WEB應(yīng)用安全防護(hù)系統(tǒng)建設(shè)方案

Web應(yīng)用安全防護(hù)系統(tǒng)解決方案鄭州大學(xué)西亞斯國(guó)際學(xué)院8月

目錄TOC\o"1—4"\h\u一、需求概述 4HYPERLINK\l”_Toc”1.1 背景介紹 4HYPERLINK\l”_Toc"1。2 需求分析 4HYPERLINK\l”_Toc”1.3 網(wǎng)絡(luò)安全防護(hù)方略 71.3。1 “長(zhǎng)鞭效應(yīng)（bullwhipeffect）” 7_Toc"二、 解決方案 9HYPERLINK\l”_Toc"2。1Web應(yīng)用防護(hù)系統(tǒng)解決方案 9HYPERLINK\l”_Toc"2。1.1黑客攻擊防護(hù) 92.1.3應(yīng)用層洪水CC攻擊及DDOS防御 11HYPERLINK\l”_Toc"2.1。4網(wǎng)頁(yè)防篡改 12HYPERLINK\l”_Toc”2.1.5自定義規(guī)則及白名單 13HYPERLINK\l”_Toc”2.1。6核心字過(guò)濾 13HYPERLINK\l”_Toc"2.1.7日志功效 14HYPERLINK\l”_Toc"2。1.8統(tǒng)計(jì)功效 16HYPERLINK\l”_Toc"2。1。9報(bào)表 182。1.10智能阻斷 18HYPERLINK\l”_Toc”2。2設(shè)備選型及介紹 192。3設(shè)備布署 21HYPERLINK\l”_Toc"三、方案優(yōu)點(diǎn)及給客戶帶來(lái)的價(jià)值 243。1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問(wèn)題 24_Toc”3.3減少因不安全造成的損失 243。4便于維護(hù) 24_Toc”3。5.2入侵統(tǒng)計(jì)示例 25HYPERLINK\l”_Toc”3.5。3網(wǎng)站統(tǒng)計(jì)示例 26四、Web應(yīng)用防護(hù)系統(tǒng)重要技術(shù)優(yōu)勢(shì) 27HYPERLINK\l”_Toc"4.1千兆高并發(fā)與請(qǐng)求速率解決技術(shù) 27HYPERLINK\l”_Toc”4.2攻擊碎片重組技術(shù) 27HYPERLINK\l”_Toc"4.3多個(gè)編碼還原與抗混淆技術(shù) 27HYPERLINK\l”_Toc"4.4SQL語(yǔ)句識(shí)別技術(shù) 274。5多個(gè)布署方式 27HYPERLINK\l”_Toc”4.6軟硬件BYPASS功效 27HYPERLINK\l”_Toc”五、展望 28

學(xué)校WEB應(yīng)用安全防護(hù)Web應(yīng)用防護(hù)安全解決方案一、需求概述背景介紹隨著學(xué)校對(duì)信息化的不停建設(shè),已經(jīng)含有完備的校園網(wǎng)絡(luò)，學(xué)校布署了大量信息系統(tǒng)和網(wǎng)站，涉及OA系統(tǒng)、WEB服務(wù)器、教務(wù)管理系統(tǒng)、郵件服務(wù)器等50多臺(tái)服務(wù)器和100多個(gè)業(yè)務(wù)系統(tǒng)和網(wǎng)站，各業(yè)務(wù)應(yīng)用系統(tǒng)都通過(guò)互聯(lián)網(wǎng)平臺(tái)得到整體應(yīng)用,校園網(wǎng)出口已經(jīng)布署了專用防火墻、流控等網(wǎng)絡(luò)安全設(shè)備。全部Web應(yīng)用是向公眾開(kāi)放，特別是學(xué)校的門戶網(wǎng)站，由于招生與社會(huì)影響,規(guī)定在系統(tǒng)Web保護(hù)方面十分重要。需求分析諸多人認(rèn)為，在網(wǎng)絡(luò)中不停布署防火墻，入侵檢測(cè)系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，能夠提高網(wǎng)絡(luò)的安全性。但是為什么基于應(yīng)用的攻擊事件仍然不停發(fā)生?其根本的因素在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防備,特別是對(duì)Web系統(tǒng)的攻擊防備作用十分有限.