WEB應(yīng)用安全防護系統(tǒng)建設(shè)方案

1、Web應(yīng)用安全防護系統(tǒng)解決方案 鄭州大學(xué)西亞斯國際學(xué)院2013年8月目錄TOC o 1-4 h u HYPERLINK l _Toc387669514 一、需求概述 PAGEREF _Toc387669514 h 4 HYPERLINK l _Toc387669515 1.1背景介紹 PAGEREF _Toc387669515 h 4 HYPERLINK l _Toc387669516 1.2需求分析 PAGEREF _Toc387669516 h 4 HYPERLINK l _Toc387669517 1.3網(wǎng)絡(luò)安全防護策略 PAGEREF _Toc387669517 h 7 HYPERLI

2、NK l _Toc387669518 1.3.1“長鞭效應(yīng)（bullwhip effect）” PAGEREF _Toc387669518 h 7 HYPERLINK l _Toc387669519 1.3.2網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則 PAGEREF _Toc387669519 h 8 HYPERLINK l _Toc387669520 二、解決方案 PAGEREF _Toc387669520 h 9 HYPERLINK l _Toc387669523 2.1 Web應(yīng)用防護系統(tǒng)解決方案 PAGEREF _Toc387669523 h 9 HYPERLINK l _Toc3876

3、69524 2.1.1黑客攻擊防護 PAGEREF _Toc387669524 h 9 HYPERLINK l _Toc387669525 2.1.2 BOT防護 PAGEREF _Toc387669525 h 10 HYPERLINK l _Toc387669526 2.1.3 應(yīng)用層洪水CC攻擊及DDOS防御 PAGEREF _Toc387669526 h 11 HYPERLINK l _Toc387669527 2.1.4網(wǎng)頁防篡改 PAGEREF _Toc387669527 h 12 HYPERLINK l _Toc387669528 2.1.5自定義規(guī)則及白名單 PAGEREF _T

4、oc387669528 h 13 HYPERLINK l _Toc387669529 2.1.6關(guān)鍵字過濾 PAGEREF _Toc387669529 h 13 HYPERLINK l _Toc387669530 2.1.7日志功能 PAGEREF _Toc387669530 h 14 HYPERLINK l _Toc387669531 2.1.8統(tǒng)計功能 PAGEREF _Toc387669531 h 16 HYPERLINK l _Toc387669532 2.1.9報表 PAGEREF _Toc387669532 h 18 HYPERLINK l _Toc387669533 2.1.10

5、智能阻斷 PAGEREF _Toc387669533 h 18 HYPERLINK l _Toc387669534 2.2設(shè)備選型及介紹 PAGEREF _Toc387669534 h 19 HYPERLINK l _Toc387669535 2.3設(shè)備部署 PAGEREF _Toc387669535 h 21 HYPERLINK l _Toc387669536 三、方案優(yōu)點及給客戶帶來的價值 PAGEREF _Toc387669536 h 24 HYPERLINK l _Toc387669537 3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題 PAGEREF _Toc38766953

6、7 h 24 HYPERLINK l _Toc387669538 3.2 合規(guī)性建設(shè) PAGEREF _Toc387669538 h 24 HYPERLINK l _Toc387669539 3.3 減少因不安全造成的損失 PAGEREF _Toc387669539 h 24 HYPERLINK l _Toc387669540 3.4便于維護 PAGEREF _Toc387669540 h 24 HYPERLINK l _Toc387669541 3.5使用狀況 PAGEREF _Toc387669541 h 25 HYPERLINK l _Toc387669542 3.5.1系統(tǒng)狀態(tài) PAG

7、EREF _Toc387669542 h 25 HYPERLINK l _Toc387669543 3.5.2入侵記錄示例 PAGEREF _Toc387669543 h 25 HYPERLINK l _Toc387669544 3.5.3網(wǎng)站統(tǒng)計示例 PAGEREF _Toc387669544 h 26 HYPERLINK l _Toc387669545 四、Web應(yīng)用防護系統(tǒng)主要技術(shù)優(yōu)勢 PAGEREF _Toc387669545 h 27 HYPERLINK l _Toc387669546 4.1 千兆高并發(fā)與請求速率處理技術(shù) PAGEREF _Toc387669546 h 27 HYP

