XXXX-WAF网站保护系统解决方案

XXXX WAF 安全解决方案安全解决方案 XXXX 公公司司 全方位的 Web 安全解决方案 目目 录录 1项目背景项目背景.1 1.1网络现状分析.1 1.2WEB安全现状分析.1 2安全风险及需求分析安全风险及需求分析.2 2.1安全风险分析.2 3网站防护方案设计网站防护方案设计.4 3.1实现目标.4 3.2设计原则.4 3.3参考标准.4 3.4总体设计方案.5 4产品部署方案产品部署方案.5 4.1产品选型.5 4.2产品部署示意图.5 4.3详细部署介绍.6 4.4部署后可达到的效果.6 5XXXX WAF 网站保护系统主要功能网站保护系统主要功能 .7 5.1漏洞防护.7 5.2攻击防护.7 5.3网页代码检查.8 5.4访问加速.8 5.5访问分析.8 5.6挂马检测.8 5.7XXXX WAF 技术优势.8 6XXXX 售后服务体系售后服务体系.9 6.1服务团队.9 6.2服务能力.9 6.3服务项目.10 6.3.1技术咨询服务.10 6.3.2远程协助服务.10 6.3.3产品重部署支持.11 6.3.4产品升级服务.11 6.3.5产品保修服务.11 6.3.6产品维修服务.11 6.3.7培训服务.11 全方位的 Web 安全解决方案 1 项目背景项目背景 我国互联网用户规模也快速增长，网络基础设施的迅速发展为互联网取得成功提供了坚实的基 础，电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利，而且正在创造 着巨大的财富。 截至 2008 年底，中国网站数量已经增长至 287 万个，网页数增长至 160.9 亿个，提供 WEB 服务的主机成为黑客攻击的新对象。在利益的驱使下，网站挂马成为黑客产业链上的重要环节， 黑客对 WEB 服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入，给企业和政 府核心业务造成严重的破坏。利用网站传播木马和病毒涉及的受害群体范围广，并且有可能在 用户不知情的情况下成为黑客的傀儡主机，被黑客利用进行更深一步的犯罪行为。 1.1网络现状网络现状分析分析 组织机构名称通过经过多年的建设，XXXX 已经形成了比较完善的局域内网、DMZ 区外网业务 网络。内网是内部办公网，使用防火墙、IPS 等安全设备对互联网进行隔离保护。 DMZ 区外网业务网络是对外部提供 Web 服务的网络区域，使用防火墙进行 DMZ 区隔离保护， 同时部署了 IPS 进行安全防护。 组织机构名称网络的拓扑结构如下图所示。 图 1 XXXX 网络现状图 1.2Web 安全现状分析安全现状分析 近年来组织机构名称网络业务承载日益多元化，XXXX 对外网站系统是其对外门户网站，向外 部提供组织机构名称信息的重要平台。伴随着我国信息化产业的发展，大批针对于网站的黑客 攻击，恶意挂马，网站篡改等不法行为也越来越猖獗，根据 IDC 统计，2005 年以来很多政府 单位、事业单位以及大型国企网站被恶意攻击，严重影响了正常业务，带来了不良的社会影响。 据统计，在 2009 年第一季度里，每周都有 1 千万以上的网页被植入木马，网站安全正面临着 前所未有的挑战。一般挂马网站集中在政府门户、大型国企门户等重要的单位网站，此类网站 一旦被挂马，会造成恶劣影响，影响组织机构的公众形象。 全方位的 Web 安全解决方案 图 2 中国大陆地区被篡改网页数量统计报告（数据来源：CNCERT/CC） 针对 Web 应用的传统防御方法，例如 IPS/防火墙/UTM 等传统的安全设备，已经不能对 Web 服务器提供有效保护，黑客攻击技术的快速更新需要更加多元化的防御方法。对于网站安全而 言，建立起结构化，立体式的 Web 纵深防御体系迫在眉睫。以 XXXX WAF 为主要部件的 XXXX 网站保护系统在动态防御技术上相对领先，部署后能显著提高 Web 服务器的安全防御 级别，能够有效提高网站性能，同时减少服务器负载，直接降低了用户管理成本和安全运维成 本，更加突显产品的实用价值。 2 安全风险及需求分析安全风险及需求分析 组织机构名称系统网络结构复杂，应用多种多样，内部终端和服务器众多，在对组织机构名称 系统进行初步分析后，系统网络中目前面临以下安全风险： 2.1安全风险分析安全风险分析 随着互联网应用的发展，基于网络的信息服务方式也在不断的发生改变，基于互联网的新型服 务方式在为应用提供方便的同时，也将自身服务器暴露在了病毒和黑客面前。