WEB應(yīng)用安全防護(hù)系統(tǒng)建設(shè)方案

1、Web應(yīng)用安全防護(hù)系統(tǒng)解決方案 鄭州大學(xué)西亞斯國(guó)際學(xué)院2013年8月目錄TOC o 1-4 h u HYPERLINK l _Toc387669514 一、需求概述 PAGEREF _Toc387669514 h 4 HYPERLINK l _Toc387669515 1.1背景介紹 PAGEREF _Toc387669515 h 4 HYPERLINK l _Toc387669516 1.2需求分析 PAGEREF _Toc387669516 h 4 HYPERLINK l _Toc387669517 1.3網(wǎng)絡(luò)安全防護(hù)策略 PAGEREF _Toc387669517 h 7 HYPERLI

2、NK l _Toc387669518 1.3.1“長(zhǎng)鞭效應(yīng)（bullwhip effect）” PAGEREF _Toc387669518 h 7 HYPERLINK l _Toc387669519 1.3.2網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則 PAGEREF _Toc387669519 h 8 HYPERLINK l _Toc387669520 二、解決方案 PAGEREF _Toc387669520 h 9 HYPERLINK l _Toc387669523 2.1 Web應(yīng)用防護(hù)系統(tǒng)解決方案 PAGEREF _Toc387669523 h 9 HYPERLINK l _Toc3876

3、69524 2.1.1黑客攻擊防護(hù) PAGEREF _Toc387669524 h 9 HYPERLINK l _Toc387669525 2.1.2 BOT防護(hù) PAGEREF _Toc387669525 h 10 HYPERLINK l _Toc387669526 2.1.3 應(yīng)用層洪水CC攻擊及DDOS防御 PAGEREF _Toc387669526 h 11 HYPERLINK l _Toc387669527 2.1.4網(wǎng)頁(yè)防篡改 PAGEREF _Toc387669527 h 12 HYPERLINK l _Toc387669528 2.1.5自定義規(guī)則及白名單 PAGEREF _T

4、oc387669528 h 13 HYPERLINK l _Toc387669529 2.1.6關(guān)鍵字過(guò)濾 PAGEREF _Toc387669529 h 13 HYPERLINK l _Toc387669530 2.1.7日志功能 PAGEREF _Toc387669530 h 14 HYPERLINK l _Toc387669531 2.1.8統(tǒng)計(jì)功能 PAGEREF _Toc387669531 h 16 HYPERLINK l _Toc387669532 2.1.9報(bào)表 PAGEREF _Toc387669532 h 18 HYPERLINK l _Toc387669533 2.1.10

5、智能阻斷 PAGEREF _Toc387669533 h 18 HYPERLINK l _Toc387669534 2.2設(shè)備選型及介紹 PAGEREF _Toc387669534 h 19 HYPERLINK l _Toc387669535 2.3設(shè)備部署 PAGEREF _Toc387669535 h 21 HYPERLINK l _Toc387669536 三、方案優(yōu)點(diǎn)及給客戶(hù)帶來(lái)的價(jià)值 PAGEREF _Toc387669536 h 24 HYPERLINK l _Toc387669537 3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問(wèn)題 PAGEREF _Toc38766953

6、7 h 24 HYPERLINK l _Toc387669538 3.2 合規(guī)性建設(shè) PAGEREF _Toc387669538 h 24 HYPERLINK l _Toc387669539 3.3 減少因不安全造成的損失 PAGEREF _Toc387669539 h 24 HYPERLINK l _Toc387669540 3.4便于維護(hù) PAGEREF _Toc387669540 h 24 HYPERLINK l _Toc387669541 3.5使用狀況 PAGEREF _Toc387669541 h 25 HYPERLINK l _Toc387669542 3.5.1系統(tǒng)狀態(tài) PAG

7、EREF _Toc387669542 h 25 HYPERLINK l _Toc387669543 3.5.2入侵記錄示例 PAGEREF _Toc387669543 h 25 HYPERLINK l _Toc387669544 3.5.3網(wǎng)站統(tǒng)計(jì)示例 PAGEREF _Toc387669544 h 26 HYPERLINK l _Toc387669545 四、Web應(yīng)用防護(hù)系統(tǒng)主要技術(shù)優(yōu)勢(shì) PAGEREF _Toc387669545 h 27 HYPERLINK l _Toc387669546 4.1 千兆高并發(fā)與請(qǐng)求速率處理技術(shù) PAGEREF _Toc387669546 h 27 HYP

8、ERLINK l _Toc387669547 4.2 攻擊碎片重組技術(shù) PAGEREF _Toc387669547 h 27 HYPERLINK l _Toc387669548 4.3多種編碼還原與抗混淆技術(shù) PAGEREF _Toc387669548 h 27 HYPERLINK l _Toc387669549 4.4 SQL語(yǔ)句識(shí)別技術(shù) PAGEREF _Toc387669549 h 27 HYPERLINK l _Toc387669550 4.5 多種部署方式 PAGEREF _Toc387669550 h 27 HYPERLINK l _Toc387669551 4.6 軟硬件BYPA

