Web应用安全解决方案.docx

《Web应用安全解决方案.docx》由会员分享，可在线阅读，更多相关《Web应用安全解决方案.docx（17页珍藏版）》请在三一办公上搜索。

1、目录一. 项目背景及必要性31.1项目背景3二. 中国铁建Web应用安全风险分析62.1应用层安全风险分析62.1.1身份认证漏洞62.1.2 www服务漏洞62.1.3 Web网站应用漏洞62.2管理层安全风险分析7三. 中国铁建Web网站安全防护方案83.1产品介绍93.1.1 WebGuard网页防篡改保护系统解决方案93.1.2 WebGuard-WAF综合应用安全网关123.2系统部署183.2.1详细部署183.2.2部署后的效果19四. 系统报价20一. 项目背景及必要性1.1项目背景近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化， 随着信息时代的到来

2、，信息化发展也为移动工作带来了新的挑战和机遇。近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络 安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。在企业网中， 网络管理者对于网络安全普遍缺乏重视，但是随着网络环境的恶化，以及一次次付出惨重代 价的教训，企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。国内相关行业网站的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方 面的原因，以及对技术的偏好和运营意识的不足，普遍都存在重技术、轻安全、轻管理的倾 向，政府网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间

3、放一 个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供 了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐 患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀，网络用户的快速增长，网站在各行业的信息化建设中已经在 扮演至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业、金融证券、政府 及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫 问题；因此，解决网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于B/S架构，使用Web应用来运行核心业务， 然而，Web应用安全威胁已

4、成为当前信息安全的主要威胁，从以下数据可以看出，80%以上的 信息安全威胁来自于Web应用：2010T CNCE RT壮刖的网络安仝件按类型分布CN 基于驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本;完全防护技术，支持大规模连续篡改攻击防护； 系统后台自动运行，支持断线状态下篡改监测；驱动技术完全杜绝被篡改内容被外界浏览；支持多站点分布式部署，统一集中管理功能； 支持大规模虚拟机、双机热备网站系统部署架构；支持单独文件、文件夹及多级文件夹目录内容篡改保护； 支持网页格式类型分类，便于分类管理； 支持网页自动上传功能，无需人工干涉； 支持异地文件快速同步功能和断点续传功能，极大的增

5、加网站整体安全性和稳定性;支持多用户管理功能，方便操作； 支持网页自动同步新增、修改、删除等功能； 自动检测文件攻击记录，并实时记入日志，支持导出报表； 支持服务器多种远程管理功能，如远程接管、远程唤醒、远程关机、远程用户注销 等；系统C/S结构，确保高可靠性； 支持多个策略管理，策略设置支持即时生效，无需重启； 支持服务器冗余双机及负载均衡分布部署；支持多种告警方式，日志告警、声音告警、邮件告警或定制其他告警方式； 支持用户认证，采用加密传输，安全可靠； 系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初 始配置，大大提高工作效率； 支持当前所有主流操作系统和web服务

6、器 支持SQL注入攻击防护；支持跨站脚本攻击防护；支持对系统文件的访问防护； 支持特殊字符构成的URL利用防护； 支持对危险系统路径的访问防护； 支持构造危险的Cookie攻击防护； 各类攻击的变种防护；支持自定义检测库；规则库支持在线升级功能；3-1-1-3技术特点介绍完全基于事件触发机制，避免服务器资源额外开支；文件驱动保护技术，确保系统稳定、安全、高效；不限制网站发布服务器类型，实现高可用性和扩展性；文件传输过程加密技术，防窃听和防篡改；简单部署模式图3.2简单部署集群冗余部署模式DMZ图3.3集群冗余部署部署WebGuard网页防篡改保护系统，对Web应用进行全面保护，即便黑客获得We

7、b目录 操作权限，依然无法对Web页面进行篡改，保障Web网站安全。3.1.2 WebGuard-WAF综合应用安全网关WEB综合安全应用网关（以下简称WAF）是XX科技自有知识产权，自主研发出品的高 可靠性、高安全性、高易用性系统。WAF是网络安全专家团针对“网站型”服务器量身定制的产业化产品，融合了我公司长 期对网站系统进行的安全研究成果，应用多项专利技术，主要从网站平台系统可用性和信息 可信任的角度，解决WEB防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载 均衡等核心需求，提供事前预警、事中防护、事后分析全周期安全防护解决方案。应用层攻击防护I internet月潺带亶据护扣

