已阅读5页,还剩43页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
构建安全WEB应用系统 Fortiweb,Fortinet SE Hunk yan,议程,Web威胁概述,FortiWEB介绍,Fortinet Web威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,Web的发展,网络安全事件类型分布,数据来源:CNCERT/CC,安全事件回顾,WEB的开放性带来丰富资源、高效率、新工作方式的同时,传统网络边界正逐 消失,机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说屡见 不先,以下是收录于国际安全组织记录的安全事件 1. 2009年5 月 26 日,法国移动运营商Orange France 提供照片管理的网站频道被曝存在SQL注入漏洞,黑客利用此漏洞获取到245,000 条用户记录(包括E-mail、姓名及明文方式的密码)。 2. 2009年1 月26 日,土耳其黑客采用 SQL 注入攻击,篡改了美国军方两台重要服务器的网页。 3. 2009年1月26日,印度驻西班牙使馆网站被挂马(通过iFrame攻击植入恶意代码),中国安全报告,近期各类媒体(如新浪)对网页来自中国互联网网络安全报告 篡改问题也进行了曝光,从侧面表明日前国内对该问题的关注度。 数据显 示:网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。,35113,41%,67%,国内针对WEB攻击的法律法规,发改委、公安部、国家保密局联合下发通知,要求加强和规范国家电子政务工程建设项目信息安全风险评估工作。 3部委要求,国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目,必须进行完整信息安全风险评估工作。 评估的主要内容包括:分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等 电子政务项目涉密信息系统的信息安全风险评估,由国家保密局涉密信息系统安全保密测评中心承担。非涉密信息系统的信息安全风险评估,由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担,中华人民共和国公安部令-第82号 第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施: (一)在公共信息服务中发现、停止传输违法信息,并保留相关记录; (二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间 (四)开办电子公告服务的,具有用户注册信息和发布信息审计功能; (五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。,(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站攻击、网页被篡改,被篡改后能够自动恢复;,当前的Web威胁,Web威胁”就是利用Internet 对Web服务执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。,面对Web威胁的快速增长,传统的安全防护技术对Web威胁越来越感到无能为力,几乎所有的Web威胁都无法被防病毒软件发现,层出不穷的WEB攻击,发现漏洞,扫描系统,注入代码,修改系统,获得信息,消灭证据,渗透结束,为什么应用系统系统中会存在那么多漏洞之一,开发人员的重视程度 大部分应用系统开发人员,关注的是客户对业务系统的应用需求,可用性需求,扩展性需求,甚至系统的维护便捷度都有很好的认识,但是对于系统的安全漏洞,如果客户不提起,开发人员并不重视,为什么应用系统系统中会存在那么多漏洞之二,客户对于应用系统的安全防护意识 很多客户过于依赖传统的FW、IPS等安全设备,殊不知这些传统的设备无法抵挡渗透者看似正常的访问。,渗透者直接穿越FW,IDS本身不阻止攻击,深层的http渗透IPS无法识别,为什么应用系统系统中会存在那么多漏洞之三,HTTP协议缺陷 HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制,http本身是短连接应用,client会同时发出很多链接进行http业务交互,很多渗透者可以利用这个缺陷进行cookie篡改及会话劫持攻击 等攻击动作。,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,Fortinet (飞塔)公司概况,第一个基于ASIC硬件技术的多层安全技术提供商 专业网络安全厂商 2000年成立 1100+名员工 / 超过500+名工程 技术人员 发展最快的专业安全公司 全球化的销售服务体系( 美国,欧洲,亚洲) 全球装机量达45万多台 权威的安全认证 6项ICSA认证 25项专利技术,100多项待批专利技术 最高级政府安全认证 (FIPS-2, Common Criteria EAL4+) 80+ 安全行业认证 美国病毒专业评测试VB 100认证 欧洲专业IPS安全评测NSS认证,全球超过250,000 客户 全球最大电信安全 管理服务提供商 遍及政府、教育、 电信,金融,医疗 能源,及零售机构,分布全球各行业的客户举例,全球金融业界部分客户,在美国的部分认证,众多国内安全获奖,国家公安部 国家反病毒认证试验室 计算机世界 中国计算机报 网络世界,FortiWeb多功能Web应用平台,访问控制:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式 WEB应用加固:保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患,抵御各种注入、跨站攻击 应用加速 对基于Web的内容进行加速并保证及时发送 审计功能:用来截获所有HTTP数据,按照法律规范或客户定制规范回复数据给客户,Fortiweb是真正的针对第七层处理HTTP服务的Web应用防火墙,The FortiFamily Seurity Solution,硬件加速 Web应用防火墙 XML “UTM” 负载均衡 SSL Offload 多个保护内容表,漏洞扫描 监控和审计 支持多数据库,硬件加速 虚拟域 网络防火墙 VPN 内容检查 UTM解决方案,透明模式部署 无用户数限制 统一邮件归档 全球最大anti-spam DATABASE 内置邮件服务器,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,国内某省教委案例,6,FortiWeb功能,Web应用防火墙 技术 签名库及模板检测引擎 基于阈值的限制 会话管理及流强制 