9、SS功能 PAGEREF _Toc387669551 h 27 HYPERLINK l _Toc387669552 五、展望 PAGEREF _Toc387669552 h 28學(xué)校WEB應(yīng)用安全防護(hù)Web應(yīng)用防護(hù)安全解決方案 一、需求概述背景介紹隨著學(xué)校對(duì)信息化的不斷建設(shè)，已經(jīng)具有完備的校園網(wǎng)絡(luò)，學(xué)校部署了大量信息系統(tǒng)和網(wǎng)站，包括OA系統(tǒng)、WEB服務(wù)器、教務(wù)管理系統(tǒng)、郵件服務(wù)器等50多臺(tái)服務(wù)器和100多個(gè)業(yè)務(wù)系統(tǒng)和網(wǎng)站，各業(yè)務(wù)應(yīng)用系統(tǒng)都通過(guò)互聯(lián)網(wǎng)平臺(tái)得到整體應(yīng)用，校園網(wǎng)出口已經(jīng)部署了專(zhuān)用防火墻、流控等網(wǎng)絡(luò)安全設(shè)備。所有Web應(yīng)用是向公眾開(kāi)放，特別是學(xué)校的門(mén)戶(hù)網(wǎng)站，由于招生與社會(huì)影響，要求在系

10、統(tǒng)Web保護(hù)方面十分重要。需求分析 很多人認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測(cè)系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，尤其是對(duì)Web系統(tǒng)的攻擊防范作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過(guò)對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過(guò)濾（基于 TCP/IP報(bào)文頭部的ACL）實(shí)現(xiàn)訪(fǎng)問(wèn)控制的功能；通過(guò)狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無(wú)法檢測(cè)出來(lái)的。IDS，IPS通過(guò)使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫(kù)進(jìn)

11、行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來(lái)才會(huì)出現(xiàn)的攻擊，以及通過(guò)靈活編碼和報(bào)文分割來(lái)實(shí)現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護(hù)?？傮w說(shuō)來(lái)，容易導(dǎo)致學(xué)校Web服務(wù)器被攻擊的主要攻擊手段有以下幾種：緩沖區(qū)溢出攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令SQL注入構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)跨站腳本攻擊提交非法腳本，其他用戶(hù)瀏覽時(shí)盜取用戶(hù)帳號(hào)等信息拒絕服務(wù)攻擊構(gòu)造大量的非法請(qǐng)求，使Web服務(wù)器不能相應(yīng)正常用戶(hù)的訪(fǎng)問(wèn)認(rèn)證逃避攻擊者利用不安全的證書(shū)和身份管理非法輸入在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù)，獲取服

12、務(wù)器敏感數(shù)據(jù)強(qiáng)制訪(fǎng)問(wèn)訪(fǎng)問(wèn)未授權(quán)的網(wǎng)頁(yè)隱藏變量篡改對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序Cookie假冒精心修改cookie數(shù)據(jù)進(jìn)行用戶(hù)假冒學(xué)校WEB應(yīng)用安全防護(hù)具體需求分析學(xué)校對(duì)WEB應(yīng)用安全防護(hù)非常重視，在內(nèi)網(wǎng)部署有高端防火墻，同時(shí)內(nèi)網(wǎng)部署有眾多應(yīng)用服務(wù)器，網(wǎng)絡(luò)示意圖如下：通過(guò)以上機(jī)構(gòu)的內(nèi)網(wǎng)拓?fù)浜?jiǎn)圖可見(jiàn)，機(jī)構(gòu)內(nèi)部眾多用戶(hù)和各種應(yīng)用系統(tǒng)，通過(guò)位于外網(wǎng)接口的防火墻進(jìn)行了防護(hù)和保障，對(duì)于來(lái)自外網(wǎng)的安全風(fēng)險(xiǎn)和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于自身產(chǎn)品定位和防護(hù)深度，不同有效的提供針對(duì)Web應(yīng)用攻擊的防御能力。對(duì)于來(lái)自外網(wǎng)的各種各樣的攻擊方法，就必須采用一種專(zhuān)用的機(jī)

13、制來(lái)阻止黑客對(duì)Web服務(wù)器的攻擊行為，對(duì)其進(jìn)行有效的檢測(cè)、防護(hù)。通過(guò)對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)目前在WEB應(yīng)用存在的問(wèn)題，我們看到學(xué)校在Web服務(wù)器安全防護(hù)時(shí)需要解決以下幾個(gè)問(wèn)題： 跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪(fǎng)問(wèn)學(xué)校Web服務(wù)器的用戶(hù)，常見(jiàn)的目的是竊取Web服務(wù)器訪(fǎng)問(wèn)者相關(guān)的用戶(hù)登錄和認(rèn)證信息。SQL注入攻擊由于代碼編寫(xiě)不可能做到完美，因此攻擊者可以通過(guò)輸入一段數(shù)據(jù)庫(kù)查詢(xún)代碼竊取或者修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，造成用戶(hù)資料的丟失、泄露和服務(wù)器權(quán)限的丟失。緩沖區(qū)溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過(guò)向程序緩沖區(qū)寫(xiě)入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其

