《WEB应用安全防护系统建设方案》由会员分享,可在线阅读,更多相关《WEB应用安全防护系统建设方案(32页珍藏版)》请在金锄头文库上搜索。
1、Web应用安全防护系统解决方案 郑州大学西亚斯国际学院2013年8月目录一、需求概述41.1背景介绍41.2需求分析41.3网络安全防护策略71.3.1“长鞭效应(bullwhip effect)”71.3.2网络安全的“防、切、控(DCC)”原则8二、解决方案92.1 Web应用防护系统解决方案92.1.1黑客攻击防护92.1.2 BOT防护102.1.3 应用层洪水CC攻击及DDOS防御112.1.4网页防篡改122.1.5自定义规则及白名单132.1.6关键字过滤132.1.7日志功能142.1.8统计功能162.1.9报表182.1.10智能阻断182.2设备选型及介绍192.3设备部
2、署21三、方案优点及给客户带来的价值243.1解决了传统防火墙、IPS不能解决的应用层攻击问题243.2 合规性建设243.3 减少因不安全造成的损失243.4便于维护243.5使用状况253.5.1系统状态253.5.2入侵记录示例253.5.3网站统计示例26四、Web应用防护系统主要技术优势274.1 千兆高并发与请求速率处理技术274.2 攻击碎片重组技术274.3多种编码还原与抗混淆技术274.4 SQL语句识别技术274.5 多种部署方式274.6 软硬件BYPASS功能27五、展望28学校WEB应用安全防护Web应用防护安全解决方案 一、需求概述1.1 背景介绍随着学校对信息化的
3、不断建设,已经具有完备的校园网络,学校部署了大量信息系统和网站,包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站,各业务应用系统都通过互联网平台得到整体应用,校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放,特别是学校的门户网站,由于招生与社会影响,要求在系统Web保护方面十分重要。1.2 需求分析 很多人认为,在网络中不断部署防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,尤其是对Web
4、系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于 TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。总体说来,容易导致学校Web服务器被攻击的主要攻击手段有以下几种:l 缓冲区溢出
5、攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令l SQL注入构造SQL代码让服务器执行,获取敏感数据l 跨站脚本攻击提交非法脚本,其他用户浏览时盗取用户帐号等信息l 拒绝服务攻击构造大量的非法请求,使Web服务器不能相应正常用户的访问l 认证逃避攻击者利用不安全的证书和身份管理l 非法输入在动态网页的输入中使用各种非法数据,获取服务器敏感数据l 强制访问访问未授权的网页l 隐藏变量篡改对网页中的隐藏变量进行修改,欺骗服务器程序l Cookie假冒精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析学校对WEB应用安全防护非常重视,在内网部署有
6、高端防火墙,同时内网部署有众多应用服务器,网络示意图如下:通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,作为整体安全中不可缺少的重要模块,局限于自身产品定位和防护深度,不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法,就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为,对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题,我们看到学校在Web服务器安全防护时需要解决以下几个问题: 跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校
7、Web服务器的用户,常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不可能做到完美,因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据,造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,获得系统管理员权限。CC攻击CC攻击目前是最新出现针对Web系统的特殊攻击方式,通过构造特殊的攻击报文,以到达消耗应用平台的服务器计算资源为目的(其中以消耗CPU资源最为常见),最终造成应用平台的拒绝服务,正常用
8、户无法访问Web服务器,给学校形象造成不可估量的损失。拒绝服务攻击通过DOS攻击请求,以到达消耗应用平台的网络资源为目的,最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给政府形象造成不可估量的损失。Cookies/Seesion劫持Cookies/Seesion通常用户用户身份认证,别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限,或者伪装他人的身份登录。1.3 网络安全防护策略1.3.1 “长鞭效应(bullwhip effect)”网络安全的防护同管理学的“长鞭效应(bullwhip effect)”具有相似的特性,就是要注重防患于未然
