Web安全解決方案

Web安全解決方案目錄Web安全 1解決方案 1第一章 需求概述 41.1 項(xiàng)目背景 41.2 網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析 41.3 Web業(yè)務(wù)面臨的安全風(fēng)險(xiǎn) 4第二章 Web安全解決方案設(shè)計(jì) 72.1 方案概述 72.2 方案價(jià)值 8第三章 XXX下一代防火墻NGAF解決方案 83.1 XXXNGAF產(chǎn)品設(shè)計(jì)理念 83.2 XXXNGAF解決方案 103.2.1 四種部署模式支持 103.2.2 多種攔截方式支持 123.2.3 安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng) 123.2.4 典型的Web攻擊防護(hù) 123.2.5 網(wǎng)關(guān)型網(wǎng)頁(yè)防篡改 183.2.6 可定義的敏感信息防泄漏 203.2.7 基于應(yīng)用的深度入侵防御 213.2.8 高效精確的病毒檢測(cè)能力 233.2.9 智能的DOS攻擊防護(hù) 243.2.10 智能的防護(hù)模塊聯(lián)動(dòng) 253.2.11 完整的防火墻功能 253.2.12 其他安全功能 253.2.13 產(chǎn)品容錯(cuò)能力 29

需求概述項(xiàng)目背景 （請(qǐng)根據(jù)客戶實(shí)際情況自行添加）網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析 （請(qǐng)根據(jù)客戶實(shí)際情況自行添加） XX擬建立Web業(yè)務(wù)對(duì)外發(fā)布系統(tǒng)，該對(duì)外發(fā)布系統(tǒng)由多臺(tái)服務(wù)器組成，承載的有OA應(yīng)用、集團(tuán)內(nèi)部門(mén)戶網(wǎng)站、集團(tuán)內(nèi)門(mén)戶網(wǎng)站群等多個(gè)WEB應(yīng)用。 目前，XXweb應(yīng)用邊界使用傳統(tǒng)防火墻進(jìn)行數(shù)據(jù)包過(guò)濾進(jìn)行安全防護(hù)，現(xiàn)運(yùn)行許多WEB應(yīng)用系統(tǒng)。Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心是XXIT建設(shè)數(shù)據(jù)大集中的產(chǎn)物，作為Web業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域，該對(duì)外發(fā)布數(shù)據(jù)中心承載著XXWeb業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息。對(duì)于惡意攻擊者而言，Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心是最具吸引力的目標(biāo)。而之前，的安全建設(shè)以各區(qū)域安全隔離為主，隔離來(lái)自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)的訪問(wèn)控制。而安全隱患遷移到了應(yīng)用層，UAP云平臺(tái)資源池?cái)?shù)據(jù)中心面臨的應(yīng)用層安全威脅是基于L3-L4層的傳統(tǒng)防火墻完全無(wú)法理解的。 1、利用業(yè)務(wù)開(kāi)發(fā)時(shí)期沒(méi)有對(duì)代碼的安全進(jìn)行評(píng)估，使得系統(tǒng)可輕易通過(guò)web攻擊實(shí)現(xiàn)對(duì)web服務(wù)器、數(shù)據(jù)庫(kù)的攻擊造成數(shù)據(jù)庫(kù)信息被竊取的問(wèn)題 2、利用服務(wù)器操作系統(tǒng)漏洞、應(yīng)用軟件漏洞通過(guò)緩沖區(qū)溢出、惡意蠕蟲(chóng)、病毒等應(yīng)用層攻擊，獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問(wèn)題 3、來(lái)自其他安全域的病毒、木馬、蠕蟲(chóng)的交叉感染，使得數(shù)據(jù)中心成為“養(yǎng)馬場(chǎng)“ 4、由于訪問(wèn)控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問(wèn)題 5、利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問(wèn)題Web業(yè)務(wù)面臨的安全風(fēng)險(xiǎn) Web業(yè)務(wù)已經(jīng)成為當(dāng)前的主要的業(yè)務(wù)，大量的在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行。由于大量的web業(yè)務(wù)不斷更新，大量web應(yīng)用快速上線，而由于Web業(yè)務(wù)資金、進(jìn)度、意識(shí)方面的影響，這些web應(yīng)用系統(tǒng)沒(méi)有進(jìn)行充分的安全評(píng)估而導(dǎo)致大量的可利用漏洞。 根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層，2/3的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。而針對(duì)web的攻擊往往隱藏在大量的正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。 近年來(lái)，Web安全事件不斷攀升，電子商務(wù)、金融成為了主要目標(biāo)，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）《2011年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示“網(wǎng)站安全類(lèi)事件占到61.7%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè)，較2010年增加5.1%；4月-12月被植入網(wǎng)站后門(mén)的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接受的漏洞中，涉及網(wǎng)站相關(guān)的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網(wǎng)站安全問(wèn)題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問(wèn)題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶泄露事件引起社會(huì)廣泛關(guān)注，被公開(kāi)的疑似泄露數(shù)據(jù)庫(kù)26個(gè)，涉及賬號(hào)、密碼信息2.78億條，嚴(yán)重威脅互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全?！?Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心包含Web服務(wù)器、存儲(chǔ)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、內(nèi)網(wǎng)系統(tǒng)等多種業(yè)務(wù)系統(tǒng)，向internet、intranet等多個(gè)區(qū)域提供服務(wù)，Web數(shù)據(jù)中心要面臨來(lái)自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅。其安全保障意義重大。而傳統(tǒng)的安全隔離形式僅僅是通過(guò)vlan、ACL訪問(wèn)控制對(duì)其進(jìn)行安全隔離。應(yīng)用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內(nèi)部進(jìn)行滲透。同時(shí)帶有目的性的內(nèi)網(wǎng)用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心急需解決應(yīng)用層安全防護(hù)的問(wèn)題。 