14、他的指令，獲得系統(tǒng)管理員權(quán)限。CC攻擊CC攻擊目前是最新出現(xiàn)針對(duì)Web系統(tǒng)的特殊攻擊方式，通過(guò)構(gòu)造特殊的攻擊報(bào)文，以到達(dá)消耗應(yīng)用平臺(tái)的服務(wù)器計(jì)算資源為目的（其中以消耗CPU資源最為常見(jiàn)），最終造成應(yīng)用平臺(tái)的拒絕服務(wù)，正常用戶(hù)無(wú)法訪(fǎng)問(wèn)Web服務(wù)器，給學(xué)校形象造成不可估量的損失。拒絕服務(wù)攻擊通過(guò)DOS攻擊請(qǐng)求，以到達(dá)消耗應(yīng)用平臺(tái)的網(wǎng)絡(luò)資源為目的，最終造成應(yīng)用平臺(tái)的拒絕服務(wù)，正常用戶(hù)無(wú)法訪(fǎng)問(wèn)Web服務(wù)器，給政府形象造成不可估量的損失。Cookies/Seesion劫持Cookies/Seesion通常用戶(hù)用戶(hù)身份認(rèn)證，別且可能攜帶用戶(hù)敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高

15、訪(fǎng)問(wèn)權(quán)限，或者偽裝他人的身份登錄。網(wǎng)絡(luò)安全防護(hù)策略“長(zhǎng)鞭效應(yīng)（bullwhip effect）”網(wǎng)絡(luò)安全的防護(hù)同管理學(xué)的“長(zhǎng)鞭效應(yīng)（bullwhip effect）”具有相似的特性，就是要注重防患于未然。因此，針對(duì)我們單位的特點(diǎn)，更要注重主動(dòng)防護(hù)，在安全事件發(fā)生之前進(jìn)行防范，減少網(wǎng)絡(luò)安全事件發(fā)生的機(jī)會(huì)，達(dá)到：“少發(fā)生、不發(fā)生”的目標(biāo)。網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則基于“長(zhǎng)鞭效應(yīng)”，我們的網(wǎng)絡(luò)安全防護(hù)要從源頭做起，采用“防、切、控（DCC）”的原則：防：主動(dòng)防護(hù)，防護(hù)我們的服務(wù)器受到攻擊者的主動(dòng)攻擊外部敵對(duì)、利益驅(qū)動(dòng)的攻擊者，會(huì)對(duì)我們的網(wǎng)站、mail服務(wù)器進(jìn)行各種主動(dòng)攻擊。而這些主動(dòng)攻擊

16、往往帶有非常強(qiáng)的目的性和針對(duì)性，因此我們當(dāng)前如何防范惡意攻擊者的主動(dòng)攻擊成為首要解決的問(wèn)題，主要有：防止Web服務(wù)器受到來(lái)自外部的攻擊、非法控制、篡改；防止主、備mail服務(wù)器受到攻擊、非法控制。切：切斷來(lái)自外部危險(xiǎn)網(wǎng)站的木馬、病毒傳播：在網(wǎng)絡(luò)中部分的Web服務(wù)器已經(jīng)被黑客控制的情況下，Web應(yīng)用防護(hù)系統(tǒng)可以有效的防止已經(jīng)植入Web服務(wù)器的木馬的運(yùn)行，防止服務(wù)器被黑客繼續(xù)滲透。因此，如何切斷被黑客攻擊以至于被控制的網(wǎng)站的木馬傳播成為當(dāng)前的第二個(gè)主要解決問(wèn)題。控：控制無(wú)意識(shí)的信息泄露：對(duì)于第三個(gè)要解決的問(wèn)題是防止內(nèi)部人員無(wú)意識(shí)的內(nèi)部信息泄露，要保證接入網(wǎng)絡(luò)的機(jī)器、設(shè)備是具有一定的安全防護(hù)標(biāo)準(zhǔn)，防

17、止不符合要求的機(jī)器和設(shè)備接入網(wǎng)絡(luò)，嚴(yán)格控制潛在的安全風(fēng)險(xiǎn)。解決方案2.1 Web應(yīng)用防護(hù)系統(tǒng)解決方案 Web應(yīng)用安全防護(hù)系統(tǒng)可以為學(xué)校Web服務(wù)器提供全方位的服務(wù)，主要保護(hù)功能包括以下幾方面：2.1.1黑客攻擊防護(hù) Web應(yīng)用防護(hù)系統(tǒng)對(duì)黑客攻擊防護(hù)功能，主要阻止常見(jiàn)的Web攻擊行為，包括以下方面：黑客已留后門(mén)發(fā)現(xiàn)，黑客控制行為阻止SQL注入攻擊（包括URL、POST、Cookie等方式的注入）XSS攻擊Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)?、遠(yuǎn)程數(shù)據(jù)寫(xiě)入等）命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）緩沖區(qū)溢出攻擊惡意代碼解決辦法：通過(guò)在Web服務(wù)器的前端部署Web應(yīng)用防護(hù)