8、ERLINK l _Toc387669547 4.2 攻擊碎片重組技術(shù) PAGEREF _Toc387669547 h 27 HYPERLINK l _Toc387669548 4.3多種編碼還原與抗混淆技術(shù) PAGEREF _Toc387669548 h 27 HYPERLINK l _Toc387669549 4.4 SQL語句識別技術(shù) PAGEREF _Toc387669549 h 27 HYPERLINK l _Toc387669550 4.5 多種部署方式 PAGEREF _Toc387669550 h 27 HYPERLINK l _Toc387669551 4.6 軟硬件BYPA

9、SS功能 PAGEREF _Toc387669551 h 27 HYPERLINK l _Toc387669552 五、展望 PAGEREF _Toc387669552 h 28學(xué)校WEB應(yīng)用安全防護Web應(yīng)用防護安全解決方案 一、需求概述背景介紹隨著學(xué)校對信息化的不斷建設(shè)，已經(jīng)具有完備的校園網(wǎng)絡(luò)，學(xué)校部署了大量信息系統(tǒng)和網(wǎng)站，包括OA系統(tǒng)、WEB服務(wù)器、教務(wù)管理系統(tǒng)、郵件服務(wù)器等50多臺服務(wù)器和100多個業(yè)務(wù)系統(tǒng)和網(wǎng)站，各業(yè)務(wù)應(yīng)用系統(tǒng)都通過互聯(lián)網(wǎng)平臺得到整體應(yīng)用，校園網(wǎng)出口已經(jīng)部署了專用防火墻、流控等網(wǎng)絡(luò)安全設(shè)備。所有Web應(yīng)用是向公眾開放，特別是學(xué)校的門戶網(wǎng)站，由于招生與社會影響，要求在系

10、統(tǒng)Web保護方面十分重要。需求分析 很多人認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，尤其是對Web系統(tǒng)的攻擊防范作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于 TCP/IP報文頭部的ACL）實現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫進

11、行匹配，從而識別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對應(yīng)用層攻擊的防護。但是對于未知攻擊，和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護。總體說來，容易導(dǎo)致學(xué)校Web服務(wù)器被攻擊的主要攻擊手段有以下幾種：緩沖區(qū)溢出攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令SQL注入構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)跨站腳本攻擊提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息拒絕服務(wù)攻擊構(gòu)造大量的非法請求，使Web服務(wù)器不能相應(yīng)正常用戶的訪問認(rèn)證逃避攻擊者利用不安全的證書和身份管理非法輸入在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服

12、務(wù)器敏感數(shù)據(jù)強制訪問訪問未授權(quán)的網(wǎng)頁隱藏變量篡改對網(wǎng)頁中的隱藏變量進行修改，欺騙服務(wù)器程序Cookie假冒精心修改cookie數(shù)據(jù)進行用戶假冒學(xué)校WEB應(yīng)用安全防護具體需求分析學(xué)校對WEB應(yīng)用安全防護非常重視，在內(nèi)網(wǎng)部署有高端防火墻，同時內(nèi)網(wǎng)部署有眾多應(yīng)用服務(wù)器，網(wǎng)絡(luò)示意圖如下：通過以上機構(gòu)的內(nèi)網(wǎng)拓?fù)浜唸D可見，機構(gòu)內(nèi)部眾多用戶和各種應(yīng)用系統(tǒng)，通過位于外網(wǎng)接口的防火墻進行了防護和保障，對于來自外網(wǎng)的安全風(fēng)險和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于自身產(chǎn)品定位和防護深度，不同有效的提供針對Web應(yīng)用攻擊的防御能力。對于來自外網(wǎng)的各種各樣的攻擊方法，就必須采用一種專用的機

