湖北第二师范学院网络安全防护建议方案.doc

湖北第二师范学院网络安全防护建议方案北京网康科技有限公司2014/3/11目 录1需求分析21.1需求背景21.2需求分析21.2.1防止网站被篡改21.2.2感知和防护DoS攻击21.2.3发现和控制内网中的僵尸主机31.2.4保障内网网络质量32解决方案42.1解决方案思路42.2组网方式分析42.3用户认证方式52.4安全防护功能62.4.1入侵、病毒、木马防护62.4.2DoS防护72.4.3ARP防护82.4.4网络攻击防护92.4.5主动发现服务器是否被植入木马102.4.6主动发现网络中存在风险的服务器或僵尸主机122.4.7主动检测网站是否被挂黑链或挂马122.5WAF功能13网康优势与价值172.6领先的应用识别技术172.7丰富的用户识别类型172.8国内最大的URL库172.9先进的主动防御技术172.10高性能的应用安全防护172.11移动识别和管理171 需求分析1.1 需求背景根据国家互联网应急中心发布的统计报告，2011年中国大陆地区被篡改网站各月累计为36612个。其中，高校网站数量为2507个，约占总数的7.7%。2011年4月至12月，境内有12513个网站被植入网站后门，其中高校网站有1167个，约占9.3%。可见，高校网站作为学校对外公开的通道，一直是黑客攻击的重点。网页挂马和挂黑链是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。高校门户网站和重要信息系统部门、访问量较大的网站往往成为主要攻击对象。1.2 需求分析通过对湖北第二师范学院网络环境具体情况的分析，网康科技提炼出了以下几个方面的主要需求：1.2.1 保障内网网络质量校园网络中出现的部分网站无法访问、丢包率增高、网络质量下降等问题，通常与ARP攻击、带宽拥堵有关。因此，绑定ARP、限制与业务无关的流量可以有效保障网络质量。1.2.2 感知和防护DoS攻击DoS攻击也是现在流行的攻击方式，扫描和攻击外部IP。大量的数据包增加了交换机的压力，造成了网络性能的下降。对于这种攻击方式，需要有从内网到外网DoS防护功能的防火墙对DoS和其他类型的网络攻击进行封堵，同时提醒用户对攻击者进行处理。当然，从外网到内网的DoS攻击和网络攻击同样要防护。1.2.3 发现和控制内网中的僵尸主机校园网络中内网的安全问题都是由病毒和木马引起的。因此，如何主动发现内网中的僵尸主机，然后对僵尸主机进行杀毒、封堵和控制是非常有必要的。1.2.4 防止网站被篡改湖北第二师范学院有对外开放的业务服务器，由web服务器对外提供网页浏览服务是网站安全防护工作的重点之一。黑客入侵方式通常是利用WEB服务器挂黑链进行的。因此，针对敏感服务器的洞察和防护是本方案的重点。2 解决方案2.1 解决方案思路针对湖北第二师范学院对网络完全防护的具体需求，我们提出的解决方案思路是采用网康科技提供的下一代防火墙NGFW和WEB应用防火墙的解决方案。网康下一代防火墙（NGFW）是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。Web应用防火墙，以下简称WAF，是网康基于自主知识产权的NOS开发的新一代安全产品，作为网关设备，防护对象为Web、Webmail服务器，其设计目标为：针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。2.2 组网方式分析网康NGFW支持透明桥接、网关、旁路等基本接入模式，每一种模式下还可以通过配置来支持如多入多出等不同的网络环境。无论是在网关模式，还是网桥模式下，采用设备冗余部署模式，均可以实现多线路的冗余备份功能，如下图的部署模式。2.3 用户认证方式网康下一代防火墙NGFW提供多种用户认证和识别方式，为用户管理提供了灵活而完善的方案，包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别。2.4 安全防护功能2.4.1 入侵、病毒、木马防护网康下一代防火墙NGFW提供了对黑客入侵、上传或下载病毒和木马的防护手段。通过在“策略配置”界面配置“安全策略”，用户可以非常方便地实现基于用户、应用、服务和时间的一体化防护。针对湖北省第二师范学院的具体情况，建议采用开启对服务器域从外到内的IPS和AV防护，防范从外部发起的网络攻击、传病毒、传木马等行为；开启从内到外的IPS、AV防护和URL过滤，防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息，同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。2.4.2 DoS防护网康下一代防火墙NGFW提供了对DoS攻击的防护功能，可以配置策略针对不同的DoS攻击类型进行聚合防护和分类防护。针对湖北第二师范学院的具体情况，建议分别对从内到外和从外到内的DoS攻击防护进行配置。其中，服务器域的连接数阈值要相应提高。2.4.3 ARP防护网康下一代防火墙NGFW支持通过绑定静态ARP的方式防止ARP攻击。建议湖北第二师范学院根据实际网络拓扑情况在各核心设备上开启静态ARP功能，进行IP和MAC的绑定，防止ARP欺骗造成的无法联网或无法访问某些网站的现象产生。2.4.4 网络攻击防护网康下一代防火墙NGFW支持通过对常见网络攻击进行防护，如TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等。建议湖北第二师范学院开启网络攻击防护功能，保障网络服务器的安全。2.4.5 主动发现服务器是否被植入木马网康下一代防火墙NGFW提供了深入的应用洞察能力，用户可以通过简单的配置方便地主动发现服务器是否有异常行为，从而发现服务器中隐藏的木马。