18、系統(tǒng)，可以有效過(guò)濾Web攻擊。同時(shí)，正常的訪(fǎng)問(wèn)流量可以順利通過(guò)。Web應(yīng)用防護(hù)系統(tǒng)，通過(guò)內(nèi)置可升級(jí)、擴(kuò)展的策略，可以有效的防止、控制Web攻擊發(fā)生。方案價(jià)值：通過(guò)部署Web應(yīng)用防護(hù)系統(tǒng)可以有效的防止黑客對(duì)于網(wǎng)站應(yīng)用層的攻擊，保障Web服務(wù)器的安全，降低資料被竊取、網(wǎng)站被篡改事件的發(fā)生。2.1.2 違反策略防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的內(nèi)容識(shí)別與控制主要包括以下幾個(gè)方面：非法HTTP協(xié)議URL-ACL匹配盜鏈行為2.1.2 BOT防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的應(yīng)用訪(fǎng)問(wèn)控制主要包括以下幾個(gè)方面：爬蟲(chóng)蜘蛛行為Web漏洞掃描器行為2.1.3 應(yīng)用層洪水CC攻擊及DDOS防御Web應(yīng)用防護(hù)系統(tǒng)的互聯(lián)

19、網(wǎng)應(yīng)用流量控制主要包括以下幾個(gè)方面：UDP FloodICMP FloodSYN FloodACK FloodRST FloodCC攻擊DDOS攻擊方案價(jià)值：Web應(yīng)用防護(hù)系統(tǒng)全方位的封堵，節(jié)省帶寬資源利用率，保證組織的業(yè)務(wù)相關(guān)應(yīng)用得到極以流暢的進(jìn)行。2.1.4網(wǎng)頁(yè)防篡改本設(shè)備的網(wǎng)頁(yè)防篡改功能，對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對(duì)網(wǎng)頁(yè)進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí)，立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志。 支持的操作系統(tǒng): Windows 、 Linux(CentOS、Debian、Ubuntu)、 Solaris、AIX、IRIX、HP、Sun ONE、iPanet等操作系統(tǒng)

20、。、2.1.5自定義規(guī)則及白名單自定義規(guī)則設(shè)備不僅具有完善的內(nèi)置規(guī)則，并且還支持用戶(hù)根據(jù)自身需要自行定義規(guī)劃，支持自符串快速查找與PCRE正則查找。白名單根據(jù)需要設(shè)定某些網(wǎng)站、URL針對(duì)防護(hù)設(shè)備直接放行。2.1.6關(guān)鍵字過(guò)濾本設(shè)備支持針對(duì)網(wǎng)頁(yè)訪(fǎng)問(wèn)進(jìn)行單向或雙方關(guān)鍵字進(jìn)行檢測(cè)與過(guò)濾。2.1.7日志功能Web應(yīng)用防護(hù)系統(tǒng)不但提供強(qiáng)大的防護(hù)功能，且提供了十分詳細(xì)的日志和報(bào)表功能，能夠讓管理人員更加全面、快捷地了解整個(gè)設(shè)備運(yùn)行及防護(hù)情況。入侵報(bào)警日志系統(tǒng)提供詳細(xì)的安全防護(hù)日志：包括攻擊時(shí)間、方式、來(lái)源IP、目的URL、物理地址、頁(yè)面訪(fǎng)問(wèn)統(tǒng)計(jì)等。日志查詢(xún)?cè)O(shè)備提供基于時(shí)間、IP、端口、協(xié)議、動(dòng)作、規(guī)則集、

21、危害等級(jí)等多種查詢(xún)方式。支持日志的導(dǎo)出及按時(shí)間進(jìn)行日志自動(dòng)的清理。審計(jì)日志對(duì)設(shè)備每次操作進(jìn)行詳細(xì)的記錄系統(tǒng)日志可以記錄設(shè)備的運(yùn)行狀況2.1.8統(tǒng)計(jì)功能網(wǎng)絡(luò)入侵統(tǒng)計(jì) 該設(shè)備頁(yè)面以柱狀圖的形式顯示指定月份所發(fā)生的所有入侵情況，以便快速掌握不同時(shí)期遭受網(wǎng)絡(luò)攻擊狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢(shì)。 網(wǎng)絡(luò)流量統(tǒng)計(jì) 統(tǒng)計(jì)該頁(yè)面統(tǒng)計(jì)各接口的流量情況，可以按天或月以折線(xiàn)圖的形式顯示出來(lái)。了解本設(shè)備在該段時(shí)間內(nèi)的網(wǎng)絡(luò)流量情況。瀏覽頁(yè)面統(tǒng)計(jì)該頁(yè)面可以詳細(xì)清楚地統(tǒng)計(jì)并顯示每個(gè)web頁(yè)面的訪(fǎng)問(wèn)次數(shù)，最后訪(fǎng)問(wèn)時(shí)間、瀏覽器情況，并可以分時(shí)間斷來(lái)進(jìn)行分析頁(yè)面訪(fǎng)問(wèn)情況。2.1.9報(bào)表設(shè)備提供詳細(xì)的基于圖文的安全報(bào)表（按攻擊類(lèi)別、流量

