收藏
下载资源

知道网站统一防护平台技术白皮书

上传人:ldj****22 文档编号:46525046 上传时间:2018-06-27 格式:PDF 页数:21 大小:1.32MB
返回 下载 相关 举报
知道网站统一防护平台技术白皮书_第1页
第1页 / 共21页
知道网站统一防护平台技术白皮书_第2页
第2页 / 共21页
知道网站统一防护平台技术白皮书_第3页
第3页 / 共21页
知道网站统一防护平台技术白皮书_第4页
第4页 / 共21页
知道网站统一防护平台技术白皮书_第5页
第5页 / 共21页
点击查看更多>>
资源描述

《知道网站统一防护平台技术白皮书》由会员分享,可在线阅读,更多相关《知道网站统一防护平台技术白皮书(21页珍藏版)》请在金锄头文库上搜索。

1、 密级 公开 知道网站统一防护平台知道网站统一防护平台 技术白皮书技术白皮书 北京知道创宇信息技术有限公司北京知道创宇信息技术有限公司 20112011- -8 8- -1111 知道网站统一防护平台技术白皮书 II 版本说明 修订人修订人 修订内容修订内容 修订时间修订时间 版本号版本号 审阅人审阅人 金皓 修改 2011-8-11 V1.2 文档信息 文档名称文档名称 技术白皮书技术白皮书 文档文档编号编号 文档版本号 1.2 保密级别 公开 扩散范围 扩散批准人 版权声明 本文件中出现的任何文字叙述、 文档格式、 插图、 照片、 方法、 过程等内容,除另有特别注明,版权均属北京知道创宇信

2、息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经北京知道创宇信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。 知道网站统一防护平台技术白皮书 III 目 录 1. 您需要知道您需要知道 . 1 1.1. Web 应用的威胁 . 1 1.2. 传统设备的局限 . 1 1.3. 解决之道 . 2 2. 您可以选择您可以选择 . 5 2.1. 产品需要做什么 . 5 2.1.1. Web 应用安全防护 . 6 2.1.2. Web 应用安全运维 . 8 2.2. 如何融入现有网络 . 11 2.2.1. 透明模式. 12 2.2.2. 反向代理模式. 12

3、2.3. 附加收益 . 13 2.3.1. 私有云. 15 2.3.2. 关键技术. 16 3.3. 结论结论 . 16 知道网站统一防护平台技术白皮书 IV 插图索引 图表 1 2010 被篡改网站数量. 1 图表 2 双维度防护体系. 5 图表 3 安全防护模型. 6 图表 4 攻击事件防护示意图. 7 图表 5 攻击事件定位示意图. 9 图表 6 直连部署模式. 12 图表 7 反向代理部署模式. 13 图表 8 传统安装模式. 14 图表 9 应用虚拟化. 14 图表 10 私有云防火墙部署图. 15 知道网站统一防护平台技术白皮书 2011 知道创宇信息技术有限公司 1 1. 您需要

4、知道您需要知道 1.1. Web 应用应用的威胁的威胁 CNCERT/CC 国家互联网应急中心的 2010 年度报告及各类统计数据表明,以往的病毒木马感染主机的事件下降 21.3%,而网页恶意代码类、网站入侵类安全事件进入了快速增长阶段,Web 攻击手段正在不断日新月异地升级。 图表 1 2010 被篡改网站数量 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚的理解, 即可完成更换 Web 网站主页、 盗取管理员密码、 破坏整个网站数据等攻击。 根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上,而这方面的投资却只有 10%,也就是防

5、护 25%的攻击却消耗了 90%的投入。同时,数据也显示,三分之二的 Web 站点都相当脆弱,易受攻击,这些攻击可导致声誉损失、经济损失甚至政治影响。 Web 应用安全刻不容缓! 1.2. 传统设备传统设备的局限的局限 Gartner 公司的调查显示,目前成功的攻击案例中有 75%发生在应用层。这些攻击这么有效得原因?答案很简单:它们绕过了过去 10 年安全人员实施的所知道网站统一防护平台技术白皮书 2011 知道创宇信息技术有限公司 2 有以网络为中心的控制措施,如防火墙、IDS、IPS。 1. 传统防火墙传统防火墙 传统防火墙工作在 OSI 模型的三、 四层, 不能理解 HTTP 协议所承

6、载的数据,也无从判断对 Web 应用服务器的访问行为是否合法, 防火墙完全向外部网络开放HTTP 应用端口。 以 Web 应用攻击为例,传统防火墙为了保护 Web 服务器所包含的规则是通过阻止所有非预期数据流,仅允许流量通过 80 和 443 端口。不幸的是,防火墙不能区分出 80 端口中的哪些数据流是预期数据流,哪些是非预期的。 2. IDS/IPS 入侵检测系统作为防火墙的有力补充,加强了网络的安全防御能力。但是,入侵检测技术使用消极防御模型, 基于已知漏洞和攻击行为形成特征进行比对从而实现的防护, 需要预先构造攻击特征库来匹配网络数据,对于未知攻击和不能有效提取攻击特征的攻击,入侵检测系

7、统不能检测和防御。对于应用攻击,入侵防御系统可以有效的防御部分攻击,但不是全部。 3. 网页防篡改网页防篡改 网页防篡改对攻击行为并不进行分析和识别, 属于事后缓解攻击危害的产品,不会阻止攻击的发生。 1.3. 解决之道解决之道 为了应对 Web 应用安全威胁的高成本、难以提供简单有效防御多变攻击的困境,可以使用威胁模型(threat modeling)来识别和评估应用程序的风险,以三大关键风险为例,比较好的处理方式有:代码审计、漏洞评估和 Web 应用防火墙(以下简称 WAF)产品。 WAF 被设计用于处理所有常见的 Web 应用安全威胁,即保护以HTTP/HTTPS 相关应用协议为基础,运

8、行在 OSI 第七层(应用层)的 Web 应用知道网站统一防护平台技术白皮书 2011 知道创宇信息技术有限公司 3 在线业务。WAF 真正实现了对网络应用的保护,是传统安全技术的有效补充。传统安全设备阻挡攻击者从正面入侵,着重进行网络层的攻击防护;而 WAF 着重进行应用层的内容检查和安全防御,与传统安全设备共同构成全面、有效的安全防护体系,并着重为用户提供以下功能: 1. 安全防护管控体系安全防护管控体系 提供区分攻击行为类别的多种防御引擎、 对攻击行为进行针对性的事件处理策略配置、定义具体攻击行为的匹配规则定制,对已知和未知的 Web 攻击进行全面防护,将攻击行为的细节直观、详尽地展示给用户,达到防护、管控 Web应用业务安全的目的。 2. 方便有效网管运维方便有效网管运维 在安全防护能力给 Web 应用的安全性带来保障的同时,也为 Web 应用复杂的网络管理、日常运维带来快捷和便利,能够实时了解网站可用性状态、安全性状态、客户端访问流量、客户类型和地域分析、服务器承载压

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号