教育行業(yè)WEB應(yīng)用安全解決方案

1、XX大學(xué)網(wǎng)站及WEB應(yīng)用系統(tǒng)安全解決方案上海天泰網(wǎng)絡(luò)技術(shù)有限公司2013年03月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc350347935 一、教育行業(yè)WEB應(yīng)用安全概述 PAGEREF _Toc350347935 h 5 HYPERLINK l _Toc350347936 二、教育行業(yè)網(wǎng)站現(xiàn)狀分析 PAGEREF _Toc350347936 h 5 HYPERLINK l _Toc350347937 2.1.WEB系統(tǒng)容易受到應(yīng)用攻擊威脅 PAGEREF _Toc350347937 h 5 HYPERLINK l _Toc350347938 2.2.WEB系統(tǒng)

2、缺乏詳盡的審計(jì) PAGEREF _Toc350347938 h 6 HYPERLINK l _Toc350347939 2.3.WEB系統(tǒng)缺乏有效的訪問(wèn)控制機(jī)制 PAGEREF _Toc350347939 h 6 HYPERLINK l _Toc350347940 2.4.WEB安全事件 PAGEREF _Toc350347940 h 6 HYPERLINK l _Toc350347941 三、解決方案 PAGEREF _Toc350347941 h 7 HYPERLINK l _Toc350347942 第四章 天泰WEB安全防護(hù)系統(tǒng) PAGEREF _Toc350347942 h 9 HY

3、PERLINK l _Toc350347943 4.1安全防護(hù)功能 PAGEREF _Toc350347943 h 10 HYPERLINK l _Toc350347944 策略的覆蓋完整度 PAGEREF _Toc350347944 h 10 HYPERLINK l _Toc350347945 策略適應(yīng)性 PAGEREF _Toc350347945 h 11 HYPERLINK l _Toc350347946 學(xué)習(xí)引擎與白名單模式、主動(dòng)防御時(shí)代的到來(lái) PAGEREF _Toc350347946 h 11 HYPERLINK l _Toc350347947 基于狀態(tài)的分析 PAGEREF _T

4、oc350347947 h 11 HYPERLINK l _Toc350347948 與網(wǎng)絡(luò)層聯(lián)動(dòng)的防御技術(shù) PAGEREF _Toc350347948 h 12 HYPERLINK l _Toc350347949 4.2日志審計(jì)與管理 PAGEREF _Toc350347949 h 12 HYPERLINK l _Toc350347950 安全日志 PAGEREF _Toc350347950 h 12 HYPERLINK l _Toc350347951 訪問(wèn)日志 PAGEREF _Toc350347951 h 13 HYPERLINK l _Toc350347952 4.3性能優(yōu)化方案 PA

5、GEREF _Toc350347952 h 13 HYPERLINK l _Toc350347953 站點(diǎn)集群技術(shù) PAGEREF _Toc350347953 h 14 HYPERLINK l _Toc350347954 負(fù)載均衡 PAGEREF _Toc350347954 h 14 HYPERLINK l _Toc350347955 4.3.3 WEB加速 PAGEREF _Toc350347955 h 15 HYPERLINK l _Toc350347956 4.4訪問(wèn)控制與SSL加速 PAGEREF _Toc350347956 h 15 HYPERLINK l _Toc350347957

6、 4.4.1 時(shí)域、地域鎖定服務(wù) PAGEREF _Toc350347957 h 15 HYPERLINK l _Toc350347958 4.4.2 SSL認(rèn)證服務(wù) PAGEREF _Toc350347958 h 16 HYPERLINK l _Toc350347959 4.4.3 URL認(rèn)證技術(shù) PAGEREF _Toc350347959 h 17 HYPERLINK l _Toc350347960 第五章 產(chǎn)品的選型與部署 PAGEREF _Toc350347960 h 17 HYPERLINK l _Toc350347961 5.1安全產(chǎn)品的設(shè)計(jì)與選型 PAGEREF _Toc3503

7、47961 h 17 HYPERLINK l _Toc350347962 產(chǎn)品設(shè)計(jì)目標(biāo) PAGEREF _Toc350347962 h 17 HYPERLINK l _Toc350347963 產(chǎn)品選型原則 PAGEREF _Toc350347963 h 17 HYPERLINK l _Toc350347964 5.1.3 產(chǎn)品選型參考 PAGEREF _Toc350347964 h 18 HYPERLINK l _Toc350347965 5.2安全產(chǎn)品的部署與實(shí)施 PAGEREF _Toc350347965 h 21 HYPERLINK l _Toc350347966 5.2.1 產(chǎn)品部署

8、分析 PAGEREF _Toc350347966 h 21 HYPERLINK l _Toc350347967 5.2.2 產(chǎn)品部署方式 PAGEREF _Toc350347967 h 22 HYPERLINK l _Toc350347968 第六章 產(chǎn)品售后服務(wù)體系 PAGEREF _Toc350347968 h 23 HYPERLINK l _Toc350347969 6.1、國(guó)內(nèi)范圍的支持 PAGEREF _Toc350347969 h 23 HYPERLINK l _Toc350347970 6.2、Internet技術(shù)支持 PAGEREF _Toc350347970 h 23 HYP

9、ERLINK l _Toc350347971 6.3、電話熱線支持 PAGEREF _Toc350347971 h 23 HYPERLINK l _Toc350347972 6.4、傳真技術(shù)支持 PAGEREF _Toc350347972 h 23 HYPERLINK l _Toc350347973 6.5、遠(yuǎn)程登錄支持 PAGEREF _Toc350347973 h 23 HYPERLINK l _Toc350347974 6.6、定期提供安全通告 PAGEREF _Toc350347974 h 23 HYPERLINK l _Toc350347975 6.7、保持經(jīng)常性的聯(lián)系 PAGERE

10、F _Toc350347975 h 24 HYPERLINK l _Toc350347976 6.8、響應(yīng)時(shí)間 PAGEREF _Toc350347976 h 24 HYPERLINK l _Toc350347977 6.9、產(chǎn)品保修 PAGEREF _Toc350347977 h 24版權(quán)信息版權(quán)所有 2011，上海天泰網(wǎng)絡(luò)技術(shù)有限公司本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬上海天泰網(wǎng)絡(luò)技術(shù)有限公司所有，受國(guó)家有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)上海天泰網(wǎng)絡(luò)技術(shù)有限公司的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標(biāo)信息天

