教育行業(yè)WEB應(yīng)用安全解決方案

XX高校網(wǎng)站及WEB應(yīng)用系統(tǒng)平安解決方案上海天泰網(wǎng)絡(luò)技術(shù)有限公司2013年03月目錄一、教化行業(yè)WEB應(yīng)用平安概述 5二、 教化行業(yè)網(wǎng)站現(xiàn)狀分析 52.1. WEB系統(tǒng)簡單受到應(yīng)用攻擊威逼 52.2. WEB系統(tǒng)缺乏詳盡的審計(jì) 62.3. WEB系統(tǒng)缺乏有效的訪問限制機(jī)制 62.4. WEB平安事務(wù) 6三、 解決方案 7第四章天泰WEB平安防護(hù)系統(tǒng) 94.1平安防護(hù)功能 10策略的覆蓋完整度 10策略適應(yīng)性 11學(xué)習(xí)引擎與白名單模式、主動防衛(wèi)時代的到來 11基于狀態(tài)的分析 11與網(wǎng)絡(luò)層聯(lián)動的防衛(wèi)技術(shù) 124.2日志審計(jì)與管理 12平安日志 12訪問日志 134.3性能優(yōu)化方案 13站點(diǎn)集群技術(shù) 14負(fù)載均衡 144.3.3WEB加速 154.4訪問限制與SSL加速 154.4.1時域、地域鎖定服務(wù) 154.4.2SSL認(rèn)證服務(wù) 164.4.3URL認(rèn)證技術(shù) 17第五章產(chǎn)品的選型與部署 175.1平安產(chǎn)品的設(shè)計(jì)與選型 17產(chǎn)品設(shè)計(jì)目標(biāo) 17產(chǎn)品選型原則 175.1.3產(chǎn)品選型參考 185.2平安產(chǎn)品的部署與實(shí)施 215.2.1產(chǎn)品部署分析 215.2.2產(chǎn)品部署方式 22第六章產(chǎn)品售后服務(wù)體系 236.1、國內(nèi)范圍的支持 236.2、Internet技術(shù)支持 236.3、電話熱線支持 236.4、傳真技術(shù)支持 236.5、遠(yuǎn)程登錄支持 236.6、定期供應(yīng)平安通告 236.7、保持常常性的聯(lián)系 246.8、響應(yīng)時間 246.9、產(chǎn)品保修 24

版權(quán)信息?版權(quán)全部2011，上海天泰網(wǎng)絡(luò)技術(shù)有限公司本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特殊注明，版權(quán)均屬上海天泰網(wǎng)絡(luò)技術(shù)有限公司全部，受國家有關(guān)產(chǎn)權(quán)及版權(quán)法愛護(hù)。任何個人、機(jī)構(gòu)未經(jīng)上海天泰網(wǎng)絡(luò)技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標(biāo)信息天泰、TiTan、TiTansec、T2S2、WAF-T3等標(biāo)識及其組合是上海天泰網(wǎng)絡(luò)技術(shù)有限公司擁有的商標(biāo)，受商標(biāo)法和有關(guān)國際公約的愛護(hù)。第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標(biāo)，屬于各自公司或組織全部。

一、教化行業(yè)WEB應(yīng)用平安概述教化行業(yè)立足于教化信息、資源的有效開發(fā)和權(quán)威整合，向社會大眾供應(yīng)有關(guān)教化政策法規(guī)，權(quán)威數(shù)據(jù)查詢，招生考試動態(tài)，職業(yè)技能培訓(xùn)，就業(yè)聘請，出國留學(xué)，教化大典，教化招標(biāo)，教化博客等內(nèi)容。隨著教化行業(yè)越來越多的應(yīng)用系統(tǒng)以WEB的方式被部署，也給惡意用戶或黑客供應(yīng)了攻擊途徑，這些系統(tǒng)的敏感數(shù)據(jù)被黑客盜竊和篡改的潛在風(fēng)險也越來越高?；仡櫘?dāng)今勝利的系統(tǒng)攻擊，許多都是利用了WEB應(yīng)用漏洞。WEB應(yīng)用的平安防護(hù)措施依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻、IPS、IDS等對其進(jìn)行平安防護(hù)并不能有效的保證WEB系統(tǒng)的平安，由于傳統(tǒng)的網(wǎng)絡(luò)平安設(shè)備只能解決WEB應(yīng)用平安的一個方面，而WEB應(yīng)用系統(tǒng)的平安保障須要一個全面的平安防護(hù)和性能保障措施才能使之平安、高效、持續(xù)地對外供應(yīng)服務(wù)。Web應(yīng)用防火墻(WAF)代表了一種新的信息平安技術(shù)，WEB應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ?，從而發(fā)覺違反預(yù)先定義好的平安策略的行為。用于愛護(hù)Web站點(diǎn)（或者說Web應(yīng)用程序），使其在受攻擊的狀況下表現(xiàn)出更強(qiáng)的反抗力。在抵擋Web攻擊方面，WAF供應(yīng)了防火墻和IDS、IPS等常規(guī)信息平安產(chǎn)品所不具備的實(shí)力。