8、内客面出完整廿拘登图3.4WAF工作原理示意图WAF源于防护产品精品理念，致力于提高“网站型”服务器，应用服务系统的安全性和 可靠性，保障网站应用服务系统的运行质量，提升网站应用系统运行质量，为网站应用服务 系统的信息化规划部门、投资决策部门、运行维护部门提供具有参考意义的量化数据。事前，WAF进行网站服务运行动态监视，实时监测服务能力和服务质量，建立隐患预警 机制。事中，基于“无故障运行时间”理念，依托稳定高效安全的系统内核以及先进全面的多 维防护体系，从WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化 等多个角度，保障网站应用服务系统的运行质量。事后，WAF提供多角度量

9、化的决策支撑数据，为用户提供便捷的使用管理、有效的数据 和简洁清晰的阶段性报表，帮助网络维护队伍了解网站的建设情况和运行情况，掌握网站应 用服务系统规划设计目标的满足程度、网站应用服务系统运行效能及负载、网站应用服务质 量、运行报告等等多个角度的量化的决策支撑数据。帮助网站系统运行维护队伍从宏观环境、 当前建设现状、系统负载、异常行为过程等多个维度综合考虑安全问题，分角色提供既有清 晰结论、又有多角度量化的决策支撑数据的高水平报表。3.1.2.1产品功能3.1.2.1.1 WEB应用威胁防御WEB防护系统对HTTP数据流进行分析，应用了先进的多维防护体系，对WEB应用攻 击进行深入的研究，固化

10、了一套针对WEB应用防护的专用特征规则库，对当前国内主要的 WEB应用攻击手段实现了有效的防护机制，可以有效应对黑客传统攻击如缓冲区溢出、CGI 扫描、遍历目录、OS命令注入等以及SQL注入和跨站脚本等攻击手段。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP内容，解释和建立 规则。一旦某个会话被应用防火墙终止并被控制，WAF就会对向内或向外的流量进行多种检 查，以阻止内嵌的攻击、数据窃取和身份窃取。可以指定各种策略对URL、参数和格式等进 行检查。3.1.2.1.2抗拒绝服务攻击拒绝服务攻击是攻击者通常利用目标服务器的网络协议漏洞或耗尽其系统、网络资源， 使得目标服务器业务瘫

11、痪，无法响应正常用户请求。近年来，拒绝服务攻击事件呈上升趋势， 网站系统尤其要加强防范此类恶性攻击事件，避免系统瘫痪。WAF集成了具有核心知识产权的抗拒绝服务攻击功能，能够防御迄今已知的所有种类的 DDoS 攻击，如 SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等等。同时还能防御未知攻击。攻击指纹识别WAF利用多种技术手段对网络数据包进行特征统计和发现，能够准确定位当前的攻击类 型，并触发不同的防御机制，在提高效率的同时确保准确度。异常流量识别WAF创造性地提出了一种新的、基于数据挖掘的DDoS攻击盲检测技

12、术，利用关联算法 和聚类算法自适应的产生检测模型，任何偏离这些正常状态的流量特征都可以被捕获，从而 能够实时地、自动地、有效地识别出异常流量。攻击特征挖掘WAF具备高效的攻击特征挖掘能力。通过对网络流量的显微分析，挖掘出攻击特征，把 挖掘出的攻击特征交给规则执行机执行。攻击流量过滤WAF针对检测出的攻击流量，采用规则执行机，干净彻底地过滤攻击流量，放过正常流 量，保护正常服务的进行。3.1.2.1.3 WEB应用加速WAF在对网站进行全面的安全防护的同时，通过连接池、缓存等机制，实现应用加速， 优化网站的性能。WEB应用加速功能通过高性能的硬件平台和软件加速算法，可以将用户的WEB请求响 应速

13、度提高数倍，对网站系统的可用性有巨大的提升。3.1.2.2产品特色3.1.2.2.1 一流的产品设计理念 “三高”安全防护产品精品WAF是XX科技自有知识产权，自主研发出品的高可靠性、高安全性、高易用性的信息 安全防护系统。WAF是网络安全专家针对“网站型”服务器量身定制的业化产品，源于安全防护产品精 品理念，致力于提高网站平台的可靠性和内容的可信性，保障网站应用服务系统的运行质量， 提升网站应用系统服务效率，为网站应用服务系统的维护队伍提供具有参考意义的量化数据。 “一站式”安全管理产品理念WAF提供“网站型”服务器的可用性问题、内容可信任问题的“一站式”解决方案，用 “一个帐号，一次登录，

14、一套界面，三次点击”解决安全问题。 “无故障运行时间提升”理念WAF深入理解网站服务质量，首位提出网站“无故障运行时间”理念。WAF从网站应用威胁防护、服务效率动态监视，服务带宽保护和服务质量保障等三个层面，提高网站应用服务系统的连续服务时间，保障网站应用服务系统的运行质量。3.1.222领先的核心关键技术 稳定高效安全的系统内核WAF基于XX科技在操作系统内核以及对硬件电路设计方面多年的沉淀，结合我公司自 有知识产权进行优化移植，内核精简、稳定、高效，安全。先进全面的多维防护体系WAF通过宏观判断和微观分析、操作系统和应用分析、实时流量和历史特征等等多个角 度的信息聚合，围绕WEB应用威胁防