11、泰、TiTan、TiTansec、T2S2、WAF-T3等標(biāo)識(shí)及其組合是上海天泰網(wǎng)絡(luò)技術(shù)有限公司擁有的商標(biāo)，受商標(biāo)法和有關(guān)國(guó)際公約的保護(hù)。第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標(biāo)，屬于各自公司或組織所有。一、教育行業(yè)WEB應(yīng)用安全概述教育行業(yè)立足于教育信息、資源的有效開(kāi)發(fā)和權(quán)威整合，向社會(huì)大眾提供有關(guān)教育政策法規(guī)，權(quán)威數(shù)據(jù)查詢，招生考試動(dòng)態(tài)，職業(yè)技能培訓(xùn)，就業(yè)招聘，出國(guó)留學(xué)，教育大典，教育招標(biāo)，教育博客等內(nèi)容。隨著教育行業(yè)越來(lái)越多的應(yīng)用系統(tǒng)以WEB的方式被部署，也給惡意用戶或黑客提供了攻擊途徑，這些系統(tǒng)的敏感數(shù)據(jù)被黑客盜竊和篡改的潛在風(fēng)險(xiǎn)也越來(lái)越高。回顧當(dāng)今成功的系統(tǒng)攻擊，很多都是利用了WE

12、B應(yīng)用漏洞。WEB應(yīng)用的安全防護(hù)措施依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻、IPS、IDS等對(duì)其進(jìn)行安全防護(hù)并不能有效的保證WEB系統(tǒng)的安全，由于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備只能解決WEB應(yīng)用安全的一個(gè)方面，而WEB應(yīng)用系統(tǒng)的安全保障需要一個(gè)全面的安全防護(hù)和性能保障措施才能使之安全、高效、持續(xù)地對(duì)外提供服務(wù)。Web應(yīng)用防火墻 (WAF) 代表了一種新的信息安全技術(shù)，WEB應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ?，從而發(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。用于保護(hù)Web站點(diǎn)（或者說(shuō)Web應(yīng)用程序），使其在受攻擊的情況下表現(xiàn)出更強(qiáng)的抵抗力。在抵御Web攻擊方面，WAF 提供了防火墻和IDS、IPS等常

13、規(guī)信息安全產(chǎn)品所不具備的能力。教育行業(yè)網(wǎng)站現(xiàn)狀分析WEB系統(tǒng)容易受到應(yīng)用攻擊威脅WEB技術(shù)與應(yīng)用已經(jīng)深入到教育行業(yè)的各個(gè)層面，WEB服務(wù)作為教育行業(yè)的信息門戶和業(yè)務(wù)平臺(tái)，以其方便性、易擴(kuò)展性和低成本快速發(fā)展；而WEB系統(tǒng)易受攻擊等問(wèn)題影響了WEB應(yīng)用的高速發(fā)展。大量WEB應(yīng)用系統(tǒng)被黑客入侵和篡改，甚至被植入木馬攻擊程序，攻擊者利用WEB服務(wù)程序的漏洞（如SQL注入漏洞、跨站腳本漏洞等），對(duì)WEB系統(tǒng)進(jìn)行攻擊，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取機(jī)密數(shù)據(jù)，造成經(jīng)濟(jì)損失或者惡劣影響。WEB系統(tǒng)缺乏詳盡的審計(jì)日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計(jì)貯存的形式、內(nèi)容和可提供的建

14、議對(duì)安全管理員保持應(yīng)用系統(tǒng)長(zhǎng)期安全運(yùn)行起到重要作用。日志不僅為管理員提供威脅管理的平臺(tái)，同時(shí)也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細(xì)和精確，并可根據(jù)審計(jì)的要求對(duì)特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。但目前網(wǎng)站缺乏詳細(xì)的安全審計(jì)，無(wú)法有效的掌握用戶的訪問(wèn)情況。WEB系統(tǒng)缺乏有效的訪問(wèn)控制機(jī)制由于教育行業(yè)網(wǎng)站眾多，多數(shù)院校目前沒(méi)有一個(gè)有效的訪問(wèn)控制機(jī)制，如WEB站點(diǎn)的管理后臺(tái)通常直接暴露在外網(wǎng)，僅依賴于口令強(qiáng)度和簡(jiǎn)易的驗(yàn)證碼進(jìn)行訪問(wèn)控制。這使得黑客更容易找到網(wǎng)站缺陷，對(duì)網(wǎng)站安全是不利的，急需要應(yīng)用系統(tǒng)需要對(duì)訪問(wèn)者身份進(jìn)行識(shí)別和授權(quán)，從而保障數(shù)據(jù)的機(jī)密性。 WEB安全事件2011年09月19日，

15、人民網(wǎng)報(bào)道：黑客入侵北師大人事處網(wǎng)站 網(wǎng)址被篡改為黃色網(wǎng)站2011年11月18日，北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心的網(wǎng)站遭遇黑客攻擊，網(wǎng)站頁(yè)面被篡改為了一個(gè)類似于“憤怒的小鳥(niǎo)”的游戲2012年11月14日，內(nèi)蒙古科技大學(xué)網(wǎng)站被黑 黑客竟發(fā)深情告白解決方案因?yàn)榛赪EB的應(yīng)用系統(tǒng)可以通過(guò)任意瀏覽器進(jìn)行訪問(wèn)，用戶往往更容易訪問(wèn)到這些系統(tǒng)，從而在一定程度上可以通過(guò)這些系統(tǒng)繞過(guò)內(nèi)部的安全控制。對(duì)大多數(shù)用戶來(lái)說(shuō)，WEB應(yīng)用防火墻系統(tǒng)已經(jīng)成為安全的邊界。使用WEB應(yīng)用防火墻是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到WEB應(yīng)用的多樣性，WEB應(yīng)用防火墻往往只有在針對(duì)具體的應(yīng)用精心配置后才能有效地承擔(dān)起應(yīng)