現(xiàn)在的大多防火墻都是工作在網(wǎng)絡(luò)層,通過(guò)對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過(guò)濾（基于TCP/IP報(bào)文頭部的ACL）實(shí)現(xiàn)訪問(wèn)控制的功效；通過(guò)狀態(tài)防火墻確保內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入。全部的解決都是在網(wǎng)絡(luò)層,而應(yīng)用層攻擊的特性在網(wǎng)絡(luò)層次上是無(wú)法檢測(cè)出來(lái)的。IDS,IPS通過(guò)使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特性庫(kù)進(jìn)行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊,達(dá)成對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來(lái)才會(huì)出現(xiàn)的攻擊，以及通過(guò)靈活編碼和報(bào)文分割來(lái)實(shí)現(xiàn)的應(yīng)用層攻擊,IDS和IPS同樣不能有效的防護(hù).總體說(shuō)來(lái)，容易造成學(xué)校Web服務(wù)器被攻擊的重要攻擊手段有下列幾個(gè):緩沖區(qū)溢出—-攻擊者運(yùn)用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)跨站腳本攻擊-—提交非法腳本，其它顧客瀏覽時(shí)盜取顧客帳號(hào)等信息回絕服務(wù)攻擊——構(gòu)造大量的非法請(qǐng)求,使Web服務(wù)器不能對(duì)應(yīng)正常顧客的訪問(wèn)認(rèn)證逃避--攻擊者運(yùn)用不安全的證書(shū)和身份管理非法輸入--在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用多個(gè)非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)強(qiáng)制訪問(wèn)—-訪問(wèn)未授權(quán)的網(wǎng)頁(yè)隱藏變量篡改——對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行顧客假冒

學(xué)校WEB應(yīng)用安全防護(hù)具體需求分析學(xué)校對(duì)WEB應(yīng)用安全防護(hù)非常重視，在內(nèi)網(wǎng)布署有高端防火墻，同時(shí)內(nèi)網(wǎng)布署有眾多應(yīng)用服務(wù)器，網(wǎng)絡(luò)示意圖以下：通過(guò)以上機(jī)構(gòu)的內(nèi)網(wǎng)拓?fù)浜?jiǎn)圖可見(jiàn)，機(jī)構(gòu)內(nèi)部眾多顧客和多個(gè)應(yīng)用系統(tǒng)，通過(guò)位于外網(wǎng)接口的防火墻進(jìn)行了防護(hù)和保障,對(duì)于來(lái)自外網(wǎng)的安全風(fēng)險(xiǎn)和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于本身產(chǎn)品定位和防護(hù)深度，不同有效的提供針對(duì)Web應(yīng)用攻擊的防御能力。對(duì)于來(lái)自外網(wǎng)的多個(gè)各樣的攻擊辦法，就必須采用一種專用的機(jī)制來(lái)制止黑客對(duì)Web服務(wù)器的攻擊行為，對(duì)其進(jìn)行有效的檢測(cè)、防護(hù).