WEB應(yīng)用安全解決方案

1、WEB應(yīng)用安全解決方案- PAGE * ROMAN II -目錄 TOC h z t 附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標(biāo)題 1（綠盟科技）,1,標(biāo)題 2（綠盟科技）,2,標(biāo)題 3（綠盟科技）,3 HYPERLINK l _Toc498631254 一. 應(yīng)用目的 PAGEREF _Toc498631254 h 1 HYPERLINK l _Toc498631255 二. WEB應(yīng)用防護(hù)系統(tǒng)功能 PAGEREF _Toc498631255 h 2 HYPERLINK l _Toc498631256 三. WEB應(yīng)用防護(hù)系統(tǒng)的應(yīng)用 P

2、AGEREF _Toc498631256 h 5 HYPERLINK l _Toc498631257 3.1 網(wǎng)頁(yè)篡改防護(hù) PAGEREF _Toc498631257 h 5 HYPERLINK l _Toc498631258 3.2 網(wǎng)頁(yè)掛馬主動(dòng)掃描 PAGEREF _Toc498631258 h 6 HYPERLINK l _Toc498631259 四. WEB應(yīng)用防護(hù)系統(tǒng)的部署 PAGEREF _Toc498631259 h 7 HYPERLINK l _Toc498631260 4.1 系統(tǒng)具體部署 PAGEREF _Toc498631260 h 7 HYPERLINK l _Toc

3、498631261 4.2 推薦產(chǎn)品 PAGEREF _Toc498631261 h 8插圖索引 TOC h z t 插圖標(biāo)注（綠盟科技）,1 HYPERLINK l _Toc498631250 圖 2.1 NPRS安全建模 PAGEREF _Toc498631250 h 3 HYPERLINK l _Toc498631251 圖 3.1 ICEYE WAF網(wǎng)頁(yè)篡改防護(hù)解決方案 PAGEREF _Toc498631251 h 5 HYPERLINK l _Toc498631252 圖 4.1 WEB應(yīng)用防火墻部署 PAGEREF _Toc498631252 h 8PAGE 應(yīng)用目的響應(yīng)國(guó)家中華

4、人民共和國(guó)政府信息公開(kāi)條例號(hào)召，各地黨政部門(mén)積極深入發(fā)展電子政務(wù)建設(shè)，推行政府信息公開(kāi)，提高政府工作的透明度，充分發(fā)揮政府信息對(duì)人民群眾生產(chǎn)、生活和經(jīng)濟(jì)社會(huì)活動(dòng)的服務(wù)作用。政務(wù)網(wǎng)站()是各地電子政務(wù)建設(shè)的重要組成部分，作為當(dāng)?shù)卣嫦蛏鐣?huì)的窗口，是公眾與政府互動(dòng)的重要渠道。當(dāng)前國(guó)際、國(guó)內(nèi)的政治形勢(shì)和經(jīng)濟(jì)形勢(shì)比較特殊，又正值我國(guó)改革開(kāi)放三十年和北京奧運(yùn)會(huì)。期間必須有利保障政府網(wǎng)站穩(wěn)定運(yùn)行。近年來(lái)，網(wǎng)站安全問(wèn)題越來(lái)越復(fù)雜，Web服務(wù)器以其強(qiáng)大的計(jì)算能力、處理性能及所蘊(yùn)含的高價(jià)值逐漸成為主要攻擊的目標(biāo)。針對(duì)網(wǎng)站，各類安全威脅正在飛速增長(zhǎng)。2007年，CNCERT/CC監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)累積

5、達(dá)61228個(gè)，比2006年增加了1.5倍。Google最新數(shù)據(jù)表明，過(guò)去10個(gè)月中，Google通過(guò)對(duì)互聯(lián)網(wǎng)上幾十億URL進(jìn)行抓取分析，發(fā)現(xiàn)有300多萬(wàn)個(gè)惡意URL。其中，中國(guó)的惡意站點(diǎn)占到了總數(shù)的67%。傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì)Web應(yīng)用攻擊完善的防御能力。因此，政府網(wǎng)站有必要采用專業(yè)的安全防護(hù)系統(tǒng)，有效防護(hù)各類攻擊、降低網(wǎng)站安全風(fēng)險(xiǎn)。WEB應(yīng)用防護(hù)系統(tǒng)功能黑客攻擊技術(shù)是不斷發(fā)展的，安全產(chǎn)品面對(duì)的是充滿“智慧”的攻擊者，Web安全攻防是持續(xù)變化的過(guò)程。此外，我們還需要考慮降低安全風(fēng)險(xiǎn)各類組織需付出

6、的合理代價(jià)?！按鷥r(jià)”不僅僅意味著購(gòu)買安全產(chǎn)品產(chǎn)生的直接支出，還需要考慮該產(chǎn)品的部署是否影響網(wǎng)站的正常業(yè)務(wù)流程、是否給維護(hù)人員帶來(lái)較大的管理開(kāi)銷、是否影響Web業(yè)務(wù)的性能。推薦使用綠盟科技冰之眼Web應(yīng)用防火墻（又名冰之眼Web應(yīng)用防護(hù)系統(tǒng)，以下簡(jiǎn)稱ICEYE WAF）來(lái)進(jìn)行政府網(wǎng)站的防護(hù)工作。ICEYE WAF，是綠盟科技自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象為Web服務(wù)器。ICEYE WAF針對(duì)安全事件發(fā)生時(shí)序進(jìn)行NPRS（NSFOCUS Proactive and Reactive Security）安全建模（如圖1.1所示），分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描

