Web應(yīng)用安全項(xiàng)目解決方案

1、一. 項(xiàng)目背景及必要性 21.1項(xiàng)目背景2二. 中國(guó)鐵建Web應(yīng)用安全風(fēng)險(xiǎn)分析52.1應(yīng)用層安全風(fēng)險(xiǎn)分析 52.1.1身份認(rèn)證漏洞 52.1.2 www 服務(wù)漏洞 52.1.3 Web網(wǎng)站應(yīng)用漏洞 52.2管理層安全風(fēng)險(xiǎn)分析 6三. 中國(guó)鐵建 Web網(wǎng)站安全防護(hù)方案 73.1產(chǎn)品介紹83.1.1 WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)解決方案 83.1.2 WebGuard-WAF綜合應(yīng)用安全網(wǎng)關(guān) 113.2系統(tǒng)部署173.2.1詳細(xì)部署173.2.2部署后的效果18四. 系統(tǒng)報(bào)價(jià)19可編輯項(xiàng)目背景及必要性1.1項(xiàng)目背景近年來(lái)，信息技術(shù)的飛速發(fā)展使人們獲取、交流和處理信息的手段發(fā)生了巨大的變化，

2、隨著信息時(shí)代的到來(lái)，信息化發(fā)展也為移動(dòng)工作帶來(lái)了新的挑戰(zhàn)和機(jī)遇。近兩年來(lái)，黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見(jiàn)不鮮，而且一次比一次破壞力大，對(duì)網(wǎng)絡(luò)安全造成的威脅也越來(lái)越大，一旦網(wǎng)絡(luò)存在安全隱患， 遭受重大損失在所難免。 在企業(yè)網(wǎng)中，網(wǎng)絡(luò)管理者對(duì)于網(wǎng)絡(luò)安全普遍缺乏重視，但是隨著網(wǎng)絡(luò)環(huán)境的惡化，以及一次次付出慘重代價(jià)的教訓(xùn)，企事業(yè)單位網(wǎng)的管理者已經(jīng)將安全因素看作網(wǎng)絡(luò)建設(shè)、改造的關(guān)鍵環(huán)節(jié)。國(guó)內(nèi)相關(guān)行業(yè)網(wǎng)站的安全問(wèn)題有其歷史原因：在舊網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐庾R(shí)與資金方面的原因，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在重技術(shù)、輕安全、輕管理”的傾向，政府網(wǎng)絡(luò)建設(shè)者在安全方面往往沒(méi)有太多的關(guān)注，常常只是在內(nèi)部

3、網(wǎng)與互聯(lián)網(wǎng)之間放一 個(gè)防火墻就萬(wàn)事大吉，有些政府甚至什么也不放，直接面對(duì)互聯(lián)網(wǎng)，這就給病毒、黑客提供 了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱 患發(fā)生任何一次對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，網(wǎng)站在各行業(yè)的信息化建設(shè)中已經(jīng)在 扮演至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)、金融證券、政府 及事業(yè)單位網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各地政府不可回避的一個(gè)緊迫 問(wèn)題；因此，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩。當(dāng)前企業(yè)、金融證券和政府業(yè)務(wù)系統(tǒng)大都居于B/S架構(gòu)，使用Web應(yīng)用來(lái)運(yùn)行核心業(yè)務(wù)，然而，Web應(yīng)

4、用安全威脅已成為當(dāng)前信息安全的主要威脅，從以下數(shù)據(jù)可以看出，80%以上的信息安全威脅來(lái)自于 Web應(yīng)用：201山CNCERT址珅的網(wǎng)絡(luò)妄余"件按婁啊分巾CN< ERT/CCr> %嘰201Q訐CIMC&RT業(yè)理的阿絡(luò)齊全邱件搖類型井秣圖1.1信息安全事件分布Vulnerability Disclosures Affecting Web ApplicationsCumulative, year over year圖1.2 Web漏洞發(fā)展趨勢(shì)2010 OWASP最新十大安全威肋30.00%圖1.3最新十大安全威脅從以上數(shù)據(jù)可以看出，隨著Web應(yīng)用的極速發(fā)展及大量使用，