教化行業(yè)網(wǎng)站現(xiàn)狀分析WEB系統(tǒng)簡單受到應(yīng)用攻擊威逼WEB技術(shù)與應(yīng)用已經(jīng)深化到教化行業(yè)的各個層面，WEB服務(wù)作為教化行業(yè)的信息門戶和業(yè)務(wù)平臺，以其便利性、易擴(kuò)展性和低成本快速發(fā)展；而WEB系統(tǒng)易受攻擊等問題影響了WEB應(yīng)用的高速發(fā)展。大量WEB應(yīng)用系統(tǒng)被黑客入侵和篡改，甚至被植入木馬攻擊程序，攻擊者利用WEB服務(wù)程序的漏洞（如SQL注入漏洞、跨站腳本漏洞等），對WEB系統(tǒng)進(jìn)行攻擊，輕則篡改網(wǎng)頁內(nèi)容，重則竊取機(jī)密數(shù)據(jù)，造成經(jīng)濟(jì)損失或者惡劣影響。WEB系統(tǒng)缺乏詳盡的審計(jì)日志分析與管理模塊作為平安產(chǎn)品與平安管理人員交互最為重要的接口，其日志審計(jì)貯存的形式、內(nèi)容和可供應(yīng)的建議對平安管理員保持應(yīng)用系統(tǒng)長期平安運(yùn)行起到重要作用。日志不僅為管理員供應(yīng)威逼管理的平臺，同時也是平安取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能具體和精確，并可依據(jù)審計(jì)的要求對特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。但目前網(wǎng)站缺乏具體的平安審計(jì)，無法有效的駕馭用戶的訪問狀況。WEB系統(tǒng)缺乏有效的訪問限制機(jī)制由于教化行業(yè)網(wǎng)站眾多，多數(shù)院校目前沒有一個有效的訪問限制機(jī)制，如WEB站點(diǎn)的管理后臺通常干脆暴露在外網(wǎng)，僅依靠于口令強(qiáng)度和簡易的驗(yàn)證碼進(jìn)行訪問限制。這使得黑客更簡單找到網(wǎng)站缺陷，對網(wǎng)站平安是不利的，急須要應(yīng)用系統(tǒng)須要對訪問者身份進(jìn)行識別和授權(quán)，從而保障數(shù)據(jù)的機(jī)密性。WEB平安事務(wù)2011年09月19日，人民網(wǎng)報道：黑客入侵北師大人事處網(wǎng)站網(wǎng)址被篡改為黃色網(wǎng)站2011年11月18日，北京郵電高?；ヂ?lián)網(wǎng)治理與法律探討中心的網(wǎng)站遭受黑客攻擊，網(wǎng)站頁面被篡改為了一個類似于“生氣的小鳥”的嬉戲2012年11月14日，內(nèi)蒙古科技高校網(wǎng)站被黑黑客竟發(fā)深情告白解決方案因?yàn)榛赪EB的應(yīng)用系統(tǒng)可以通過隨意閱讀器進(jìn)行訪問，用戶往往更簡單訪問到這些系統(tǒng)，從而在肯定程度上可以通過這些系統(tǒng)繞過內(nèi)部的平安限制。對大多數(shù)用戶來說，WEB應(yīng)用防火墻系統(tǒng)已經(jīng)成為平安的邊界。運(yùn)用WEB應(yīng)用防火墻是確保這些系統(tǒng)平安的唯一途徑。然而，考慮到WEB應(yīng)用的多樣性，WEB應(yīng)用防火墻往往只有在針對具體的應(yīng)用細(xì)心配置后才能有效地?fù)?dān)當(dāng)起應(yīng)用愛護(hù)的角色。沒有正確部署的WEB應(yīng)用防火墻往往會阻斷合法用戶對系統(tǒng)的正常訪問，甚至沒能起到應(yīng)有的左右而讓黑客長驅(qū)直入。WEB應(yīng)用防火墻是一種成熟的可以愛護(hù)WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)平安設(shè)備。它通過執(zhí)行特別細(xì)粒度的平安策略來保證WEB應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于WEB應(yīng)用防火墻所運(yùn)用的突破性技術(shù)，這些平安策略能夠特別簡單地適應(yīng)各種WEB應(yīng)用系統(tǒng)，從而滿意全部的平安須要。WEB防火墻為WEB應(yīng)用供應(yīng)了全面的應(yīng)用層愛護(hù)，它不但能抵擋目前已知的攻擊及其變種，還能抵擋未知的攻擊。須要特殊指出的是，WEB應(yīng)用防火墻通過自己獨(dú)特的WEB對象混淆技術(shù)，大大提高了攻擊者的技術(shù)門檻，甚至能使大部分的一般攻擊者無從下手；獨(dú)創(chuàng)的平安令牌技術(shù)則能徹底防止WEB應(yīng)用對象被篡改和偽造。由于攻擊者無法篡改和偽造WEB懇求數(shù)據(jù)，攻擊便無法實(shí)施。此外，通過與WEB應(yīng)用緊密相連的平安策略的協(xié)作，WEB應(yīng)用防火墻能嚴(yán)格限制合法用戶的行為，避開了對系統(tǒng)受限資源非法的訪問。通過部署WEB應(yīng)用防火墻，可有效解決WEB系統(tǒng)存在的平安應(yīng)用威逼，通過設(shè)備的主動防衛(wèi)技術(shù)，全面為應(yīng)用系統(tǒng)供應(yīng)全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)，即常見的跨站腳本攻擊、SQL注入攻擊、跨站懇求偽造、網(wǎng)頁掛馬、盜鏈等威逼的防護(hù)，供應(yīng)WEB應(yīng)用或網(wǎng)站的基本平安保障。