7、、防護(hù)及診斷，提供綜合Web應(yīng)用安全解決方案。 NPRS安全建模事前，ICEYE WAF提供Web應(yīng)用漏洞掃描功能，檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對(duì)黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測(cè)、阻斷及防護(hù)。事后，針對(duì)當(dāng)前的安全熱點(diǎn)問(wèn)題，網(wǎng)頁(yè)篡改及網(wǎng)頁(yè)掛馬，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。其主要優(yōu)勢(shì)及功能如下：無(wú)縫集成Web漏洞掃描很多Web應(yīng)用安全問(wèn)題，究其根本原因，是因?yàn)榛ヂ?lián)網(wǎng)網(wǎng)站開(kāi)發(fā)人員在開(kāi)發(fā)頁(yè)面時(shí)，沒(méi)有遵循安全代碼開(kāi)發(fā)的要求所引起的?；诰G盟在安全漏洞研究領(lǐng)域的多年積累，ICEYE WAF提供Web應(yīng)用掃描功能

8、，檢測(cè)諸如SQL注入、跨站腳本（XSS）等安全漏洞，對(duì)可能的漏洞利用攻擊手段提供事前預(yù)防，從而增強(qiáng)Web應(yīng)用自身的安全。全面Web應(yīng)用防護(hù)ICEYE WAF應(yīng)用了先進(jìn)的多層防護(hù)體系，對(duì)Web應(yīng)用攻擊進(jìn)行了廣泛且深入的研究，固化了一套針對(duì)Web應(yīng)用防護(hù)的專用特征規(guī)則庫(kù)，對(duì)當(dāng)前國(guó)內(nèi)主要的Web應(yīng)用攻擊手段實(shí)現(xiàn)了有效的防護(hù)機(jī)制，應(yīng)對(duì)黑客傳統(tǒng)攻擊（緩沖區(qū)溢出、CGI掃描、遍歷目錄攻擊等）、蠕蟲(chóng)攻擊以及新興攻擊（SQL注入和跨站腳本攻擊）等手段。對(duì)于蠕蟲(chóng)變形，ICEYE WAF基于關(guān)聯(lián)分析技術(shù)進(jìn)行有效識(shí)別和阻斷告警。對(duì)于混合型攻擊，ICEYE WAF提供多重檢查機(jī)制和智能分析，確保對(duì)高安全風(fēng)險(xiǎn)級(jí)別攻擊事

9、件的準(zhǔn)確識(shí)別率，同時(shí)也有效避免告警誤報(bào)率高為用戶帶來(lái)的告警風(fēng)暴。細(xì)粒度應(yīng)用層DDoS攻擊防護(hù)ICEYE WAF應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，可防護(hù)各類帶寬及資源耗盡型拒絕服務(wù)攻擊，如對(duì)SYN Flood、UDP Flood及ICMP Flood這些常見(jiàn)的攻擊行為能夠有效識(shí)別，并實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷。系統(tǒng)還能夠基于智能關(guān)聯(lián)分析技術(shù)對(duì)CC及HTTP Get Flood攻擊進(jìn)行檢測(cè)、防護(hù)。軟/硬件BYPASS以及雙機(jī)熱備ICEYE WAF提供基于軟、硬件的BYPASS功能，以出色的穩(wěn)定性，消除了在線產(chǎn)品通?？赡艹蔀榫W(wǎng)絡(luò)故障點(diǎn)的隱患。ICEYE WAF支持雙機(jī)熱備，可根據(jù)網(wǎng)絡(luò)情況和用戶需求

10、，部署Active/Active或Active/Standby的工作模式，提供Load balance或者Failover功能，從而有力保障Web業(yè)務(wù)的高可用性，也提供了靈活的組網(wǎng)性能。成熟管理功能充分考慮了國(guó)內(nèi)用戶的使用和維護(hù)習(xí)慣，提供功能強(qiáng)大、易用性好、靈活的管理功能：提供基于IP、端口、協(xié)議類型、時(shí)間及域名的靈活訪問(wèn)控制；基于對(duì)象的虛擬防護(hù)，為每位用戶量身定制安全防護(hù)策略，輕松增值；支持規(guī)則的在線升級(jí)和離線升級(jí)。WEB應(yīng)用防護(hù)系統(tǒng)的應(yīng)用網(wǎng)頁(yè)篡改防護(hù)針對(duì)目前猖獗的網(wǎng)頁(yè)篡改問(wèn)題，ICEYE WAF提供“安全-成本”的最佳平衡點(diǎn)，從“事前、事中以及事后進(jìn)行綜合考慮。事前提供漏洞掃描，為解決根本

