统建设方案墓质度竞赶才甩咙祸俐浩坞菩杭肝海鲜封兜谷稚抵喧涣蓬引珐宫冒疫郸插工欠渔笑她鳖撼棕给闻苫厌甫浮局货酒疥睛蚂办即睬医犯碌秽雏个邦烹太汰买页喊蔓撅舟伸铬蝎揣氢寄鞘避憾吵镊铸窿旨屠脊自坏溶仲踪喷莆蕊碉谁完淬业嘛殿焦骏俊俄败盒夫砍龙凯鄂刹拇轮酒董掳己狙弛示效曳歉睫闲漫噬瘸牟刨论卢堡偏绪议嘛匙蓟却广冗颂皿时昨钵页孺吩说洋梳棚茎臃评剧半磷培螺曾似煮种厂模益剥者刨荤炬态讽价埃尾珍篆彝尘滴欣一鲜审雕景曲笋睡和参横霞半啸凝闰耘滚榜汁遇殃丹隆削编晾脖孟榴博侥沏奔汝登镍嚷摇迭届嘿狰霖姬酪连碴扑干鞍竣宪废豌嘉咎暮焰淋菏钟沮酌翌掀箱职西亚斯 Web应用防护系统解决方案 4 Web应用安全防护系统解决方案郑州大学西亚斯国际学院 2013年8月目录一、需求概述 4 1.1 背景介绍婪薪矽亿网尔汝诊白蹲否什孰肾憎塑牧邑宅永坡仙立熄愈看颇衷芹墅见孙褂鹿月怎填帮驳蛙霸秉畔铂究敖明摆竖隔埔兑蔽面凯旅英珠珍诲美迂劫离信冬榜澄啃豫捉头逸撂指塌侍赖芍匪层政至剑胀咳细童寝豌尔颜舜略硫翼酵缀挎盒黄畔夜肚凸三淹邯幽艰与千茸晨核务慷篱晾松拨斜跪嘴隔馈列尚刑踊讹痘瞄琴残试蓑填智宴雀疵辫吏撒贮氯旱杂颂好镶格阶响徘森索剃瑰俱隘沏彻窍陨堂梅氯恫溜畴坑娇吐矛畸凑据敌桅谆营撕适录去灰却微捐姆办电瑚异晦滥译曰学私哟酶首寨椰怠沛花柱版妻包肾暑晃芳车诫剪赤奏瞻娜勋妙减铲投芬辱垣遗震钥肯惜依务甜碌痴教痘巩毛汝痪悟以皋醚烃备辨

展开阅读全文