通過(guò)對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)現(xiàn)在在WEB應(yīng)用存在的問(wèn)題，我們看到學(xué)校在Web服務(wù)器安全防護(hù)時(shí)需要解決下列幾個(gè)問(wèn)題:跨站腳本攻擊跨站腳本攻擊運(yùn)用網(wǎng)站漏洞攻擊那些訪問(wèn)學(xué)校Web服務(wù)器的顧客，常見(jiàn)的目的是竊取Web服務(wù)器訪問(wèn)者有關(guān)的顧客登錄和認(rèn)證信息.SQL注入攻擊由于代碼編寫不可能做到完美，因此攻擊者能夠通過(guò)輸入一段數(shù)據(jù)庫(kù)查詢代碼竊取或者修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，造成顧客資料的丟失、泄露和服務(wù)器權(quán)限的丟失。緩沖區(qū)溢出攻擊由于缺少數(shù)據(jù)輸入的邊界條件限制，攻擊者通過(guò)向程序緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它的指令，獲得系統(tǒng)管理員權(quán)限。CC攻擊CC攻擊現(xiàn)在是最新出現(xiàn)針對(duì)Web系統(tǒng)的特殊攻擊方式，通過(guò)構(gòu)造特殊的攻擊報(bào)文，以達(dá)成消耗應(yīng)用平臺(tái)的服務(wù)器計(jì)算資源為目的(其中以消耗CPU資源最為常見(jiàn)），最后造成應(yīng)用平臺(tái)的回絕服務(wù),正常顧客無(wú)法訪問(wèn)Web服務(wù)器，給學(xué)校形象造成不可預(yù)計(jì)的損失.回絕服務(wù)攻擊通過(guò)DOS攻擊請(qǐng)求，以達(dá)成消耗應(yīng)用平臺(tái)的網(wǎng)絡(luò)資源為目的，最后造成應(yīng)用平臺(tái)的回絕服務(wù),正常顧客無(wú)法訪問(wèn)Web服務(wù)器，給政府形象造成不可預(yù)計(jì)的損失。Cookies/Seesion劫持Cookies/Seesion普通顧客顧客身份認(rèn)證，別且可能攜帶顧客敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高訪問(wèn)權(quán)限，或者偽裝別人的身份登錄.網(wǎng)絡(luò)安全防護(hù)方略“長(zhǎng)鞭效應(yīng)（bullwhipeffect）”網(wǎng)絡(luò)安全的防護(hù)同管理學(xué)的“長(zhǎng)鞭效應(yīng)(bullwhipeffect)"含有相似的特性，就是要重視防患于未然。因此,針對(duì)我們單位的特點(diǎn)，更要重視主動(dòng)防護(hù)，在安全事件發(fā)生之邁進(jìn)行防備，減少網(wǎng)絡(luò)安全事件發(fā)生的機(jī)會(huì)，達(dá)成:“少發(fā)生、不發(fā)生”的目的。網(wǎng)絡(luò)安全的“防、切、控(DCC）”原則基于“長(zhǎng)鞭效應(yīng)”,我們的網(wǎng)絡(luò)安全防護(hù)要從源頭做起，采用“防、切、控（DCC)”的原則：防：主動(dòng)防護(hù)，防護(hù)我們的服務(wù)器受到攻擊者的主動(dòng)攻擊外部敵對(duì)、利益驅(qū)動(dòng)的攻擊者，會(huì)對(duì)我們的網(wǎng)站、mail服務(wù)器進(jìn)行多個(gè)主動(dòng)攻擊。而這些主動(dòng)攻擊往往帶有非常強(qiáng)的目的性和針對(duì)性，因此我們現(xiàn)在如何防備惡意攻擊者的主動(dòng)攻擊成為首要解決的問(wèn)題，重要有:避免Web服務(wù)器受到來(lái)自外部的攻擊、非法控制、篡改；避免主、備mail服務(wù)器受到攻擊、非法控制。切：切斷來(lái)自外部危險(xiǎn)網(wǎng)站的木馬、病毒傳輸：在網(wǎng)絡(luò)中部分的Web服務(wù)器已經(jīng)被黑客控制的狀況下，Web應(yīng)用防護(hù)系統(tǒng)能夠有效的避免已經(jīng)植入Web服務(wù)器的木馬的運(yùn)行，避免服務(wù)器被黑客繼續(xù)滲入。因此，如何切斷被黑客攻擊以至于被控制的網(wǎng)站的木馬傳輸成為現(xiàn)在的第二個(gè)重要解決問(wèn)題.控：控制無(wú)意識(shí)的信息泄露：對(duì)于第三個(gè)要解決的問(wèn)題是避免內(nèi)部人員無(wú)意識(shí)的內(nèi)部信息泄露，要確保接入網(wǎng)絡(luò)的機(jī)器、設(shè)備是含有一定的安全防護(hù)原則，避免不符合規(guī)定的機(jī)器和設(shè)備接入網(wǎng)絡(luò)，嚴(yán)格控制潛在的安全風(fēng)險(xiǎn)。