22、、主機(jī)、來(lái)源IP、目的URL攻擊方式、地位位置、webshell分析、頁(yè)面訪(fǎng)問(wèn)次數(shù)等）并可以按事件攻擊類(lèi)型、周期、統(tǒng)計(jì)目標(biāo)進(jìn)行統(tǒng)計(jì)。支持Html、Word、Pdf格式的輸出。定時(shí)去發(fā)送攻擊報(bào)表等功能。2.1.10智能阻斷該設(shè)備可以智能識(shí)別外來(lái)的攻擊行為，根據(jù)自定義單位時(shí)間內(nèi)觸發(fā)安全規(guī)則次數(shù)的方式，自動(dòng)阻斷攻擊源。阻斷的時(shí)間及次數(shù)均可自行定義。2.2設(shè)備選型及介紹根據(jù)對(duì)學(xué)校WEB應(yīng)用安全防護(hù)需求的分析，采用WAF產(chǎn)品系列的Web防火墻管理設(shè)備，以下是要求的設(shè)備基本性能參數(shù)：項(xiàng)目技術(shù)要求體系結(jié)構(gòu)1U，采用多核硬件架構(gòu)配置8個(gè)電口，配置2對(duì)電口Bypass性能單向HTTP吞吐量1000 Mbps最大

23、并發(fā)會(huì)話(huà)數(shù)100萬(wàn)（內(nèi)置規(guī)則全開(kāi)，防護(hù)狀態(tài)）HTTP請(qǐng)求速率1,0000（內(nèi)置規(guī)則全開(kāi)，防護(hù)狀態(tài)）網(wǎng)絡(luò)延遲0.05毫秒（內(nèi)置規(guī)則全開(kāi)，防護(hù)狀態(tài)）防護(hù)網(wǎng)站不限IP攔截方式至少包含4種方式：攔截、檢測(cè)、放行、攔截并阻斷；阻斷方式下，可設(shè)置阻斷時(shí)間，可手工解除阻斷入侵者記錄能夠記錄入侵攻擊詳細(xì)數(shù)據(jù)，至少包含：序號(hào)、攻擊時(shí)間、攔截原因、規(guī)則集名稱(chēng)、危害等級(jí)、源IP地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、HTTP請(qǐng)求、URL等防御功能雙向檢測(cè)功能，能夠?qū)α魅肓鞒鰯?shù)據(jù)進(jìn)行檢測(cè)；具有默認(rèn)的防護(hù)端口，并可指定防護(hù)端口；系統(tǒng)內(nèi)置防護(hù)規(guī)則、并支持用戶(hù)自定義防護(hù)規(guī)則；白名單功能:能夠?qū)μ囟ǖ腎P、

24、域名、域名+URL設(shè)置白名單；HTTP請(qǐng)求類(lèi)型允許與禁止：可對(duì)常用的HTTP請(qǐng)求設(shè)置允許或禁止通過(guò)Web攻擊防護(hù)SQL注入攻擊（包括URL、POST、Cookie等方式的注入）：攻擊者通過(guò)輸入數(shù)據(jù)庫(kù)查詢(xún)代碼竊取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)、XSS攻擊、遠(yuǎn)程、本地文件包含攻擊CSRF跨站請(qǐng)求、Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)唷⑦h(yuǎn)程數(shù)據(jù)寫(xiě)入等）、惡意掃描：攻擊者利用pangolin、Wvs等專(zhuān)業(yè)掃描攻擊工具對(duì)服務(wù)器進(jìn)行掃描和攻擊、命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）、緩沖區(qū)溢出攻擊、關(guān)鍵文件下載、搜索引擎爬蟲(chóng)（spider）、惡意代碼、信息偽裝、“零日”攻擊、本馬上傳：攻

