WEB應(yīng)用安全防護系統(tǒng)建設(shè)方案

Web應(yīng)用安全防護系統(tǒng)解決方案

目錄TOC\o"1-4"\h\u一、需求概述 41.1 背景介紹 41.2 需求分析 41.3 網(wǎng)絡(luò)安全防護策略 71.3.1 “長鞭效應(yīng)（bullwhipeffect）” 71.3.2 網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則 8二、 解決方案 92.1Web應(yīng)用防護系統(tǒng)解決方案 92.1.1黑客攻擊防護 92.1.2BOT防護 102.1.3應(yīng)用層洪水CC攻擊及DDOS防御 112.1.4網(wǎng)頁防篡改 122.1.5自定義規(guī)則及白名單 132.1.6關(guān)鍵字過濾 132.1.7日志功能 142.1.8統(tǒng)計功能 162.1.9報表 182.1.10智能阻斷 182.2設(shè)備選型及介紹 192.3設(shè)備部署 21三、方案優(yōu)點及給客戶帶來的價值 243.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題 243.2合規(guī)性建設(shè) 243.3減少因不安全造成的損失 243.4便于維護 243.5使用狀況 253.5.1系統(tǒng)狀態(tài) 253.5.2入侵記錄示例 253.5.3網(wǎng)站統(tǒng)計示例 26四、Web應(yīng)用防護系統(tǒng)主要技術(shù)優(yōu)勢 274.1千兆高并發(fā)與請求速率處理技術(shù) 274.2攻擊碎片重組技術(shù) 274.3多種編碼還原與抗混淆技術(shù) 274.4SQL語句識別技術(shù) 274.5多種部署方式 274.6軟硬件BYPASS功能 27五、展望 28

學校WEB應(yīng)用安全防護Web應(yīng)用防護安全解決方案一、需求概述背景介紹隨著學校對信息化的不斷建設(shè)，已經(jīng)具有完備的校園網(wǎng)絡(luò)，學校部署了大量信息系統(tǒng)和網(wǎng)站，包括OA系統(tǒng)、WEB服務(wù)器、教務(wù)管理系統(tǒng)、郵件服務(wù)器等50多臺服務(wù)器和100多個業(yè)務(wù)系統(tǒng)和網(wǎng)站，各業(yè)務(wù)應(yīng)用系統(tǒng)都通過互聯(lián)網(wǎng)平臺得到整體應(yīng)用，校園網(wǎng)出口已經(jīng)部署了專用防火墻、流控等網(wǎng)絡(luò)安全設(shè)備。所有Web應(yīng)用是向公眾開放，特別是學校的門戶網(wǎng)站，由于招生與社會影響，要求在系統(tǒng)Web保護方面十分重要。需求分析很多人認為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，尤其是對Web系統(tǒng)的攻擊防范作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于TCP/IP報文頭部的ACL）實現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫進行匹配，從而識別出以知的網(wǎng)絡(luò)攻擊，達到對應(yīng)用層攻擊的防護。但是對于未知攻擊，和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護?？傮w說來，容易導致學校Web服務(wù)器被攻擊的主要攻擊手段有以下幾種：緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)跨站腳本攻擊——提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息拒絕服務(wù)攻擊——構(gòu)造大量的非法請求，使Web服務(wù)器不能相應(yīng)正常用戶的訪問認證逃避——攻擊者利用不安全的證書和身份管理非法輸入——在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)強制訪問——訪問未授權(quán)的網(wǎng)頁隱藏變量篡改——對網(wǎng)頁中的隱藏變量進行修改，欺騙服務(wù)器程序Cookie假冒——精心修改cookie數(shù)據(jù)進行用戶假冒