13、制來阻止黑客對Web服務(wù)器的攻擊行為，對其進行有效的檢測、防護。通過對學(xué)校內(nèi)部網(wǎng)絡(luò)目前在WEB應(yīng)用存在的問題，我們看到學(xué)校在Web服務(wù)器安全防護時需要解決以下幾個問題： 跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問學(xué)校Web服務(wù)器的用戶，常見的目的是竊取Web服務(wù)器訪問者相關(guān)的用戶登錄和認(rèn)證信息。SQL注入攻擊由于代碼編寫不可能做到完美，因此攻擊者可以通過輸入一段數(shù)據(jù)庫查詢代碼竊取或者修改數(shù)據(jù)庫中的數(shù)據(jù)，造成用戶資料的丟失、泄露和服務(wù)器權(quán)限的丟失。緩沖區(qū)溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其

14、他的指令，獲得系統(tǒng)管理員權(quán)限。CC攻擊CC攻擊目前是最新出現(xiàn)針對Web系統(tǒng)的特殊攻擊方式，通過構(gòu)造特殊的攻擊報文，以到達(dá)消耗應(yīng)用平臺的服務(wù)器計算資源為目的（其中以消耗CPU資源最為常見），最終造成應(yīng)用平臺的拒絕服務(wù)，正常用戶無法訪問Web服務(wù)器，給學(xué)校形象造成不可估量的損失。拒絕服務(wù)攻擊通過DOS攻擊請求，以到達(dá)消耗應(yīng)用平臺的網(wǎng)絡(luò)資源為目的，最終造成應(yīng)用平臺的拒絕服務(wù)，正常用戶無法訪問Web服務(wù)器，給政府形象造成不可估量的損失。Cookies/Seesion劫持Cookies/Seesion通常用戶用戶身份認(rèn)證，別且可能攜帶用戶敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高

15、訪問權(quán)限，或者偽裝他人的身份登錄。網(wǎng)絡(luò)安全防護策略“長鞭效應(yīng)（bullwhip effect）”網(wǎng)絡(luò)安全的防護同管理學(xué)的“長鞭效應(yīng)（bullwhip effect）”具有相似的特性，就是要注重防患于未然。因此，針對我們單位的特點，更要注重主動防護，在安全事件發(fā)生之前進行防范，減少網(wǎng)絡(luò)安全事件發(fā)生的機會，達(dá)到：“少發(fā)生、不發(fā)生”的目標(biāo)。網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則基于“長鞭效應(yīng)”，我們的網(wǎng)絡(luò)安全防護要從源頭做起，采用“防、切、控（DCC）”的原則：防：主動防護，防護我們的服務(wù)器受到攻擊者的主動攻擊外部敵對、利益驅(qū)動的攻擊者，會對我們的網(wǎng)站、mail服務(wù)器進行各種主動攻擊。而這些主動攻擊

16、往往帶有非常強的目的性和針對性，因此我們當(dāng)前如何防范惡意攻擊者的主動攻擊成為首要解決的問題，主要有：防止Web服務(wù)器受到來自外部的攻擊、非法控制、篡改；防止主、備mail服務(wù)器受到攻擊、非法控制。切：切斷來自外部危險網(wǎng)站的木馬、病毒傳播：在網(wǎng)絡(luò)中部分的Web服務(wù)器已經(jīng)被黑客控制的情況下，Web應(yīng)用防護系統(tǒng)可以有效的防止已經(jīng)植入Web服務(wù)器的木馬的運行，防止服務(wù)器被黑客繼續(xù)滲透。因此，如何切斷被黑客攻擊以至于被控制的網(wǎng)站的木馬傳播成為當(dāng)前的第二個主要解決問題?？兀嚎刂茻o意識的信息泄露：對于第三個要解決的問題是防止內(nèi)部人員無意識的內(nèi)部信息泄露，要保證接入網(wǎng)絡(luò)的機器、設(shè)備是具有一定的安全防護標(biāo)準(zhǔn)，防