25、擊者利用黑客工具上傳Webshell以達(dá)到控制服務(wù)器的目的、WebShell檢測(cè)與攔截等負(fù)載均衡支持應(yīng)用層負(fù)載均衡功能，并支持動(dòng)態(tài)網(wǎng)站、流量分配防CC攻擊（選配）支持對(duì)CC攻擊的防護(hù)功能防DOS攻擊（選配）支持對(duì)DOS攻擊防護(hù)功能網(wǎng)頁(yè)防篡改（選配）支持對(duì)網(wǎng)頁(yè)的篡改并進(jìn)行自動(dòng)恢復(fù)，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系統(tǒng)漏洞掃描（選配）針對(duì)web服務(wù)器的SQL、XSS等漏洞進(jìn)行掃描，并生成報(bào)告。數(shù)據(jù)庫(kù)防篡改（選配）數(shù)據(jù)庫(kù)防篡改：支持MSSQL、SQLSERVER等數(shù)據(jù)庫(kù)防篡改。高級(jí)訪(fǎng)問(wèn)控制支持對(duì)內(nèi)、外IP地址的精確控制，設(shè)置不同的防御方式（阻斷、過(guò)濾、檢測(cè)

26、、放行）可靠性電口、光口硬件BYPASS、軟件BYPASS、可擴(kuò)展支持端口匯聚、多機(jī)熱備；平均無(wú)故障時(shí)間 100000h；支持日志自動(dòng)清理功能：可在達(dá)到日志上限時(shí)通知管理員進(jìn)行日志清理，如手動(dòng)清理未實(shí)施，系統(tǒng)實(shí)行自動(dòng)清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虛擬化部署等報(bào)表功能提供詳細(xì)的基于圖文的安全報(bào)表（入侵統(tǒng)計(jì)、按入侵類(lèi)別統(tǒng)計(jì)、被攻擊主機(jī)、攻擊來(lái)源IP和地理位置、頁(yè)面訪(fǎng)問(wèn)次數(shù)、網(wǎng)絡(luò)接口流量趨勢(shì)等）并可以按事件攻擊類(lèi)型、周期、統(tǒng)計(jì)目標(biāo)進(jìn)行統(tǒng)計(jì)管理特性支持通過(guò)HTTPS初始化、設(shè)置、管理設(shè)備實(shí)時(shí)流量查看、入侵告警查看流量統(tǒng)計(jì)、入侵統(tǒng)計(jì)自定

27、義規(guī)則查看管理支持入侵記錄、系統(tǒng)日志、審計(jì)日志導(dǎo)出功能、系統(tǒng)配置安全導(dǎo)入、導(dǎo)出功能支持內(nèi)置規(guī)則升級(jí)、固件升級(jí)允許用戶(hù)自由定制規(guī)則，提供友好的定制模板報(bào)表系統(tǒng)、系統(tǒng)日志、審計(jì)日志產(chǎn)品資質(zhì)獲得國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心頒發(fā)的符合國(guó)家保密標(biāo)準(zhǔn)BMB132004涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技術(shù)要求的千兆涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的符合CNCA/CTS 0050-2007信息技術(shù) 信息安全 網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范增強(qiáng)級(jí)認(rèn)證中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證國(guó)家漏洞中心提交漏洞證明文件2.3設(shè)備部署根據(jù)學(xué)校WEB

28、應(yīng)用安全防護(hù)Web服務(wù)器部署情況，我們建議通過(guò)透明網(wǎng)橋的部署模式來(lái)達(dá)到對(duì)Web服務(wù)器保護(hù)的目的。集中/集群式Web服務(wù)器部署集群式/集中式Web服務(wù)：集群式Web服務(wù)采用多臺(tái)Web服務(wù)器負(fù)荷分擔(dān)提供同一Web服務(wù)；集中式Web服務(wù)主要體現(xiàn)在不同的Web服務(wù)器放置在同一網(wǎng)段或者相鄰的網(wǎng)段內(nèi)，但不同的Web服務(wù)器可能提供多樣的Web服務(wù)。這種情況多數(shù)應(yīng)用于中大型企業(yè)的Web服務(wù)器模式，或者是IDC。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，可直接將“Web應(yīng)用防火墻”串接在Web服務(wù)器群所在子網(wǎng)交換機(jī)前端，如下圖顯示：部署方式：WAF的WAN口與廣域網(wǎng)的接入線(xiàn)路相連，一般是光纖、ADSL線(xiàn)路或者是路由器，WAF的LAN口

29、（DMZ口）同局域網(wǎng)的交換機(jī)相連，所有對(duì)WEB服務(wù)器的訪(fǎng)問(wèn)請(qǐng)求都必須通過(guò)WAF設(shè)備。半分散式WEB服務(wù)部署模式半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在不同的子網(wǎng)中；比如：公司有整體的Web服務(wù)集群，同時(shí)，各個(gè)部門(mén)還有各自的Web服務(wù)器，而這些服務(wù)器分布在不同的子網(wǎng)中，如果想對(duì)這些Web服務(wù)器進(jìn)行保護(hù)，需要將“Web應(yīng)用防火墻”部署在這些Web服務(wù)器所在網(wǎng)絡(luò)的邊緣，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線(xiàn)路相連，LAN口（DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處于內(nèi)網(wǎng)不同網(wǎng)段的多個(gè)Web服務(wù)器。全分散式Web服務(wù)部署模式半分散式Web