16、用保護(hù)的角色。沒(méi)有正確部署的WEB應(yīng)用防火墻往往會(huì)阻斷合法用戶對(duì)系統(tǒng)的正常訪問(wèn)，甚至沒(méi)能起到應(yīng)有的左右而讓黑客長(zhǎng)驅(qū)直入。WEB應(yīng)用防火墻是一種成熟的可以保護(hù)WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)安全設(shè)備。它通過(guò)執(zhí)行非常細(xì)粒度的安全策略來(lái)保證WEB應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于WEB應(yīng)用防火墻所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應(yīng)各種WEB應(yīng)用系統(tǒng)，從而滿足所有的安全需要。WEB 防火墻為WEB應(yīng)用提供了全面的應(yīng)用層保護(hù)，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。需要特別指出的是，WEB應(yīng)用防火墻通過(guò)自己獨(dú)特的WEB對(duì)象混淆技術(shù)，大大提高了攻擊者的技術(shù)門檻，甚至能使大部

17、分的普通攻擊者無(wú)從下手；獨(dú)創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應(yīng)用對(duì)象被篡改和偽造。由于攻擊者無(wú)法篡改和偽造WEB請(qǐng)求數(shù)據(jù)，攻擊便無(wú)法實(shí)施。此外，通過(guò)與WEB應(yīng)用緊密相連的安全策略的配合，WEB應(yīng)用防火墻能嚴(yán)格限制合法用戶的行為，避免了對(duì)系統(tǒng)受限資源非法的訪問(wèn)。通過(guò)部署WEB應(yīng)用防火墻，可有效解決WEB系統(tǒng)存在的安全應(yīng)用威脅，通過(guò)設(shè)備的主動(dòng)防御技術(shù)，全面為應(yīng)用系統(tǒng)提供全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)，即常見(jiàn)的跨站腳本攻擊、SQL注入攻擊、跨站請(qǐng)求偽造、網(wǎng)頁(yè)掛馬、盜鏈等威脅的防護(hù)，提供WEB應(yīng)用或網(wǎng)站的基本安全保障。同時(shí)，防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問(wèn)導(dǎo)致應(yīng)用系統(tǒng)面臨的性

18、能問(wèn)題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。在必要時(shí)，利用SSL加密認(rèn)證技術(shù)對(duì)重要WEB系統(tǒng)進(jìn)行安全認(rèn)證，確保數(shù)據(jù)的可靠、有效性。利用WEB應(yīng)用防火墻的報(bào)表和即時(shí)分析功能，通過(guò)分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時(shí)調(diào)整安全策略，并針對(duì)威脅等級(jí)較高的攻擊進(jìn)行提醒，提出建議性解決辦法。利用WEB應(yīng)用防火墻詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對(duì)Web應(yīng)用資源的訪問(wèn)，包括頁(yè)面點(diǎn)擊率、客戶端地址、客戶端類型、訪問(wèn)流量、訪問(wèn)時(shí)間、搜索引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問(wèn)統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問(wèn)統(tǒng)計(jì)，便于識(shí)別WEB應(yīng)用的訪問(wèn)群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。WEB應(yīng)用防火墻融合可靠的應(yīng)

19、用層過(guò)濾技術(shù)和先進(jìn)的數(shù)據(jù)加密技術(shù)，具備事前主動(dòng)防御、事中智能響應(yīng)及事后審計(jì)的綜合防護(hù)能力。在事前防御方面，智能分析應(yīng)用缺陷、屏蔽惡意請(qǐng)求、防范網(wǎng)頁(yè)篡改、阻斷應(yīng)用攻擊，全方位保護(hù)WEB應(yīng)用；事中智能響應(yīng)，WEB應(yīng)用防火墻作為一種專業(yè)的Web安全防護(hù)工具，基于對(duì)HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對(duì)HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請(qǐng)求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題，充分保障Web應(yīng)用的高可用性和可靠性；事后審計(jì)，WEB應(yīng)用防火墻給服務(wù)器提供了可靠的安全防護(hù)，同時(shí)也應(yīng)該具備

20、深度挖掘訪問(wèn)行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值，為評(píng)估安全狀況提供詳盡報(bào)表功能?？梢詾樵盒＞W(wǎng)站系統(tǒng)提供立體的安全防護(hù)體系，為網(wǎng)站應(yīng)用完整的安全解決方案。第四章 天泰WEB安全防護(hù)系統(tǒng)伴隨著防護(hù)技術(shù)的不斷發(fā)展，WEB應(yīng)用系統(tǒng)的防護(hù)技術(shù)經(jīng)歷了網(wǎng)關(guān)型防護(hù)手段和操作系統(tǒng)防護(hù)手段。如含有應(yīng)用層過(guò)濾功能的網(wǎng)絡(luò)防火墻、IPS等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進(jìn)行防護(hù)；網(wǎng)頁(yè)防篡改軟件則是基于文件監(jiān)控原理，對(duì)指定路徑的文件進(jìn)行監(jiān)控和寫(xiě)保護(hù)。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)頁(yè)防篡改軟件只能解決WEB應(yīng)用安全的一個(gè)方面，而WEB應(yīng)用系統(tǒng)的安全保障需要一個(gè)全面的安全防護(hù)和性能保障措施才能使之安全、高效、持續(xù)地對(duì)外提供服務(wù)。WEB應(yīng)用

21、系統(tǒng)的安全是一個(gè)系統(tǒng)的問(wèn)題，包括三個(gè)方面，即可用性、完整性和機(jī)密性。實(shí)現(xiàn)這些原則所需的安全等級(jí)因WEB系統(tǒng)的屬性、WEB應(yīng)用的價(jià)值不同而異。如對(duì)機(jī)密性要求較高的應(yīng)用系統(tǒng)應(yīng)當(dāng)保障數(shù)據(jù)的訪問(wèn)、傳輸過(guò)程的安全，同時(shí)需要對(duì)訪問(wèn)者進(jìn)行認(rèn)證、授權(quán)、審計(jì)；對(duì)于一個(gè)面向客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性，同時(shí)也需要對(duì)其完整性進(jìn)行有效的保障。而面向大眾的門戶類網(wǎng)站則需要充分考慮其抗攻擊能力、高可用性和完整性，提供7X24小時(shí)不中斷服務(wù)，確保提供的數(shù)據(jù)是真實(shí)的、有效的。綜上所述WEB應(yīng)用系統(tǒng)的安全保障需要充分考慮其高可用性、完整性和機(jī)密機(jī)才能達(dá)到安全有效的防護(hù)目的。專業(yè)的WEB安全網(wǎng)關(guān)則是專用于防護(hù)及優(yōu)化