學校WEB應(yīng)用安全防護具體需求分析學校對WEB應(yīng)用安全防護非常重視，在內(nèi)網(wǎng)部署有高端防火墻，同時內(nèi)網(wǎng)部署有眾多應(yīng)用服務(wù)器，網(wǎng)絡(luò)示意圖如下：通過以上機構(gòu)的內(nèi)網(wǎng)拓撲簡圖可見，機構(gòu)內(nèi)部眾多用戶和各種應(yīng)用系統(tǒng)，通過位于外網(wǎng)接口的防火墻進行了防護和保障，對于來自外網(wǎng)的安全風險和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于自身產(chǎn)品定位和防護深度，不同有效的提供針對Web應(yīng)用攻擊的防御能力。對于來自外網(wǎng)的各種各樣的攻擊方法，就必須采用一種專用的機制來阻止黑客對Web服務(wù)器的攻擊行為，對其進行有效的檢測、防護。通過對學校內(nèi)部網(wǎng)絡(luò)目前在WEB應(yīng)用存在的問題，我們看到學校在Web服務(wù)器安全防護時需要解決以下幾個問題：跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問學校Web服務(wù)器的用戶，常見的目的是竊取Web服務(wù)器訪問者相關(guān)的用戶登錄和認證信息。SQL注入攻擊由于代碼編寫不可能做到完美，因此攻擊者可以通過輸入一段數(shù)據(jù)庫查詢代碼竊取或者修改數(shù)據(jù)庫中的數(shù)據(jù)，造成用戶資料的丟失、泄露和服務(wù)器權(quán)限的丟失。緩沖區(qū)溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，獲得系統(tǒng)管理員權(quán)限。CC攻擊CC攻擊目前是最新出現(xiàn)針對Web系統(tǒng)的特殊攻擊方式，通過構(gòu)造特殊的攻擊報文，以到達消耗應(yīng)用平臺的服務(wù)器計算資源為目的（其中以消耗CPU資源最為常見），最終造成應(yīng)用平臺的拒絕服務(wù)，正常用戶無法訪問Web服務(wù)器，給學校形象造成不可估量的損失。拒絕服務(wù)攻擊通過DOS攻擊請求，以到達消耗應(yīng)用平臺的網(wǎng)絡(luò)資源為目的，最終造成應(yīng)用平臺的拒絕服務(wù)，正常用戶無法訪問Web服務(wù)器，給政府形象造成不可估量的損失。Cookies/Seesion劫持Cookies/Seesion通常用戶用戶身份認證，別且可能攜帶用戶敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高訪問權(quán)限，或者偽裝他人的身份登錄。網(wǎng)絡(luò)安全防護策略“長鞭效應(yīng)（bullwhipeffect）”網(wǎng)絡(luò)安全的防護同管理學的“長鞭效應(yīng)（bullwhipeffect）”具有相似的特性，就是要注重防患于未然。因此，針對我們單位的特點，更要注重主動防護，在安全事件發(fā)生之前進行防范，減少網(wǎng)絡(luò)安全事件發(fā)生的機會，達到：“少發(fā)生、不發(fā)生”的目標。網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則基于“長鞭效應(yīng)”，我們的網(wǎng)絡(luò)安全防護要從源頭做起，采用“防、切、控（DCC）”的原則：防：主動防護，防護我們的服務(wù)器受到攻擊者的主動攻擊外部敵對、利益驅(qū)動的攻擊者，會對我們的網(wǎng)站、mail服務(wù)器進行各種主動攻擊。而這些主動攻擊往往帶有非常強的目的性和針對性，因此我們當前如何防范惡意攻擊者的主動攻擊成為首要解決的問題，主要有：防止Web服務(wù)器受到來自外部的攻擊、非法控制、篡改；防止主、備mail服務(wù)器受到攻擊、非法控制。