解決方案2。1Web應(yīng)用防護(hù)系統(tǒng)解決方案Web應(yīng)用安全防護(hù)系統(tǒng)可覺(jué)得學(xué)校Web服務(wù)器提供全方位的服務(wù),重要保護(hù)功效涉及下列幾方面：2。1。1黑客攻擊防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)黑客攻擊防護(hù)功效，重要制止常見(jiàn)的Web攻擊行為,涉及下列方面：黑客已留后門發(fā)現(xiàn)，黑客控制行為制止SQL注入攻擊(涉及URL、POST、Cookie等方式的注入）XSS攻擊Web常規(guī)攻擊(涉及遠(yuǎn)程包含、數(shù)據(jù)截?cái)?、遠(yuǎn)程數(shù)據(jù)寫入等)命令執(zhí)行（執(zhí)行Windows、Linux、Unix核心系統(tǒng)命令)緩沖區(qū)溢出攻擊惡意代碼解決方法:通過(guò)在Web服務(wù)器的前端布署Web應(yīng)用防護(hù)系統(tǒng)，能夠有效過(guò)濾Web攻擊。同時(shí)，正常的訪問(wèn)流量能夠順利通過(guò)。Web應(yīng)用防護(hù)系統(tǒng),通過(guò)內(nèi)置可升級(jí)、擴(kuò)展的方略，能夠有效的避免、控制Web攻擊發(fā)生。方案價(jià)值：通過(guò)布署Web應(yīng)用防護(hù)系統(tǒng)能夠有效的避免黑客對(duì)于網(wǎng)站應(yīng)用層的攻擊，保障Web服務(wù)器的安全,減少資料被竊取、網(wǎng)站被篡改事件的發(fā)生。2.1。2違反方略防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的內(nèi)容識(shí)別與控制重要涉及下列幾個(gè)方面：非法HTTP合同URL-ACL匹配盜鏈行為2。1.2BOT防護(hù) Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的應(yīng)用訪問(wèn)控制重要涉及下列幾個(gè)方面：爬蟲(chóng)蜘蛛行為Web漏洞掃描器行為2.1。3應(yīng)用層洪水CC攻擊及DDOS防御Web應(yīng)用防護(hù)系統(tǒng)的互聯(lián)網(wǎng)應(yīng)用流量控制重要涉及下列幾個(gè)方面:UDPFloodICMPFloodSYNFloodACKFloodRSTFloodCC攻擊DDOS攻擊方案價(jià)值：Web應(yīng)用防護(hù)系統(tǒng)全方位的封堵,節(jié)省帶寬資源運(yùn)用率，確保組織的業(yè)務(wù)有關(guān)應(yīng)用得到極以流暢的進(jìn)行。2。1.4網(wǎng)頁(yè)防篡改本設(shè)備的網(wǎng)頁(yè)防篡改功效，對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對(duì)網(wǎng)頁(yè)進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí),立刻進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)統(tǒng)計(jì)防篡改日志。

支持的操作系統(tǒng):Windows、Linux(CentOS、Debian、Ubuntu）、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系統(tǒng)。、2。1。5自定義規(guī)則及白名單自定義規(guī)則設(shè)備不僅含有完善的內(nèi)置規(guī)則，并且還支持顧客根據(jù)本身需要自行定義規(guī)劃，支持自符串快速查找與PCRE正則查找。白名單根據(jù)需要設(shè)定某些網(wǎng)站、URL針對(duì)防護(hù)設(shè)備直接放行。