17、止不符合要求的機器和設(shè)備接入網(wǎng)絡(luò)，嚴(yán)格控制潛在的安全風(fēng)險。解決方案2.1 Web應(yīng)用防護系統(tǒng)解決方案 Web應(yīng)用安全防護系統(tǒng)可以為學(xué)校Web服務(wù)器提供全方位的服務(wù)，主要保護功能包括以下幾方面：2.1.1黑客攻擊防護 Web應(yīng)用防護系統(tǒng)對黑客攻擊防護功能，主要阻止常見的Web攻擊行為，包括以下方面：黑客已留后門發(fā)現(xiàn)，黑客控制行為阻止SQL注入攻擊（包括URL、POST、Cookie等方式的注入）XSS攻擊Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截斷、遠(yuǎn)程數(shù)據(jù)寫入等）命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）緩沖區(qū)溢出攻擊惡意代碼解決辦法：通過在Web服務(wù)器的前端部署Web應(yīng)用防護

18、系統(tǒng)，可以有效過濾Web攻擊。同時，正常的訪問流量可以順利通過。Web應(yīng)用防護系統(tǒng)，通過內(nèi)置可升級、擴展的策略，可以有效的防止、控制Web攻擊發(fā)生。方案價值：通過部署Web應(yīng)用防護系統(tǒng)可以有效的防止黑客對于網(wǎng)站應(yīng)用層的攻擊，保障Web服務(wù)器的安全，降低資料被竊取、網(wǎng)站被篡改事件的發(fā)生。2.1.2 違反策略防護Web應(yīng)用防護系統(tǒng)對互聯(lián)網(wǎng)的內(nèi)容識別與控制主要包括以下幾個方面：非法HTTP協(xié)議URL-ACL匹配盜鏈行為2.1.2 BOT防護Web應(yīng)用防護系統(tǒng)對互聯(lián)網(wǎng)的應(yīng)用訪問控制主要包括以下幾個方面：爬蟲蜘蛛行為Web漏洞掃描器行為2.1.3 應(yīng)用層洪水CC攻擊及DDOS防御Web應(yīng)用防護系統(tǒng)的互聯(lián)

19、網(wǎng)應(yīng)用流量控制主要包括以下幾個方面：UDP FloodICMP FloodSYN FloodACK FloodRST FloodCC攻擊DDOS攻擊方案價值：Web應(yīng)用防護系統(tǒng)全方位的封堵，節(jié)省帶寬資源利用率，保證組織的業(yè)務(wù)相關(guān)應(yīng)用得到極以流暢的進行。2.1.4網(wǎng)頁防篡改本設(shè)備的網(wǎng)頁防篡改功能，對網(wǎng)站數(shù)據(jù)進行監(jiān)控，發(fā)現(xiàn)對網(wǎng)頁進行任何形式的非法添加、修改、刪除等操作時，立即進行保護，恢復(fù)數(shù)據(jù)并進行告警，同時記錄防篡改日志。 支持的操作系統(tǒng): Windows 、 Linux(CentOS、Debian、Ubuntu)、 Solaris、AIX、IRIX、HP、Sun ONE、iPanet等操作系統(tǒng)

20、。、2.1.5自定義規(guī)則及白名單自定義規(guī)則設(shè)備不僅具有完善的內(nèi)置規(guī)則，并且還支持用戶根據(jù)自身需要自行定義規(guī)劃，支持自符串快速查找與PCRE正則查找。白名單根據(jù)需要設(shè)定某些網(wǎng)站、URL針對防護設(shè)備直接放行。2.1.6關(guān)鍵字過濾本設(shè)備支持針對網(wǎng)頁訪問進行單向或雙方關(guān)鍵字進行檢測與過濾。2.1.7日志功能Web應(yīng)用防護系統(tǒng)不但提供強大的防護功能，且提供了十分詳細(xì)的日志和報表功能，能夠讓管理人員更加全面、快捷地了解整個設(shè)備運行及防護情況。入侵報警日志系統(tǒng)提供詳細(xì)的安全防護日志：包括攻擊時間、方式、來源IP、目的URL、物理地址、頁面訪問統(tǒng)計等。日志查詢設(shè)備提供基于時間、IP、端口、協(xié)議、動作、規(guī)則集、