切：切斷來自外部危險網(wǎng)站的木馬、病毒傳播：在網(wǎng)絡(luò)中部分的Web服務(wù)器已經(jīng)被黑客控制的情況下，Web應(yīng)用防護系統(tǒng)可以有效的防止已經(jīng)植入Web服務(wù)器的木馬的運行，防止服務(wù)器被黑客繼續(xù)滲透。因此，如何切斷被黑客攻擊以至于被控制的網(wǎng)站的木馬傳播成為當前的第二個主要解決問題?？兀嚎刂茻o意識的信息泄露：對于第三個要解決的問題是防止內(nèi)部人員無意識的內(nèi)部信息泄露，要保證接入網(wǎng)絡(luò)的機器、設(shè)備是具有一定的安全防護標準，防止不符合要求的機器和設(shè)備接入網(wǎng)絡(luò)，嚴格控制潛在的安全風險。解決方案2.1Web應(yīng)用防護系統(tǒng)解決方案Web應(yīng)用安全防護系統(tǒng)可以為學校Web服務(wù)器提供全方位的服務(wù)，主要保護功能包括以下幾方面：2.1.1黑客攻擊防護Web應(yīng)用防護系統(tǒng)對黑客攻擊防護功能，主要阻止常見的Web攻擊行為，包括以下方面：黑客已留后門發(fā)現(xiàn)，黑客控制行為阻止SQL注入攻擊（包括URL、POST、Cookie等方式的注入）XSS攻擊Web常規(guī)攻擊（包括遠程包含、數(shù)據(jù)截斷、遠程數(shù)據(jù)寫入等）命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）緩沖區(qū)溢出攻擊惡意代碼解決辦法：通過在Web服務(wù)器的前端部署Web應(yīng)用防護系統(tǒng)，可以有效過濾Web攻擊。同時，正常的訪問流量可以順利通過。Web應(yīng)用防護系統(tǒng)，通過內(nèi)置可升級、擴展的策略，可以有效的防止、控制Web攻擊發(fā)生。方案價值：通過部署Web應(yīng)用防護系統(tǒng)可以有效的防止黑客對于網(wǎng)站應(yīng)用層的攻擊，保障Web服務(wù)器的安全，降低資料被竊取、網(wǎng)站被篡改事件的發(fā)生。2.1.2違反策略防護Web應(yīng)用防護系統(tǒng)對互聯(lián)網(wǎng)的內(nèi)容識別與控制主要包括以下幾個方面：非法HTTP協(xié)議URL-ACL匹配盜鏈行為2.1.2BOT防護 Web應(yīng)用防護系統(tǒng)對互聯(lián)網(wǎng)的應(yīng)用訪問控制主要包括以下幾個方面：爬蟲蜘蛛行為Web漏洞掃描器行為2.1.3應(yīng)用層洪水CC攻擊及DDOS防御Web應(yīng)用防護系統(tǒng)的互聯(lián)網(wǎng)應(yīng)用流量控制主要包括以下幾個方面：UDPFloodICMPFloodSYNFloodACKFloodRSTFloodCC攻擊DDOS攻擊方案價值：Web應(yīng)用防護系統(tǒng)全方位的封堵，節(jié)省帶寬資源利用率，保證組織的業(yè)務(wù)相關(guān)應(yīng)用得到極以流暢的進行。2.1.4網(wǎng)頁防篡改本設(shè)備的網(wǎng)頁防篡改功能，對網(wǎng)站數(shù)據(jù)進行監(jiān)控，發(fā)現(xiàn)對網(wǎng)頁進行任何形式的非法添加、修改、刪除等操作時，立即進行保護，恢復(fù)數(shù)據(jù)并進行告警，同時記錄防篡改日志。

支持的操作系統(tǒng):Windows、Linux(CentOS、Debian、Ubuntu)、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系統(tǒng)。、2.1.5自定義規(guī)則及白名單自定義規(guī)則設(shè)備不僅具有完善的內(nèi)置規(guī)則，并且還支持用戶根據(jù)自身需要自行定義規(guī)劃，支持自符串快速查找與PCRE正則查找。白名單根據(jù)需要設(shè)定某些網(wǎng)站、URL針對防護設(shè)備直接放行。