部分多功能防火墻或者是UTM雖然具備了部分應(yīng)用層安全防護(hù)的能力，但由于其實(shí)現(xiàn)方式、缺乏應(yīng)用層協(xié)議的理解能力。在應(yīng)用層攻擊防護(hù)上存在嚴(yán)重不足，比如針對(duì)數(shù)據(jù)中心的十大web攻擊： SQL注入、XSS、CSRF等攻擊是包含在http正常請(qǐng)求中的web攻擊，可以通過(guò)80端口滲透?jìng)鹘y(tǒng)防火墻與多功能網(wǎng)關(guān)，造成正對(duì)數(shù)據(jù)中心數(shù)據(jù)庫(kù)服務(wù)器、web服務(wù)器、存儲(chǔ)服務(wù)器的攻擊，可能導(dǎo)致信息泄露、數(shù)據(jù)中心服務(wù)器掛馬、數(shù)據(jù)中心B/S業(yè)務(wù)篡改、甚至是業(yè)務(wù)中斷。 SQL注入等web攻擊逃逸攻擊，由于傳統(tǒng)的多功能網(wǎng)關(guān)或者IPS實(shí)現(xiàn)應(yīng)用層攻擊僅僅通過(guò)DPI數(shù)據(jù)包的深度檢測(cè)進(jìn)行攻擊特征分析，攻擊行為一旦采用了逃逸手段，傳統(tǒng)多功能網(wǎng)關(guān)類(lèi)設(shè)備或者IPS設(shè)備便無(wú)法檢測(cè)出來(lái)。聰明黑客會(huì)通過(guò)多種手段對(duì)防止攻擊行為被檢測(cè)，一旦攻擊被利用重新編碼、分片、亂序等逃逸處理方式，傳統(tǒng)的多功能網(wǎng)關(guān)將無(wú)法檢測(cè)并防護(hù)。只有真正對(duì)數(shù)據(jù)流進(jìn)行深度內(nèi)容解析，理解協(xié)議本身，還原其真實(shí)的攻擊行為才能夠進(jìn)行有效的阻斷。 其他攻擊還包括：信息泄露攻擊、目錄遍歷、系統(tǒng)命令注入、webshell等多種傳統(tǒng)基于DPI技術(shù)的多功能網(wǎng)關(guān)無(wú)法防御的攻擊，如： 信息泄露漏洞是由于web服務(wù)器配置或者本身存在安全漏洞，導(dǎo)致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。 目錄遍歷漏洞攻擊就是通過(guò)瀏覽器向web服務(wù)器任意目錄附加“../”，或者是附加“../”的一些變形，編碼，訪問(wèn)web服務(wù)器根目錄或者之外的目錄。 系統(tǒng)命令注入是攻擊者提交的特殊字符或者操作系統(tǒng)命令，web程序沒(méi)有進(jìn)行檢測(cè)或者繞過(guò)web應(yīng)用程序過(guò)濾，把用戶提交的請(qǐng)求作為指令進(jìn)行解析，導(dǎo)致操作系統(tǒng)命令執(zhí)行。 …… 總的來(lái)說(shuō)，由于該類(lèi)攻擊可導(dǎo)致Web業(yè)務(wù)面臨的主要安全威脅如下： 1、網(wǎng)頁(yè)篡改問(wèn)題 網(wǎng)頁(yè)篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的Web網(wǎng)頁(yè)替換為攻擊者提供的網(wǎng)頁(yè)/文字/圖片等內(nèi)容。一般來(lái)說(shuō)網(wǎng)頁(yè)的篡改對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的影響，但對(duì)于UAP平臺(tái)重要的Web業(yè)務(wù)，需要與用戶通過(guò)Web業(yè)務(wù)進(jìn)行溝通的應(yīng)用而言，就意味著UAP平臺(tái)Web業(yè)務(wù)將被迫停止服務(wù)，對(duì)中國(guó)移動(dòng)湛江分公司的經(jīng)濟(jì)利益、企業(yè)形象及信譽(yù)會(huì)造成嚴(yán)重的損害。 2、網(wǎng)頁(yè)掛馬問(wèn)題 網(wǎng)頁(yè)掛馬也是利用Web攻擊造成的一種網(wǎng)頁(yè)篡改的安全問(wèn)題，相對(duì)而言這種問(wèn)題會(huì)比較隱蔽，但本質(zhì)上這種方式也破壞了網(wǎng)頁(yè)的完整性。網(wǎng)頁(yè)掛馬會(huì)導(dǎo)致Web業(yè)務(wù)的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的經(jīng)濟(jì)損失。這種問(wèn)題出現(xiàn)在Web業(yè)務(wù)中也嚴(yán)重影響中國(guó)移動(dòng)湛江分公司UAP數(shù)據(jù)中心的正常運(yùn)作并影響到公司的公信度。 3、敏感信息泄漏問(wèn)題 這類(lèi)安全問(wèn)題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺(tái)數(shù)據(jù)庫(kù)，導(dǎo)致數(shù)據(jù)庫(kù)中儲(chǔ)存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對(duì)于承載多種Web業(yè)務(wù)的UAP數(shù)據(jù)中心平臺(tái)而言是致命的打擊，可產(chǎn)生巨大的經(jīng)濟(jì)損失。 4、無(wú)法響應(yīng)正常服務(wù)的問(wèn)題 黑客通過(guò)DOS/DDOS拒絕服務(wù)攻擊使UAP平臺(tái)無(wú)法響應(yīng)正常請(qǐng)求。這種攻擊行為使得Web服務(wù)器充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致Web業(yè)務(wù)無(wú)法響應(yīng)正常的服務(wù)請(qǐng)求。對(duì)于中國(guó)移動(dòng)湛江分公司UAP平臺(tái)Web業(yè)務(wù)而言是巨大的威脅。Web安全解決方案設(shè)計(jì)方案概述 XXX為XX提供針對(duì)Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心完整的安全解決方案。 通過(guò)在核心交換前雙機(jī)部署兩臺(tái)XXX下一代應(yīng)用防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)服務(wù)器的業(yè)務(wù)邏輯隔離，核心業(yè)務(wù)帶寬保障、防止網(wǎng)絡(luò)層、應(yīng)用層安全威脅在數(shù)據(jù)中心內(nèi)擴(kuò)散。 NGAF應(yīng)用防火墻的部署可以從從攻擊源頭上防護(hù)導(dǎo)致Web業(yè)務(wù)各類(lèi)網(wǎng)絡(luò)/應(yīng)用層安全威脅；同時(shí)XXX下一代防火墻NGAF提供的雙向內(nèi)容檢測(cè)的技術(shù)幫助用戶解決攻擊被繞過(guò)后產(chǎn)生的網(wǎng)頁(yè)篡改、敏感信息泄露的問(wèn)題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。 1、XXX應(yīng)用防火墻AF-8020雙機(jī)部署于核心交換前可實(shí)現(xiàn)整體安全防護(hù)； 2、NGAF通過(guò)訪問(wèn)控制策略ACL可實(shí)現(xiàn)Web服務(wù)器區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)、DMZ等區(qū)域的網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪問(wèn)控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問(wèn)題； 3、NGAF通過(guò)服務(wù)器防護(hù)功能模塊的開(kāi)啟，可實(shí)現(xiàn)對(duì)各個(gè)區(qū)域（尤其是DMZ區(qū)）的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開(kāi)發(fā)安全保障不利，使得系統(tǒng)可輕易通過(guò)Web攻擊實(shí)現(xiàn)對(duì)Web服務(wù)器、數(shù)據(jù)庫(kù)的攻擊造成數(shù)據(jù)庫(kù)信息被竊取的問(wèn)題； 4、NGAF通過(guò)風(fēng)險(xiǎn)評(píng)估模塊對(duì)服務(wù)器進(jìn)行安全體檢，通過(guò)一鍵策略部署的功能開(kāi)啟IPS、WAF模塊的對(duì)應(yīng)策略，可幫助管理員的實(shí)現(xiàn)針對(duì)性的策略配置； 5、利用NGAF入侵防御模塊可實(shí)現(xiàn)對(duì)各類(lèi)服務(wù)器操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫(kù)oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類(lèi)漏洞通過(guò)緩沖區(qū)溢出、惡意蠕蟲(chóng)、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問(wèn)題； 6、NGAF防病毒網(wǎng)關(guān)的模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來(lái)自其他安全域的病毒、木馬、蠕蟲(chóng)，防止各區(qū)域進(jìn)行交叉感染； 7、NGAFDDOS/DOS攻擊防護(hù)模塊可以防止利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問(wèn)題。