21、危害等級等多種查詢方式。支持日志的導(dǎo)出及按時間進行日志自動的清理。審計日志對設(shè)備每次操作進行詳細(xì)的記錄系統(tǒng)日志可以記錄設(shè)備的運行狀況2.1.8統(tǒng)計功能網(wǎng)絡(luò)入侵統(tǒng)計 該設(shè)備頁面以柱狀圖的形式顯示指定月份所發(fā)生的所有入侵情況，以便快速掌握不同時期遭受網(wǎng)絡(luò)攻擊狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢。 網(wǎng)絡(luò)流量統(tǒng)計 統(tǒng)計該頁面統(tǒng)計各接口的流量情況，可以按天或月以折線圖的形式顯示出來。了解本設(shè)備在該段時間內(nèi)的網(wǎng)絡(luò)流量情況。瀏覽頁面統(tǒng)計該頁面可以詳細(xì)清楚地統(tǒng)計并顯示每個web頁面的訪問次數(shù)，最后訪問時間、瀏覽器情況，并可以分時間斷來進行分析頁面訪問情況。2.1.9報表設(shè)備提供詳細(xì)的基于圖文的安全報表（按攻擊類別、流量

22、、主機、來源IP、目的URL攻擊方式、地位位置、webshell分析、頁面訪問次數(shù)等）并可以按事件攻擊類型、周期、統(tǒng)計目標(biāo)進行統(tǒng)計。支持Html、Word、Pdf格式的輸出。定時去發(fā)送攻擊報表等功能。2.1.10智能阻斷該設(shè)備可以智能識別外來的攻擊行為，根據(jù)自定義單位時間內(nèi)觸發(fā)安全規(guī)則次數(shù)的方式，自動阻斷攻擊源。阻斷的時間及次數(shù)均可自行定義。2.2設(shè)備選型及介紹根據(jù)對學(xué)校WEB應(yīng)用安全防護需求的分析，采用WAF產(chǎn)品系列的Web防火墻管理設(shè)備，以下是要求的設(shè)備基本性能參數(shù)：項目技術(shù)要求體系結(jié)構(gòu)1U，采用多核硬件架構(gòu)配置8個電口，配置2對電口Bypass性能單向HTTP吞吐量1000 Mbps最大

23、并發(fā)會話數(shù)100萬（內(nèi)置規(guī)則全開，防護狀態(tài)）HTTP請求速率1,0000（內(nèi)置規(guī)則全開，防護狀態(tài)）網(wǎng)絡(luò)延遲0.05毫秒（內(nèi)置規(guī)則全開，防護狀態(tài)）防護網(wǎng)站不限IP攔截方式至少包含4種方式：攔截、檢測、放行、攔截并阻斷；阻斷方式下，可設(shè)置阻斷時間，可手工解除阻斷入侵者記錄能夠記錄入侵攻擊詳細(xì)數(shù)據(jù)，至少包含：序號、攻擊時間、攔截原因、規(guī)則集名稱、危害等級、源IP地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、HTTP請求、URL等防御功能雙向檢測功能，能夠?qū)α魅肓鞒鰯?shù)據(jù)進行檢測；具有默認(rèn)的防護端口，并可指定防護端口；系統(tǒng)內(nèi)置防護規(guī)則、并支持用戶自定義防護規(guī)則；白名單功能:能夠?qū)μ囟ǖ腎P、

24、域名、域名+URL設(shè)置白名單；HTTP請求類型允許與禁止：可對常用的HTTP請求設(shè)置允許或禁止通過Web攻擊防護SQL注入攻擊（包括URL、POST、Cookie等方式的注入）：攻擊者通過輸入數(shù)據(jù)庫查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)、XSS攻擊、遠(yuǎn)程、本地文件包含攻擊CSRF跨站請求、Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截斷、遠(yuǎn)程數(shù)據(jù)寫入等）、惡意掃描：攻擊者利用pangolin、Wvs等專業(yè)掃描攻擊工具對服務(wù)器進行掃描和攻擊、命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）、緩沖區(qū)溢出攻擊、關(guān)鍵文件下載、搜索引擎爬蟲（spider）、惡意代碼、信息偽裝、“零日”攻擊、本馬上傳：攻