22、WEB應(yīng)用系統(tǒng)的最佳選擇，有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁(yè)防篡改軟件在WEB應(yīng)用防護(hù)方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進(jìn)行安全優(yōu)化從而達(dá)到WEB防護(hù)的最佳目標(biāo)。圖4-1 天泰WEB安全網(wǎng)關(guān)的綜合防護(hù)能力上海天泰網(wǎng)絡(luò)技術(shù)有限公司專業(yè)從事于WEB應(yīng)用安全的研究、防護(hù)工作。天泰自主研發(fā)的WEB應(yīng)用安全網(wǎng)關(guān)是國(guó)內(nèi)首家通過(guò)國(guó)家公安部、國(guó)家保密局、解放軍信息安全測(cè)評(píng)中心、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心等權(quán)威機(jī)構(gòu)檢測(cè)認(rèn)可的綜合性WEB安全保障平臺(tái)。上海天泰專注細(xì)分市場(chǎng)，依靠持續(xù)創(chuàng)新與自主研發(fā)，結(jié)合先進(jìn)的軟件體系和硬件架構(gòu)，打造穩(wěn)定高效的平臺(tái)，將多項(xiàng)特性與功能整合至單一設(shè)備，提供全面的應(yīng)用安全與優(yōu)化解決方案

23、，為客戶創(chuàng)造一個(gè)安全高效的應(yīng)用環(huán)境，成就國(guó)內(nèi)應(yīng)用安全行業(yè)的領(lǐng)導(dǎo)者。向廣大用戶提供WEB應(yīng)用的安全解決方案，通過(guò)WEB安全網(wǎng)關(guān)的安全防護(hù)模塊、應(yīng)用審計(jì)模塊實(shí)現(xiàn)應(yīng)用的安全防護(hù)，解決用戶面臨的嚴(yán)重入侵威脅；通過(guò)負(fù)載均衡和WEB加速技術(shù)解決用戶在高可用性、性能提升上因?yàn)樾枰罅抠Y金投入的煩惱；天泰的SSL加速引擎和訪問(wèn)控制模塊輕松解決了WEB應(yīng)用系統(tǒng)差異化訪問(wèn)控制等復(fù)雜應(yīng)用。目前已經(jīng)在政府、教育、軍隊(duì)、金融、電信、大型企業(yè)等多個(gè)領(lǐng)域有著廣泛的應(yīng)用。4.1安全防護(hù)功能4.1.1策略的覆蓋完整度天泰WEB安全網(wǎng)關(guān)提供對(duì)應(yīng)用系統(tǒng)全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)即常見(jiàn)的跨站腳本攻擊、SQL注入攻擊、跨站請(qǐng)求偽

24、造、網(wǎng)頁(yè)掛馬、盜鏈等威脅的防護(hù)，提供WEB應(yīng)用或網(wǎng)站的基本安全保障。天泰安全團(tuán)隊(duì)經(jīng)過(guò)多年的安全研究和市場(chǎng)實(shí)踐，研發(fā)了虛擬服務(wù)器補(bǔ)丁技術(shù)用于緩解WEB服務(wù)器漏洞的零日攻擊、和不安全配置帶來(lái)的安全隱患。集成的會(huì)話簽名鑒別技術(shù)和分級(jí)授權(quán)模塊專用于防護(hù)WEB應(yīng)用系統(tǒng)面臨的認(rèn)證威脅，如失效的會(huì)話管理缺陷、不安全的會(huì)話密鑰管理缺陷等均可通過(guò)天泰WEB安全網(wǎng)關(guān)進(jìn)行快速修復(fù)。提供防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問(wèn)導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問(wèn)題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。4.1.2策略適應(yīng)性優(yōu)秀的安全策略不僅需要有廣泛的應(yīng)用系統(tǒng)覆蓋面、還需要有細(xì)的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。

25、天泰安全網(wǎng)關(guān)的策略基于URI、時(shí)間、訪問(wèn)者、訪問(wèn)狀態(tài)、訪問(wèn)工具、訪問(wèn)內(nèi)容等對(duì)象定制安全規(guī)則，每條規(guī)則在發(fā)布前均通過(guò)嚴(yán)格的適應(yīng)性測(cè)試，特別針對(duì)國(guó)內(nèi)數(shù)百家WEB應(yīng)用系統(tǒng)進(jìn)行測(cè)試，確保規(guī)則安全穩(wěn)定、無(wú)誤判。4.1.3學(xué)習(xí)引擎與白名單模式、主動(dòng)防御時(shí)代的到來(lái)安全防護(hù)技術(shù)可以分和黑名單防護(hù)技術(shù)和白名單防護(hù)技術(shù)，黑名單技術(shù)目前被大量應(yīng)用，基于黑名單的防護(hù)技術(shù)可以防護(hù)已知的攻擊行為，但對(duì)于未知的或已知規(guī)則的變種則無(wú)法防護(hù)。白名單技術(shù)可以有效的防護(hù)黑名單無(wú)法解決的問(wèn)題，然而由于WEB應(yīng)用系統(tǒng)的復(fù)雜多樣，所以白名單技術(shù)在實(shí)施過(guò)程中通常十分復(fù)雜并可能導(dǎo)致誤判。經(jīng)過(guò)長(zhǎng)期的研發(fā)與實(shí)踐，天泰自適應(yīng)引擎（TSAdapti