（拓?fù)鋱D）方案價(jià)值 XXXWeb安全解決方案是針對(duì)面向互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)發(fā)布過(guò)程中潛在的各類(lèi)安全問(wèn)題專(zhuān)門(mén)開(kāi)發(fā)的一套安全防護(hù)解決方案。該方案有效的彌補(bǔ)了傳統(tǒng)安全解決方案在Web業(yè)務(wù)安全防護(hù)能力的不足： 事前，快速的進(jìn)行風(fēng)險(xiǎn)掃描，幫助用戶快速定位安全風(fēng)險(xiǎn)并智能更新防護(hù)策略； 事中，有效防止了引起網(wǎng)頁(yè)篡改問(wèn)題、網(wǎng)頁(yè)掛馬問(wèn)題、敏感信息泄漏問(wèn)題、無(wú)法響應(yīng)正常服務(wù)問(wèn)題及“拖庫(kù)”、“暴庫(kù)”問(wèn)題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊； 事后，對(duì)服務(wù)器外發(fā)內(nèi)容進(jìn)行安全檢測(cè)，防止攻擊繞過(guò)安全防護(hù)體系，對(duì)Web業(yè)務(wù)產(chǎn)生的網(wǎng)站篡改、數(shù)據(jù)泄漏問(wèn)題。 同時(shí)該方案從簡(jiǎn)化組網(wǎng)、方便運(yùn)維、最優(yōu)投資的用戶角度出發(fā)，可為Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心打造L2-L7層的安全防護(hù)體系構(gòu)架，實(shí)現(xiàn)完整的安全防護(hù)，同時(shí)在可用性、可靠性上采用了XXX特有的先進(jìn)技術(shù)保證Web業(yè)務(wù)的正常穩(wěn)定運(yùn)行，打造一個(gè)“安全”、“可靠”、“高效”的Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心。XXX下一代防火墻NGAF解決方案XXXNGAF產(chǎn)品設(shè)計(jì)理念 XXXNGAF提供對(duì)Web業(yè)務(wù)系統(tǒng)的三維立體防護(hù)解決方案，深入分析黑客攻擊的時(shí)機(jī)和動(dòng)機(jī)。從事件周期、攻擊過(guò)程、防護(hù)對(duì)象三個(gè)維度出發(fā)，提供全面的安全防護(hù)手段，保護(hù)web業(yè)務(wù)系統(tǒng)不受來(lái)自各方的侵害。 基于事件周期的設(shè)計(jì) 攻擊的防護(hù)不可能實(shí)現(xiàn)百分百的安全。Web系統(tǒng)的安全建設(shè)必須貫穿到整個(gè)Web安全事件周期中，設(shè)立事前、事中、事后三道安全防線分階段進(jìn)行防護(hù)。 NGAF提供事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體安全防護(hù)。事前策略自檢：在配置完安全策略后，NGAF可以自動(dòng)進(jìn)行掃描和探測(cè)，查看系統(tǒng)還存在哪些安全策略漏洞和隱患；事中攻擊防護(hù)：2-7層完整的安全防護(hù)，包括：Web攻擊防護(hù)、漏洞防護(hù)、病毒防護(hù)等；事后網(wǎng)頁(yè)篡改響應(yīng)：可以針對(duì)被篡改的靜態(tài)網(wǎng)頁(yè)進(jìn)行告警、替換、還原等功能?；诠暨^(guò)程的安全防護(hù) 傳統(tǒng)的web安全防護(hù)采用的是防火墻+IPS+WAF割裂式的安全防護(hù)體系，針對(duì)各類(lèi)的攻擊總是被動(dòng)的增補(bǔ)相應(yīng)功能的安全設(shè)備。而對(duì)于Web安全防護(hù)不是單一攻擊手段的防護(hù)，而需要對(duì)黑客攻擊動(dòng)機(jī)與時(shí)機(jī)進(jìn)行分析，基于黑客的攻擊過(guò)程的每一個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一防護(hù)。 NGAF的設(shè)計(jì)是基于黑客攻擊過(guò)程的完整Web系統(tǒng)安全防護(hù)，針對(duì)黑客入侵三步曲即掃描、入侵、破壞進(jìn)行統(tǒng)一的安全防護(hù)：掃描過(guò)程：提供防端口/服務(wù)掃描、防弱口令暴力破解、關(guān)鍵URL防護(hù)、應(yīng)用信息隱藏等攻擊過(guò)程：提供強(qiáng)化的Web攻擊防護(hù)（防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊）、多對(duì)象漏洞利用防護(hù)等破壞過(guò)程：提供抗應(yīng)用層DOS攻擊、可執(zhí)行程序上傳過(guò)濾、上行病毒木馬清洗等多維對(duì)象的全面防護(hù) 安全的漏洞就像木桶的短板，任何可以被黑客利用的機(jī)會(huì)都可能導(dǎo)致所有的防護(hù)措施形同虛設(shè)。對(duì)眾多用戶網(wǎng)絡(luò)安全現(xiàn)狀分析后，發(fā)現(xiàn)安全問(wèn)題是多角度、多方面的，在Web安全規(guī)劃中，一味強(qiáng)調(diào)Web服務(wù)器的防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。面對(duì)防護(hù)全面的Web應(yīng)用服務(wù)器，黑客往往以退為進(jìn)采用“跳板式攻擊”，先突破漏洞較多的內(nèi)網(wǎng)終端，通過(guò)內(nèi)網(wǎng)終端竊取密碼后堂而皇之的入侵Web服務(wù)器。 NGAF不僅提供強(qiáng)化的服務(wù)器安全防護(hù)，針對(duì)網(wǎng)內(nèi)存在巨大安全風(fēng)險(xiǎn)，很有可能成為“肉雞”被黑客利用的終端也采取了嚴(yán)格的防護(hù)措施?；诮K端漏洞防護(hù)終端的病毒防護(hù)惡意插件、腳本過(guò)濾 NGAF是充分考慮安全事件周期性，基于黑客攻擊行為的過(guò)程，提供多維對(duì)象防護(hù)的完整Web安全解決方案。 除此之外，NGAF涵蓋了L2-L7全面的安全功能，可以替代FW、IPS、WAF，節(jié)省投資。同時(shí)，簡(jiǎn)化了組網(wǎng)，統(tǒng)一了管理，極大地提升運(yùn)維工作效率。XXXNGAF解決方案四種部署模式支持 NGAF支持網(wǎng)關(guān)模式部署、網(wǎng)橋模式部署、混雜模式部署以及旁路模式部署等四種模式部署，可支持多進(jìn)多出，單進(jìn)多出、多進(jìn)單出等多種方式接入，可適用于各種復(fù)雜環(huán)境下的部署環(huán)境。網(wǎng)關(guān)模式：支持網(wǎng)關(guān)模式，支持NAT、路由轉(zhuǎn)發(fā)、應(yīng)用層防護(hù)等全部功能部署在網(wǎng)絡(luò)邊界，類(lèi)似于一個(gè)路由器，提供靜態(tài)路由和策略路由，又是一臺(tái)防火墻，實(shí)現(xiàn)NAT地址轉(zhuǎn)換和流量管理，提供網(wǎng)絡(luò)層安全防護(hù)，還是一臺(tái)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，實(shí)現(xiàn)應(yīng)用層和內(nèi)容層的安全防御；網(wǎng)橋模式：支持網(wǎng)橋模式，以透明方式串接在網(wǎng)絡(luò)中，支持除IPECVPN以外的所有功能1、類(lèi)似二層交換機(jī)一樣，采用一進(jìn)多出或多進(jìn)多出的方式，同時(shí)與不同網(wǎng)段相連接，進(jìn)行數(shù)據(jù)交換；2、可實(shí)時(shí)監(jiān)測(cè)各網(wǎng)段之間的各種流量，提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)。