25、擊者利用黑客工具上傳Webshell以達(dá)到控制服務(wù)器的目的、WebShell檢測與攔截等負(fù)載均衡支持應(yīng)用層負(fù)載均衡功能，并支持動態(tài)網(wǎng)站、流量分配防CC攻擊（選配）支持對CC攻擊的防護功能防DOS攻擊（選配）支持對DOS攻擊防護功能網(wǎng)頁防篡改（選配）支持對網(wǎng)頁的篡改并進行自動恢復(fù)，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系統(tǒng)漏洞掃描（選配）針對web服務(wù)器的SQL、XSS等漏洞進行掃描，并生成報告。數(shù)據(jù)庫防篡改（選配）數(shù)據(jù)庫防篡改：支持MSSQL、SQLSERVER等數(shù)據(jù)庫防篡改。高級訪問控制支持對內(nèi)、外IP地址的精確控制，設(shè)置不同的防御方式（阻斷、過濾、檢測

26、、放行）可靠性電口、光口硬件BYPASS、軟件BYPASS、可擴展支持端口匯聚、多機熱備；平均無故障時間 100000h；支持日志自動清理功能：可在達(dá)到日志上限時通知管理員進行日志清理，如手動清理未實施，系統(tǒng)實行自動清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虛擬化部署等報表功能提供詳細(xì)的基于圖文的安全報表（入侵統(tǒng)計、按入侵類別統(tǒng)計、被攻擊主機、攻擊來源IP和地理位置、頁面訪問次數(shù)、網(wǎng)絡(luò)接口流量趨勢等）并可以按事件攻擊類型、周期、統(tǒng)計目標(biāo)進行統(tǒng)計管理特性支持通過HTTPS初始化、設(shè)置、管理設(shè)備實時流量查看、入侵告警查看流量統(tǒng)計、入侵統(tǒng)計自定

27、義規(guī)則查看管理支持入侵記錄、系統(tǒng)日志、審計日志導(dǎo)出功能、系統(tǒng)配置安全導(dǎo)入、導(dǎo)出功能支持內(nèi)置規(guī)則升級、固件升級允許用戶自由定制規(guī)則，提供友好的定制模板報表系統(tǒng)、系統(tǒng)日志、審計日志產(chǎn)品資質(zhì)獲得國家保密局涉密信息系統(tǒng)安全保密測評中心頒發(fā)的符合國家保密標(biāo)準(zhǔn)BMB132004涉及國家秘密的計算機信息系統(tǒng)入侵檢測產(chǎn)品技術(shù)要求的千兆涉密信息系統(tǒng)產(chǎn)品檢測證書獲得中國信息安全認(rèn)證中心頒發(fā)的符合CNCA/CTS 0050-2007信息技術(shù) 信息安全 網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范增強級認(rèn)證中國國家信息安全產(chǎn)品認(rèn)證證書公安部頒發(fā)的計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證國家漏洞中心提交漏洞證明文件2.3設(shè)備部署根據(jù)學(xué)校WEB

28、應(yīng)用安全防護Web服務(wù)器部署情況，我們建議通過透明網(wǎng)橋的部署模式來達(dá)到對Web服務(wù)器保護的目的。集中/集群式Web服務(wù)器部署集群式/集中式Web服務(wù)：集群式Web服務(wù)采用多臺Web服務(wù)器負(fù)荷分擔(dān)提供同一Web服務(wù)；集中式Web服務(wù)主要體現(xiàn)在不同的Web服務(wù)器放置在同一網(wǎng)段或者相鄰的網(wǎng)段內(nèi)，但不同的Web服務(wù)器可能提供多樣的Web服務(wù)。這種情況多數(shù)應(yīng)用于中大型企業(yè)的Web服務(wù)器模式，或者是IDC。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，可直接將“Web應(yīng)用防火墻”串接在Web服務(wù)器群所在子網(wǎng)交換機前端，如下圖顯示：部署方式：WAF的WAN口與廣域網(wǎng)的接入線路相連，一般是光纖、ADSL線路或者是路由器，WAF的LAN口