5、Web應(yīng)用漏洞在急劇增加，Web安全威脅已成為當(dāng)前信息安全的主要威脅。因此，在平臺(tái)業(yè)務(wù)建設(shè)的同時(shí)，必須加強(qiáng)Web應(yīng)用安全建設(shè)，通過(guò)全面有效的Web安全防護(hù)，保障業(yè)務(wù)系統(tǒng)正常穩(wěn)定運(yùn)行?；谝陨蠑?shù)據(jù)信息可以看出，中國(guó)鐵建的對(duì)外網(wǎng)站直接暴露在互聯(lián)網(wǎng)，存在極大的安全威脅，需要對(duì)Web網(wǎng)站做必要的安全防護(hù)。中國(guó)鐵建 Web應(yīng)用安全風(fēng)險(xiǎn)分析2.1應(yīng)用層安全風(fēng)險(xiǎn)分析Web應(yīng)用系統(tǒng)主要存在以下安全風(fēng)險(xiǎn)：用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴；由于移動(dòng)網(wǎng)絡(luò)對(duì)外提供網(wǎng)上WWW服務(wù)，因此存在外網(wǎng)非法用戶對(duì)內(nèi)部網(wǎng)和服務(wù)器的攻擊。2.1.1身份認(rèn)證漏洞服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口

6、令在一定時(shí)間內(nèi)是不變的，且在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄，可重復(fù)使用。這樣非法用戶通過(guò)網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫(kù)訪問(wèn)，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)資源非法訪問(wèn)和越權(quán)操作。對(duì)移動(dòng)系統(tǒng)的網(wǎng)上移動(dòng)服務(wù)平臺(tái)，必須加強(qiáng)用戶的身份認(rèn)證，防止對(duì)移動(dòng)網(wǎng)絡(luò)資源的非 授權(quán)訪問(wèn)以及越權(quán)操作。2.1.2 www服務(wù)漏洞Web Server目前正在成為移動(dòng)系統(tǒng)對(duì)外宣傳、開展業(yè)務(wù)的基地，但公開服務(wù)器本身不能保證沒(méi)有漏洞，不法分子可能利用服務(wù)的漏洞修改頁(yè)面甚至破壞服務(wù)器。系統(tǒng)中的BUG，使得黑客可以遠(yuǎn)程對(duì)公開服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞，包括無(wú)限制地向服 務(wù)器發(fā)出大量指令， 以至于服

7、務(wù)器 拒絕服務(wù)”，最終引起整個(gè)系統(tǒng)的崩潰。這就要求我們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（DOS）或分布式拒絕服務(wù)（DDOS ）之類的惡意攻擊，提高服務(wù)器備份與恢復(fù)、防篡改與自動(dòng)修復(fù)能力。2.1.3 Web網(wǎng)站應(yīng)用漏洞Web網(wǎng)站用于對(duì)外提供服務(wù)，作為對(duì)外展示的窗口，部分網(wǎng)站與用戶還有相當(dāng)部分的數(shù)據(jù)交互，Web網(wǎng)站應(yīng)用在開發(fā)過(guò)程中，難免會(huì)出現(xiàn)一些漏洞，女口： SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等，這些漏洞很容易被黑客檢測(cè)到并加以利用，達(dá)到篡改數(shù)據(jù)，截取數(shù)據(jù)信息等目的，黑客還可以利用漏洞提升權(quán)限，達(dá)到控制計(jì)算機(jī)，損壞數(shù)據(jù)信息等操作，對(duì)用戶數(shù)據(jù)信息造成極大威脅。2.2管理層安全風(fēng)險(xiǎn)分析

8、再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此管理是整 個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我 們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。移動(dòng)系統(tǒng)應(yīng)按照國(guó)家關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)的一些安全管理?xiàng)l例，如計(jì)算站場(chǎng)地安全要求、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等，制訂安全管理制度。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入 機(jī)房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應(yīng)制度來(lái)