混雜模式：支持同時(shí)開(kāi)啟支持網(wǎng)關(guān)和網(wǎng)橋模式，支持功能視各線路情況而定；1、在總部互聯(lián)網(wǎng)出入口處在線部署NGAF，實(shí)現(xiàn)路由防護(hù)，提供互聯(lián)網(wǎng)的從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)；2、在總部?jī)?nèi)部網(wǎng)段之間以及與分支機(jī)構(gòu)網(wǎng)絡(luò)之間在線部署NGAF，提供透明接入的、獨(dú)立多路NGAF一進(jìn)一出的、交換式NGAF多進(jìn)多出的全方位、立體式的安全防護(hù)體系，實(shí)現(xiàn)內(nèi)網(wǎng)的安全區(qū)域劃分和控制；3、在企業(yè)服務(wù)器區(qū)旁路部署NGAF，保護(hù)服務(wù)器安全；旁路模式：支持旁路模式部署，不改變?cè)芯W(wǎng)絡(luò)架構(gòu)。該模式下只支持入侵防御、WEB防護(hù)和敏感信息防泄漏功能多種攔截方式支持 NGAF可實(shí)現(xiàn)對(duì)HTTP/HTTPS協(xié)議的深入解析，精確識(shí)別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對(duì)這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，可以精確的檢測(cè)其是否包含威脅內(nèi)容。而傳統(tǒng)的IPS基于DPI深度數(shù)據(jù)包解析技術(shù)，只能實(shí)現(xiàn)在網(wǎng)絡(luò)層數(shù)據(jù)包層面進(jìn)行重組還原及特征匹配，無(wú)法解析基于HTTP協(xié)議的內(nèi)容分析，很難有效檢測(cè)針對(duì)web應(yīng)用的攻擊。而具備簡(jiǎn)單web攻擊防護(hù)的IPS，僅僅是基于簡(jiǎn)單的特征檢測(cè)技術(shù)，存在大量的漏報(bào)誤報(bào)的信息。 NGAF作為web客戶端與服務(wù)器請(qǐng)求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，NGAF雙向內(nèi)容檢測(cè)技術(shù)可檢測(cè)過(guò)濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對(duì)惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過(guò)濾。安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng) NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。通過(guò)端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn)，并通過(guò)模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)的安全風(fēng)險(xiǎn)的安全防護(hù)策略。幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問(wèn)題，并做出有針對(duì)性的防護(hù)策略。典型的Web攻擊防護(hù) XXX下一代防火墻NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見(jiàn)的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁(yè)掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問(wèn)題。 SQL注入攻擊 攻擊者通過(guò)設(shè)計(jì)上的安全漏洞，把SQL代碼黏貼在網(wǎng)頁(yè)形式的輸入框內(nèi)，獲取網(wǎng)絡(luò)資源或改變數(shù)據(jù)。NGAF設(shè)備可以檢測(cè)在http協(xié)議中Get參數(shù)、Post表單以及cooke中隱藏的攻擊威脅，并通過(guò)協(xié)議中斷阻止此類(lèi)攻擊行為的發(fā)生。NGAF可針對(duì)web的主流技術(shù)進(jìn)行防護(hù)：ASP+ACCESSASP+MSSQLASP.NET+MSSQLJSP+ORACLEJSP+MYSQLPHP+MYSQL……NGAF可針對(duì)攻擊的關(guān)鍵步驟進(jìn)行攻擊防護(hù)：SQL注入漏洞掃描，踩點(diǎn)防護(hù)數(shù)據(jù)庫(kù)類(lèi)型探測(cè)防護(hù)數(shù)據(jù)庫(kù)基本信息探測(cè)防護(hù)數(shù)據(jù)表總數(shù)探測(cè)數(shù)據(jù)列總數(shù)探測(cè)數(shù)據(jù)表名稱探測(cè)防護(hù)數(shù)據(jù)列名稱探測(cè)防護(hù)數(shù)據(jù)表記錄總數(shù)探測(cè)防護(hù)數(shù)據(jù)表字段值探測(cè)防護(hù)數(shù)據(jù)庫(kù)字段值增刪改防護(hù)數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程執(zhí)行防護(hù)數(shù)據(jù)庫(kù)非法授權(quán)防護(hù)數(shù)據(jù)庫(kù)備份防護(hù)……SQL注入工具防護(hù)NGAF支持黑客常用的SQL注入類(lèi)工具進(jìn)行攻擊防護(hù)，包括如：Domain明小子阿D教主NBSI軍火庫(kù)HDSI穿山甲PangolinCASI二娃ZBSI……SQL注入逃逸攻擊防護(hù) 一、SQL注入編碼逃逸防護(hù) SQL注入繞過(guò)WAF的常用方法之一是對(duì)注入的語(yǔ)句或參數(shù)進(jìn)行編碼，因?yàn)榛居谔卣髌ヅ涞乃惴ㄍǔo(wú)法匹配編碼后的關(guān)鍵字，這樣就可以成功地繞過(guò)WAF攻擊用戶的服務(wù)器；如：UTF-7、UTF-8、UTF-16、Base64…… NGAF可實(shí)現(xiàn)對(duì)http協(xié)議的語(yǔ)義還原，防止通過(guò)語(yǔ)句或參數(shù)編碼等多種形式的SQL注入逃逸攻擊。包括： 二、SQL注入采用注釋逃逸；如：//,-,/**/,#,-+,---,;%00,/!*UNIION/等； 三、SQL注入采用大小寫(xiě)轉(zhuǎn)換進(jìn)行逃逸的攻擊；如：UnIoN/**/SeLEcT等； 四、注入攻擊緩沖區(qū)；如：UNION(select0xAAAAAAAAA...AAA...)； 五、針對(duì)SQL中的功能語(yǔ)句增、刪、改、查進(jìn)行可能的注入點(diǎn)。 六、SQL注入TCP/IP分片進(jìn)行逃逸攻擊：類(lèi)似fragrouter分片工具把數(shù)據(jù)分片，對(duì)于沒(méi)有基于包重組檢測(cè)的引擎，這類(lèi)攻擊都可以成功地繞過(guò)WAF的SQL注入防護(hù)，NGAF支持TCP/IP分片進(jìn)行SQL注入逃逸的攻擊防護(hù)，防止黑客通過(guò)TCP/IP分片逃逸實(shí)施攻擊。 七、其他如：or1=1簽名繞過(guò)等逃逸方式 ……XSS跨站腳本攻擊 跨站腳本攻擊，XSS是一種經(jīng)常出現(xiàn)在WEB應(yīng)用中的計(jì)算機(jī)安全漏洞。它允許代碼植入到提供給其他用戶使用的頁(yè)面中。例如HTML代碼和客戶端腳本，攻擊者利用XSS漏洞繞過(guò)訪問(wèn)控制，獲取數(shù)據(jù)，例如盜取賬號(hào)等。NGAF可以實(shí)現(xiàn)對(duì)http協(xié)議的解析，通過(guò)頁(yè)面代碼對(duì)用戶輸入進(jìn)行過(guò)濾，檢查并替換常見(jiàn)的XSS使用字符。