26、ve）讓白名單防護(hù)技術(shù)成為了可能。在天泰WEB安全Positive模式下，識(shí)別攻擊行為不再依賴于已知的攻擊特征，而是基于用戶應(yīng)用系統(tǒng)的正常請(qǐng)求特征和簽名列表。自適應(yīng)引擎生成的推薦規(guī)則專用于特定的應(yīng)用系統(tǒng)，最大限度的降低了黑名單技術(shù)帶來(lái)的誤判、漏判、零日攻擊等無(wú)法解決的技術(shù)難題。4.1.4基于狀態(tài)的分析WEB應(yīng)用防火墻技術(shù)在開(kāi)發(fā)初期是完全基于規(guī)則匹配的響應(yīng)機(jī)制，表現(xiàn)為無(wú)狀態(tài)特性。隨著防護(hù)技術(shù)的不斷提高及面臨日益嚴(yán)重的零日攻擊威脅，天泰WEB安全網(wǎng)關(guān)開(kāi)創(chuàng)性的采用了應(yīng)用防火墻狀態(tài)防護(hù)技術(shù)，對(duì)會(huì)話管理、請(qǐng)求偽造、盜鏈等行為進(jìn)行識(shí)別和防護(hù)；對(duì)攻擊者的入侵掃描、探測(cè)、滲透過(guò)程進(jìn)行狀態(tài)識(shí)別和跟蹤，快速定位威

27、脅，及時(shí)告警或阻止。4.1.5與網(wǎng)絡(luò)層聯(lián)動(dòng)的防御技術(shù)WEB應(yīng)用受到攻擊，WEB安全網(wǎng)關(guān)應(yīng)當(dāng)采取行之有效的防護(hù)措施。天泰WEB安全網(wǎng)關(guān)在檢測(cè)到有攻擊流量時(shí)會(huì)跟據(jù)不同的安全級(jí)別做出對(duì)應(yīng)的響應(yīng)，如阻斷并給出偽裝或告警信息。當(dāng)檢測(cè)到有持繼的攻擊流量時(shí)，天泰WEB安全網(wǎng)關(guān)將會(huì)采取一系列的安全聯(lián)動(dòng)措施，如基于狀態(tài)的威脅識(shí)別和限時(shí)鎖定措施將入侵者進(jìn)行延時(shí)鎖定，或者及時(shí)將可疑攻擊通過(guò)郵件、短信、SNMP、Syslog通知安全管理員，及時(shí)采取安全措施，降低攻擊帶來(lái)的損失。4.2日志審計(jì)與管理日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計(jì)貯存的形式、內(nèi)容和可提供的建議對(duì)安全管理員保持應(yīng)

28、用系統(tǒng)長(zhǎng)期安全運(yùn)行起到重要作用。4.2.1安全日志日志不僅為管理員提供威脅管理的平臺(tái)，同時(shí)也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細(xì)和精確，并可根據(jù)審計(jì)的要求對(duì)特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。天泰WEB安全網(wǎng)關(guān)可提供定時(shí)報(bào)表和即時(shí)分析功能，通過(guò)分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時(shí)調(diào)整安全策略，并針對(duì)威脅等級(jí)較高的攻擊進(jìn)行提醒，提出建議性解決辦法。圖4-2 天泰WEB安全的統(tǒng)計(jì)報(bào)表系統(tǒng)的安全是需要通過(guò)不斷的評(píng)估、響應(yīng)、防護(hù)和加固安全策略從而達(dá)到一個(gè)動(dòng)態(tài)的平衡。天泰為用戶提供以WEB安全網(wǎng)關(guān)為載體、以安全策略為核心的防護(hù)機(jī)制，檢測(cè)到可疑威脅的情況時(shí)可使用天泰的自適應(yīng)引擎實(shí)現(xiàn)新策

29、略的生成，提高安全管理員的工作效率。4.2.2訪問(wèn)日志天泰WEB安全網(wǎng)關(guān)詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對(duì)Web應(yīng)用資源的訪問(wèn)，包括頁(yè)面點(diǎn)擊率、客戶端地址、客戶端類型、訪問(wèn)流量、訪問(wèn)時(shí)間、搜索引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問(wèn)統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問(wèn)統(tǒng)計(jì)，便于識(shí)別WEB應(yīng)用的訪問(wèn)群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。4.3性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)安全的重要組成部分，應(yīng)用系統(tǒng)訪問(wèn)延時(shí)、堵塞、服務(wù)中斷、性能急劇下降等都會(huì)導(dǎo)致系統(tǒng)可用性下降。對(duì)于公眾開(kāi)放的應(yīng)用系統(tǒng)的可用性的安全等級(jí)通常放在首位。如何經(jīng)濟(jì)高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進(jìn)行安全規(guī)劃時(shí)的首要問(wèn)題。性能優(yōu)化方

30、面，天泰針對(duì)不同用戶的需求提供了多種性能優(yōu)化方案供用戶選擇。4.3.1站點(diǎn)集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計(jì)開(kāi)發(fā)階段融入天泰WEB安全的WEB應(yīng)用集群功能可以提高軟件開(kāi)發(fā)的效率、取代由軟件實(shí)現(xiàn)站點(diǎn)集群的性能瓶頸和繁瑣的技術(shù)細(xì)節(jié)，提升整個(gè)應(yīng)用系統(tǒng)的性能。通過(guò)站點(diǎn)集群技術(shù)您可以實(shí)現(xiàn)站點(diǎn)網(wǎng)頁(yè)文件、圖片、媒體文件的分離與整合，也可以方便實(shí)現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用天泰WEB安全網(wǎng)關(guān)還可以實(shí)現(xiàn)站點(diǎn)文本、圖片文件域名分離，從而提縮短用戶下載網(wǎng)頁(yè)的時(shí)間，提高用戶體驗(yàn)。圖4-3 天泰WEB安全網(wǎng)關(guān)的集群服務(wù)4.3.2負(fù)載均衡天泰WEB安全網(wǎng)關(guān)提供高可用性、負(fù)載均衡以及基于HTTP應(yīng)用的代理，作為快速并且高可靠的一種負(fù)載均

31、衡產(chǎn)品，天泰WEB安全網(wǎng)關(guān)特別適用于那些負(fù)載特大的WEB站點(diǎn)，這些站點(diǎn)通常又需要會(huì)話保持或七層處理。圖4-4 天泰WEB安全網(wǎng)關(guān)的負(fù)載均衡服務(wù)天泰WEB安全網(wǎng)關(guān)提供成熟的負(fù)載均衡解決方案，支持的負(fù)載均衡模式有：平均分發(fā)、壓力分發(fā)、請(qǐng)求路徑分發(fā)、請(qǐng)求參數(shù)分發(fā)，并支持WEB應(yīng)用系統(tǒng)的會(huì)話保持功能、服務(wù)狀態(tài)監(jiān)測(cè)與故障切換功能。4.3.3 WEB加速基于現(xiàn)有環(huán)境的WEB加速功能可使用戶不改變現(xiàn)有環(huán)境的情況下提升訪問(wèn)WEB應(yīng)用的速度；天泰WebCompress引擎對(duì)Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮，改善終端用戶性能，降低帶寬消耗。WebCache引擎對(duì)靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著減少服務(wù)器負(fù)載。雙向TCP