2.1.6關(guān)鍵字過濾本設(shè)備支持針對網(wǎng)頁訪問進行單向或雙方關(guān)鍵字進行檢測與過濾。2.1.7日志功能Web應(yīng)用防護系統(tǒng)不但提供強大的防護功能，且提供了十分詳細的日志和報表功能，能夠讓管理人員更加全面、快捷地了解整個設(shè)備運行及防護情況。入侵報警日志系統(tǒng)提供詳細的安全防護日志：包括攻擊時間、方式、來源IP、目的URL、物理地址、頁面訪問統(tǒng)計等。日志查詢設(shè)備提供基于時間、IP、端口、協(xié)議、動作、規(guī)則集、危害等級等多種查詢方式。支持日志的導出及按時間進行日志自動的清理。審計日志對設(shè)備每次操作進行詳細的記錄系統(tǒng)日志可以記錄設(shè)備的運行狀況2.1.8統(tǒng)計功能網(wǎng)絡(luò)入侵統(tǒng)計該設(shè)備頁面以柱狀圖的形式顯示指定月份所發(fā)生的所有入侵情況，以便快速掌握不同時期遭受網(wǎng)絡(luò)攻擊狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢。網(wǎng)絡(luò)流量統(tǒng)計統(tǒng)計該頁面統(tǒng)計各接口的流量情況，可以按天或月以折線圖的形式顯示出來。了解本設(shè)備在該段時間內(nèi)的網(wǎng)絡(luò)流量情況。瀏覽頁面統(tǒng)計該頁面可以詳細清楚地統(tǒng)計并顯示每個web頁面的訪問次數(shù)，最后訪問時間、瀏覽器情況，并可以分時間斷來進行分析頁面訪問情況。2.1.9報表設(shè)備提供詳細的基于圖文的安全報表（按攻擊類別、流量、主機、來源IP、目的URL攻擊方式、地位位置、webshell分析、頁面訪問次數(shù)等）并可以按事件攻擊類型、周期、統(tǒng)計目標進行統(tǒng)計。支持Html、Word、Pdf格式的輸出。定時去發(fā)送攻擊報表等功能。2.1.10智能阻斷該設(shè)備可以智能識別外來的攻擊行為，根據(jù)自定義單位時間內(nèi)觸發(fā)安全規(guī)則次數(shù)的方式，自動阻斷攻擊源。阻斷的時間及次數(shù)均可自行定義。2.2設(shè)備選型及介紹根據(jù)對學校WEB應(yīng)用安全防護需求的分析，采用WAF產(chǎn)品系列的Web防火墻管理設(shè)備，以下是要求的設(shè)備基本性能參數(shù)：項目技術(shù)要求體系結(jié)構(gòu)1U，采用多核硬件架構(gòu)配置≥8個電口，配置2對電口Bypass性能單向HTTP吞吐量≥1000Mbps最大并發(fā)會話數(shù)≥100萬（內(nèi)置規(guī)則全開，防護狀態(tài)）HTTP請求速率≥1,0000（內(nèi)置規(guī)則全開，防護狀態(tài)）網(wǎng)絡(luò)延遲≤0.05毫秒（內(nèi)置規(guī)則全開，防護狀態(tài)）防護網(wǎng)站不限IP攔截方式至少包含4種方式：攔截、檢測、放行、攔截并阻斷；阻斷方式下，可設(shè)置阻斷時間，可手工解除阻斷入侵者記錄能夠記錄入侵攻擊詳細數(shù)據(jù)，至少包含：序號、攻擊時間、攔截原因、規(guī)則集名稱、危害等級、源IP地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、HTTP請求、URL等防御功能雙向檢測功能，能夠?qū)α魅肓鞒鰯?shù)據(jù)進行檢測；具有默認的防護端口，并可指定防護端口；系統(tǒng)內(nèi)置防護規(guī)則、并支持用戶自定義防護規(guī)則；白名單功能:能夠?qū)μ囟ǖ腎P、域名、域名+URL設(shè)置白名單；HTTP請求類型允許與禁止：可對常用的HTTP請求設(shè)置允許或禁止通過Web攻擊防護SQL注入攻擊（包括URL、POST、Cookie等方式的注入）：攻擊者通過輸入數(shù)據(jù)庫查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)、XSS攻擊、遠程、本地文件包含攻擊CSRF跨站請求、Web常規(guī)攻擊（包括遠程包含、數(shù)據(jù)截斷、遠程數(shù)據(jù)寫