NGAF可實(shí)現(xiàn)包括： 1、基于標(biāo)簽事件的XSS防護(hù) 2、基于標(biāo)簽style的XSS防護(hù) 3、基于標(biāo)簽javascript偽協(xié)議的XSS防護(hù) 4、基于IE支持的expression的防護(hù) ……WEBSHELL WEBSHELL是WEB入侵的一種腳本工具，通常情況下，是一個(gè)ASP、PHP或者JSP程序頁(yè)面，也叫做網(wǎng)站后面木馬，在入侵一個(gè)網(wǎng)站后，常常將這些木馬放置在服務(wù)器WEB目錄中，也正常網(wǎng)頁(yè)混在一起。通過(guò)WEHSHELL，長(zhǎng)期操縱和控制受害者網(wǎng)站。NGAF設(shè)備不僅可以防止黑客通過(guò)webshell獲得權(quán)限。 如比較流行的一句話木馬：把一句話<%executerequest(“value”)%>添加到數(shù)據(jù)庫(kù)中，然后打開(kāi)客戶端，填上加入了一句話的asp文件，或者是asp網(wǎng)頁(yè)，便可實(shí)施入侵。 1、NGAF可對(duì)常見(jiàn)的文件格式內(nèi)容進(jìn)行解析；主要是分析一下各種文件格式的通用格式，然后提取特征，作為上傳的檢測(cè)機(jī)制.包括:PE/ELF/PHPwebshell/LinuxShell/PowerShell/Javashell/AspShell/PerlShell/Pythonshell/AIXshell/solarisshell/cgi/ssi/OracleAppServer/等； 2、NGAF可提取常見(jiàn)的Webshell的特征，阻止上傳到服務(wù)器； 3、NGAF優(yōu)化文件類(lèi)型判斷,不再簡(jiǎn)單以擴(kuò)展名為依據(jù)，解決Webshell偽裝問(wèn)題；例如可以把可執(zhí)行的腳本嵌入到圖片中。NGAF還可以支持包括多種類(lèi)型的webshell后臺(tái)木馬，如：ASP海洋頂端木馬砍客木馬藍(lán)屏木馬站長(zhǎng)助手木馬冰狐浪子木馬超級(jí)隱藏免殺木馬阿江探針Asp一句話小馬……PHPPHPShell靈魂P(guān)HP木馬采飛揚(yáng)PHP木馬C99Shell木馬浪點(diǎn)PHP探針……JSP修改文件時(shí)間木馬執(zhí)行CMD木馬JshellJfolderJbrowser……ASPX.NET安全浮云木馬WebAdmin木馬ASPXSPY木馬……應(yīng)用信息隱藏 NGAF可針對(duì)主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如：HTTP出錯(cuò)頁(yè)面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等FTP應(yīng)用信息隱藏： 客戶端登錄FTP服務(wù)器的時(shí)候，服務(wù)器會(huì)返回客戶端FTP服務(wù)器的版本等信息。攻擊者可以利用相應(yīng)版本的漏洞發(fā)起攻擊。該功能是隱藏FTP服務(wù)器返回的這些信息，避免被攻擊者利用。HTTP應(yīng)用信息隱藏： 當(dāng)客戶端訪問(wèn)WEB網(wǎng)站的時(shí)候，服務(wù)器會(huì)通過(guò)HTTP報(bào)文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會(huì)泄露代理服務(wù)器的版本信息，攻擊者可以利用服務(wù)器版本漏洞進(jìn)行攻擊。因此可以通過(guò)隱藏這些字段來(lái)防止攻擊?？缯菊?qǐng)求偽造攻擊（CSRF） CSRF即跨站請(qǐng)求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對(duì)XSS漏洞更高級(jí)的利用，利用的核心在于通過(guò)XSS漏洞在用戶瀏覽器上執(zhí)行功能相對(duì)復(fù)雜的JavaScript腳本代碼劫持用戶瀏覽器訪問(wèn)存在XSS漏洞網(wǎng)站的會(huì)話，攻擊者可以與運(yùn)行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。NGAF通過(guò)先進(jìn)的雙向內(nèi)容檢測(cè)技術(shù)，結(jié)合數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過(guò)濾數(shù)據(jù)包中含有的CSRF的攻擊代碼，防止WEB系統(tǒng)遭受跨站請(qǐng)求偽造攻擊。網(wǎng)頁(yè)木馬 網(wǎng)頁(yè)木馬實(shí)際上是一個(gè)經(jīng)過(guò)黑客精心設(shè)計(jì)的HTML網(wǎng)頁(yè)。當(dāng)用戶訪問(wèn)該頁(yè)面時(shí)，嵌入該網(wǎng)頁(yè)中的腳本利用瀏覽器漏洞，讓瀏覽器自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行這個(gè)木馬。NGAF設(shè)備可以檢測(cè)到此類(lèi)攻擊行為。網(wǎng)站掃描 網(wǎng)站掃描是對(duì)WEB站點(diǎn)掃描，對(duì)WEB站點(diǎn)的結(jié)構(gòu)、漏洞進(jìn)行掃描。NGAF設(shè)備可以檢測(cè)到如爬蟲(chóng)、掃描軟件，如appscan、等多種掃描攻擊行為并進(jìn)行阻斷。系統(tǒng)命令注入 攻擊者利用服務(wù)器操作系統(tǒng)的漏洞，把OS命令利用WEB訪問(wèn)的形式傳至服務(wù)器，獲取其網(wǎng)絡(luò)資源或者改變數(shù)據(jù)。NGAF設(shè)備可以檢測(cè)到此類(lèi)攻擊行為。文件包含攻擊 文件包含漏洞攻擊是針對(duì)PHP站點(diǎn)特有的一種惡意攻擊。當(dāng)PHP中變量過(guò)濾不嚴(yán)，沒(méi)有判斷參數(shù)是本地的還是遠(yuǎn)程主機(jī)上的時(shí)，就可以指定遠(yuǎn)程主機(jī)上的文件作為參數(shù)來(lái)提交給變量指向，而如果提交的這個(gè)文件中存在惡意代碼甚至干脆就是一個(gè)PHP木馬的話，文件中的代碼或者是PHP木馬就會(huì)以WEB權(quán)限被成功執(zhí)行。NGAF設(shè)備可以檢測(cè)到此類(lèi)攻擊行為。目錄遍歷攻擊 目錄遍歷漏洞就是通過(guò)瀏覽器向WEB服務(wù)器任意目錄附件“.../”，或者是在有特殊意義的目錄附加“.../”，或者是附件“.../”的一些變形，編碼訪問(wèn)WEB服務(wù)器的根目錄之外的目錄。NGAF設(shè)備可以檢測(cè)到此類(lèi)攻擊行為。信息泄露攻擊 信息泄露漏洞是由于WEB服務(wù)器配置或者本身存在安全漏洞，導(dǎo)致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露WEB服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。NGAF設(shè)備可以檢測(cè)到此類(lèi)攻擊行為?？诹畋┝ζ平夥雷o(hù) 弱口令被視為眾多認(rèn)證類(lèi)web應(yīng)用程序的普遍風(fēng)險(xiǎn)問(wèn)題，NGAF通過(guò)對(duì)弱口令的檢查，制定弱口令檢查規(guī)則控制弱口令廣泛存在于web應(yīng)用程序中。同時(shí)通過(guò)時(shí)間鎖定的設(shè)置防止黑客對(duì)web系統(tǒng)口令的暴力破解。文件上傳過(guò)濾 由于web應(yīng)用系統(tǒng)在開(kāi)發(fā)時(shí)并沒(méi)有完善的安全控制，對(duì)上傳至web服務(wù)器的信息進(jìn)行檢查，從而導(dǎo)致web服務(wù)器被植入病毒、木馬成為黑客利用的工具。NGAF通過(guò)嚴(yán)格控制上傳文件類(lèi)型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時(shí)還能夠結(jié)合病毒防護(hù)、插件過(guò)濾等功能檢查上傳文件的安全性，以達(dá)到保護(hù)web服務(wù)器安全的目的。URL防護(hù) Web應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù)web應(yīng)用系統(tǒng)，但是這種便利很可能會(huì)被黑客利用從而入侵應(yīng)用系統(tǒng)。