9、約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追 蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活 動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò) 并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。中國(guó)鐵建Web網(wǎng)站安全防護(hù)方案根據(jù)上述需求分析，對(duì)當(dāng)前 Web安全風(fēng)險(xiǎn)分析，XX科技應(yīng)用安全團(tuán)隊(duì)通過(guò)對(duì)網(wǎng)站安全多年的研究、調(diào)研，針對(duì) Web應(yīng)用安全提出了全新的安全防護(hù)方式，對(duì)Webserver和

10、AppServer采用Web網(wǎng)站安全防護(hù)系統(tǒng)（WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)，簡(jiǎn)稱WebGuard'） +WAF綜合應(yīng)用安全網(wǎng)關(guān)來(lái)對(duì)網(wǎng)站應(yīng)用做全面的安全防護(hù)，WebGuard采用系統(tǒng)底層文件驅(qū)動(dòng)保護(hù)技術(shù)+增強(qiáng)型事件觸發(fā)技術(shù)，對(duì) Web網(wǎng)站頁(yè)面直接防護(hù)，防止黑客篡改網(wǎng)站頁(yè)面。WAF綜合應(yīng)用安全網(wǎng)關(guān)能夠有效防止各類新型應(yīng)用攻擊，如：SQL注入攻擊、跨站攻擊、目錄遍歷、操作系統(tǒng)命令攻擊、Cookie攻擊等，還能有效防護(hù)給類DDos攻擊，CC攻擊等主要的流量及應(yīng)用型拒絕服務(wù)式攻擊。設(shè)備一覽表:產(chǎn)品名稱產(chǎn)品形態(tài)產(chǎn)品職能其他說(shuō)明Web網(wǎng)站安全防護(hù)系統(tǒng)（WebGuard）軟件通過(guò)文件底層驅(qū)動(dòng)技術(shù)

11、 +增強(qiáng)型事件觸發(fā) 技術(shù)，對(duì)Web網(wǎng)頁(yè)文件進(jìn)去全面有效的防 護(hù)，防止黑客對(duì)Web頁(yè)面的非法篡改攻 擊，有效保障Web應(yīng)用安全。WebGuard-WAF 綜合應(yīng)用安全網(wǎng)關(guān)軟件+硬件針對(duì)當(dāng)前主流的 Web應(yīng)用攻擊做全面安 全防護(hù)，可以防止各類應(yīng)用攻擊，包括 SQL注入攻擊、跨站攻擊、目錄遍歷、遠(yuǎn) 程文件包含攻擊、操作系統(tǒng)命令注入攻 擊、Cookie注入攻擊、其他變形的應(yīng)用攻 擊。還能有效防止 DDoS攻擊，CC攻擊 等網(wǎng)絡(luò)及應(yīng)用類型的拒絕服務(wù)類攻擊。3.1產(chǎn)品介紹3.1.1 WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)解決方案Web網(wǎng)站安全防護(hù)系統(tǒng)由 XX科技根據(jù)長(zhǎng)期對(duì) Web站點(diǎn)進(jìn)行安全研究成果自主研發(fā)的

12、高 可靠性、高安全性以及高易用性的軟件系統(tǒng)。主要用于保護(hù)站點(diǎn)內(nèi)容安全，防止黑客非法篡 改網(wǎng)頁(yè)，保護(hù)公眾形象。該系統(tǒng)也是國(guó)內(nèi)唯一通過(guò)國(guó)家嚴(yán)格檢測(cè)的第三代網(wǎng)頁(yè)防篡改技術(shù)。網(wǎng)頁(yè)防篡改技術(shù)在近幾年當(dāng)中根據(jù)黑客攻擊技術(shù)的發(fā)展也得到了較快的發(fā)展，第三代網(wǎng)頁(yè)防 篡改技術(shù)較之以前的技術(shù)有幾個(gè)特點(diǎn)，響應(yīng)恢復(fù)速度快、判斷準(zhǔn)確、部署靈活等特點(diǎn)，集成 度較高，不依賴于原有 web系統(tǒng)架構(gòu)、部署也不影響網(wǎng)站整體結(jié)構(gòu)。經(jīng)過(guò)廣大用戶實(shí)踐表明,WebGuard已經(jīng)成為網(wǎng)站安全建設(shè)最佳解決方案。系統(tǒng)組成原理WebGuard系統(tǒng)包含三個(gè)部分：監(jiān)控代理客戶端，管理中心服務(wù)器和管理客戶端，各部分功能如下：1. 監(jiān)控代理