如果这些服务器 一旦瘫痪或者因被人植入后门程序而造成被远程控制数据被窃取，后果不堪设想。为了保证业 务数据的正常流通和安全，需对这些重要的 Web 服务器进行全方位的安全防护。实际情况是 这些服务器的安全防护情况并不理想，主要存在以下几个方面的问题： 全方位的 Web 安全解决方案 Web 服务软件开发复杂，工作量大，想要在海量的动态 Web 页面代码中，找到安全 漏洞，并修补它们，是非常困难和高成本的持续性工作。 Web 服务器软件自身的漏洞问题频出，这些漏洞很容易被黑客和病毒利用，成为被 攻击和注入/挂马的牺牲品。 考虑到兼容性问题，Web 服务器通常不会及时更新补丁，这更造成服务器容易被病 毒或黑客入侵，从而使组织机构面临很大的网络安全风险。 网络应用较多，而维护人员相对较少。这些人员一方面要维护重要服务器的运行，网 络服务的正常开展，另一方面又要监控网络运行和安全状况，工作压力很大，无法顾 及到所有服务器的实时安全情况，导致当网络中出现安全隐患后不被及时发现，或者 发现后未能及时处理，最终这些微小的隐患可能造成更加严重的后果 目前该网络采取的对 Web 服务器的防护方式主要是使用防火墙作为安全防护的基础设施，同 时辅以 IPS 设备作为应用层安全检测设备，同时在服务器端安装杀毒软件作为最后一道防线。 这样的解决方案存在如下弱点： 防火墙设备对于开放端口的防火墙设备对于开放端口的 Web 服务没有防护能力。服务没有防护能力。一般的网络中都会部署防火墙 作为安全防护设备，但防火墙仅能控制非授权 IP 对内不得访问，对外应用服务器， 是被防火墙允许的访问。由于实现原理的限制，防火墙对于病毒或黑客在应用层面的 入侵攻击“视而不见”。 入侵检测防御系统（入侵检测防御系统（IPS）对于病毒的攻击行为反应缓慢。）对于病毒的攻击行为反应缓慢。IPS 主要负责监测网络中 的异常流量，对受保护网络提供主动、实时的防护，特别是那些利用系统漏洞进行攻 击和传播的黑客工具以及蠕虫病毒。由于 IPS 对 WEB 的检测粒度很粗，随着网络技 术和 Web 应用的发展复杂化，IPS 在更需要专业安全防护特性的 WEB 防护领域已 经开始力不从心。 Web 服务器端是 Web 安全防护的重要环节，虽然 Web 服务器做了相关的安全防护。 但服务器端的安全设置较为专业、复杂，一旦设置不合理，就使得 Web 服务器端很 容易成为恶意攻击入侵的对象。 全方位的 Web 安全解决方案 3 网站防护方案设计网站防护方案设计 3.1实现目标实现目标 通过 XXXX 的信息安全技术和丰富的安全防护设计经验，为 XXXX Web 系统提供一个技术领 先、稳定可靠的网站保护防御体系，有效抵御各种恶意威胁的攻击，提高网站系统的安全级别 和防御水平。 3.2设计原则设计原则 根据 XXXX 网络系统的现状和系统安全和管理的需要，我们考虑保护系统应遵循以下几条原则： 技术和产品的成熟性和稳定性。技术和产品的成熟性和稳定性。充分考虑网站保护产品本身和技术上的成熟性。网站 保护系统必须是成熟而且经受大量用户实例考验的产品。 可管理性。可管理性。对于这样安全防护产品，要管理安全防护规则的升级、配置和支持是非常难 的事，这就要求提供一个方便管理的平台。系统必须提供简化管理的工具，包括对攻击 特征文件和防护引擎的分发升级、报警管理和日志分析整理等。 易用性易用性。网络中设备及软件较多，各类网络产品种类繁多，对于网络管理员来说产品友 好易用性将起到事半功倍的效果。 3.3参考标准参考标准 ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部 分 简介和一般模型； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部 分 安全功能要求； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部 分 安全保证要求； 国务院令第 147 号 中华人民共和国计算机信息系统安全保护条例 公通字200743 号 信息安全等级保护管理办法 全方位的 Web 安全解决方案 GA-243-2000 计算机病毒防治产品评级准则 公安部令第 51 号 计算机病毒防治管理办法 GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求； GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB20986-2007-Z 信息安全技术 信息安全事件分类分级指南 3.4总体设计方案总体设计方案 在组织机构名称网络系统中串行部署 XXXX WAF 网站保护系统，将所有 Web 访问流量进行深 度检测和过滤，阻挡恶意 Web 请求流量，以实现对组织机构名称网站系统的全方位安全保护。 