同時，防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異樣訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事務(wù)的發(fā)生。在必要時，利用SSL加密認(rèn)證技術(shù)對重要WEB系統(tǒng)進(jìn)行平安認(rèn)證，確保數(shù)據(jù)的牢靠、有效性。利用WEB應(yīng)用防火墻的報表和即時分析功能，通過分析有助于平安管理人員把握應(yīng)用系統(tǒng)平安現(xiàn)狀，剛好調(diào)整平安策略，并針對威逼等級較高的攻擊進(jìn)行提示，提出建議性解決方法。利用WEB應(yīng)用防火墻詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對Web應(yīng)用資源的訪問，包括頁面點(diǎn)擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜尋引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計(jì)，便于識別WEB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化供應(yīng)指導(dǎo)。WEB應(yīng)用防火墻融合牢靠的應(yīng)用層過濾技術(shù)和先進(jìn)的數(shù)據(jù)加密技術(shù)，具備事前主動防衛(wèi)、事中智能響應(yīng)及事后審計(jì)的綜合防護(hù)實(shí)力。在事前防衛(wèi)方面，智能分析應(yīng)用缺陷、屏蔽惡意懇求、防范網(wǎng)頁篡改、阻斷應(yīng)用攻擊，全方位愛護(hù)WEB應(yīng)用；事中智能響應(yīng)，WEB應(yīng)用防火墻作為一種專業(yè)的Web平安防護(hù)工具，基于對/S流量的雙向解碼和分析，可應(yīng)對/S應(yīng)用中的各類平安威逼，如SQL注入、XSS、跨站懇求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等平安問題，充分保障Web應(yīng)用的高可用性和牢靠性；事后審計(jì)，WEB應(yīng)用防火墻給服務(wù)器供應(yīng)了牢靠的平安防護(hù)，同時也應(yīng)當(dāng)具備深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價值，為評估平安狀況供應(yīng)詳盡報表功能?？梢詾樵盒＞W(wǎng)站系統(tǒng)供應(yīng)立體的平安防護(hù)體系，為網(wǎng)站應(yīng)用完整的平安解決方案。第四章天泰WEB平安防護(hù)系統(tǒng)伴隨著防護(hù)技術(shù)的不斷發(fā)展，WEB應(yīng)用系統(tǒng)的防護(hù)技術(shù)經(jīng)驗(yàn)了網(wǎng)關(guān)型防護(hù)手段和操作系統(tǒng)防護(hù)手段。如含有應(yīng)用層過濾功能的網(wǎng)絡(luò)防火墻、IPS等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進(jìn)行防護(hù)；網(wǎng)頁防篡改軟件則是基于文件監(jiān)控原理，對指定路徑的文件進(jìn)行監(jiān)控和寫愛護(hù)。傳統(tǒng)的網(wǎng)絡(luò)平安設(shè)備和網(wǎng)頁防篡改軟件只能解決WEB應(yīng)用平安的一個方面，而WEB應(yīng)用系統(tǒng)的平安保障須要一個全面的平安防護(hù)和性能保障措施才能使之平安、高效、持續(xù)地對外供應(yīng)服務(wù)。WEB應(yīng)用系統(tǒng)的平安是一個系統(tǒng)的問題，包括三個方面，即可用性、完整性和機(jī)密性。實(shí)現(xiàn)這些原則所需的平安等級因WEB系統(tǒng)的屬性、WEB應(yīng)用的價值不同而異。如對機(jī)密性要求較高的應(yīng)用系統(tǒng)應(yīng)當(dāng)保障數(shù)據(jù)的訪問、傳輸過程的平安，同時須要對訪問者進(jìn)行認(rèn)證、授權(quán)、審計(jì)；對于一個面對客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性，同時也須要對其完整性進(jìn)行有效的保障。而面對大眾的門戶類網(wǎng)站則須要充分考慮其抗攻擊實(shí)力、高可用性和完整性，供應(yīng)7X24小時不中斷服務(wù)，確保供應(yīng)的數(shù)據(jù)是真實(shí)的、有效的。綜上所述WEB應(yīng)用系統(tǒng)的平安保障須要充分考慮其高可用性、完整性和機(jī)密機(jī)才能達(dá)到平安有效的防護(hù)目的。專業(yè)的WEB平安網(wǎng)關(guān)則是專用于防護(hù)及優(yōu)化WEB應(yīng)用系統(tǒng)的最佳選擇，有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁防篡改軟件在WEB應(yīng)用防護(hù)方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進(jìn)行平安優(yōu)化從而達(dá)到WEB防護(hù)的最佳目標(biāo)。