13、客戶端(Monitor Client Setup )安裝在 Web站點(diǎn)服務(wù)器上，根據(jù)服務(wù)器數(shù)量購(gòu)買客戶端數(shù)量，主要用于監(jiān)控站點(diǎn)狀態(tài)，執(zhí)行管理中心所配置的策略；2. 管理中心服務(wù)器(Center Server Setup)建議部署在獨(dú)立 pc服務(wù)器上，若所管理的web服務(wù)器數(shù)量較少，也可以同時(shí)部署在管理客戶端；主要用于用戶管理，策略下發(fā)，日志監(jiān)控，以及管理各代理客戶端；3. 管理客戶端(Console Setup)部署在網(wǎng)管員任意一臺(tái)計(jì)算機(jī)，可以由單臺(tái)pc機(jī)替代，主要用于登錄管理中心服務(wù)器進(jìn)行配置管理WebGuard中心服務(wù)器；Center Server Sc-lud圖3.1系統(tǒng)結(jié)構(gòu)示意圖各組建

14、之間通信采取完全加密傳輸，包括數(shù)據(jù)傳輸，用戶認(rèn)證等，確保通信的保密性;系統(tǒng)主要功能基于驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)，支持各類網(wǎng)頁(yè)格式，包含各類動(dòng)態(tài)頁(yè)面腳本；完全防護(hù)技術(shù)，支持大規(guī)模連續(xù)篡改攻擊防護(hù)；系統(tǒng)后臺(tái)自動(dòng)運(yùn)行，支持?jǐn)嗑€狀態(tài)下篡改監(jiān)測(cè)；驅(qū)動(dòng)技術(shù)完全杜絕被篡改內(nèi)容被外界瀏覽；支持多站點(diǎn)分布式部署，統(tǒng)一集中管理功能；支持大規(guī)模虛擬機(jī)、雙機(jī)熱備網(wǎng)站系統(tǒng)部署架構(gòu)；支持單獨(dú)文件、文件夾及多級(jí)文件夾目錄內(nèi)容篡改保護(hù)；支持網(wǎng)頁(yè)格式類型分類，便于分類管理；支持網(wǎng)頁(yè)自動(dòng)上傳功能，無(wú)需人工干涉；支持異地文件快速同步功能和斷點(diǎn)續(xù)傳功能，極大的增加網(wǎng)站整體安全性和穩(wěn)定性;支持多用戶管理功能，方便操作；支持網(wǎng)頁(yè)

15、自動(dòng)同步新增、修改、刪除等功能；自動(dòng)檢測(cè)文件攻擊記錄，并實(shí)時(shí)記入日志，支持導(dǎo)出報(bào)表；支持服務(wù)器多種遠(yuǎn)程管理功能，如遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程用戶注銷等；系統(tǒng)c/s結(jié)構(gòu)，確保高可靠性；支持多個(gè)策略管理，策略設(shè)置支持即時(shí)生效，無(wú)需重啟；支持服務(wù)器冗余雙機(jī)及負(fù)載均衡分布部署；支持多種告警方式，日志告警、聲音告警、郵件告警或定制其他告警方式；支持用戶認(rèn)證，采用加密傳輸，安全可靠；系統(tǒng)全中文界面，操作、配置方便，網(wǎng)絡(luò)管理人員僅需十分鐘即可熟練完成系統(tǒng)初始配置，大大提高工作效率；支持當(dāng)前所有主流操作系統(tǒng)和 web服務(wù)器支持SQL注入攻擊防護(hù)；支持跨站腳本攻擊防護(hù)；支持對(duì)系統(tǒng)文件的訪問(wèn)防護(hù)；支持特殊