29、（DMZ口）同局域網(wǎng)的交換機相連，所有對WEB服務(wù)器的訪問請求都必須通過WAF設(shè)備。半分散式WEB服務(wù)部署模式半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在不同的子網(wǎng)中；比如：公司有整體的Web服務(wù)集群，同時，各個部門還有各自的Web服務(wù)器，而這些服務(wù)器分布在不同的子網(wǎng)中，如果想對這些Web服務(wù)器進行保護，需要將“Web應(yīng)用防火墻”部署在這些Web服務(wù)器所在網(wǎng)絡(luò)的邊緣，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口（DMZ口）同局域網(wǎng)交換機連接。同時保護處于內(nèi)網(wǎng)不同網(wǎng)段的多個Web服務(wù)器。全分散式Web服務(wù)部署模式半分散式Web

30、服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在幾乎全部的子網(wǎng)中；比較常見的案例：IDC機房，這時，需要將“Web應(yīng)用防火墻”部署在局域網(wǎng)邊緣，一般部署在主交換機同主路由器之間，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口（DMZ口）同局域網(wǎng)交換機連接。同時保護處于內(nèi)網(wǎng)的所有Web服務(wù)器及DB服務(wù)器。三、方案優(yōu)點及給客戶帶來的價值通過Web應(yīng)用防護系統(tǒng)在學(xué)校WEB應(yīng)用安全防護的具體實施給客戶帶來以下價值：3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題 傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備，工作在OSI1-4層，基于IP報文進行狀態(tài)檢測、地

31、址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問控制等，對報文中的具體內(nèi)容不具備檢測能力。因此，對Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護，對各類WEB應(yīng)用攻擊缺乏防御能力。Web應(yīng)用防護系統(tǒng)主要致力于提供應(yīng)用層保護，通過對HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測分析，識別及阻斷各類傳統(tǒng)防火墻無法識別的WEB應(yīng)用攻擊。只要有網(wǎng)絡(luò)的地方就會有防火墻，但傳統(tǒng)的防火墻只是針對一些底層(網(wǎng)絡(luò)層、傳輸層)的信息進行阻斷，而WAF則深入到應(yīng)用層，對所有應(yīng)用信息進行過濾，這是二者的本質(zhì)區(qū)別。WAF 的運行基礎(chǔ)是應(yīng)用層訪問控制列表。整個應(yīng)用層的訪問控制列表所面對的對象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個網(wǎng)站互動過程中所提交的一些

32、內(nèi)容，包括HTTP 協(xié)議報文內(nèi)容，由于WAF對HTTP協(xié)議完全認(rèn)知，通過內(nèi)容分析就可知道報文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。3.2 合規(guī)性建設(shè) 學(xué)校WEB應(yīng)用安全防護網(wǎng)站由于其社會地位和政治地位的特殊性，在公安部計算機信息安全等級保護基本要求中明確要求必須對所有外部網(wǎng)絡(luò)訪問行為進行入侵防范，訪問行為有相應(yīng)的日志審計行為。Web應(yīng)用防護系統(tǒng)不僅能完全防范非法用戶的入侵行為，更能提供完整的統(tǒng)計表報。3.3 減少因不安全造成的損失 Web應(yīng)用防護系統(tǒng)可以防止黑客通過各種方式獲取系統(tǒng)的管理員權(quán)限，避免黑客獲得管理員權(quán)限篡改Web服務(wù)器主頁，或者以服務(wù)器

33、為跳板攻擊局域網(wǎng)內(nèi)其他服務(wù)器?？梢苑乐挂虼a編寫不規(guī)范，造成數(shù)據(jù)庫服務(wù)器被SQL注入攻擊，黑客獲得數(shù)據(jù)庫中的用戶數(shù)據(jù)。3.4便于維護Web應(yīng)用防護系統(tǒng)連續(xù)工作時間為120000小時，能保證在夜間及節(jié)假日等無人值守時刻也能保護Web服務(wù)器。減少管理員的工作負(fù)擔(dān)。同時B/S設(shè)計架構(gòu)方便管理員進行規(guī)則設(shè)置，參數(shù)配置。系統(tǒng)管理員不必隨時關(guān)注系統(tǒng)補丁升級，發(fā)現(xiàn)漏洞可以在Waf的防護下慢慢的修補。3.5使用狀況3.5.1系統(tǒng)狀態(tài)3.5.2入侵記錄示例3.5.3網(wǎng)站統(tǒng)計示例四、Web應(yīng)用防護系統(tǒng)主要技術(shù)優(yōu)勢4.1 千兆高并發(fā)與請求速率處理技術(shù) Web應(yīng)用防護系統(tǒng)，通過對網(wǎng)絡(luò)協(xié)議底層的深層次的優(yōu)化，可以達(dá)到百