圖4-1天泰WEB平安網(wǎng)關(guān)的綜合防護(hù)實(shí)力上海天泰網(wǎng)絡(luò)技術(shù)有限公司專業(yè)從事于WEB應(yīng)用平安的探討、防護(hù)工作。天泰自主研發(fā)的WEB應(yīng)用平安網(wǎng)關(guān)是國內(nèi)首家通過國家公安部、國家保密局、解放軍信息平安測評中心、國家信息平安測評認(rèn)證中心等權(quán)威機(jī)構(gòu)檢測認(rèn)可的綜合性WEB平安保障平臺。上海天泰專注細(xì)分市場，依靠持續(xù)創(chuàng)新與自主研發(fā)，結(jié)合先進(jìn)的軟件體系和硬件架構(gòu)，打造穩(wěn)定高效的平臺，將多項(xiàng)特性與功能整合至單一設(shè)備，供應(yīng)全面的應(yīng)用平安與優(yōu)化解決方案，為客戶創(chuàng)建一個平安高效的應(yīng)用環(huán)境，成就國內(nèi)應(yīng)用平安行業(yè)的領(lǐng)導(dǎo)者。向廣闊用戶供應(yīng)WEB應(yīng)用的平安解決方案，通過WEB平安網(wǎng)關(guān)的平安防護(hù)模塊、應(yīng)用審計(jì)模塊實(shí)現(xiàn)應(yīng)用的平安防護(hù)，解決用戶面臨的嚴(yán)峻入侵威逼；通過負(fù)載均衡和WEB加速技術(shù)解決用戶在高可用性、性能提升上因?yàn)轫氁罅抠Y金投入的苦惱；天泰的SSL加速引擎和訪問限制模塊輕松解決了WEB應(yīng)用系統(tǒng)差異化訪問限制等困難應(yīng)用。目前已經(jīng)在政府、教化、軍隊(duì)、金融、電信、大型企業(yè)等多個領(lǐng)域有著廣泛的應(yīng)用。4.1平安防護(hù)功能4.1.1策略的覆蓋完整度天泰WEB平安網(wǎng)關(guān)供應(yīng)對應(yīng)用系統(tǒng)全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)即常見的跨站腳本攻擊、SQL注入攻擊、跨站懇求偽造、網(wǎng)頁掛馬、盜鏈等威逼的防護(hù)，供應(yīng)WEB應(yīng)用或網(wǎng)站的基本平安保障。天泰平安團(tuán)隊(duì)經(jīng)過多年的平安探討和市場實(shí)踐，研發(fā)了虛擬服務(wù)器補(bǔ)丁技術(shù)用于緩解WEB服務(wù)器漏洞的零日攻擊、和擔(dān)心全配置帶來的平安隱患。集成的會話簽名鑒別技術(shù)和分級授權(quán)模塊專用于防護(hù)WEB應(yīng)用系統(tǒng)面臨的認(rèn)證威逼，如失效的會話管理缺陷、擔(dān)心全的會話密鑰管理缺陷等均可通過天泰WEB平安網(wǎng)關(guān)進(jìn)行快速修復(fù)。供應(yīng)防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異樣訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事務(wù)的發(fā)生。4.1.2策略適應(yīng)性優(yōu)秀的平安策略不僅須要有廣泛的應(yīng)用系統(tǒng)覆蓋面、還須要有細(xì)的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。天泰平安網(wǎng)關(guān)的策略基于URI、時間、訪問者、訪問狀態(tài)、訪問工具、訪問內(nèi)容等對象定制平安規(guī)則，每條規(guī)則在發(fā)布前均通過嚴(yán)格的適應(yīng)性測試，特殊針對國內(nèi)數(shù)百家WEB應(yīng)用系統(tǒng)進(jìn)行測試，確保規(guī)則平安穩(wěn)定、無誤判。4.1.3學(xué)習(xí)引擎與白名單模式、主動防衛(wèi)時代的到來平安防護(hù)技術(shù)可以分和黑名單防護(hù)技術(shù)和白名單防護(hù)技術(shù)，黑名單技術(shù)目前被大量應(yīng)用，基于黑名單的防護(hù)技術(shù)可以防護(hù)已知的攻擊行為，但對于未知的或已知規(guī)則的變種則無法防護(hù)。白名單技術(shù)可以有效的防護(hù)黑名單無法解決的問題，然而由于WEB應(yīng)用系統(tǒng)的困難多樣，所以白名單技術(shù)在實(shí)施過程中通常特別困難并可能導(dǎo)致誤判。經(jīng)過長期的研發(fā)與實(shí)踐，天泰自適應(yīng)引擎（TSAdaptive?）讓白名單防護(hù)技術(shù)成為了可能。在天泰WEB平安Positive模式下，識別攻擊行為不再依靠于已知的攻擊特征，而是基于用戶應(yīng)用系統(tǒng)的正常懇求特征和簽名列表。自適應(yīng)引擎生成的舉薦規(guī)則專用于特定的應(yīng)用系統(tǒng)，最大限度的降低了黑名單技術(shù)帶來的誤判、漏判、零日攻擊等無法解決的技術(shù)難題。4.1.4基于狀態(tài)的分析WEB應(yīng)用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)則匹配的響應(yīng)機(jī)制，表現(xiàn)為無狀態(tài)特性。