32、連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。圖4-6 天泰WEB安全網(wǎng)關(guān)的加速功能4.4訪問(wèn)控制與SSL加速如果應(yīng)用系統(tǒng)需要對(duì)訪問(wèn)者身份進(jìn)行識(shí)別和授權(quán)，從而保障數(shù)據(jù)的機(jī)密性，此時(shí)可以使用天泰WEB安全網(wǎng)關(guān)的訪問(wèn)控制功能以及SSL加功能。該功能特別適用于已經(jīng)交付使用的應(yīng)用系統(tǒng)，不需要修改程序代碼，通過(guò)WEB安全網(wǎng)關(guān)實(shí)現(xiàn)訪問(wèn)控制和SSL加速。如WEB站點(diǎn)的管理后臺(tái)通常直接暴露在外網(wǎng)，僅依賴于口令強(qiáng)度和簡(jiǎn)易的驗(yàn)證碼進(jìn)行訪問(wèn)控制，類似這種應(yīng)用可以通過(guò)天泰WEB安全網(wǎng)關(guān)的訪問(wèn)控制功能實(shí)現(xiàn)身份識(shí)別和訪問(wèn)控制以提高應(yīng)用系統(tǒng)的安全

33、性。4.4.1 時(shí)域、地域鎖定服務(wù)天泰安全服務(wù)團(tuán)隊(duì)長(zhǎng)期對(duì)國(guó)內(nèi)網(wǎng)站入侵事件提供應(yīng)急響應(yīng)服務(wù)，結(jié)合多年的服務(wù)經(jīng)驗(yàn)發(fā)現(xiàn)針對(duì)國(guó)內(nèi)站點(diǎn)被入侵的時(shí)間和IP地址對(duì)應(yīng)的地理位置特性，并將這個(gè)特性整合進(jìn)了天泰WEB安全網(wǎng)關(guān)。對(duì)網(wǎng)站指定路徑定時(shí)鎖定，如網(wǎng)站的信息提交功能深夜至凌晨鎖定，政府事業(yè)單位的網(wǎng)點(diǎn)僅限于國(guó)內(nèi)IP地址的用戶可以訪問(wèn)等功能，從而將易受到攻擊的時(shí)段、區(qū)域進(jìn)屏蔽。天泰WEB安全網(wǎng)關(guān)集成了基于時(shí)間、頁(yè)面、和客戶端IP地址的網(wǎng)絡(luò)層聯(lián)動(dòng)防護(hù)技術(shù)，方便管理員對(duì)站點(diǎn)的控制，如業(yè)務(wù)系統(tǒng)只有工作時(shí)間才對(duì)外開(kāi)放，后臺(tái)管理系統(tǒng)只有指定范圍的IP才可訪問(wèn)，涉及政務(wù)查詢的數(shù)據(jù)僅國(guó)內(nèi)或省內(nèi)訪問(wèn)者可訪問(wèn)等功能均可通過(guò)天泰WE

34、B安全網(wǎng)關(guān)實(shí)現(xiàn)。圖4-7 天泰WEB安全網(wǎng)關(guān)的地域鎖定功能4.4.2 SSL認(rèn)證服務(wù)天泰WEB安全網(wǎng)關(guān)集成了SSL加密功能，應(yīng)用內(nèi)容在傳輸過(guò)程中都受加密保護(hù)，通過(guò)轉(zhuǎn)移服務(wù)器復(fù)雜的加/解密任務(wù)從而將應(yīng)用處理能力發(fā)揮到了極致。該功能使管理員能保護(hù)敏感應(yīng)用內(nèi)容的安全，使其擺脫被竊取及被濫用的潛在威脅。適用于電子政務(wù)、電子商務(wù)等對(duì)數(shù)據(jù)機(jī)密性要求較高的場(chǎng)合。圖4-7 天泰WEB安全網(wǎng)關(guān)的SSL認(rèn)證服務(wù)4.4.3 URL認(rèn)證技術(shù)失效的會(huì)話管理、弱口令等缺陷給WEB應(yīng)用系統(tǒng)帶來(lái)巨大的安全隱患，然而對(duì)于一些已經(jīng)交付運(yùn)行的應(yīng)用系統(tǒng)，最佳的解決辦法是采用第三方的認(rèn)證管理技術(shù)進(jìn)行控制，而不是對(duì)原來(lái)程序進(jìn)行修復(fù)。天泰

35、WEB安全網(wǎng)關(guān)可以對(duì)指定的WEB資源進(jìn)行訪問(wèn)控制，并結(jié)合LDAP、RADIUS、AD等認(rèn)證服務(wù)器提高WEB應(yīng)用系統(tǒng)的安全性。第五章 產(chǎn)品的選型與部署5.1安全產(chǎn)品的設(shè)計(jì)與選型5.1.1產(chǎn)品設(shè)計(jì)目標(biāo)針對(duì)目前日益增多的應(yīng)用層網(wǎng)絡(luò)攻擊行為，需要對(duì)網(wǎng)站能夠提供有效的安全防護(hù)，選用天泰WEB安全網(wǎng)關(guān)對(duì)公司門戶網(wǎng)站、郵件系統(tǒng)、招標(biāo)網(wǎng)站進(jìn)行應(yīng)用安全防護(hù)，防止網(wǎng)站被入侵、防止系統(tǒng)信息被修改、防止對(duì)后臺(tái)數(shù)據(jù)庫(kù)的惡意訪問(wèn)、杜絕DDoS攻擊，保障系統(tǒng)服務(wù)的持續(xù)性。為保障XX單位對(duì)外業(yè)務(wù)系統(tǒng)的高可用、高安全性，我們將要部署一臺(tái)設(shè)備對(duì)門戶網(wǎng)站、招標(biāo)網(wǎng)、郵件系統(tǒng)網(wǎng)站進(jìn)行安全防護(hù)。5.1.2產(chǎn)品選型原則安全性：對(duì)網(wǎng)站進(jìn)行有