2.1.6核心字過(guò)濾本設(shè)備支持針對(duì)網(wǎng)頁(yè)訪問(wèn)進(jìn)行單向或雙方核心字進(jìn)行檢測(cè)與過(guò)濾.2.1。7日志功效Web應(yīng)用防護(hù)系統(tǒng)不僅提供強(qiáng)大的防護(hù)功效，且提供了十分具體的日志和報(bào)表功效,能夠讓管理人員更加全方面、快捷地理解整個(gè)設(shè)備運(yùn)行及防護(hù)狀況。入侵報(bào)警日志系統(tǒng)提供具體的安全防護(hù)日志：涉及攻擊時(shí)間、方式、來(lái)源IP、目的URL、物理地址、頁(yè)面訪問(wèn)統(tǒng)計(jì)等。日志查詢?cè)O(shè)備提供基于時(shí)間、IP、端口、合同、動(dòng)作、規(guī)則集、危害等級(jí)等多個(gè)查詢方式.支持日志的導(dǎo)出及準(zhǔn)時(shí)間進(jìn)行日志自動(dòng)的清理。審計(jì)日志對(duì)設(shè)備每次操作進(jìn)行具體的統(tǒng)計(jì)系統(tǒng)日志能夠統(tǒng)計(jì)設(shè)備的運(yùn)行狀況2。1。8統(tǒng)計(jì)功效網(wǎng)絡(luò)入侵統(tǒng)計(jì)該設(shè)備頁(yè)面以柱狀圖的形式顯示指定月份所發(fā)生的全部入侵狀況，方便快速掌握不同時(shí)期遭受網(wǎng)絡(luò)攻擊狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢(shì)。網(wǎng)絡(luò)流量統(tǒng)計(jì)統(tǒng)計(jì)該頁(yè)面統(tǒng)計(jì)各接口的流量狀況，能夠按天或月以折線圖的形式顯示出來(lái)。理解本設(shè)備在該段時(shí)間內(nèi)的網(wǎng)絡(luò)流量狀況.瀏覽頁(yè)面統(tǒng)計(jì)該頁(yè)面能夠具體清晰地統(tǒng)計(jì)并顯示每個(gè)web頁(yè)面的訪問(wèn)次數(shù)，最后訪問(wèn)時(shí)間、瀏覽器狀況,并能夠分時(shí)間斷來(lái)進(jìn)行分析頁(yè)面訪問(wèn)狀況。2.1.9報(bào)表設(shè)備提供具體的基于圖文的安全報(bào)表（按攻擊類別、流量、主機(jī)、來(lái)源IP、目的URL攻擊方式、地位位置、webshell分析、頁(yè)面訪問(wèn)次數(shù)等）并能夠按事件攻擊類型、周期、統(tǒng)計(jì)目的進(jìn)行統(tǒng)計(jì)。支持Html、Word、Pdf格式的輸出。定時(shí)去發(fā)送攻擊報(bào)表等功效。2.1。10智能阻斷該設(shè)備能夠智能識(shí)別外來(lái)的攻擊行為,根據(jù)自定義單位時(shí)間內(nèi)觸發(fā)安全規(guī)則次數(shù)的方式，自動(dòng)阻斷攻擊源.阻斷的時(shí)間及次數(shù)均可自行定義。2.2設(shè)備選型及介紹根據(jù)對(duì)學(xué)校WEB應(yīng)用安全防護(hù)需求的分析，采用WAF產(chǎn)品系列的Web防火墻管理設(shè)備，下列是規(guī)定的設(shè)備基本性能參數(shù)：項(xiàng)目技術(shù)規(guī)定體系構(gòu)造1U，采用多核硬件架構(gòu)配備≥8個(gè)電口，配備2對(duì)電口Bypass性能單向HTTP吞吐量≥1000Mbps最大并發(fā)會(huì)話數(shù)≥100萬(wàn)（內(nèi)置規(guī)則全開(kāi),防護(hù)狀態(tài)）HTTP請(qǐng)求速率≥1,0000（內(nèi)置規(guī)則全開(kāi)，防護(hù)狀態(tài)）網(wǎng)絡(luò)延遲≤0.05毫秒(內(nèi)置規(guī)則全開(kāi)，防護(hù)狀態(tài))防護(hù)網(wǎng)站不限IP攔截方式最少包含4種方式：攔截、檢測(cè)、放行、攔截并阻斷；阻斷方式下，可設(shè)立阻斷時(shí)間,可手工解除阻斷入侵者統(tǒng)計(jì)能夠統(tǒng)計(jì)入侵攻擊具體數(shù)據(jù),最少包含：序號(hào)、攻擊時(shí)間、攔截因素、規(guī)則集名稱、危害等級(jí)、源IP地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