自定义输入参数验证规则 参数、表单篡改及表单或元数据验证 威胁防御 跨站脚本 SQL及OS命令注入 HTTP请求走私 缓存溢出 远程文件包含攻击 编码攻击 Cookie篡改/中毒 会话劫持 中断访问控制 强制浏览/目录遍历/站点侦察/Google Hacking OWASP Top 10,XML防火墙 技术 基于内容的XML路由 XML防火墙 XML IPS XML Schema验证 WSDL 检查 XML 表现式限制 源IP策略 威胁防御 SQL 注入 缓存溢出 拒绝服务攻击 Schema中毒 XML参数篡改 WSDL扫描 超大负载 递归负载 外部实体攻击,应用加速 HTTPS Offload TCP优化 XML安全验证offload XML加/解密处理offload 负载均衡 最大限度提高Web应用及服务的有效性,FortiWeb 签名库技术,由全球Fortiguard维护,发现漏洞后,自动更新签名库规则,维护简单,内置6000条HTTP访问规则,对于传统WEB应用程序,即使维护团队不再,仍可以得到防护。,FortiWeb 强制规则,FortWEB可对受保护的WEB站点进行URL级别控制,针对各种页面定制个性化 规则,支持 条自定义页面规则,5000-8000,网页上未加限制的字符输入框,容易受到脚本及注入攻击,FortiWeb 页面规则定义,FortWEB针对电子商务类型需要强制用户访问顺序的Web站点,可以根据Web应用定义远程客户访问顺序,抵御强制攻击,FortiWeb 黑白名单,FortWEB可以灵活生成黑白名单,针对个别网页实施独立策略,FortiWeb 防御暴力破解,FortWEB可以针对指定网页的访问频率,超过阈值将被阻止,有效的防止 渗透者对关键页面暴力破解。,FortiWeb 防止网站被恶意抓取,设置来自单个IP或多个IP的Robot程序的访问频率,超过阈值将被阻止(保护网站资源),Syn Flood攻击防御,通过Syn Cookier技术高效防御Syn Flood攻击,自学习功能,根据自学习结果,自动生成配置,学习到的网站结构,网页各项参数,网络防篡改,FortiWeb可以发现被入侵或篡改的网页 被篡改的网页可以自动或手动恢复,FortiWeb 实现高可用性,FortWEB具备完整的负载均衡功能可对WEB服务器实现高可用性,并行处理, 充分提供服务器群的冗余,和相应速度。,FortiWeb 安全加密,FortiWeb可对原有明文HTTP流量进行SSL加密,SSL加密密钥支持内置及客户自生成证书,服务器运行原有HTTP业务,由FortWEB “装载”了SSL协商过,此过程FortiASIC CP6 芯片进行SSL的加/解密运算,,Web Servers,Client,HTTPS,SSL Computation,FortiWeb TCP Multiplexing,Web Server,Clients,Persistent TCP connection,HTTP/HTTPS,在FortiWEB上维持和客户端的大量连接,而在FortiWEB和服务器之间建立少量常开的连接 最小化TCP会话的建立,减少服务器的资源消耗,提高服务器的处理性能。 针对国际链路以及延迟较大的Internet链路,TCP复用可以提升服务器与客户端的响应速度,FortiWeb 业界 XML防火墙,唯一,FortiWeb XML防火墙功能,FortiWeb XML保护机制,FortiWeb 业界高性能WAF,WAF作为安全设备部署在WEB服务器前,大部分用户关心的是对于攻击防护的能力,但如果inline模式部署,WAF本身的转发性能确是客户首先要关心的事情,Fortiweb经由SMARTBIT测试,64b-256b转发能力均达到设备标称指标。,Other Vendors Performance Area,OWASP Top 10 2007,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,FortiWeb-1000C详细产品信息,硬件 4 x 10/100/1000接口 2 USB接口 1 x 1TB SATA硬盘 (可选2 x 1TB) 1 RU高度机架设备,吞吐量 500 Mbps HTTP 30,000并发会话 10,000每秒新建会话 Firmware FortiWeb OS 3.1,FortiWeb-3000C,高性能FortiWeb模块 XML安全 Web Application firewall 专用硬件SSL加速 热插拔硬盘存储 1 x 1TB HDD (标准) 可选第二硬盘 (共2TB) 接口 4 x 10/100/1000 2 x USB 1 x console 性能是Fortiweb1000C的2倍,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,国内某银行门户案例,1,2,3,4,5,客户需求,中国的网上银行起步比较早的是深圳招商银行,他们开发过第一个面向最终用户的网银系统。随着网络的大规模普及,中国各个银行也都逐步开启自己的网银系统,有些银行的系统仅局限在账户信息查询方面,有些则包含转账付款等功能,还有的已经涉及贷款、投资等方面的内容。随着网银的普及,网银的安全性成为整个系统中最为至关重要的部分了。 近年以来,大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通过窃取用户的卡号和密码,大量盗窃资金和冒用消费,因此虽然网银对于银行和用户都有不少好处,但是发生这些情况使得银行在推广网银面临非常巨大的风险,提高网银的安全性也是刻不容缓。 国内某知名银行为了提高网银系
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026文化英语面试题及答案大全
- 汽车借款担保合同范本
- 美容美发租赁合同范本
- 确认2026年软件系统升级时间窗口确认函4篇
- 职业规划课:设定未来的目标的小学主题班会课件
- 小学主题班会课件:勤奋探索与创新思维
- 2026届深圳市七年级数学期末质量检测QS01黑白可打印原创仿真卷B1第004套(含答案详解与评分标准)
- 2026年南京市玄武区网格员招聘笔试参考题库及答案详解
- 2026年哈密地区社区工作者招聘笔试备考题库及答案详解
- 2026年苏州市金阊区事业编单位人员招聘考试参考题库及答案详解
- 事故车线索管理办法
- 冲床维修培训
- JG/T 137-2007结构用高频焊接薄壁H型钢
- 全面涵盖的保安证考试试题及答案
- 小学天文课程的设计与实施策略
- 当代思想政治教育方法论
- DZ∕T 0054-2014 定向钻探技术规程(正式版)
- 人教版三年级数学下册除数是一位数的除法竖式计算500道题
- 【复习资料】10398现代汉语语法修辞研究(练习测试题库及答案)
- 光储充一体化项目技术方案
- 意识模糊评估量表(CAM)
评论
0/150
提交评论