《某某某某WAF网站保护系统解决方案设计》由会员分享,可在线阅读,更多相关《某某某某WAF网站保护系统解决方案设计(13页珍藏版)》请在金锄头文库上搜索。
1、wordXXXX WAF安全解决方案XXXX公司目录1项目背景11.1网络现状分析11.2Web安全现状分析12安全风险及需求分析22.1安全风险分析23防护方案设计43.1实现目标43.2设计原则43.3参考标准43.4总体设计方案54产品部署方案54.1产品选型54.2产品部署示意图54.3详细部署介绍64.4部署后可达到的效果65XXXX WAF保护系统主要功能75.1漏洞防护75.2攻击防护75.3网页代码检查85.4访问加速85.5访问分析85.6挂马检测85.7XXXX WAF技术优势86XXXX售后服务体系96.1服务团队96.2服务能力96.3服务项目106.3.1技术咨询服务
2、106.3.2远程协助服务106.3.3产品重部署支持116.3.4产品升级服务116.3.5产品保修服务116.3.6产品维修服务116.3.7培训服务11 / 1 项目背景我国互联网用户规模也快速增长,网络基础设施的迅速发展为互联网取得成功提供了坚实的基础,电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利,而且正在创造着巨大的财富。截至2008年底,中国数量已经增长至287万个,网页数增长至160.9亿个,提供WEB服务的主机成为黑客攻击的新对象。在利益的驱使下,挂马成为黑客产业链上的重要环节,黑客对WEB服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入,给企业和
3、政府核心业务造成严重的破坏。利用传播木马和病毒涉及的受害群体X围广,并且有可能在用户不知情的情况下成为黑客的傀儡主机,被黑客利用进行更深一步的犯罪行为。1.1 网络现状分析组织机构名称通过经过多年的建设,XXXX已经形成了比较完善的局域内网、DMZ区外网业务网络。内网是内部办公网,使用防火墙、IPS等安全设备对互联网进行隔离保护。DMZ区外网业务网络是对外部提供Web服务的网络区域,使用防火墙进行DMZ区隔离保护,同时部署了IPS进行安全防护。组织机构名称网络的拓扑结构如下图所示。图1 XXXX网络现状图1.2 Web安全现状分析近年来组织机构名称网络业务承载日益多元化,XXXX对外系统是其对
4、外门户,向外部提供组织机构名称信息的重要平台。伴随着我国信息化产业的发展,大批针对于的黑客攻击,恶意挂马,篡改等不法行为也越来越猖獗,根据IDC统计,2005年以来很多政府单位、事业单位以及大型国企被恶意攻击,严重影响了正常业务,带来了不良的社会影响。据统计,在2009年第一季度里,每周都有1千万以上的网页被植入木马,安全正面临着前所未有的挑战。一般挂马集中在政府门户、大型国企门户等重要的单位,此类一旦被挂马,会造成恶劣影响,影响组织机构的公众形象。图2 中国大陆地区被篡改网页数量统计报告(数据来源:CERT/CC)针对Web应用的传统防御方法,例如IPS/防火墙/UTM等传统的安全设备,已经
5、不能对Web服务器提供有效保护,黑客攻击技术的快速更新需要更加多元化的防御方法。对于安全而言,建立起结构化,立体式的Web纵深防御体系迫在眉睫。以XXXX WAF为主要部件的XXXX保护系统在动态防御技术上相对领先,部署后能显著提高Web服务器的安全防御级别,能够有效提高性能,同时减少服务器负载,直接降低了用户管理成本和安全运维成本,更加突显产品的实用价值。2 安全风险及需求分析组织机构名称系统网络结构复杂,应用多种多样,内部终端和服务器众多,在对组织机构名称系统进行初步分析后,系统网络中目前面临以下安全风险:2.1 安全风险分析随着互联网应用的发展,基于网络的信息服务方式也在不断的发生改变,