隨著防護(hù)技術(shù)的不斷提高及面臨日益嚴(yán)峻的零日攻擊威逼，天泰WEB平安網(wǎng)關(guān)開創(chuàng)性的采納了應(yīng)用防火墻狀態(tài)防護(hù)技術(shù)，對會話管理、懇求偽造、盜鏈等行為進(jìn)行識別和防護(hù)；對攻擊者的入侵掃描、探測、滲透過程進(jìn)行狀態(tài)識別和跟蹤，快速定位威逼，剛好告警或阻擋。4.1.5與網(wǎng)絡(luò)層聯(lián)動的防衛(wèi)技術(shù)WEB應(yīng)用受到攻擊，WEB平安網(wǎng)關(guān)應(yīng)當(dāng)實(shí)行行之有效的防護(hù)措施。天泰WEB平安網(wǎng)關(guān)在檢測到有攻擊流量時會跟據(jù)不同的平安級別做出對應(yīng)的響應(yīng)，如阻斷并給出偽裝或告警信息。當(dāng)檢測到有持繼的攻擊流量時，天泰WEB平安網(wǎng)關(guān)將會實(shí)行一系列的平安聯(lián)動措施，如基于狀態(tài)的威逼識別和限時鎖定措施將入侵者進(jìn)行延時鎖定，或者剛好將可疑攻擊通過郵件、短信、SNMP、Syslog通知平安管理員，剛好實(shí)行平安措施，降低攻擊帶來的損失。4.2日志審計(jì)與管理 日志分析與管理模塊作為平安產(chǎn)品與平安管理人員交互最為重要的接口，其日志審計(jì)貯存的形式、內(nèi)容和可供應(yīng)的建議對平安管理員保持應(yīng)用系統(tǒng)長期平安運(yùn)行起到重要作用。4.2.1平安日志日志不僅為管理員供應(yīng)威逼管理的平臺，同時也是平安取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能具體和精確，并可依據(jù)審計(jì)的要求對特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。天泰WEB平安網(wǎng)關(guān)可供應(yīng)定時報表和即時分析功能，通過分析有助于平安管理人員把握應(yīng)用系統(tǒng)平安現(xiàn)狀，剛好調(diào)整平安策略，并針對威逼等級較高的攻擊進(jìn)行提示，提出建議性解決方法。圖4-2天泰WEB平安的統(tǒng)計(jì)報表系統(tǒng)的平安是須要通過不斷的評估、響應(yīng)、防護(hù)和加固平安策略從而達(dá)到一個動態(tài)的平衡。天泰為用戶供應(yīng)以WEB平安網(wǎng)關(guān)為載體、以平安策略為核心的防護(hù)機(jī)制，檢測到可疑威逼的狀況時可運(yùn)用天泰的自適應(yīng)引擎實(shí)現(xiàn)新策略的生成，提高平安管理員的工作效率。4.2.2訪問日志天泰WEB平安網(wǎng)關(guān)詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對Web應(yīng)用資源的訪問，包括頁面點(diǎn)擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜尋引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計(jì)，便于識別WEB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化供應(yīng)指導(dǎo)。4.3性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)平安的重要組成部分，應(yīng)用系統(tǒng)訪問延時、堵塞、服務(wù)中斷、性能急劇下降等都會導(dǎo)致系統(tǒng)可用性下降。對于公眾開放的應(yīng)用系統(tǒng)的可用性的平安等級通常放在首位。如何經(jīng)濟(jì)高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進(jìn)行平安規(guī)劃時的首要問題。性能優(yōu)化方面，天泰針對不同用戶的需求供應(yīng)了多種性能優(yōu)化方案供用戶選擇。4.3.1站點(diǎn)集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計(jì)開發(fā)階段融入天泰WEB平安的WEB應(yīng)用集群功能可以提高軟件開發(fā)的效率、取代由軟件實(shí)現(xiàn)站點(diǎn)集群的性能瓶頸和繁瑣的技術(shù)細(xì)微環(huán)節(jié)，提升整個應(yīng)用系統(tǒng)的性能。通過站點(diǎn)集群技術(shù)您可以實(shí)現(xiàn)站點(diǎn)網(wǎng)頁文件、圖片、媒體文件的分別與整合，也可以便利實(shí)現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用天泰WEB平安網(wǎng)關(guān)還可以實(shí)現(xiàn)站點(diǎn)文本、圖片文件域名分別，從而提縮短用戶下載網(wǎng)頁的時間，提高用戶體驗(yàn)。圖4-3天泰WEB平安網(wǎng)關(guān)的集群服務(wù)4.3.2負(fù)載均衡天泰WEB平安網(wǎng)關(guān)供應(yīng)高可用性、負(fù)載均衡以及基于應(yīng)用的代理，作為快速并且高牢靠的一種負(fù)載均衡產(chǎn)品，天泰WEB平安網(wǎng)關(guān)特殊適用于那些負(fù)載特大的WEB站點(diǎn)，這些站點(diǎn)通常又須要會話保持或七層處理。