针对湖北第二师范学院的实际状况，建议采用以下方式主动发现服务器中隐藏的威胁。1. 定期查看“应用分析”模块，筛选目的地址为服务器IP。查看一段时间内是否存在高风险应用，并查看高风险应用中是否存在可疑IP，如远程桌面服务是否有来自外网的IP使用。2. 定期查看“应用分析”模块，筛选目的地址为服务器IP，筛选普通HTTP应用，查看连接数前几位的IP。如果连接数异常高，可以在“流量日志”中对相应IP进行过滤查看，找到这些IP访问的网页，判断这些IP是否有试探性攻击行为。3. 定期查看“应用分析”模块，筛选目的地址为服务器IP或筛选HTTP应用，查看源国家排名，关注来自其他国家的可疑IP。4. 定期查看“应用分析”模块，筛选源地址为服务器IP，查看服务器对外发起的应用是否存在风险，查看目的地址排名前几位是否正常。5. 定期查看“监控中心”的IP对比统计功能，通过对目的IP做对比统计，查看每天服务器IP被访问次数变化。关注访问量激增的日期，在“应用分析”和“流量日志”中找相应日期的流量细节。2.4.6 主动发现网络中存在风险的服务器或僵尸主机建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。1. 定期查看“应用分析”模块，筛选应用名称为“木马”、“远程桌面”、“ssh”、“HTTP PROXY”等高风险应用，查看产生这些应用流量的IP地址，根据需要进行防护和整改。2. 定期查看“应用分析”模块，筛选网址类别为“木马病毒”、“钓鱼网站”等高风险网址，查看排名前几名的IP，主动对这些IP进行杀毒。3. 定期查看“监控中心”的应用对比统计功能，查看网络中同一时段的应用连接数和流量变化，当高风险应用连接数和流量较大时，可在“应用分析”和“流量日志”中找到相应时段的流量细节。2.4.7 主动检测网站是否被挂黑链或挂马建议采用以下方式主动网站是否被挂黑链或挂马。1. 在网站服务器或其他无人使用的服务器上设定计划任务，定时访问湖北第二师范学院官方网站首页。2. 定期查看“应用分析”模块，筛选源地址为服务器IP，筛选普通HTTP应用，查看目的IP地址是否正常，若出现异常IP地址即为被挂黑链，若筛选的IP地址出现较大HTTP下载流量即为被挂马。2.5 WAF功能精细化Web安全防护网康WAF应用防火墙能防护7大类Web攻击威胁。精细化的规则配置，发挥最大的安全防护功能，有效应对OWASP Top10定义的威胁及其变种。完整网页防篡改解决方案，支持Linux、BSD，Windows系统Web防火墙集中管理控制各个网页防篡改端点，并提供监控、同步、发布功能。基于文件夹驱动级保护技术，事件触发机制，确保系统资源不被浪费。与WAF联动：网页防篡改（端点技术）与WAF联动，阻断Web威胁。采用文件级驱动保护技术后，用户每次访问每个受保护网页时，Web 服务器在发送之前都进行完整性检查，保证网页的真实性，可以彻底杜绝篡改后的网页被访问的可能性。支持Windows 2000/xp/2003/2008(64位), Linux/BSD系统的网页防篡改。HTTPS卸载/加速如下图，针对SSL加密应用，WAF根据业务模型提供HTTPS卸载和HTTPS加速应用，从而保证服务器的安全性和可靠性。HTTPS网守应用SSL应用越来越广，能提供安全、可靠的HTTP服务，因此被大量采用。但有的客户因为条件限制无法提供HTTPS加密传输，因此面临较高的风险。WAF根据面向此种模型开发的HTTPS网守服务，能为客户提供无缝HTTPS服务，从而最大保护客户数据安全性。如下图所示。网页挂马主动诊断网页挂马，可以认为是一种比较隐蔽的网页篡改方式，其最终目的为盗取客户端的敏感信息，如各类帐号密码，甚而可能导致客户端主机沦为攻击者的肉鸡。Web服务器成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公众信誉度。网康WAF提供网页挂马检测功能，全面检查网站各级页面中是否被植入恶意代码，并及时提醒客户。Web扫描支持网康WAF提供Web漏洞扫描系统，定期对客户Web资源进行安全体检，从而进行事前防范和处理。立体化防护，从上到下的安全保护构建多维防护体系，网络层、应用层4层Web安全扫描与检查，网页防篡改、Web安全扫描互动，网络层、应用层D.DoS，构建立体式防护网络。Web负载均衡、虚拟主机支持，满足IDC应用、大型网络需要网络访问就会急剧上升，从而造成网络瓶颈随着用户访问数量的快速增加，需要对现有的服务器进行负载均衡。为了保证各台服务器的负载均匀分布，合理地分流用户，需要一种服务器负载均衡设备对web服务器进行负载均衡。负载均衡设备介于服务器和用户端之间，扮演了一个智能的指挥者角色。根据当前各个服务器的工作状态和能力来分配服务器负载，使整个系统能更高效的响应用户的请求。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务：解决网络拥塞问题，服务就近提供，实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。五种负载均衡算法支持，分层架构的设计模型，将网络拓扑与应用安全分离，大大减轻管理员的负担。在网络接入方面，网康WAF支持链路聚合以及VLAN技术，真正满足大型网络使用。网康优势与价值2.6 领先的应用识别技术凭借网康科技在应用识别和内容控制领域8年的技术积累，实现了对1200种以上网络应用的识别，其中包含了300多种高风险应用，从各种维度对不同应用做出评价。2.7 丰富的用户识别类型支持基于IP/MAC、计算机名、POP3、Proxy、LDAP、AD域、Radius、Portal进行认证，同时支持和多种认证系统联动，实现单点认证。2.8 国内