6、基于互联网的新型服务方式在为应用提供方便的同时,也将自身服务器暴露在了病毒和黑客面前。如果这些服务器一旦瘫痪或者因被人植入后门程序而造成被远程控制数据被窃取,后果不堪设想。为了保证业务数据的正常流通和安全,需对这些重要的Web服务器进行全方位的安全防护。实际情况是这些服务器的安全防护情况并不理想,主要存在以下几个方面的问题:l Web服务软件开发复杂,工作量大,想要在海量的动态Web页面代码中,找到安全漏洞,并修补它们,是非常困难和高成本的持续性工作。l Web服务器软件自身的漏洞问题频出,这些漏洞很容易被黑客和病毒利用,成为被攻击和注入/挂马的牺牲品。l 考虑到兼容性问题,Web服务器通常不
7、会及时更新补丁,这更造成服务器容易被病毒或黑客入侵,从而使组织机构面临很大的网络安全风险。l 网络应用较多,而维护人员相对较少。这些人员一方面要维护重要服务器的运行,网络服务的正常开展,另一方面又要监控网络运行和安全状况,工作压力很大,无法顾及到所有服务器的实时安全情况,导致当网络中出现安全隐患后不被及时发现,或者发现后未能及时处理,最终这些微小的隐患可能造成更加严重的后果目前该网络采取的对Web服务器的防护方式主要是使用防火墙作为安全防护的基础设施,同时辅以IPS设备作为应用层安全检测设备,同时在服务器端安装杀毒软件作为最后一道防线。这样的解决方案存在如下弱点:l 防火墙设备对于开放端口的W
8、eb服务没有防护能力。一般的网络中都会部署防火墙作为安全防护设备,但防火墙仅能控制非授权IP对内不得访问,对外应用服务器,是被防火墙允许的访问。由于实现原理的限制,防火墙对于病毒或黑客在应用层面的入侵攻击“视而不见”。l 入侵检测防御系统(IPS)对于病毒的攻击行为反应缓慢。IPS主要负责监测网络中的异常流量,对受保护网络提供主动、实时的防护,特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。由于IPS对WEB的检测粒度很粗,随着网络技术和Web应用的发展复杂化,IPS在更需要专业安全防护特性的WEB防护领域已经开始力不从心。l Web服务器端是Web安全防护的重要环节,虽然Web服
9、务器做了相关的安全防护。但服务器端的安全设置较为专业、复杂,一旦设置不合理,就使得Web服务器端很容易成为恶意攻击入侵的对象。3 防护方案设计3.1 实现目标通过XXXX的信息安全技术和丰富的安全防护设计经验,为XXXX Web系统提供一个技术领先、稳定可靠的保护防御体系,有效抵御各种恶意威胁的攻击,提高系统的安全级别和防御水平。3.2 设计原则根据XXXX网络系统的现状和系统安全和管理的需要,我们考虑保护系统应遵循以下几条原则:l 技术和产品的成熟性和稳定性。充分考虑保护产品本身和技术上的成熟性。保护系统必须是成熟而且经受大量用户实例考验的产品。l 可管理性。对于这样安全防护产品,要管理安全
10、防护规则的升级、配置和支持是非常难的事,这就要求提供一个方便管理的平台。系统必须提供简化管理的工具,包括对攻击特征文件和防护引擎的分发升级、报警管理和日志分析整理等。l 易用性。网络中设备及软件较多,各类网络产品种类繁多,对于网络管理员来说产品友好易用性将起到事半功倍的效果。3.3 参考标准 ISO15408 / GB/T 18336 信息技术安全技术信息技术安全性评估准则,第一部分简介和一般模型; ISO15408 / GB/T 18336 信息技术安全技术信息技术安全性评估准则,第二部分安全功能要求; ISO15408 / GB/T 18336 信息技术安全技术信息技术安全性评估准则,第三