圖4-4天泰WEB平安網(wǎng)關(guān)的負(fù)載均衡服務(wù)天泰WEB平安網(wǎng)關(guān)供應(yīng)成熟的負(fù)載均衡解決方案，支持的負(fù)載均衡模式有：平均分發(fā)、壓力分發(fā)、懇求路徑分發(fā)、懇求參數(shù)分發(fā)，并支持WEB應(yīng)用系統(tǒng)的會話保持功能、服務(wù)狀態(tài)監(jiān)測與故障切換功能。4.3.3WEB加速基于現(xiàn)有環(huán)境的WEB加速功能可運(yùn)用戶不變更現(xiàn)有環(huán)境的狀況下提升訪問WEB應(yīng)用的速度；天泰WebCompress?引擎對Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時智能壓縮，改善終端用戶性能，降低帶寬消耗。WebCache?引擎對靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著削減服務(wù)器負(fù)載。雙向TCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量長久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。圖4-6天泰WEB平安網(wǎng)關(guān)的加速功能4.4訪問限制與SSL加速假如應(yīng)用系統(tǒng)須要對訪問者身份進(jìn)行識別和授權(quán)，從而保障數(shù)據(jù)的機(jī)密性，此時可以運(yùn)用天泰WEB平安網(wǎng)關(guān)的訪問限制功能以及SSL加功能。該功能特殊適用于已經(jīng)交付運(yùn)用的應(yīng)用系統(tǒng)，不須要修改程序代碼，通過WEB平安網(wǎng)關(guān)實(shí)現(xiàn)訪問限制和SSL加速。如WEB站點(diǎn)的管理后臺通常干脆暴露在外網(wǎng)，僅依靠于口令強(qiáng)度和簡易的驗(yàn)證碼進(jìn)行訪問限制，類似這種應(yīng)用可以通過天泰WEB平安網(wǎng)關(guān)的訪問限制功能實(shí)現(xiàn)身份識別和訪問限制以提高應(yīng)用系統(tǒng)的平安性。4.4.1時域、地域鎖定服務(wù)天泰平安服務(wù)團(tuán)隊(duì)長期對國內(nèi)網(wǎng)站入侵事務(wù)供應(yīng)應(yīng)急響應(yīng)服務(wù)，結(jié)合多年的服務(wù)閱歷發(fā)覺針對國內(nèi)站點(diǎn)被入侵的時間和IP地址對應(yīng)的地理位置特性，并將這個特性整合進(jìn)了天泰WEB平安網(wǎng)關(guān)。對網(wǎng)站指定路徑定時鎖定，如網(wǎng)站的信息提交功能深夜至凌晨鎖定，政府事業(yè)單位的網(wǎng)點(diǎn)僅限于國內(nèi)IP地址的用戶可以訪問等功能，從而將易受到攻擊的時段、區(qū)域進(jìn)屏蔽。天泰WEB平安網(wǎng)關(guān)集成了基于時間、頁面、和客戶端IP地址的網(wǎng)絡(luò)層聯(lián)動防護(hù)技術(shù)，便利管理員對站點(diǎn)的限制，如業(yè)務(wù)系統(tǒng)只有工作時間才對外開放，后臺管理系統(tǒng)只有指定范圍的IP才可訪問，涉及政務(wù)查詢的數(shù)據(jù)僅國內(nèi)或省內(nèi)訪問者可訪問等功能均可通過天泰WEB平安網(wǎng)關(guān)實(shí)現(xiàn)。圖4-7天泰WEB平安網(wǎng)關(guān)的地域鎖定功能4.4.2SSL認(rèn)證服務(wù)天泰WEB平安網(wǎng)關(guān)集成了SSL加密功能，應(yīng)用內(nèi)容在傳輸過程中都受加密愛護(hù)，通過轉(zhuǎn)移服務(wù)器困難的加/解密任務(wù)從而將應(yīng)用處理實(shí)力發(fā)揮到了極致。該功能使管理員能愛護(hù)敏感應(yīng)用內(nèi)容的平安，使其擺脫被竊取及被濫用的潛在威逼。適用于電子政務(wù)、電子商務(wù)等對數(shù)據(jù)機(jī)密性要求較高的場合。圖4-7天泰WEB平安網(wǎng)關(guān)的SSL認(rèn)證服務(wù)4.4.3URL認(rèn)證技術(shù)失效的會話管理、弱口令等缺陷給WEB應(yīng)用系統(tǒng)帶來巨大的平安隱患，然而對于一些已經(jīng)交付運(yùn)行的應(yīng)用系統(tǒng)，最佳的解決方法是采納第三方的認(rèn)證管理技術(shù)進(jìn)行限制，而不是對原來程序進(jìn)行修復(fù)。天泰WEB平安網(wǎng)關(guān)可以對指定的WEB資源進(jìn)行訪問限制，并結(jié)合LDAP、RADIUS、AD等認(rèn)證服務(wù)器提高WEB應(yīng)用系統(tǒng)的平安性。