16、字符構(gòu)成的 URL利用防護(hù)；支持對(duì)危險(xiǎn)系統(tǒng)路徑的訪問(wèn)防護(hù)；支持構(gòu)造危險(xiǎn)的Cookie攻擊防護(hù)；各類攻擊的變種防護(hù)；支持自定義檢測(cè)庫(kù)；規(guī)則庫(kù)支持在線升級(jí)功能；技術(shù)特點(diǎn)介紹完全基于事件觸發(fā)機(jī)制，避免服務(wù)器資源額外開支； 文件驅(qū)動(dòng)保護(hù)技術(shù)，確保系統(tǒng)穩(wěn)定、安全、高效； 不限制網(wǎng)站發(fā)布服務(wù)器類型，實(shí)現(xiàn)高可用性和擴(kuò)展性;文件傳輸過(guò)程加密技術(shù)，防竊聽和防篡改；部署模式簡(jiǎn)單部署模式輛叫“垃獨(dú)相11宣interrwt圖3.2簡(jiǎn)單部署集群冗余部署模式rT* 卻“魚雷傳JVM|圖3.3集群冗余部署部署WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)，對(duì) Web應(yīng)用進(jìn)行全面保護(hù)，即便黑客獲得Web目錄操

17、作權(quán)限，依然無(wú)法對(duì) Web頁(yè)面進(jìn)行篡改，保障 Web網(wǎng)站安全。3.1.2 WebGuard-WAF綜合應(yīng)用安全網(wǎng)關(guān)WEB綜合安全應(yīng)用網(wǎng)關(guān)（以下簡(jiǎn)稱 WAF ）是XX科技自有知識(shí)產(chǎn)權(quán)，自主研發(fā)出品的高 可靠性、高安全性、高易用性系統(tǒng)。WAF是網(wǎng)絡(luò)安全專家團(tuán)針對(duì)“網(wǎng)站型”服務(wù)器量身定制的產(chǎn)業(yè)化產(chǎn)品，融合了我公司長(zhǎng) 期對(duì)網(wǎng)站系統(tǒng)進(jìn)行的安全研究成果，應(yīng)用多項(xiàng)專利技術(shù)，主要從網(wǎng)站平臺(tái)系統(tǒng)可用性和信息 可信任的角度，解決 WEB防護(hù)及加速、內(nèi)容防篡改、流量分析和管理、異常流量清洗、負(fù)載 均衡等核心需求，提供事前預(yù)警、事中防護(hù)、事后分析全周期安全防護(hù)解決方案。圖3.4 WAF工作原理示意圖腸揄岀完豐性松童網(wǎng)

18、帀建懺為防護(hù)WAF源于防護(hù)產(chǎn)品精品理念，致力于提高“網(wǎng)站型”服務(wù)器，應(yīng)用服務(wù)系統(tǒng)的安全性和 可靠性，保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量，提升網(wǎng)站應(yīng)用系統(tǒng)運(yùn)行質(zhì)量，為網(wǎng)站應(yīng)用服務(wù) 系統(tǒng)的信息化規(guī)劃部門、投資決策部門、運(yùn)行維護(hù)部門提供具有參考意義的量化數(shù)據(jù)。事前，WAF進(jìn)行網(wǎng)站服務(wù)運(yùn)行動(dòng)態(tài)監(jiān)視，實(shí)時(shí)監(jiān)測(cè)服務(wù)能力和服務(wù)質(zhì)量，建立隱患預(yù)警 機(jī)制。事中，基于“無(wú)故障運(yùn)行時(shí)間”理念，依托穩(wěn)定高效安全的系統(tǒng)內(nèi)核以及先進(jìn)全面的多維防護(hù)體系，從 WEB應(yīng)用威脅防御、WEB防篡改、抗拒絕服務(wù)攻擊和WEB應(yīng)用效能優(yōu)化等多個(gè)角度，保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量。事后，WAF提供多角度量化的決策支撐數(shù)據(jù)，為用戶提供便捷的使