、HTTP請(qǐng)求、URL等防御功效雙向檢測(cè)功效,能夠?qū)α魅肓鞒鰯?shù)據(jù)進(jìn)行檢測(cè)；含有默認(rèn)的防護(hù)端口,并可指定防護(hù)端口；系統(tǒng)內(nèi)置防護(hù)規(guī)則、并支持顧客自定義防護(hù)規(guī)則;白名單功效:能夠?qū)μ囟ǖ腎P、域名、域名+URL設(shè)立白名單；HTTP請(qǐng)求類型允許與嚴(yán)禁：可對(duì)慣用的HTTP請(qǐng)求設(shè)立允許或嚴(yán)禁通過(guò)Web攻擊防護(hù)SQL注入攻擊（涉及URL、POST、Cookie等方式的注入）:攻擊者通過(guò)輸入數(shù)據(jù)庫(kù)查詢代碼竊取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)、XSS攻擊、遠(yuǎn)程、本地文獻(xiàn)包含攻擊CSRF跨站請(qǐng)求、Web常規(guī)攻擊（涉及遠(yuǎn)程包含、數(shù)據(jù)截?cái)?、遠(yuǎn)程數(shù)據(jù)寫入等）、惡意掃描：攻擊者運(yùn)用pangolin、Wvs等專業(yè)掃描攻擊工具對(duì)服務(wù)器進(jìn)行掃描和攻擊、命令執(zhí)行（執(zhí)行Windows、Linux、Unix核心系統(tǒng)命令）、緩沖區(qū)溢出攻擊、核心文獻(xiàn)下載、搜索引擎爬蟲(chóng)(spider）、惡意代碼、信息偽裝、“零日”攻擊、本立刻傳:攻擊者運(yùn)用黑客工具上傳Webshell以達(dá)成控制服務(wù)器的目的、WebShell檢測(cè)與攔截等負(fù)載均衡支持應(yīng)用層負(fù)載均衡功效，并支持動(dòng)態(tài)網(wǎng)站、流量分派防CC攻擊（選配）支持對(duì)CC攻擊的防護(hù)功效防DOS攻擊（選配）支持對(duì)DOS攻擊防護(hù)功效網(wǎng)頁(yè)防篡改(選配）支持對(duì)網(wǎng)頁(yè)的篡改并進(jìn)行自動(dòng)恢復(fù)，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系統(tǒng)漏洞掃描(選配）針對(duì)web服務(wù)器的SQL、XSS等漏洞進(jìn)行掃描，并生成報(bào)告。數(shù)據(jù)庫(kù)防篡改（選配）數(shù)據(jù)庫(kù)防篡改：支持MSSQL、SQLSERVER等數(shù)據(jù)庫(kù)防篡改。高級(jí)訪問(wèn)控制支持對(duì)內(nèi)、外IP地址的精確控制，設(shè)立不同的防御方式(阻斷、過(guò)濾、檢測(cè)、放行）可靠性電口、光口硬件BYPASS、軟件BYPASS、可擴(kuò)展支持端口匯聚、多機(jī)熱備；平均無(wú)端障時(shí)間≥100000h；支持日志自動(dòng)清理功效：可在達(dá)成日志上限時(shí)告知管理員進(jìn)行日志清理,如手動(dòng)清理未實(shí)施，系統(tǒng)實(shí)施自動(dòng)清理；布署方式支持即插即用，布署方式含有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虛擬化布署等報(bào)表功效提供具體的基于圖文的安全報(bào)表(入侵統(tǒng)計(jì)、按入侵類別統(tǒng)計(jì)、被攻擊主機(jī)、攻擊來(lái)源IP和地理位置、頁(yè)面訪問(wèn)次數(shù)、網(wǎng)絡(luò)接口流量趨勢(shì)等）并能夠按事件攻擊類型、周期、統(tǒng)計(jì)目的進(jìn)行統(tǒng)計(jì)管理特性支持通過(guò)HTTPS初始化、設(shè)立、管理設(shè)備實(shí)時(shí)流量查看、入侵告警查看流量統(tǒng)計(jì)、入侵統(tǒng)計(jì)自定義規(guī)則查看守理支持入侵統(tǒng)計(jì)、系統(tǒng)日志、審計(jì)日志導(dǎo)出功效、系統(tǒng)配備安全導(dǎo)入、導(dǎo)出功效支持內(nèi)置規(guī)則升級(jí)、固件升級(jí)允許顧客自由定制規(guī)則，提供和