入等）、惡意掃描：攻擊者利用pangolin、Wvs等專業(yè)掃描攻擊工具對服務(wù)器進行掃描和攻擊、命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）、緩沖區(qū)溢出攻擊、關(guān)鍵文件下載、搜索引擎爬蟲（spider）、惡意代碼、信息偽裝、“零日”攻擊、本馬上傳：攻擊者利用黑客工具上傳Webshell以達到控制服務(wù)器的目的、WebShell檢測與攔截等負載均衡支持應(yīng)用層負載均衡功能，并支持動態(tài)網(wǎng)站、流量分配防CC攻擊（選配）支持對CC攻擊的防護功能防DOS攻擊（選配）支持對DOS攻擊防護功能網(wǎng)頁防篡改（選配）支持對網(wǎng)頁的篡改并進行自動恢復(fù)，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系統(tǒng)漏洞掃描（選配）針對web服務(wù)器的SQL、XSS等漏洞進行掃描，并生成報告。數(shù)據(jù)庫防篡改（選配）數(shù)據(jù)庫防篡改：支持MSSQL、SQLSERVER等數(shù)據(jù)庫防篡改。高級訪問控制支持對內(nèi)、外IP地址的精確控制，設(shè)置不同的防御方式（阻斷、過濾、檢測、放行）可靠性電口、光口硬件BYPASS、軟件BYPASS、可擴展支持端口匯聚、多機熱備；平均無故障時間≥100000h；支持日志自動清理功能：可在達到日志上限時通知管理員進行日志清理，如手動清理未實施，系統(tǒng)實行自動清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虛擬化部署等報表功能提供詳細的基于圖文的安全報表（入侵統(tǒng)計、按入侵類別統(tǒng)計、被攻擊主機、攻擊來源IP和地理位置、頁面訪問次數(shù)、網(wǎng)絡(luò)接口流量趨勢等）并可以按事件攻擊類型、周期、統(tǒng)計目標進行統(tǒng)計管理特性支持通過HTTPS初始化、設(shè)置、管理設(shè)備實時流量查看、入侵告警查看流量統(tǒng)計、入侵統(tǒng)計自定義規(guī)則查看管理支持入侵記錄、系統(tǒng)日志、審計日志導出功能、系統(tǒng)配置安全導入、導出功能支持內(nèi)置規(guī)則升級、固件升級允許用戶自由定制規(guī)則，提供友好的定制模板報表系統(tǒng)、系統(tǒng)日志、審計日志產(chǎn)品資質(zhì)獲得國家保密局涉密信息系統(tǒng)安全保密測評中心頒發(fā)的符合國家保密標準BMB13－2004《涉及國家秘密的計算機信息系統(tǒng)入侵檢測產(chǎn)品技術(shù)要求》的千兆《涉密信息系統(tǒng)產(chǎn)品檢測證書》獲得中國信息安全認證中心頒發(fā)的符合CNCA/CTS0050-2007《信息技術(shù)信息安全網(wǎng)站恢復(fù)產(chǎn)品認證技術(shù)規(guī)范》增強級認證《中國國家信息安全產(chǎn)品認證證書》公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》國家漏洞中心提交漏洞證明文件2.3設(shè)備部署根據(jù)學校WEB應(yīng)用安全防護Web服務(wù)器部署情況，我們建議通過透明網(wǎng)橋的部署模式來達到對Web服務(wù)器保護的目的。集中/集群式Web服務(wù)器部署集群式/集中式Web服務(wù)：集群式Web服務(wù)采用多臺Web服務(wù)器負荷分擔提供同一Web服務(wù)；集中式Web服務(wù)主要體現(xiàn)在不同的Web服務(wù)器放置在同一網(wǎng)段或者相鄰的網(wǎng)段內(nèi)，但不同的Web服務(wù)器可能提供多樣的Web服務(wù)。這種情況多數(shù)應(yīng)用于中大型企業(yè)的Web服務(wù)器模式，或者是IDC。