9、。因此,针对我们单位的特点,更要注重主动防护,在安全事件发生之前进行防范,减少网络安全事件发生的机会,达到:“少发生、不发生”的目标。1.3.2 网络安全的“防、切、控(DCC)”原则基于“长鞭效应”,我们的网络安全防护要从源头做起,采用“防、切、控(DCC)”的原则:防:主动防护,防护我们的服务器受到攻击者的主动攻击外部敌对、利益驱动的攻击者,会对我们的网站、mail服务器进行各种主动攻击。而这些主动攻击往往带有非常强的目的性和针对性,因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题,主要有:防止Web服务器受到来自外部的攻击、非法控制、篡改;防止主、备mail服务器受到攻击、非法
10、控制。切:切断来自外部危险网站的木马、病毒传播:在网络中部分的Web服务器已经被黑客控制的情况下,Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行,防止服务器被黑客继续渗透。因此,如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。控:控制无意识的信息泄露:对于第三个要解决的问题是防止内部人员无意识的内部信息泄露,要保证接入网络的机器、设备是具有一定的安全防护标准,防止不符合要求的机器和设备接入网络,严格控制潜在的安全风险。二、 解决方案1.2.2.1 Web应用防护系统解决方案 Web应用安全防护系统可以为学校Web服务器提供全方位的服务,主要保护功能
11、包括以下几方面:2.1.1黑客攻击防护 Web应用防护系统对黑客攻击防护功能,主要阻止常见的Web攻击行为,包括以下方面:l 黑客已留后门发现,黑客控制行为阻止l SQL注入攻击(包括URL、POST、Cookie等方式的注入)l XSS攻击l Web常规攻击(包括远程包含、数据截断、远程数据写入等)l 命令执行(执行Windows、Linux、Unix关键系统命令)l 缓冲区溢出攻击l 恶意代码解决办法:通过在Web服务器的前端部署Web应用防护系统,可以有效过滤Web攻击。同时,正常的访问流量可以顺利通过。Web应用防护系统,通过内置可升级、扩展的策略,可以有效的防止、控制Web攻击发生。
12、方案价值:通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击,保障Web服务器的安全,降低资料被窃取、网站被篡改事件的发生。2.1.2 违反策略防护Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面:l 非法HTTP协议l URL-ACL匹配l 盗链行为2.1.2 BOT防护Web应用防护系统对互联网的应用访问控制主要包括以下几个方面:l 爬虫蜘蛛行为l Web漏洞扫描器行为2.1.3 应用层洪水CC攻击及DDOS防御Web应用防护系统的互联网应用流量控制主要包括以下几个方面:1. UDP Flood2. ICMP Flood3. SYN Flood4. ACK Fl
13、ood5. RST Flood6. CC攻击7. DDOS攻击方案价值:Web应用防护系统全方位的封堵,节省带宽资源利用率,保证组织的业务相关应用得到极以流畅的进行。2.1.4网页防篡改本设备的网页防篡改功能,对网站数据进行监控,发现对网页进行任何形式的非法添加、修改、删除等操作时,立即进行保护,恢复数据并进行告警,同时记录防篡改日志。 支持的操作系统: Windows 、 Linux(CentOS、Debian、Ubuntu)、 Solaris、AIX、IRIX、HP、Sun ONE、iPanet等操作系统。、2.1.5自定义规则及白名单自定义规则设备不仅具有完善的内置规则,并且还支持用户根
14、据自身需要自行定义规划,支持自符串快速查找与PCRE正则查找。白名单根据需要设定某些网站、URL针对防护设备直接放行。2.1.6关键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。2.1.7日志功能Web应用防护系统不但提供强大的防护功能,且提供了十分详细的日志和报表功能,能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。入侵报警日志系统提供详细的安全防护日志:包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。日志查询设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。支持日志的导出及按时间进行日志自动的清理。审计日志对设备每次操作进行详细的记录系统日志可以记录设备的运行状况2.1.8统计功能网络入侵统计 该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况,以便快速掌握不同时期遭受网络攻击状况,判断网络攻击变化趋势。 网络流量统计 统计该页面统计各接口的流量情况,可以按天或月以折线图的形式显示出来。了解本设备在该段时间内的网络流量情况。浏览页面统计该页面可以详细清楚地统计并显示每个web页面的访问次数,最后访问时间、浏览器情况,并可以分时间断来进行分析页面访问情况。2.1.9报表设备提供详细的基于图文的安全报表(按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、web