30、服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在幾乎全部的子網(wǎng)中；比較常見(jiàn)的案例：IDC機(jī)房，這時(shí)，需要將“Web應(yīng)用防火墻”部署在局域網(wǎng)邊緣，一般部署在主交換機(jī)同主路由器之間，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線(xiàn)路相連，LAN口（DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處于內(nèi)網(wǎng)的所有Web服務(wù)器及DB服務(wù)器。三、方案優(yōu)點(diǎn)及給客戶(hù)帶來(lái)的價(jià)值通過(guò)Web應(yīng)用防護(hù)系統(tǒng)在學(xué)校WEB應(yīng)用安全防護(hù)的具體實(shí)施給客戶(hù)帶來(lái)以下價(jià)值：3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問(wèn)題 傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪(fǎng)問(wèn)控制設(shè)備，工作在OSI1-4層，基于IP報(bào)文進(jìn)行狀態(tài)檢測(cè)、地

31、址轉(zhuǎn)換、網(wǎng)絡(luò)層訪(fǎng)問(wèn)控制等，對(duì)報(bào)文中的具體內(nèi)容不具備檢測(cè)能力。因此，對(duì)Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護(hù)，對(duì)各類(lèi)WEB應(yīng)用攻擊缺乏防御能力。Web應(yīng)用防護(hù)系統(tǒng)主要致力于提供應(yīng)用層保護(hù)，通過(guò)對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測(cè)分析，識(shí)別及阻斷各類(lèi)傳統(tǒng)防火墻無(wú)法識(shí)別的WEB應(yīng)用攻擊。只要有網(wǎng)絡(luò)的地方就會(huì)有防火墻，但傳統(tǒng)的防火墻只是針對(duì)一些底層(網(wǎng)絡(luò)層、傳輸層)的信息進(jìn)行阻斷，而WAF則深入到應(yīng)用層，對(duì)所有應(yīng)用信息進(jìn)行過(guò)濾，這是二者的本質(zhì)區(qū)別。WAF 的運(yùn)行基礎(chǔ)是應(yīng)用層訪(fǎng)問(wèn)控制列表。整個(gè)應(yīng)用層的訪(fǎng)問(wèn)控制列表所面對(duì)的對(duì)象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個(gè)網(wǎng)站互動(dòng)過(guò)程中所提交的一些

32、內(nèi)容，包括HTTP 協(xié)議報(bào)文內(nèi)容，由于WAF對(duì)HTTP協(xié)議完全認(rèn)知，通過(guò)內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會(huì)做完全、深層次的掃描。3.2 合規(guī)性建設(shè) 學(xué)校WEB應(yīng)用安全防護(hù)網(wǎng)站由于其社會(huì)地位和政治地位的特殊性，在公安部計(jì)算機(jī)信息安全等級(jí)保護(hù)基本要求中明確要求必須對(duì)所有外部網(wǎng)絡(luò)訪(fǎng)問(wèn)行為進(jìn)行入侵防范，訪(fǎng)問(wèn)行為有相應(yīng)的日志審計(jì)行為。Web應(yīng)用防護(hù)系統(tǒng)不僅能完全防范非法用戶(hù)的入侵行為，更能提供完整的統(tǒng)計(jì)表報(bào)。3.3 減少因不安全造成的損失 Web應(yīng)用防護(hù)系統(tǒng)可以防止黑客通過(guò)各種方式獲取系統(tǒng)的管理員權(quán)限，避免黑客獲得管理員權(quán)限篡改Web服務(wù)器主頁(yè)，或者以服務(wù)器

33、為跳板攻擊局域網(wǎng)內(nèi)其他服務(wù)器?？梢苑乐挂虼a編寫(xiě)不規(guī)范，造成數(shù)據(jù)庫(kù)服務(wù)器被SQL注入攻擊，黑客獲得數(shù)據(jù)庫(kù)中的用戶(hù)數(shù)據(jù)。3.4便于維護(hù)Web應(yīng)用防護(hù)系統(tǒng)連續(xù)工作時(shí)間為120000小時(shí)，能保證在夜間及節(jié)假日等無(wú)人值守時(shí)刻也能保護(hù)Web服務(wù)器。減少管理員的工作負(fù)擔(dān)。同時(shí)B/S設(shè)計(jì)架構(gòu)方便管理員進(jìn)行規(guī)則設(shè)置，參數(shù)配置。系統(tǒng)管理員不必隨時(shí)關(guān)注系統(tǒng)補(bǔ)丁升級(jí)，發(fā)現(xiàn)漏洞可以在Waf的防護(hù)下慢慢的修補(bǔ)。3.5使用狀況3.5.1系統(tǒng)狀態(tài)3.5.2入侵記錄示例3.5.3網(wǎng)站統(tǒng)計(jì)示例四、Web應(yīng)用防護(hù)系統(tǒng)主要技術(shù)優(yōu)勢(shì)4.1 千兆高并發(fā)與請(qǐng)求速率處理技術(shù) Web應(yīng)用防護(hù)系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)協(xié)議底層的深層次的優(yōu)化，可以達(dá)到百