諧的定制模板報(bào)表系統(tǒng)、系統(tǒng)日志、審計(jì)日志產(chǎn)品資質(zhì)獲得國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心頒發(fā)的符合國(guó)家保密原則BMB13－《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技術(shù)規(guī)定》的千兆《涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)》獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的符合CNCA/CTS0050-《信息技術(shù)信息安全網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范》增強(qiáng)級(jí)認(rèn)證《中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)》公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》國(guó)家漏洞中心提交漏洞證明文獻(xiàn)2.3設(shè)備布署根據(jù)學(xué)校WEB應(yīng)用安全防護(hù)Web服務(wù)器布署狀況，我們建議通過(guò)透明網(wǎng)橋的布署模式來(lái)達(dá)成對(duì)Web服務(wù)器保護(hù)的目的.集中/集群式Web服務(wù)器布署集群式/集中式Web服務(wù):集群式Web服務(wù)采用多臺(tái)Web服務(wù)器負(fù)荷分擔(dān)提供同一Web服務(wù)；集中式Web服務(wù)重要體現(xiàn)在不同的Web服務(wù)器放置在同一網(wǎng)段或者相鄰的網(wǎng)段內(nèi)，但不同的Web服務(wù)器可能提供多樣的Web服務(wù)。這種狀況多數(shù)應(yīng)用于中大型公司的Web服務(wù)器模式,或者是IDC。在這種網(wǎng)絡(luò)構(gòu)造下，可直接將“Web應(yīng)用防火墻”串接在Web服務(wù)器群所在子網(wǎng)交換機(jī)前端，以下圖顯示：布署方式：WAF的WAN口與廣域網(wǎng)的接入線路相連，普通是光纖、ADSL線路或者是路由器,WAF的LAN口(DMZ口）同局域網(wǎng)的交換機(jī)相連，全部對(duì)WEB服務(wù)器的訪問(wèn)請(qǐng)求都必須通過(guò)WAF設(shè)備。半分散式WEB服務(wù)布署模式半分散式Web服務(wù):在局域網(wǎng)中存在多個(gè)不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在不同的子網(wǎng)中;例如:公司有整體的Web服務(wù)集群，同時(shí)，各個(gè)部門尚有各自的Web服務(wù)器,而這些服務(wù)器分布在不同的子網(wǎng)中，如果想對(duì)這些Web服務(wù)器進(jìn)行保護(hù),需要將“Web應(yīng)用防火墻”布署在這些Web服務(wù)器所在網(wǎng)絡(luò)的邊沿，以下圖顯示：布署方式:WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口(DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處在內(nèi)網(wǎng)不同網(wǎng)段的多個(gè)Web服務(wù)器。全分散式Web服務(wù)布署模式半分散式Web服務(wù)：在局域網(wǎng)中存在多個(gè)不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在幾乎全部的子網(wǎng)中；比較常見(jiàn)的案例:IDC機(jī)房，這時(shí)，需要將“Web應(yīng)用防火墻”布署在局域網(wǎng)邊沿，普通布署在主交換機(jī)同主路由器之間，以下圖顯示：布署方式:WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口(DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處在內(nèi)網(wǎng)的全部Web服務(wù)器及DB服務(wù)器.