11、部分安全保证要求; 国务院令第147号中华人民某某国计算机信息系统安全保护条例 公通字200743号信息安全等级保护管理办法 GA-243-2000 计算机病毒防治产品评级准则 公安部令第51号计算机病毒防治管理办法 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; GB/Z 20985-2007信息技术安全技术信息安全事件管理指南 GB20986-2007-Z 信息安全技术信息安全事件分类分级指南3.4 总体设计方案在组织机构名称网络系统中串行部署XXXX WAF保护系统,将所有Web访问流量进行深度检测和过滤,阻挡恶意Web请求流量,以实现对组织机构名称系统的全方位安
12、全保护。4 产品部署方案4.1 产品选型根据组织机构名称带宽和业务流量及应用的实际情况,我们推荐使用XXXX WAF产品型号名称高性能保护系统。该系统处理性能参数如下表:参数值备注网络接口数量Web吞吐量CPS处理能力Connections Per second并发连接数4.2 产品部署示意图针对网络结构及所面临的风险不同,XXXX WAF保护系统在网中可以采用多种方式灵活部署。图 5 保护系统在web外网服务区中的部署此部署方式适用于DMZ区Web服务器区环境,在交换机上串行接入XXXX WAF系统,所有Web请求和恶意访问攻击均由XXXX WAF系统来承担处理,清洗、过滤后XXXX WAF
13、系统向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好的防X来自互联网的威胁,保护的安全、稳定、高性能运行。4.3 详细部署介绍组织机构名称网络中在网关处已经部署了防火墙产品和IPS安全产品,建议保护系统的部署采用纯透明串行接入模式。纯透明串行接入方式可以在不改变原有网络结构的情况下接入,一般放置在路由器或防火墙设备后面的交换机上。这样接入的优点是:l 对现有网络结构的完全不影响。l 安装、部署方便简单。4.4 部署后可达到的效果通过部署保护系统,可以使网络中Web服务器的安全性得到大幅提升。l 简单的接入方式部署快速简单,无需更改现有网络拓扑结构。XXXX W
14、AF保护系统以纯透明串行接入,对现有网络的不产生影响;无需改动网络拓扑模式,接入简单、方便。l Web访问数据清洗、过滤。对于客户端的每个请求进行深度的检测、清洗、过滤,有效阻击恶意请求,SQL注入,SQL盲注、密码猜测,扫描,XSS攻击,表单字段篡改、参数篡改、网页include脚本注入攻击、恶意代码、跨站请求伪造(CSRF)、跨站脚本 (XSS)、会话劫持Google Hacking等的深度防御。l 保护服务器免受漏洞攻击。对代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡改、URL重定向等多种漏洞攻击进行有效防护。l 强大的Web攻击防护。XXXX WAF保护系统对客户度
15、请求提供多重检查机制和智能分析,确保对高安全风险级别攻击事件的准确识别率,针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段,提供了有效识别、阻断并告警。l 降低服务器压力,节省带宽。通过XXXX WAF保护系统的访问加速功能,将用户经常访问的页面和最近访问的页面缓存到系统本地内存直接发送,降低服务器压力。还可以开启压缩功能,节省带宽资源,降低出口网络拥堵的风险。l 详细掌握访问状况。通过访问分析,全面掌握时段流量、PV,关键词搜索,搜索引擎收录,等访问分析数据,全面掌握的运营情况;为管理员改进功能和合理分配服务器资源提供可靠的依据。l 通过日志报表能够及时发现的安全隐患。XXXX WAF保护系统具备完善的日志功能,不但拥有多种类型的日志,可以随时通过保护系统实时显示,而且在故障时,可以通过电子和短信方式通知管理员。l 减轻维护人员的工作压力。部署保护系统后,攻击和入侵已经被拦截,根本不会威胁系统,减轻了维护人员的工作压力。另外通过XXXX WAF保护系统内显示的相关信息,维护人员可以轻松的掌握的运营和安