第五章產(chǎn)品的選型與部署5.1平安產(chǎn)品的設(shè)計(jì)與選型5.1.1產(chǎn)品設(shè)計(jì)目標(biāo)針對目前日益增多的應(yīng)用層網(wǎng)絡(luò)攻擊行為，須要對網(wǎng)站能夠供應(yīng)有效的平安防護(hù)，選用天泰WEB平安網(wǎng)關(guān)對公司門戶網(wǎng)站、郵件系統(tǒng)、招標(biāo)網(wǎng)站進(jìn)行應(yīng)用平安防護(hù)，防止網(wǎng)站被入侵、防止系統(tǒng)信息被修改、防止對后臺數(shù)據(jù)庫的惡意訪問、杜絕DDoS攻擊，保障系統(tǒng)服務(wù)的持續(xù)性。為保障XX單位對外業(yè)務(wù)系統(tǒng)的高可用、高平安性，我們將要部署一臺設(shè)備對門戶網(wǎng)站、招標(biāo)網(wǎng)、郵件系統(tǒng)網(wǎng)站進(jìn)行平安防護(hù)。5.1.2產(chǎn)品選型原則平安性：對網(wǎng)站進(jìn)行有效的防護(hù)，加強(qiáng)應(yīng)用層的綜合防護(hù)；牢靠性：供應(yīng)的平安防護(hù)設(shè)備具有較高的牢靠性；先進(jìn)性：采納先進(jìn)、成熟的技術(shù)和主流的產(chǎn)品，使網(wǎng)絡(luò)建設(shè)能適應(yīng)將來的需求；好用性：系統(tǒng)設(shè)計(jì)以好用性為原則，同時應(yīng)考慮到系統(tǒng)的開放性，兼容性、技術(shù)支持服務(wù)等實(shí)力；兼容性：要求對現(xiàn)有的系統(tǒng)具有良好的兼容性。5.1.3產(chǎn)品選型參考上海天泰公司在大量應(yīng)用新技術(shù)的條件下，推出了“新一代”Web平安網(wǎng)關(guān)。在占據(jù)WEB平安技術(shù)的制高點(diǎn)上，天泰公司站在Web平安的最前沿。對于用戶普遍關(guān)切的Web平安防衛(wèi)中的性能損耗問題，上海天泰Web平安網(wǎng)關(guān)通過采納緩存、壓縮、連接保持等技術(shù)提升了WEB系統(tǒng)性能，在最近XX行業(yè)的系統(tǒng)上，運(yùn)用天泰Web平安網(wǎng)關(guān)提高訪問速度近30倍。依據(jù)XX單位網(wǎng)站W(wǎng)EB應(yīng)用系統(tǒng)的實(shí)際需求，舉薦采納上海天泰WAF-T3-2000-S型設(shè)備，具體產(chǎn)品功能和性能參數(shù)如下：項(xiàng)目類別技術(shù)參數(shù)產(chǎn)品形態(tài)產(chǎn)品規(guī)格：2U機(jī)架式物理接口：1000BASE-T×4，RS232×1產(chǎn)品性能懇求/秒：20,000TCP并發(fā)連接：2,000,000部署方式支持路由、透亮、單臂等多種部署模式支持鏈路聚合，提升鏈路帶寬和牢靠性支持策略路由，能支持多條鏈路接入分布式模式，產(chǎn)品內(nèi)置WebAP/WebUTM/WebSwitch引擎，可以分別部署多臺硬件平臺，大大提高處理實(shí)力網(wǎng)絡(luò)防護(hù)具有狀態(tài)監(jiān)測防火墻功能，支持基于五元組的訪問限制具有端口映射功能，支持SNAT、DNAT和PNAT支持MAC地址綁定，防止ARP假冒與攻擊能防衛(wèi)常見DOS攻擊WEB防護(hù)專用的WebUTM引擎，統(tǒng)一防范針對WEB應(yīng)用的各種威逼能夠?qū)?shù)據(jù)流進(jìn)行雙向深度檢查，具備完全的協(xié)議和事務(wù)解析實(shí)力能夠阻斷攻擊探測，防止對WEB應(yīng)用和服務(wù)器等信息的惡意獲得和特征收集能夠阻擋SQL注入、跨站腳本、書目泄漏、書目遍歷、COOKIE假冒、認(rèn)證躲避、吩咐行注入等常見攻擊行為支持黑、白名單技術(shù)，能防護(hù)應(yīng)用系統(tǒng)免遭常見和未知的WEB攻擊供應(yīng)網(wǎng)頁防盜鏈功能，防止WEB資源被盜用供應(yīng)對網(wǎng)頁掛馬的主動監(jiān)測，當(dāng)檢測到網(wǎng)頁被掛馬時，能通過郵件或短消息進(jìn)行告警具有自動學(xué)習(xí)引擎，能自動對雙向的流量進(jìn)行智能分析，并能自動學(xué)習(xí)到后臺WEB服務(wù)器及WEB站點(diǎn)和書目結(jié)構(gòu)檢測到攻擊時，能選擇阻斷當(dāng)前懇求或阻斷攻擊者的IP；并通過限制臺、Mail等多種方法進(jìn)行告警內(nèi)置600多條攻擊特征庫，支持攻擊特征庫自動升級；支持自定義防護(hù)規(guī)則應(yīng)用加速能對Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時智能壓縮，改善終端用戶性能，提高帶寬利用率供應(yīng)對靜態(tài)應(yīng)用內(nèi)容高速緩存，顯著削減服務(wù)器負(fù)載具有連接保持功能，雙向TCP連接池和高效復(fù)用算法優(yōu)化服務(wù)器連接，改善服務(wù)器性能提高響應(yīng)速度能限制WEB服務(wù)器最大服務(wù)實(shí)力，防止因?yàn)閼┣罄擞繉?dǎo)致服務(wù)器異樣應(yīng)用限制URL級別的流量管理，可以最大限度的緩解WEB服務(wù)器因訪問量大而造成的DOS攻擊訪問過載愛護(hù)功能可以自動愛護(hù)已經(jīng)建立的連接，將后續(xù)的連接放入連接隊(duì)列供應(yīng)URL級別的訪問限制，針對不同的URL設(shè)置不同的訪問權(quán)限，可基于用戶、IP范圍、用戶組等權(quán)限的訪問限制對應(yīng