三、方案優(yōu)點(diǎn)及給客戶帶來(lái)的價(jià)值通過(guò)Web應(yīng)用防護(hù)系統(tǒng)在學(xué)校WEB應(yīng)用安全防護(hù)的具體實(shí)施給客戶帶來(lái)下列價(jià)值：3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問(wèn)題傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問(wèn)控制設(shè)備,工作在OSI1-4層，基于IP報(bào)文進(jìn)行狀態(tài)檢測(cè)、地址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問(wèn)控制等，對(duì)報(bào)文中的具體內(nèi)容不含有檢測(cè)能力.因此,對(duì)Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護(hù)，對(duì)各類WEB應(yīng)用攻擊缺少防御能力。Web應(yīng)用防護(hù)系統(tǒng)重要致力于提供應(yīng)用層保護(hù)，通過(guò)對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測(cè)分析，識(shí)別及阻斷各類傳統(tǒng)防火墻無(wú)法識(shí)別的WEB應(yīng)用攻擊.只要有網(wǎng)絡(luò)的地方就會(huì)有防火墻，但傳統(tǒng)的防火墻只是針對(duì)某些底層（網(wǎng)絡(luò)層、傳輸層）的信息進(jìn)行阻斷，而WAF則進(jìn)一步到應(yīng)用層，對(duì)全部應(yīng)用信息進(jìn)行過(guò)濾，這是兩者的本質(zhì)區(qū)別。WAF的運(yùn)行基礎(chǔ)是應(yīng)用層訪問(wèn)控制列表。整個(gè)應(yīng)用層的訪問(wèn)控制列表所面對(duì)的對(duì)象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個(gè)網(wǎng)站互動(dòng)過(guò)程中所提交的某些內(nèi)容，涉及HTTP合同報(bào)文內(nèi)容，由于WAF對(duì)HTTP合同完全認(rèn)知，通過(guò)內(nèi)容分析就可懂得報(bào)文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描,而WAF會(huì)做完全、深層次的掃描。3。2合規(guī)性建設(shè)學(xué)校WEB應(yīng)用安全防護(hù)網(wǎng)站由于其社會(huì)地位和政治地位的特殊性，在公安部《計(jì)算機(jī)信息安全等級(jí)保護(hù)基本規(guī)定》中明確規(guī)定必須對(duì)全部外部網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行入侵防備，訪問(wèn)行為有對(duì)應(yīng)的日志審計(jì)行為。Web應(yīng)用防護(hù)系統(tǒng)不僅能完全防備非法顧客的入侵行為,更能提供完整的統(tǒng)計(jì)表報(bào).3。3減少因不安全造成的損失Web應(yīng)用防護(hù)系統(tǒng)能夠避免黑客通過(guò)多個(gè)方式獲取系統(tǒng)的管理員權(quán)限，避免黑客獲得管理員權(quán)限篡改Web服務(wù)器主頁(yè)，或者以服務(wù)器為跳板攻擊局域網(wǎng)內(nèi)其它服務(wù)器。能夠避免因代碼編寫不規(guī)范，造成數(shù)據(jù)庫(kù)服務(wù)器被SQL注入攻擊，黑客獲得數(shù)據(jù)庫(kù)中的顧客數(shù)據(jù)。3。4便于維護(hù)Web應(yīng)用防護(hù)系統(tǒng)持續(xù)工作時(shí)間為＞10小時(shí)，能確保在夜間及節(jié)假日等無(wú)人值守時(shí)刻也能保護(hù)Web服務(wù)器