15、御、WEB防篡改、抗拒绝服务攻击和WEB应用效能 优化等进行相关多元化组合分析，全方位构建多维防护体系。主动式应用安全加固技术WAF通过漏洞扫描、实时WEB威胁防护、WEB应用架构协议规范化等多种手段相结合， 动态发现WEB应用威胁，及时提供相应的修复措施、解决方案，并进行主动修复。3.1.2.2.3提供量化的决策支撑数据 多角度量化的决策支撑数据WAF在安全防护的基础上，提供多角度量化的决策支撑数据，让网络维护队伍了解网站 的建设情况和运行情况。从网站应用服务系统规划设计目标的满足程度、网站应用服务系统 运行效能及负载、网站应用服务质量、运行报告等等多个角度提供量化的决策支撑数据。提供多角色

16、视角的数据展示WAF从用户的角色、网站应用系统的服务类型、网站应用系统的服务对象三个层面，提 供多种视角的数据展示，并支持展示界面的自定义。在网站WAF上，用户可以：按照业务视角，将当前各类业务的运行状态和当前安全威胁等级列出； 按照行业视角，将网站应用系统对服务对象的服务效能情况列出；根据自身的角色，选择查看不同范围、不同明细粒度和不同侧重点的报表；根据自身操作习惯和业务需要，自定义多套展示界面。WAF致力于为用户提供便捷的使用管理和有效的数据。提供简洁清晰的阶段性报表WAF提供简洁清晰的阶段性报表。从宏观环境、当前建设现状、系统负载、异常行为过 程等多个维度综合考虑安全问题，分角色提供既有

17、清晰结论、又有多角度量化的决策支撑数 据的高水平报表。3.1.2.3产品系列根据设备性能的不同，WAF分为如下四类产品： WAF-S2000： WAF千兆增强型 WAF-S800： WAF千兆基础型 WAF-S200： WAF百兆基础型 WAF-E200：企业专用型WAF系列产品都是功能完备的WEB安全防护设备，适用于透明串联、反向代理、单臂 模式，提供WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击、WEB应用加速等安全防护 功能，并能为用户提供量化的决策支持数据等行业解决方案。312.4部署方式WAF提供贴合网站网络结构特点的多种部署方式支持，可以根据实际环境需求进行性灵 活设计。3.1.

18、2.4.1透明串接部署透明模式是最便捷部署的方式，在已经交付使用的系统中需要快速部署WEB防护系统 时，推荐使用此种部署方式。工作在透明方式时，网关工作在链路层，不需要对服务器和其 他的网络设备作任何改动。逢技公网K路川器图3.5透明串接部署示意图3.1.24.2反向代理部署反向代理部署是WEB防护系统位于服务器的前端，所有与应用系统相关的网络流量都必 须经过网关，该部署模式能对应用数据进行全面细致的检查。Wcti吨用层网 连接公网的路甬将反向代理服图错误!文档中图有指定向代理部署。示意般向代理部署示意图3.1.2.4.3单臂部署以单臂方式部署时，WEB防护系统将与WEB应用服务器位于同一个子

19、网或者任意路由 可达子网。WEB应用服务器的网络设置无需任何更改。由于未更改应用服务器的任何设置， 此种方式非常适合不能中断运行的系统。3.2系统部署3.2.1详细部署在DMZ区的Webserver和AppServer服务器上部署网页防篡改监控客户端，用户保护网 页文件免遭黑客篡改。在安全管理区部署防篡改管理中心及防篡改备份客户端，管理中心用 于统一管理防篡改各客户端，备份客户端用于后期网站更新发布及Webserver端和APPServer 端的篡改恢复。在DMZ出口交行及Web服务器之间部署WAF综合应用安全网关，启动相应的安全防护策略，防止各类应用攻击，保障网站安全。3.2.2部署后的效果

20、网页防篡改系统和WAF综合应用安全网关对DMZ去的Web网站进行全面安全防护， WebGuard防止页面篡改攻击，WAF防止Web应用类攻击，保护Web网站静态页面和动态数 据库安全，从而实现对整个Web网站的防护。防止网页页面篡改及Web应用攻击，保障网站 应用安全稳定运行。系统报价报价单位：元产品名称产品型号单位数量单价总价Web网站安全防护系统WebGuard V5.0套36.6万19.8 万WAF综合应用安全网关WAF-S2000台118.8 万18.8 万软件支持服务WebGuard-UpdateWAF-Update年300安装调试费WebGuard-Install-ServiceWAF-Install-Service次100总价38.6 万