)用服務(wù)進(jìn)行精確的監(jiān)控，剛好發(fā)覺WEB應(yīng)用狀態(tài)異樣可以對網(wǎng)站管理后臺運(yùn)用SSL發(fā)布，采納雙向數(shù)字證書認(rèn)證，愛護(hù)數(shù)據(jù)通信的完整性和機(jī)密性行為審計(jì)能記錄站點(diǎn)訪問日志，供應(yīng)基于訪問日志的用戶行為分析與審計(jì)能夠?qū)撁纥c(diǎn)擊率、客戶端地址、訪問流量和時間等進(jìn)行有效的行為跟蹤和審計(jì)能導(dǎo)出站點(diǎn)訪問日志，為外部日志分析系統(tǒng)供應(yīng)訪問日志原始數(shù)據(jù)對攻擊來源、數(shù)據(jù)、時間、處理結(jié)果形成列表，供應(yīng)多種審計(jì)報表為系統(tǒng)的平安審計(jì)供應(yīng)豐富的審計(jì)報表，支持標(biāo)準(zhǔn)第三方SYSLOG日志服務(wù)器內(nèi)置IP地址信息庫，實(shí)現(xiàn)發(fā)覺訪問和攻擊網(wǎng)站的用戶區(qū)域分布篡改愛護(hù)能實(shí)時檢測頁面是否被篡改，支持?jǐn)?shù)字水印、相像度、內(nèi)容取樣等多種算法動態(tài)防篡改功能，支持對動態(tài)頁面的防篡改，有效防止對后臺數(shù)據(jù)庫的篡改行為檢測到篡改發(fā)生后，支持發(fā)送鏡像內(nèi)容，阻斷或者頁面重定向等響應(yīng)動作具有可選的篡改復(fù)原軟件模塊，可以實(shí)時復(fù)原被篡改的頁面高級應(yīng)用支持應(yīng)用負(fù)載均衡模塊，支持平均分發(fā)，壓力分發(fā)，懇求分發(fā)，懇求參數(shù)分發(fā)等算法支持靜默掃描模塊，為上線的應(yīng)用系統(tǒng)供應(yīng)實(shí)時平安評估支持SSLAccel模塊，可以分擔(dān)應(yīng)用服務(wù)器SSL運(yùn)算壓力，有效提升了服務(wù)器處理實(shí)力支持WEB誘捕模塊，能吸引攻擊者的留意力，降低應(yīng)用系統(tǒng)被攻擊的風(fēng)險，同時能記錄攻擊者IP和攻擊手段高可用性支持雙機(jī)熱備功能，可敏捷選擇集群、熱備的應(yīng)用模式支持軟件BYPASS功能，當(dāng)產(chǎn)品出現(xiàn)故障或用戶有特殊須要時能停止防護(hù)而不中斷正常應(yīng)用支持硬件BYPASS功能，當(dāng)硬件故障或者系統(tǒng)掉電時，防止網(wǎng)絡(luò)和應(yīng)用出現(xiàn)中斷設(shè)備管理產(chǎn)品管理圖形界面（GUI）以及產(chǎn)品文檔均為中文以SSL加密的WEB圖形化界面進(jìn)行設(shè)備管理，并可通過專用管理接口進(jìn)行管理能指定管理員遠(yuǎn)程管理允許登錄的IP或網(wǎng)段,可以限制管理員登錄次數(shù)，并能鎖定惡意登錄者的IP支持SNMP，能接受專用的網(wǎng)絡(luò)管理系統(tǒng)的集中管理5.2平安產(chǎn)品的部署與實(shí)施5.2.1產(chǎn)品部署分析Web平安網(wǎng)關(guān)主要是對XX單位的門戶網(wǎng)站、招標(biāo)網(wǎng)、郵件應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行應(yīng)用平安防護(hù)。天泰web平安網(wǎng)關(guān)主要接入方式有：透亮方式、路由方式和單臂方式等。在確定愛護(hù)對象后，要依據(jù)應(yīng)用和產(chǎn)品適應(yīng)網(wǎng)絡(luò)的狀況不同，采納合適的部署方式。透亮或路由方式部署透亮方式和路由方式的部署位置極為相像，均須要串聯(lián)接入網(wǎng)絡(luò)中，全部訪問web服務(wù)器的數(shù)據(jù)都須要通過web平安網(wǎng)關(guān)設(shè)備，web平安網(wǎng)關(guān)除了須要分析應(yīng)用的數(shù)據(jù)以外還須要處理非協(xié)議的數(shù)據(jù)流，對設(shè)備的性能要求較高。路由方式：=1\*GB3①設(shè)備接口分別設(shè)置為不同網(wǎng)段的地址，具有基本路由功能；=2\*GB3②能夠進(jìn)行源地址轉(zhuǎn)換和目標(biāo)地址轉(zhuǎn)換功能；=3\*GB3③支持軟件平安防護(hù)BYPASS功能；=4\*GB3④須要防火墻將原來影射到web服務(wù)器地址的信息更改為影射到web平安網(wǎng)關(guān)的外部地址。透亮方式：=1\*GB3①設(shè)備接口在同一個網(wǎng)段，接入便利，不須要更改網(wǎng)絡(luò)配置；=2\*GB3②支持軟硬件BYPASS功能；=3\*GB3③支持路由轉(zhuǎn)發(fā)功能。5.2.2產(chǎn)品部署方式依據(jù)我們對XX單位網(wǎng)站的探討，以盡可能不變更目前網(wǎng)絡(luò)和故障復(fù)原便利為設(shè)計(jì)原則，最大的提高網(wǎng)絡(luò)平安性為要求，我們舉薦運(yùn)用透亮方式進(jìn)行接入。以下具體說明：（1）透亮方式接入就是web平安網(wǎng)關(guān)安裝后，用戶在運(yùn)用時意識不到該設(shè)備的存在，在用戶無所察覺的狀況下提高網(wǎng)絡(luò)的整體平安。（2）