34、萬(wàn)級(jí)別的并發(fā)連接。并提供每秒超過(guò)8萬(wàn)個(gè)HTTP請(qǐng)求的七層深度包檢測(cè)的能力。在網(wǎng)站數(shù)量超過(guò)500的情況下，仍然能夠提供高帶寬吞吐與極低的網(wǎng)絡(luò)帶寬延遲。4.2 攻擊碎片重組技術(shù) 通過(guò)獨(dú)有的碎片包重組技術(shù)，可以有效的防止黑客通過(guò)發(fā)送碎片的數(shù)據(jù)包來(lái)繞過(guò)檢測(cè)引擎的檢測(cè)。而的Web應(yīng)用防護(hù)系統(tǒng)可以準(zhǔn)確的模擬TCP/IP棧進(jìn)行完整重組數(shù)據(jù)包。4.3多種編碼還原與抗混淆技術(shù) Web應(yīng)用防護(hù)系統(tǒng)可以有效防止黑客利用大小寫(xiě)變換、ASCII編碼、UNICODE編碼、注釋、混淆等方式繞過(guò)檢測(cè)引擎。內(nèi)置的解碼模塊可以將復(fù)雜編碼后的數(shù)據(jù)還原為最基本的數(shù)據(jù)格式進(jìn)行匹配。4.4 SQL語(yǔ)句識(shí)別技術(shù)Web應(yīng)用防護(hù)系統(tǒng)可以通過(guò)人

35、工智能的方式識(shí)別”注入攻擊”中使用的SQL語(yǔ)句，識(shí)別SQL語(yǔ)法結(jié)構(gòu)，而不是通過(guò)簡(jiǎn)單的select/insert/update等簡(jiǎn)單的SQL關(guān)鍵詞的字符串匹配。在對(duì)攻擊的識(shí)別和準(zhǔn)確率上可以大大提升。4.5 多種部署方式 Web應(yīng)用防護(hù)系統(tǒng)能應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中，可以分別保護(hù)單臺(tái)或者多臺(tái)Web服務(wù)器，DB數(shù)據(jù)庫(kù)?？梢圆捎镁W(wǎng)橋模式，混合部署模式，旁路反向代理模式。可以方便、靈活的應(yīng)對(duì)客戶(hù)網(wǎng)絡(luò)環(huán)境的變化。4.6 軟硬件BYPASS功能Web防火墻支持在斷電、硬件故障等特殊情況下，仍然能保持網(wǎng)絡(luò)的暢通，避免了因?yàn)楣收显斐傻木W(wǎng)絡(luò)無(wú)法訪(fǎng)問(wèn)，給單位和用戶(hù)帶來(lái)不必要的損失。硬件Bypass硬件Bypass

36、外部突然斷電時(shí)，自動(dòng)直連來(lái)電后自動(dòng)啟動(dòng)時(shí)，自動(dòng)直連硬件啟動(dòng)、重啟時(shí)，自動(dòng)直連軟件Bypass五、展望隨著Web2.0的大量應(yīng)用和云計(jì)算的應(yīng)用，云安全日益重要，Web應(yīng)用安全防護(hù)系統(tǒng)需要日趨完善，更快速更安全的一站式防火墻是高校的需要。愛(ài)人者，人恒愛(ài)之；敬人者，人恒敬之；寬以濟(jì)猛，猛以濟(jì)寬，政是以和。將軍額上能跑馬，宰相肚里能撐船。最高貴的復(fù)仇是寬容。有時(shí)寬容引起的道德震動(dòng)比懲罰更強(qiáng)烈。君子賢而能容罷，知而能容愚，博而能容淺，粹而能容雜。寬容就是忘卻，人人都有痛苦，都有傷疤，動(dòng)輒去揭，便添新創(chuàng)，舊痕新傷難愈合，忘記昨日的是非，忘記別人先前對(duì)自己的指責(zé)和謾罵，時(shí)間是良好的止痛劑，學(xué)會(huì)忘卻，生活才有陽(yáng)光，才有歡樂(lè)。不要輕易放棄感情，誰(shuí)都會(huì)心疼；不要沖動(dòng)下做決定，會(huì)后悔一生。也許只一句分手，就再也不見(jiàn)；也許只一次主動(dòng)，就能挽回遺憾。世界上沒(méi)有不爭(zhēng)吵的感情，只有不肯包容的心靈；生活中沒(méi)有不會(huì)生氣的人，只有不知原諒的心。感情不是游戲，誰(shuí)也傷不起；人心不是