36、效的防護(hù)，加強(qiáng)應(yīng)用層的綜合防護(hù)；可靠性：提供的安全防護(hù)設(shè)備具有較高的可靠性；先進(jìn)性：采用先進(jìn)、成熟的技術(shù)和主流的產(chǎn)品，使網(wǎng)絡(luò)建設(shè)能適應(yīng)未來(lái)的需求；實(shí)用性：系統(tǒng)設(shè)計(jì)以實(shí)用性為原則，同時(shí)應(yīng)考慮到系統(tǒng)的開(kāi)放性，兼容性、技術(shù)支持服務(wù)等能力；兼容性：要求對(duì)現(xiàn)有的系統(tǒng)具有良好的兼容性。5.1.3 產(chǎn)品選型參考上海天泰公司在大量應(yīng)用新技術(shù)的條件下，推出了“新一代”Web安全網(wǎng)關(guān)。在占領(lǐng)WEB安全技術(shù)的制高點(diǎn)上，天泰公司站在Web安全的最前沿。對(duì)于用戶普遍關(guān)心的Web安全防御中的性能損耗問(wèn)題，上海天泰Web安全網(wǎng)關(guān)通過(guò)采用緩存、壓縮、連接保持等技術(shù)提升了WEB系統(tǒng)性能，在最近XX行業(yè)的系統(tǒng)上，使用天泰Web安

37、全網(wǎng)關(guān)提高訪問(wèn)速度近30倍。根據(jù)XX單位網(wǎng)站W(wǎng)EB應(yīng)用系統(tǒng)的實(shí)際需求，推薦采用上海天泰WAF-T3-2000-S型設(shè)備，具體產(chǎn)品功能和性能參數(shù)如下：項(xiàng)目類別技術(shù)參數(shù)產(chǎn)品形態(tài)產(chǎn)品規(guī)格：2U機(jī)架式物理接口：1000BASE-T4，RS2321產(chǎn)品性能HTTP請(qǐng)求/秒：20,000TCP并發(fā)連接：2,000,000部署方式支持路由、透明、單臂等多種部署模式支持鏈路聚合，提升鏈路帶寬和可靠性支持策略路由，能支持多條鏈路接入分布式模式，產(chǎn)品內(nèi)置WebAP/WebUTM/WebSwitch引擎，可以分別部署多臺(tái)硬件平臺(tái)，大大提高處理能力網(wǎng)絡(luò)防護(hù)具有狀態(tài)監(jiān)測(cè)防火墻功能，支持基于五元組的訪問(wèn)控制具有端口映射功

38、能，支持SNAT、DNAT和PNAT支持MAC地址綁定，防止ARP假冒與攻擊能防御常見(jiàn)DOS攻擊WEB防護(hù)專用的WebUTM引擎，統(tǒng)一防范針對(duì)WEB應(yīng)用的各種威脅能夠?qū)TTP數(shù)據(jù)流進(jìn)行雙向深度檢查，具備完全的HTTP協(xié)議和事務(wù)解析能力能夠阻斷攻擊探測(cè)，防止對(duì)WEB應(yīng)用和服務(wù)器等信息的惡意獲取和特征收集能夠阻止SQL注入、跨站腳本、目錄泄漏、目錄遍歷、COOKIE假冒、認(rèn)證逃避、命令行注入等常見(jiàn)攻擊行為支持黑、白名單技術(shù)，能防護(hù)應(yīng)用系統(tǒng)免遭常見(jiàn)和未知的WEB攻擊提供網(wǎng)頁(yè)防盜鏈功能，防止WEB資源被盜用提供對(duì)網(wǎng)頁(yè)掛馬的主動(dòng)監(jiān)測(cè)，當(dāng)檢測(cè)到網(wǎng)頁(yè)被掛馬時(shí)，能通過(guò)郵件或短消息進(jìn)行告警具有自動(dòng)學(xué)習(xí)引擎，能

39、自動(dòng)對(duì)雙向的HTTP流量進(jìn)行智能分析，并能自動(dòng)學(xué)習(xí)到后臺(tái)WEB服務(wù)器及WEB站點(diǎn)和目錄結(jié)構(gòu)檢測(cè)到攻擊時(shí)，能選擇阻斷當(dāng)前請(qǐng)求或阻斷攻擊者的IP；并通過(guò)控制臺(tái)、Mail等多種方法進(jìn)行告警內(nèi)置600多條攻擊特征庫(kù)，支持攻擊特征庫(kù)自動(dòng)升級(jí)；支持自定義防護(hù)規(guī)則應(yīng)用加速能對(duì)Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮，改善終端用戶性能，提高帶寬利用率提供對(duì)靜態(tài)應(yīng)用內(nèi)容高速緩存，顯著減少服務(wù)器負(fù)載具有連接保持功能，雙向TCP連接池和高效復(fù)用算法優(yōu)化服務(wù)器連接，改善服務(wù)器性能提高響應(yīng)速度能限制WEB服務(wù)器最大服務(wù)能力，防止因?yàn)檎?qǐng)求浪涌導(dǎo)致服務(wù)器異常應(yīng)用控制URL級(jí)別的流量管理，可以最大限度的緩解WEB服務(wù)器因訪問(wèn)量大而造成