通過(guò)NGAF提供的URL防護(hù)功能，幫助用戶選擇特定URL的開(kāi)放對(duì)象，防止由于過(guò)多的信息暴露于公網(wǎng)產(chǎn)生的威脅。網(wǎng)關(guān)型網(wǎng)頁(yè)防篡改 【網(wǎng)站篡改防護(hù)】功能是XXX下一代防火墻NGAF-服務(wù)器防護(hù)中的一個(gè)子模塊，其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段，即使黑客繞過(guò)安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問(wèn)題。防篡改實(shí)現(xiàn)流程及原理 當(dāng)網(wǎng)頁(yè)被數(shù)據(jù)篡改后，用戶看到的頁(yè)面變成了非法頁(yè)面或者損害企事業(yè)單位形象的網(wǎng)頁(yè)，這種事故往往會(huì)給企事業(yè)單位造成很?chē)?yán)重的影響，甚至造成嚴(yán)重的經(jīng)濟(jì)損失。XXX下一代防火墻NGAF【網(wǎng)站篡改防護(hù)】功能可有效降低此類(lèi)風(fēng)險(xiǎn)，當(dāng)內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁(yè)面，并且及時(shí)地通過(guò)短信或者郵件方式通知管理員。 【網(wǎng)站篡改防護(hù)】功能使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁(yè)防篡改功能。這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類(lèi)防篡改軟件而言，客戶無(wú)需在服務(wù)器上安裝第三方軟件，易于使用和維護(hù)，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測(cè)與恢復(fù)，對(duì)服務(wù)器性能沒(méi)有影響。防篡改實(shí)現(xiàn)流程 網(wǎng)站防篡改實(shí)現(xiàn)流程如下：管理員預(yù)先在控制臺(tái)設(shè)置好需要防護(hù)的網(wǎng)站，設(shè)置后，NGAF設(shè)備會(huì)向該網(wǎng)站請(qǐng)求頁(yè)面并且緩存到設(shè)備。當(dāng)用戶訪問(wèn)網(wǎng)站的時(shí)候，數(shù)據(jù)經(jīng)過(guò)NGAF設(shè)備，NGAF設(shè)備根據(jù)預(yù)先緩存的頁(yè)面與用戶訪問(wèn)的頁(yè)面進(jìn)行比對(duì)，如有變動(dòng)，則判斷為篡改，跳轉(zhuǎn)到指定頁(yè)面并且通知管理員。檢測(cè)原理 【網(wǎng)站篡改防護(hù)】的樣本采樣模塊會(huì)將首次獲取到的防護(hù)頁(yè)面作為基準(zhǔn)頁(yè)面，通過(guò)一定時(shí)間反復(fù)或者通過(guò)手動(dòng)更新輪詢方式更新采集網(wǎng)站的樣本，再次之后獲取的頁(yè)面為輪詢頁(yè)面。采樣得到的基準(zhǔn)頁(yè)面與輪詢頁(yè)面將通過(guò)【網(wǎng)站篡改防護(hù)】模塊中的檢測(cè)算法進(jìn)行輪詢的檢測(cè)與匹配。若經(jīng)過(guò)算法計(jì)算的基準(zhǔn)頁(yè)面與輪詢頁(yè)面出現(xiàn)不一致時(shí)，則判定網(wǎng)頁(yè)存在篡改的風(fēng)險(xiǎn)，通過(guò)提交管理員審核的方式判定更新內(nèi)容是合法更新還是非法篡改。匹配方式 【網(wǎng)站篡改防護(hù)】功能能實(shí)現(xiàn)動(dòng)態(tài)、靜態(tài)網(wǎng)頁(yè)的篡改檢測(cè)，通過(guò)兩種匹配方式對(duì)網(wǎng)頁(yè)篡改進(jìn)行檢測(cè)與匹配。一般情況下純靜態(tài)網(wǎng)頁(yè)，則選擇[精確匹配]，全動(dòng)態(tài)頁(yè)面的網(wǎng)站選擇[模糊匹配-靈敏度低]，靜/動(dòng)態(tài)網(wǎng)頁(yè)都有的網(wǎng)站可選擇[模糊匹配-靈敏度高]或者[模糊匹配-靈敏度中]。 方式一：精確匹配 精確匹配模式適用于首頁(yè)或者前幾級(jí)更新內(nèi)容較少、用戶訪問(wèn)次數(shù)最多需要進(jìn)行嚴(yán)格保障的頁(yè)面。通過(guò)精確匹配的識(shí)別方式，網(wǎng)站框架、文字、圖片等網(wǎng)站任何一個(gè)元素的變化均被判定為被非法篡改。 方式二：模糊匹配 模糊匹配適用于內(nèi)容更新頻發(fā)的動(dòng)態(tài)更新的頁(yè)面，網(wǎng)頁(yè)中的文字會(huì)隨著動(dòng)態(tài)發(fā)布進(jìn)行更新，而網(wǎng)站的整體框架不允許被篡改，否則被認(rèn)定為是一種篡改事件。可識(shí)別篡改類(lèi)型 1、替換整個(gè)網(wǎng)頁(yè) XXXNGAF可識(shí)別黑客對(duì)整個(gè)網(wǎng)頁(yè)進(jìn)行替換的篡改事件。 2、插入新鏈接 若攻擊者篡改頁(yè)面插入其他網(wǎng)站鏈接打廣告，NGAF則可以通過(guò)檢測(cè)外鏈的功能進(jìn)行檢驗(yàn)。 3、替換網(wǎng)站圖片文件 若攻擊者更改了網(wǎng)頁(yè)中某些圖片內(nèi)容，XXXNGAF可根據(jù)圖片的特征精確識(shí)別圖片的更改與否，防止攻擊者替換網(wǎng)頁(yè)中的圖片信息。 4、小規(guī)模編輯網(wǎng)頁(yè)（僅精確模式使用） 在精確檢測(cè)模式下，XXXNGAF可識(shí)別小規(guī)模的網(wǎng)頁(yè)編輯，如小部分文字內(nèi)容的修改實(shí)現(xiàn)嚴(yán)格的網(wǎng)頁(yè)篡改防護(hù)要求。 5、因網(wǎng)站運(yùn)行出錯(cuò)導(dǎo)致結(jié)構(gòu)畸變 XXXNGAF可實(shí)現(xiàn)網(wǎng)站更新、訪問(wèn)出錯(cuò)導(dǎo)致的網(wǎng)站結(jié)構(gòu)發(fā)生畸變的篡改防護(hù)，保證網(wǎng)頁(yè)不會(huì)因?yàn)槌鲥e(cuò)使得網(wǎng)站結(jié)構(gòu)與框架發(fā)生改變。管理員維護(hù)界面 為了方便網(wǎng)站業(yè)務(wù)維護(hù)人員更新網(wǎng)站內(nèi)容，XXX下一代防火墻NGAF【網(wǎng)站篡改防護(hù)】模塊為管理員提供了單獨(dú)維護(hù)的管理界面。該界面不同于下一代防火墻的管理界面，用于業(yè)務(wù)維護(hù)人員管理更新網(wǎng)站。實(shí)現(xiàn)業(yè)務(wù)維護(hù)人員與安全管理人員的維護(hù)的安全分離。通過(guò)業(yè)務(wù)維護(hù)界面可實(shí)現(xiàn)網(wǎng)站內(nèi)容更新是否合法的判定，且能夠?qū)崿F(xiàn)通過(guò)該維護(hù)界面實(shí)現(xiàn)合法圖片更新的還原。篡改后重定向 XXXNGAF【網(wǎng)站篡改防護(hù)】模塊提供網(wǎng)站篡改重定向的功能。當(dāng)檢測(cè)到篡改發(fā)生后，NGAF可阻止用戶訪問(wèn)到被篡改的頁(yè)面，同時(shí)能夠提供兩種重定向的方式，避免用戶訪問(wèn)到被篡改的頁(yè)面。 一、指定網(wǎng)頁(yè)重定向 檢測(cè)到篡改事件時(shí)，NGAF可將用戶的訪問(wèn)重定向引導(dǎo)到預(yù)先編輯的顯示提示頁(yè)面。該頁(yè)面可由管理員預(yù)先設(shè)定，防止用戶訪問(wèn)到被篡改的頁(yè)面。 二、web服務(wù)器重定向 用戶可搭建一個(gè)備份服務(wù)器實(shí)現(xiàn)關(guān)鍵頁(yè)面的實(shí)時(shí)備份。NGAF檢測(cè)到篡改事件后，也可將用戶的訪問(wèn)請(qǐng)求重定向到備份的web服務(wù)器上，保證用戶訪問(wèn)業(yè)務(wù)的永續(xù)性，防止用戶訪問(wèn)到被篡改的頁(yè)面。報(bào)警方式 XXXNGAF【網(wǎng)站篡改防護(hù)】模塊檢測(cè)到篡改發(fā)生后，可以通過(guò)郵件、短信的方式通知管理員。