34、萬級別的并發(fā)連接。并提供每秒超過8萬個HTTP請求的七層深度包檢測的能力。在網(wǎng)站數(shù)量超過500的情況下，仍然能夠提供高帶寬吞吐與極低的網(wǎng)絡(luò)帶寬延遲。4.2 攻擊碎片重組技術(shù) 通過獨有的碎片包重組技術(shù)，可以有效的防止黑客通過發(fā)送碎片的數(shù)據(jù)包來繞過檢測引擎的檢測。而的Web應(yīng)用防護系統(tǒng)可以準(zhǔn)確的模擬TCP/IP棧進行完整重組數(shù)據(jù)包。4.3多種編碼還原與抗混淆技術(shù) Web應(yīng)用防護系統(tǒng)可以有效防止黑客利用大小寫變換、ASCII編碼、UNICODE編碼、注釋、混淆等方式繞過檢測引擎。內(nèi)置的解碼模塊可以將復(fù)雜編碼后的數(shù)據(jù)還原為最基本的數(shù)據(jù)格式進行匹配。4.4 SQL語句識別技術(shù)Web應(yīng)用防護系統(tǒng)可以通過人

35、工智能的方式識別”注入攻擊”中使用的SQL語句，識別SQL語法結(jié)構(gòu)，而不是通過簡單的select/insert/update等簡單的SQL關(guān)鍵詞的字符串匹配。在對攻擊的識別和準(zhǔn)確率上可以大大提升。4.5 多種部署方式 Web應(yīng)用防護系統(tǒng)能應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中，可以分別保護單臺或者多臺Web服務(wù)器，DB數(shù)據(jù)庫。可以采用網(wǎng)橋模式，混合部署模式，旁路反向代理模式?？梢苑奖?、靈活的應(yīng)對客戶網(wǎng)絡(luò)環(huán)境的變化。4.6 軟硬件BYPASS功能Web防火墻支持在斷電、硬件故障等特殊情況下，仍然能保持網(wǎng)絡(luò)的暢通，避免了因為故障造成的網(wǎng)絡(luò)無法訪問，給單位和用戶帶來不必要的損失。硬件Bypass硬件Bypass

36、外部突然斷電時，自動直連來電后自動啟動時，自動直連硬件啟動、重啟時，自動直連軟件Bypass五、展望隨著Web2.0的大量應(yīng)用和云計算的應(yīng)用，云安全日益重要，Web應(yīng)用安全防護系統(tǒng)需要日趨完善，更快速更安全的一站式防火墻是高校的需要。愛人者，人恒愛之；敬人者，人恒敬之；寬以濟猛，猛以濟寬，政是以和。將軍額上能跑馬，宰相肚里能撐船。最高貴的復(fù)仇是寬容。有時寬容引起的道德震動比懲罰更強烈。君子賢而能容罷，知而能容愚，博而能容淺，粹而能容雜。寬容就是忘卻，人人都有痛苦，都有傷疤，動輒去揭，便添新創(chuàng)，舊痕新傷難愈合，忘記昨日的是非，忘記別人先前對自己的指責(zé)和謾罵，時間是良好的止痛劑，學(xué)會忘卻，生活才有陽光，才有歡樂。不要輕易放棄感情，誰都會心疼；不要沖動下做決定，會后悔一生。也許只一句分手，就再也不見；也許只一次主動，就能挽回遺憾。世界上沒有不爭吵的感情，只有不肯包容的心靈；生活中沒有不會生氣的人，只有不知原諒的心。感情不是游戲，誰也傷不起；人心不是