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，可直接將“Web應(yīng)用防火墻”串接在Web服務(wù)器群所在子網(wǎng)交換機前端，如下圖顯示：部署方式：WAF的WAN口與廣域網(wǎng)的接入線路相連，一般是光纖、ADSL線路或者是路由器，WAF的LAN口（DMZ口）同局域網(wǎng)的交換機相連，所有對WEB服務(wù)器的訪問請求都必須通過WAF設(shè)備。半分散式WEB服務(wù)部署模式半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在不同的子網(wǎng)中；比如：公司有整體的Web服務(wù)集群，同時，各個部門還有各自的Web服務(wù)器，而這些服務(wù)器分布在不同的子網(wǎng)中，如果想對這些Web服務(wù)器進行保護，需要將“Web應(yīng)用防火墻”部署在這些Web服務(wù)器所在網(wǎng)絡(luò)的邊緣，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口（DMZ口）同局域網(wǎng)交換機連接。同時保護處于內(nèi)網(wǎng)不同網(wǎng)段的多個Web服務(wù)器。全分散式Web服務(wù)部署模式半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在幾乎全部的子網(wǎng)中；比較常見的案例：IDC機房，這時，需要將“Web應(yīng)用防火墻”部署在局域網(wǎng)邊緣，一般部署在主交換機同主路由器之間，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口（DMZ口）同局域網(wǎng)交換機連接。同時保護處于內(nèi)網(wǎng)的所有Web服務(wù)器及DB服務(wù)器。三、方案優(yōu)點及給客戶帶來的價值通過Web應(yīng)用防護系統(tǒng)在學校WEB應(yīng)用安全防護的具體實施給客戶帶來以下價值：3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備，工作在OSI1-4層，基于IP報文進行狀態(tài)檢測、地址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問控制等，對報文中的具體內(nèi)容不具備檢測能力。因此，對Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護，對各類WEB應(yīng)用攻擊缺乏防御能力。Web應(yīng)用防護系統(tǒng)主要致力于提供應(yīng)用層保護，通過對HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測分析，識別及阻斷各類傳統(tǒng)防火墻無法識別的WEB應(yīng)用攻擊。只要有網(wǎng)絡(luò)的地方就會有防火墻，但傳統(tǒng)的防火墻只是針對一些底層(網(wǎng)絡(luò)層、傳輸層)的信息進行阻斷，而WAF則深入到應(yīng)用層，對所有應(yīng)用信息進行過濾，這是二者的本質(zhì)區(qū)別。WAF的運行基礎(chǔ)是應(yīng)用層訪問控制列表。整個應(yīng)用層的訪問控制列表所面對的對象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個網(wǎng)站互動過程中所提交的一些內(nèi)容，包括HTTP協(xié)議報文內(nèi)容，由于WAF對HTTP協(xié)議完全認知，通過內(nèi)容分析就可知道報文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。3.2合規(guī)性建設(shè)學校WEB應(yīng)用安全防護網(wǎng)站由于其社會地位和政治地位的特殊性，在公安部《計算機信息安全等級保護基本要求》中明確要求必須對所有外部網(wǎng)絡(luò)訪問行為進行入侵防范，訪問行為有相應(yīng)的日志審計行為。Web應(yīng)用防護系統(tǒng)不僅能完全防范非法用戶的入侵行為，更能提供完整的統(tǒng)計表報。3.3減少因不安全造成的損失Web應(yīng)用防護系統(tǒng)可以防止黑