通過(guò)郵件進(jìn)行實(shí)時(shí)的篡改界定，若屬于正常更新則可通過(guò)連接防通更新內(nèi)容；若更改屬于篡改事件，則可通過(guò)連接防止篡改內(nèi)容發(fā)布?？啥x的敏感信息防泄漏 NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過(guò)短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。XXX敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶信息MD5加密密碼銀行卡號(hào)身份證號(hào)碼社保賬號(hào)信用卡號(hào)手機(jī)號(hào)碼…… 通過(guò)XXX深度內(nèi)容檢測(cè)技術(shù)的應(yīng)用，XXX下一代防火墻具備深度內(nèi)容檢測(cè)的能力。能夠檢測(cè)出通過(guò)文件、數(shù)據(jù)流、標(biāo)準(zhǔn)協(xié)議等通過(guò)網(wǎng)關(guān)的內(nèi)容。因此具備針對(duì)敏感信息，如186、139等有特征的11位的手機(jī)號(hào)碼、18位身份證號(hào)，有標(biāo)準(zhǔn)特征的@郵箱等有特征數(shù)據(jù)進(jìn)行識(shí)別。并通過(guò)分離平面設(shè)計(jì)的軟件構(gòu)架，實(shí)現(xiàn)控制平面與內(nèi)容平面檢測(cè)聯(lián)動(dòng)，通過(guò)控制平面向底層數(shù)據(jù)轉(zhuǎn)發(fā)平面發(fā)送操作指令來(lái)阻斷敏感信息的泄漏。有防護(hù)了各單位、政府、金融機(jī)構(gòu)的敏感泄漏的風(fēng)險(xiǎn)?；趹?yīng)用的深度入侵防御 NGAF基于應(yīng)用的深度入侵防御采用六大威脅檢測(cè)機(jī)制：攻擊特征檢測(cè)、特殊攻擊檢測(cè)、威脅關(guān)聯(lián)分析、異常流量檢測(cè)、協(xié)議異常檢測(cè)、深度內(nèi)容分析能夠有效的防止各類(lèi)已知未知攻擊，實(shí)時(shí)阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲(chóng)、木馬、后門(mén)、DoS/DDoS攻擊探測(cè)、掃描、間諜軟件、以及各類(lèi)IPS逃逸攻擊等。 XXXNGAF融合多種應(yīng)用威脅檢測(cè)方式，提升威脅檢測(cè)的精度。檢測(cè)方式主要包含6種檢測(cè)方式：攻擊特征檢測(cè)特殊攻擊檢測(cè)威脅關(guān)聯(lián)分析異常流量檢測(cè)協(xié)議異常檢測(cè)深度內(nèi)容分析 NGAF漏洞防護(hù)策略的設(shè)計(jì)思路是，防御服務(wù)器和客戶端的各種漏洞，以保護(hù)服務(wù)器和客戶端不受攻擊。管理員在配置策略時(shí)可根據(jù)具體的應(yīng)用場(chǎng)景，配置針對(duì)性的策略，便于維護(hù)與管理。如： 1、互聯(lián)網(wǎng)邊界：由于涉及幾乎所有的應(yīng)用對(duì)象，建議開(kāi)啟IPS所有的安全特征庫(kù)，對(duì)流量進(jìn)行最全面檢測(cè)防護(hù)；2、服務(wù)器保護(hù)：根據(jù)保護(hù)服務(wù)器類(lèi)型，開(kāi)啟相應(yīng)服務(wù)器的防護(hù)規(guī)則，如果服務(wù)器中包含WEB服務(wù)器，建議開(kāi)啟WAF防護(hù)規(guī)則，同時(shí)開(kāi)啟系統(tǒng)類(lèi)防護(hù)規(guī)則，包括操作系統(tǒng)、木馬軟件、后門(mén)軟件、病毒軟件。3、保護(hù)客戶端網(wǎng)絡(luò)安全：建議開(kāi)啟應(yīng)用軟件、瀏覽器、惡意文件、常用ActiveX控件，同時(shí)開(kāi)啟系統(tǒng)類(lèi)防護(hù)規(guī)則，包括操作系統(tǒng)、木馬軟件、后門(mén)軟件、病毒軟件。NGAF防護(hù)的服務(wù)器漏洞包含：協(xié)議脆弱性保護(hù)DDoS攻擊保護(hù)DNS服務(wù)器保護(hù)其他exploit保護(hù)finger服務(wù)保護(hù)ftp服務(wù)器保護(hù)imap服務(wù)器保護(hù)mysql服務(wù)器保護(hù)netbios服務(wù)保護(hù)nntp服務(wù)保護(hù)oracle服務(wù)器保護(hù)Pop2服務(wù)器保護(hù)Pop3服務(wù)器保護(hù)RPC服務(wù)保護(hù)remoteservice保護(hù)遠(yuǎn)程探測(cè)防護(hù)shellcode防護(hù)smtp服務(wù)器保護(hù)snmp服務(wù)器保護(hù)SQLserver服務(wù)器保護(hù)telnet服務(wù)保護(hù)tftp類(lèi)服務(wù)保護(hù)voip防護(hù)frontpage擴(kuò)展安全性保護(hù)iis服務(wù)器保護(hù)X11服務(wù)器保護(hù)…… 內(nèi)網(wǎng)終端仍然存在漏洞被利用的問(wèn)題，多數(shù)傳統(tǒng)安全設(shè)備僅僅提供基于服務(wù)器的漏洞防護(hù)，對(duì)于終端漏洞的利用視而不見(jiàn)。NGAF同時(shí)提供基于終端的漏洞保護(hù)能防護(hù)如：后門(mén)程序預(yù)防、協(xié)議脆弱性保護(hù)、exploit保護(hù)、網(wǎng)絡(luò)共享服務(wù)保護(hù)、shellcode預(yù)防、間諜程序預(yù)防等基于終端的漏洞防護(hù)，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。NGAF防護(hù)的終端漏洞包括：后門(mén)程序預(yù)防協(xié)議脆弱性保護(hù)其他exploit保護(hù)網(wǎng)絡(luò)共享服務(wù)保護(hù)shellcode預(yù)防間諜程序預(yù)防web應(yīng)用安全…… NGAF基于應(yīng)用的入侵防御包含豐富的威脅處理動(dòng)作，灰度威脅可通過(guò)“云”端聯(lián)動(dòng)與XXX攻防團(tuán)隊(duì)實(shí)現(xiàn)互動(dòng)，幫助用戶排查未知威脅。 NGAF可針對(duì)各種優(yōu)先級(jí)別的漏洞設(shè)置動(dòng)作，高的默認(rèn)值為阻斷；中等威脅可定義為允許通過(guò)并記錄日志；威脅等級(jí)為低的特征可定義為禁用或者記錄日志。 NGAF的統(tǒng)一威脅識(shí)別具備2500+條漏洞特征庫(kù)、數(shù)十萬(wàn)條病毒、木馬等惡意內(nèi)容特征庫(kù)、1000+Web應(yīng)用威脅特征庫(kù)，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的各種安全威脅。其漏洞特征庫(kù)已通過(guò)國(guó)際最著名的安全漏洞庫(kù)CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評(píng)審，獲得CVE兼容性認(rèn)證（CVECompatible）。 XXX憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累組建了專(zhuān)業(yè)的安全攻防團(tuán)隊(duì)，作為微軟的MAPP（MicrosoftActiveProtectionsProgram）項(xiàng)目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時(shí)有效的保護(hù)，以確保防御的及時(shí)性。高效精確的病毒檢測(cè)能力 NGAF提供先進(jìn)的病毒防護(hù)功能，可從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時(shí)采用高效的流式掃描技術(shù)，可大幅提升病毒檢測(cè)效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。 NGAF的具有大容量病毒庫(kù)，能夠查殺10萬(wàn)種以上種病毒。為了更有效地過(guò)濾網(wǎng)絡(luò)病毒，除了特征碼識(shí)別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見(jiàn)的檢測(cè)方法以外，XXXNGAF還采用了多種先進(jìn)的新一代病毒掃描引擎技術(shù)，以巧妙而精確的算法保證在檢測(cè)大量病毒時(shí)，仍然保持高速而準(zhǔn)確的檢測(cè)結(jié)果，其中包括:病毒脫殼技術(shù):對(duì)加殼的病毒先進(jìn)行脫殼，然后再進(jìn)行檢測(cè)。