19、用管理、有效的數(shù)據(jù)和簡(jiǎn)潔清晰的階段性報(bào)表，幫助網(wǎng)絡(luò)維護(hù)隊(duì)伍了解網(wǎng)站的建設(shè)情況和運(yùn)行情況，掌握網(wǎng)站應(yīng) 用服務(wù)系統(tǒng)規(guī)劃設(shè)計(jì)目標(biāo)的滿足程度、網(wǎng)站應(yīng)用服務(wù)系統(tǒng)運(yùn)行效能及負(fù)載、網(wǎng)站應(yīng)用服務(wù)質(zhì) 量、運(yùn)行報(bào)告等等多個(gè)角度的量化的決策支撐數(shù)據(jù)。幫助網(wǎng)站系統(tǒng)運(yùn)行維護(hù)隊(duì)伍從宏觀環(huán)境、當(dāng)前建設(shè)現(xiàn)狀、系統(tǒng)負(fù)載、異常行為過(guò)程等多個(gè)維度綜合考慮安全問(wèn)題，分角色提供既有清 晰結(jié)論、又有多角度量化的決策支撐數(shù)據(jù)的高水平報(bào)表。3.121產(chǎn)品功能.1 WEB 應(yīng)用威脅防御WEB防護(hù)系統(tǒng)對(duì)HTTP數(shù)據(jù)流進(jìn)行分析，應(yīng)用了先進(jìn)的多維防護(hù)體系，對(duì)WEB應(yīng)用攻擊進(jìn)行深入的研究，固化了一套針對(duì)WEB應(yīng)用防護(hù)的專用特征規(guī)則庫(kù)，對(duì)

20、當(dāng)前國(guó)內(nèi)主要的WEB應(yīng)用攻擊手段實(shí)現(xiàn)了有效的防護(hù)機(jī)制，可以有效應(yīng)對(duì)黑客傳統(tǒng)攻擊如緩沖區(qū)溢出、CGI掃描、遍歷目錄、OS命令注入等以及 SQL注入和跨站腳本等攻擊手段。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問(wèn)權(quán)和控制權(quán)，檢查所有的HTTP內(nèi)容，解釋和建立規(guī)則。一旦某個(gè)會(huì)話被應(yīng)用防火墻終止并被控制，WAF就會(huì)對(duì)向內(nèi)或向外的流量進(jìn)行多種檢查，以阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取?？梢灾付ǜ鞣N策略對(duì)URL、參數(shù)和格式等進(jìn)行檢查。3.121.2抗拒絕服務(wù)攻擊拒絕服務(wù)攻擊是攻擊者通常利用目標(biāo)服務(wù)器的網(wǎng)絡(luò)協(xié)議漏洞或耗盡其系統(tǒng)、網(wǎng)絡(luò)資源， 使得目標(biāo)服務(wù)器業(yè)務(wù)癱瘓，無(wú)法響應(yīng)正常用戶請(qǐng)求。近年來(lái)，拒絕服務(wù)攻擊事件呈上升

21、趨勢(shì)，網(wǎng)站系統(tǒng)尤其要加強(qiáng)防范此類惡性攻擊事件，避免系統(tǒng)癱瘓。WAF集成了具有核心知識(shí)產(chǎn)權(quán)的抗拒絕服務(wù)攻擊功能，能夠防御迄今已知的所有種類的DDoS 攻擊，如 SYN Flood、UDP Flood、ICMP Flood、pi ng of Death 、Smurf、HTTP-get Flood 等等。同時(shí)還能防御未知攻擊。攻擊指紋識(shí)別WAF利用多種技術(shù)手段對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行特征統(tǒng)計(jì)和發(fā)現(xiàn)，能夠準(zhǔn)確定位當(dāng)前的攻擊類 型，并觸發(fā)不同的防御機(jī)制，在提高效率的同時(shí)確保準(zhǔn)確度。異常流量識(shí)別WAF創(chuàng)造性地提出了一種新的、基于數(shù)據(jù)挖掘的DDoS攻擊盲檢測(cè)技術(shù)，利用關(guān)聯(lián)算法和聚類算法自適應(yīng)的產(chǎn)生檢測(cè)模型，任何偏離