40、的DOS攻擊訪問(wèn)過(guò)載保護(hù)功能可以自動(dòng)保護(hù)已經(jīng)建立的連接，將后續(xù)的連接放入連接隊(duì)列提供URL級(jí)別的訪問(wèn)控制，針對(duì)不同的URL設(shè)置不同的訪問(wèn)權(quán)限，可基于用戶、IP范圍、用戶組等權(quán)限的訪問(wèn)控制對(duì)應(yīng)用服務(wù)進(jìn)行準(zhǔn)確的監(jiān)控，及時(shí)發(fā)現(xiàn)WEB應(yīng)用狀態(tài)異常可以對(duì)網(wǎng)站管理后臺(tái)使用SSL發(fā)布，采用雙向數(shù)字證書(shū)認(rèn)證，保護(hù)數(shù)據(jù)通信的完整性和機(jī)密性行為審計(jì)能記錄站點(diǎn)訪問(wèn)日志，提供基于訪問(wèn)日志的用戶行為分析與審計(jì)能夠?qū)?yè)面點(diǎn)擊率、客戶端地址、訪問(wèn)流量和時(shí)間等進(jìn)行有效的行為跟蹤和審計(jì)能導(dǎo)出站點(diǎn)訪問(wèn)日志，為外部日志分析系統(tǒng)提供訪問(wèn)日志原始數(shù)據(jù)對(duì)攻擊來(lái)源、數(shù)據(jù)、時(shí)間、處理結(jié)果形成列表，提供多種審計(jì)報(bào)表為系統(tǒng)的安全審計(jì)提供豐富的審

41、計(jì)報(bào)表，支持標(biāo)準(zhǔn)第三方SYSLOG日志服務(wù)器內(nèi)置IP地址信息庫(kù)，實(shí)現(xiàn)發(fā)現(xiàn)訪問(wèn)和攻擊網(wǎng)站的用戶區(qū)域分布篡改保護(hù)能實(shí)時(shí)檢測(cè)頁(yè)面是否被篡改，支持?jǐn)?shù)字水印、相似度、內(nèi)容取樣等多種算法動(dòng)態(tài)防篡改功能，支持對(duì)動(dòng)態(tài)頁(yè)面的防篡改，有效防止對(duì)后臺(tái)數(shù)據(jù)庫(kù)的篡改行為檢測(cè)到篡改發(fā)生后，支持發(fā)送鏡像內(nèi)容，阻斷或者頁(yè)面重定向等響應(yīng)動(dòng)作具有可選的篡改恢復(fù)軟件模塊，可以實(shí)時(shí)恢復(fù)被篡改的頁(yè)面高級(jí)應(yīng)用支持應(yīng)用負(fù)載均衡模塊，支持平均分發(fā)，壓力分發(fā)，請(qǐng)求分發(fā)，請(qǐng)求參數(shù)分發(fā)等算法支持靜默掃描模塊，為上線的應(yīng)用系統(tǒng)提供實(shí)時(shí)安全評(píng)估支持SSLAccel模塊，可以分擔(dān)應(yīng)用服務(wù)器SSL運(yùn)算壓力，有效提升了服務(wù)器處理能力支持WEB誘捕模塊，能吸

42、引攻擊者的注意力，降低應(yīng)用系統(tǒng)被攻擊的風(fēng)險(xiǎn)，同時(shí)能記錄攻擊者IP和攻擊手段高可用性支持雙機(jī)熱備功能，可靈活選擇集群、熱備的應(yīng)用模式支持軟件BYPASS功能，當(dāng)產(chǎn)品出現(xiàn)故障或用戶有特殊需要時(shí)能停止防護(hù)而不中斷正常應(yīng)用支持硬件BYPASS功能，當(dāng)硬件故障或者系統(tǒng)掉電時(shí)，防止網(wǎng)絡(luò)和應(yīng)用出現(xiàn)中斷設(shè)備管理產(chǎn)品管理圖形界面（GUI）以及產(chǎn)品文檔均為中文以SSL加密的WEB圖形化界面進(jìn)行設(shè)備管理，并可通過(guò)專用管理接口進(jìn)行管理能指定管理員遠(yuǎn)程管理允許登錄的IP或網(wǎng)段,可以限制管理員登錄次數(shù)，并能鎖定惡意登錄者的IP支持SNMP，能接受專用的網(wǎng)絡(luò)管理系統(tǒng)的集中管理5.2安全產(chǎn)品的部署與實(shí)施5.2.1 產(chǎn)品部署分

43、析Web安全網(wǎng)關(guān)主要是對(duì)XX單位的門戶網(wǎng)站、招標(biāo)網(wǎng)、郵件應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行應(yīng)用安全防護(hù)。天泰web安全網(wǎng)關(guān)主要接入方式有：透明方式、路由方式和單臂方式等。在確定保護(hù)對(duì)象后，要根據(jù)應(yīng)用和產(chǎn)品適應(yīng)網(wǎng)絡(luò)的情況不同，采用合適的部署方式。透明或路由方式部署透明方式和路由方式的部署位置極為相似，均需要串聯(lián)接入網(wǎng)絡(luò)中，所有訪問(wèn)web服務(wù)器的數(shù)據(jù)都需要通過(guò)web安全網(wǎng)關(guān)設(shè)備，web安全網(wǎng)關(guān)除了需要分析http應(yīng)用的數(shù)據(jù)以外還需要處理非http協(xié)議的數(shù)據(jù)流，對(duì)設(shè)備的性能要求較高。路由方式： = 1 * GB3 設(shè)備接口分別設(shè)置為不同網(wǎng)段的地址，具有基本路由功能； = 2 * GB3 能夠進(jìn)行源地址轉(zhuǎn)換和目標(biāo)地

44、址轉(zhuǎn)換功能； = 3 * GB3 支持軟件安全防護(hù)BYPASS功能； = 4 * GB3 需要防火墻將原來(lái)影射到web服務(wù)器地址的信息更改為影射到web安全網(wǎng)關(guān)的外部地址。透明方式： = 1 * GB3 設(shè)備接口在同一個(gè)網(wǎng)段，接入方便，不需要更改網(wǎng)絡(luò)配置； = 2 * GB3 支持軟硬件BYPASS功能； = 3 * GB3 支持路由轉(zhuǎn)發(fā)功能。5.2.2 產(chǎn)品部署方式根據(jù)我們對(duì)XX單位網(wǎng)站的研究，以盡可能不改變目前網(wǎng)絡(luò)和故障恢復(fù)便利為設(shè)計(jì)原則，最大的提高網(wǎng)絡(luò)安全性為要求，我們推薦使用透明方式進(jìn)行接入。以下具體說(shuō)明：（1）透明方式接入就是web安全網(wǎng)關(guān)安裝后，用戶在使用時(shí)意識(shí)不到該設(shè)備的存在，在用戶無(wú)所察覺(jué)的情況下提高