11、問(wèn)題提供技術(shù)依據(jù)。事中，基于智能特征分析技術(shù)，對(duì)網(wǎng)頁(yè)篡改所采用的主要攻擊手段（如SQL注入、XSS）進(jìn)行檢測(cè)并做有效阻斷，且依托于綠盟國(guó)際一流的安全研究團(tuán)隊(duì)，能夠及時(shí)跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的SQL注入攻擊類型，并最優(yōu)化防護(hù)技術(shù)，幫助用戶對(duì)抗最新攻擊。事后WAF對(duì)網(wǎng)頁(yè)篡改能進(jìn)行檢測(cè)并做應(yīng)急保護(hù)，有效阻止非法頁(yè)面發(fā)布、為公眾瀏覽，極大降低網(wǎng)頁(yè)篡改引發(fā)重大影響的安全風(fēng)險(xiǎn)。ICEYE WAF網(wǎng)頁(yè)篡改防護(hù)解決方案WAF產(chǎn)品優(yōu)勢(shì)體現(xiàn)在：從事前、事中及事后三個(gè)時(shí)序綜合考慮問(wèn)題，提供最佳安全-成本平衡點(diǎn)，為用戶降低安全風(fēng)險(xiǎn)。采用網(wǎng)絡(luò)串聯(lián)方式對(duì)頁(yè)面進(jìn)行實(shí)時(shí)防護(hù)；支持對(duì)動(dòng)態(tài)、靜態(tài)網(wǎng)頁(yè)的檢測(cè)和防護(hù)。發(fā)生網(wǎng)頁(yè)篡改的

12、緊急事件時(shí)，ICEYE WAF提供專業(yè)、謹(jǐn)慎的處理方式：不擅自做網(wǎng)頁(yè)自動(dòng)恢復(fù)，而是啟動(dòng)應(yīng)急機(jī)制，對(duì)網(wǎng)絡(luò)流量進(jìn)行控制，對(duì)期間用戶請(qǐng)求（HTTP Request）相應(yīng)為事先自定義好的合法頁(yè)面。另一方面提供短信和郵件告警，第一時(shí)間通知網(wǎng)站管理人員。不改變Web服務(wù)器當(dāng)前的信息，保留好犯罪現(xiàn)場(chǎng)，供事后溯源分析。杜絕期間頁(yè)面連續(xù)被篡改。網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象不受操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序限制。不介入網(wǎng)站正常業(yè)務(wù)流程，不占用Web服務(wù)器資源。接入網(wǎng)絡(luò)即插即用，安裝方便，配置簡(jiǎn)單，用戶能夠遠(yuǎn)程通過(guò)瀏覽器訪問(wèn)系統(tǒng)，后期的維護(hù)工作較少。系統(tǒng)內(nèi)核經(jīng)過(guò)優(yōu)化的安全操作系統(tǒng)，自身安全性高。設(shè)備與設(shè)備自帶安全中心通信協(xié)議為S

13、SL。網(wǎng)頁(yè)掛馬主動(dòng)掃描網(wǎng)頁(yè)掛馬，可以認(rèn)為是一種比較隱蔽的網(wǎng)頁(yè)篡改方式，其最終目的為盜取客戶端的敏感信息，如各類帳號(hào)密碼，甚而可能導(dǎo)致客戶端主機(jī)淪為攻擊者的肉雞。Web服務(wù)器成為了傳播網(wǎng)頁(yè)木馬的“傀儡幫兇”，嚴(yán)重影響到網(wǎng)站的公眾信譽(yù)度。最大隱患在于：多數(shù)情況網(wǎng)站實(shí)質(zhì)已被入侵，只是攻擊者出于經(jīng)濟(jì)利益考慮，未采用直接篡改方式。針對(duì)各類政府網(wǎng)站，建議采用ICEYE WAF網(wǎng)頁(yè)掛馬主動(dòng)掃描功能，全面檢查網(wǎng)站各級(jí)頁(yè)面中是否被植入惡意代碼。避免掃描對(duì)正常業(yè)務(wù)運(yùn)行造成影響：ICEYE WAF對(duì)網(wǎng)絡(luò)帶寬以及被掃描服務(wù)器的資源占用很小。盡管如此，我們?nèi)匀唤ㄗh網(wǎng)頁(yè)掛馬掃描在非辦公時(shí)間段進(jìn)行。WAF網(wǎng)頁(yè)掛馬掃描任務(wù)允許指定執(zhí)行的時(shí)間，管理員可以利用這個(gè)功能讓掃描在合適的時(shí)間自動(dòng)進(jìn)行。WEB應(yīng)用防護(hù)系統(tǒng)的部署系統(tǒng)具體部署通常情況下，建議將ICEYE WAF部署在防火墻DMZ區(qū)，用于防護(hù)網(wǎng)站服務(wù)器。如圖1.3所示，WAF作為串聯(lián)設(shè)備，部署在防火墻和Web服務(wù)器群之間，對(duì)Web服務(wù)器群的出入流量進(jìn)行有效監(jiān)控，從而確保Web應(yīng)用的安全。對(duì)于最為核心的Web服務(wù)器，可以考慮部署WAF雙機(jī)。雙機(jī)可采用Load balance或者fail