22、這些正常狀態(tài)的流量特征都可以被捕獲，從而 能夠?qū)崟r(shí)地、自動(dòng)地、有效地識(shí)別出異常流量。攻擊特征挖掘WAF具備高效的攻擊特征挖掘能力。通過(guò)對(duì)網(wǎng)絡(luò)流量的顯微分析，挖掘出攻擊特征，把 挖掘出的攻擊特征交給規(guī)則執(zhí)行機(jī)執(zhí)行。攻擊流量過(guò)濾WAF針對(duì)檢測(cè)出的攻擊流量，采用規(guī)則執(zhí)行機(jī)，干凈徹底地過(guò)濾攻擊流量，放過(guò)正常流 量，保護(hù)正常服務(wù)的進(jìn)行。3.121.3 WEB應(yīng)用加速WAF在對(duì)網(wǎng)站進(jìn)行全面的安全防護(hù)的同時(shí)，通過(guò)連接池、緩存等機(jī)制，實(shí)現(xiàn)應(yīng)用加速, 優(yōu)化網(wǎng)站的性能。WEB應(yīng)用加速功能通過(guò)高性能的硬件平臺(tái)和軟件加速算法，可以將用戶的WEB請(qǐng)求響應(yīng)速度提高數(shù)倍，對(duì)網(wǎng)站系統(tǒng)的可用性有巨大的提升。產(chǎn)品特

23、色3.122.1 流的產(chǎn)品設(shè)計(jì)理念“三高”安全防護(hù)產(chǎn)品精品WAF是XX科技自有知識(shí)產(chǎn)權(quán)，自主研發(fā)出品的高可靠性、高安全性、高易用性的信息 安全防護(hù)系統(tǒng)。WAF是網(wǎng)絡(luò)安全專家針對(duì)“網(wǎng)站型”服務(wù)器量身定制的業(yè)化產(chǎn)品，源于安全防護(hù)產(chǎn)品精 品理念，致力于提高網(wǎng)站平臺(tái)的可靠性和內(nèi)容的可信性，保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量,提升網(wǎng)站應(yīng)用系統(tǒng)服務(wù)效率，為網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的維護(hù)隊(duì)伍提供具有參考意義的量化數(shù)據(jù)。“一站式”安全管理產(chǎn)品理念WAF提供“網(wǎng)站型”服務(wù)器的可用性問(wèn)題、內(nèi)容可信任問(wèn)題的“一站式”解決方案，用“一個(gè)帳號(hào)，一次登錄，一套界面，三次點(diǎn)擊”解決安全問(wèn)題?！盁o(wú)故障運(yùn)行時(shí)間提升”理念WAF深入理解網(wǎng)站

24、服務(wù)質(zhì)量，首位提出網(wǎng)站“無(wú)故障運(yùn)行時(shí)間”理念。WAF從網(wǎng)站應(yīng)用威脅防護(hù)、服務(wù)效率動(dòng)態(tài)監(jiān)視，服務(wù)帶寬保護(hù)和服務(wù)質(zhì)量保障等三個(gè)層 面，提高網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的連續(xù)服務(wù)時(shí)間，保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量。.2領(lǐng)先的核心關(guān)鍵技術(shù)穩(wěn)定高效安全的系統(tǒng)內(nèi)核WAF基于XX科技在操作系統(tǒng)內(nèi)核以及對(duì)硬件電路設(shè)計(jì)方面多年的沉淀，結(jié)合我公司自 有知識(shí)產(chǎn)權(quán)進(jìn)行優(yōu)化移植，內(nèi)核精簡(jiǎn)、穩(wěn)定、高效，安全。先進(jìn)全面的多維防護(hù)體系WAF通過(guò)宏觀判斷和微觀分析、操作系統(tǒng)和應(yīng)用分析、實(shí)時(shí)流量和歷史特征等等多個(gè)角度的信息聚合，圍繞 WEB應(yīng)用威脅防御、 WEB防篡改、抗拒絕服務(wù)攻擊和WEB應(yīng)用效能優(yōu)化等進(jìn)行相關(guān)多元化組合分