OLE分離技術(shù):宏掃描從Office文件中提取宏，根據(jù)已知的宏病毒字符串對(duì)宏進(jìn)行檢測(cè)，并對(duì)宏中的代碼行為進(jìn)行分析，識(shí)別宏病毒。壓縮格式病毒檢測(cè)技術(shù):輕松查殺多種壓縮格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木馬、黑客程序檢測(cè)技術(shù):針對(duì)網(wǎng)絡(luò)上流行的木馬、黑客程序，XXXNGAF掃描引擎采用了獨(dú)特的特征&行為雙重檢測(cè)技術(shù)，可以對(duì)其進(jìn)行有效的阻斷。高速的協(xié)議分析、還原和內(nèi)容檢測(cè)技術(shù):通過(guò)精心設(shè)計(jì)的算法保證了在檢測(cè)大量病毒時(shí)仍然保持高速而準(zhǔn)確的檢測(cè)結(jié)果。智能的DOS攻擊防護(hù) NGAF采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類(lèi)資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。智能的防護(hù)模塊聯(lián)動(dòng) 智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)NGAF內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng)，如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類(lèi)攻擊則可通過(guò)防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效的防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡(jiǎn)單，可實(shí)現(xiàn)無(wú)網(wǎng)管的自動(dòng)化安全管理。完整的防火墻功能 NGAF涵蓋了完整的傳統(tǒng)防火墻功能包括訪問(wèn)控制、NAT支持、路由協(xié)議、VLAN屬性等功能，已便于用戶替換傳統(tǒng)防火墻后，將原有的策略完全遷移至下一代防火墻中，實(shí)現(xiàn)簡(jiǎn)化組網(wǎng)、方便運(yùn)維的效果。訪問(wèn)控制 NGAF內(nèi)置狀態(tài)防火墻，支持基于網(wǎng)絡(luò)接口、源/目的IP地址、協(xié)議、時(shí)間等元素，自定義訪問(wèn)控制策略。NAT支持 NGAF提供地址轉(zhuǎn)換功能，支持靜態(tài)NAT（StaticNAT）、動(dòng)態(tài)NAT（PooledNAT）和端口NAT（PAT），支持多對(duì)一、多對(duì)多和一對(duì)一等多種地址轉(zhuǎn)換方式。路由支持 NGAF提供控制力更強(qiáng)，使用更靈活的策略路由功能，能夠根據(jù)協(xié)議類(lèi)型、應(yīng)用、IP源地址等策略來(lái)選擇數(shù)據(jù)轉(zhuǎn)發(fā)路徑，而且能夠根據(jù)報(bào)文數(shù)據(jù)流的發(fā)起方向來(lái)確定以后的路由，滿足各種應(yīng)用環(huán)境的需要。VLAN特性 NGAF支持工業(yè)標(biāo)準(zhǔn)的802.1QVLANTrunk封裝協(xié)議，實(shí)現(xiàn)兩個(gè)交換機(jī)同一VLAN間的數(shù)據(jù)交互，同時(shí)具備不同VLAN虛擬接口間的路由功能，極大增強(qiáng)了NGAF對(duì)交換式網(wǎng)絡(luò)的部署適應(yīng)能力。其他安全功能可視化的應(yīng)用識(shí)別 傳統(tǒng)防火墻最主要的用途就是在非信任網(wǎng)絡(luò)與信任網(wǎng)絡(luò)通過(guò)訪問(wèn)控制實(shí)現(xiàn)安全管理。過(guò)去一個(gè)端口便代表了一個(gè)應(yīng)用，防火墻的問(wèn)題并沒(méi)有完全暴露出來(lái)。而隨著應(yīng)用程序的不斷發(fā)展，采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的應(yīng)用越來(lái)越多，使得傳統(tǒng)防火墻五元組的訪問(wèn)控制策略可讀性、可視性，可控性受到巨大沖擊，傳統(tǒng)防火墻在web2.0時(shí)代已無(wú)法滿足精細(xì)化訪問(wèn)控制的需求。 NGAF具有卓越的應(yīng)用可視化功能，通過(guò)多種應(yīng)用識(shí)別技術(shù)形成國(guó)內(nèi)最大的應(yīng)用特征識(shí)別庫(kù)，可精確識(shí)別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的各類(lèi)應(yīng)用，為下一代防火墻實(shí)現(xiàn)用戶與應(yīng)用的精細(xì)化訪問(wèn)控制提供技術(shù)基礎(chǔ)。NGAF的應(yīng)用識(shí)別有以下幾種方式： 第一，基于協(xié)議和端口的檢測(cè)僅僅是第一步(傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對(duì)穩(wěn)定,可以根據(jù)端口快速識(shí)別應(yīng)用。 第二，基于應(yīng)用特征碼的識(shí)別，深入讀取IP包載荷的內(nèi)容中的OSI七層協(xié)議中的應(yīng)用層信息，將解包后的應(yīng)用信息與后臺(tái)特征庫(kù)進(jìn)行比較來(lái)確定應(yīng)用類(lèi)型。 第三，基于流量特征的識(shí)別，不同的應(yīng)用類(lèi)型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應(yīng)用的流量模型特點(diǎn)為平均包長(zhǎng)都在450字節(jié)以上、下載時(shí)間長(zhǎng)、連接速率高、首選傳輸層協(xié)議為T(mén)CP等；NGAF基于這一系列流量的行為特征，通過(guò)分析會(huì)話連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來(lái)鑒別應(yīng)用類(lèi)型。智能的用戶身份識(shí)別 NGAF用戶識(shí)別功能可以與8種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無(wú)縫對(duì)接，通過(guò)單點(diǎn)登錄的方式自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)。 1、映射組織架構(gòu) NGAF可以按照組織的行政結(jié)構(gòu)建立樹(shù)形用戶分組，將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)權(quán)限的授予與繼承。用戶創(chuàng)建的過(guò)程簡(jiǎn)單方便，除手工輸入帳戶方式外，NGAF能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理員管理。 此外，NGAF支持賬戶自動(dòng)創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對(duì)應(yīng)關(guān)系，基于新用戶的源IP地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定IP/MAC，并繼承管理員指定的網(wǎng)絡(luò)權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導(dǎo)入，實(shí)現(xiàn)快捷的創(chuàng)建用戶和分組信息。 2、建立身份認(rèn)證體系 本地認(rèn)證：Web認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC/IP-MAC綁定 第三方認(rèn)證：AD、LDAP、Radius、POP3、PROXY等； 雙因素認(rèn)證：USB-Key認(rèn)證； 單點(diǎn)登