25、析，全方位構(gòu)建多維防護(hù)體系。主動(dòng)式應(yīng)用安全加固技術(shù)WAF通過(guò)漏洞掃描、實(shí)時(shí)WEB威脅防護(hù)、WEB應(yīng)用架構(gòu)協(xié)議規(guī)范化等多種手段相結(jié)合，動(dòng)態(tài)發(fā)現(xiàn) WEB應(yīng)用威脅，及時(shí)提供相應(yīng)的修復(fù)措施、解決方案，并進(jìn)行主動(dòng)修復(fù)。3.122.3提供量化的決策支撐數(shù)據(jù)多角度量化的決策支撐數(shù)據(jù)WAF在安全防護(hù)的基礎(chǔ)上，提供多角度量化的決策支撐數(shù)據(jù)，讓網(wǎng)絡(luò)維護(hù)隊(duì)伍了解網(wǎng)站的建設(shè)情況和運(yùn)行情況。從網(wǎng)站應(yīng)用服務(wù)系統(tǒng)規(guī)劃設(shè)計(jì)目標(biāo)的滿足程度、網(wǎng)站應(yīng)用服務(wù)系統(tǒng)運(yùn)行效能及負(fù)載、網(wǎng)站應(yīng)用服務(wù)質(zhì)量、運(yùn)行報(bào)告等等多個(gè)角度提供量化的決策支撐數(shù)據(jù)。提供多角色視角的數(shù)據(jù)展示W(wǎng)AF從用戶的角色、網(wǎng)站應(yīng)用系統(tǒng)的服務(wù)類型、網(wǎng)站應(yīng)用系統(tǒng)的服務(wù)對(duì)象三個(gè)層

26、面，提 供多種視角的數(shù)據(jù)展示，并支持展示界面的自定義。在網(wǎng)站 WAF上，用戶可以：按照業(yè)務(wù)視角，將當(dāng)前各類業(yè)務(wù)的運(yùn)行狀態(tài)和當(dāng)前安全威脅等級(jí)列出；按照行業(yè)視角，將網(wǎng)站應(yīng)用系統(tǒng)對(duì)服務(wù)對(duì)象的服務(wù)效能情況列出；根據(jù)自身的角色，選擇查看不同范圍、不同明細(xì)粒度和不同側(cè)重點(diǎn)的報(bào)表；根據(jù)自身操作習(xí)慣和業(yè)務(wù)需要，自定義多套展示界面。WAF致力于為用戶提供便捷的使用管理和有效的數(shù)據(jù)。提供簡(jiǎn)潔清晰的階段性報(bào)表WAF提供簡(jiǎn)潔清晰的階段性報(bào)表。從宏觀環(huán)境、當(dāng)前建設(shè)現(xiàn)狀、系統(tǒng)負(fù)載、異常行為過(guò)程等多個(gè)維度綜合考慮安全問(wèn)題，分角色提供既有清晰結(jié)論、又有多角度量化的決策支撐數(shù) 據(jù)的高水平報(bào)表。產(chǎn)品系列根據(jù)設(shè)備性能

27、的不同， WAF分為如下四類產(chǎn)品：WAF-S2000 : WAF千兆增強(qiáng)型WAF-S800 : WAF千兆基礎(chǔ)型WAF-S200 : WAF百兆基礎(chǔ)型WAF-E200 :企業(yè)專用型WAF系列產(chǎn)品都是功能完備的 WEB安全防護(hù)設(shè)備，適用于透明串聯(lián)、反向代理、單臂 模式，提供 WEB應(yīng)用威脅防御、WEB防篡改、抗拒絕服務(wù)攻擊、WEB應(yīng)用加速等安全防護(hù)功能，并能為用戶提供量化的決策支持?jǐn)?shù)據(jù)等行業(yè)解決方案。3.124部署方式WAF提供貼合網(wǎng)站網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)的多種部署方式支持，可以根據(jù)實(shí)際環(huán)境需求進(jìn)行性靈 活設(shè)計(jì)。.1透明串接部署透明模式是最便捷部署的方式，在已經(jīng)交付使用的系統(tǒng)中需要快速部署WEB防護(hù)系統(tǒng)時(shí),推薦使用此