4 产品部署产品部署方案方案 4.1产品选型产品选型 根据组织机构名称网站带宽和业务流量及应用的实际情况，我们推荐使用 XXXX WAF 产品 型号名称高性能网站保护系统。 该系统处理性能参数如下表： 参数值备注 网络接口数量 Web 吞吐量 CPS 处理能力Connections Per second 并发连接数 4.2产品部署示意图产品部署示意图 针对网络结构及所面临的风险不同，XXXX WAF 网站保护系统在网中可以采用多种方式灵活 部署。 全方位的 Web 安全解决方案 图 5 网站保护系统在 web 外网服务区中的部署 此部署方式适用于 DMZ 区 Web 服务器区环境，在交换机上串行接入 XXXX WAF 系统，所有 Web 请求和恶意访问攻击均由 XXXX WAF 系统来承担处理，清洗、过滤后 XXXX WAF 系统 向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好 的防范来自互联网的威胁，保护网站的安全、稳定、高性能运行。 4.3详细部署介绍详细部署介绍 组织机构名称网络中在网关处已经部署了防火墙产品和 IPS 安全产品，建议网站保护系统的部 署采用纯透明串行接入模式。 纯透明串行接入方式可以在不改变原有网络结构的情况下接入，一般放置在路由器或防火墙设 备后面的交换机上。这样接入的优点是： 对现有网络结构的完全不影响。 安装、部署方便简单。 4.4部署后可达到的效果部署后可达到的效果 通过部署网站保护系统，可以使网络中 Web 服务器的安全性得到大幅提升。 简单简单的接入方式部署快速的接入方式部署快速简单简单，无需更改，无需更改现现有网有网络络拓扑拓扑结结构。构。XXXX WAF 保护系统以纯透明 串行接入，对现有网络的不产生影响；无需改动网络拓扑模式，接入简单、方便。 Web 访问访问数据清洗、数据清洗、过滤过滤。 。对于客户端的每个请求进行深度的检测、清洗、过滤，有效阻击 恶意请求，SQL 注入，SQL 盲注、密码猜测，网站扫描，XSS 攻击，表单字段篡改、参数篡 改、网页 include 脚本注入攻击、恶意代码、跨站请求伪造(CSRF)、跨站脚本 (XSS)、会话 劫持 Google Hacking 等的深度防御。 保保护护网站服网站服务务器免受漏洞攻器免受漏洞攻击击。 。对代码执行、目录遍历、脚本源代码泄露、CRLF 注入、 COOKIE 篡改、URL 重定向等多种漏洞攻击进行有效防护。 强强大的大的 Web 攻攻击击防防护护。 。XXXX WAF 网站保护系统对客户度请求提供多重检查机制和智能 分析，确保对高安全风险级别攻击事件的准确识别率，针对 Flood 攻击、SQL 注入、跨站脚 本、目录遍历等主要攻击手段，提供了有效识别、阻断并告警。 全方位的 Web 安全解决方案 降低服降低服务务器器压压力，力，节节省省带宽带宽。 。通过 XXXX WAF 网站保护系统的访问加速功能，将用户经常访 问的页面和最近访问的页面缓存到系统本地内存直接发送，降低服务器压力。还可以开启压 缩功能，节省带宽资源，降低出口网络拥堵的风险。 详细详细掌握网站掌握网站访问访问状况。状况。通过访问分析，全面掌握时段流量、PV，关键词搜索，搜索引擎收 录，等访问分析数据，全面掌握网站的运营情况；为管理员改进网站功能和合理分配服务器 资源提供可靠的依据。 通通过过日志日志报报表能表能够够及及时发现时发现网站的安全网站的安全隐隐患。患。XXXX WAF 网站保护系统具备完善的日志功 能，不但拥有多种类型的日志,可以随时通过网站保护系统实时显示，而且在网站故障时,可 以通过电子邮件和短信方式通知管理员。 减减轻维护轻维护人人员员的工作的工作压压力。力。部署网站保护系统后，攻击和入侵已经被拦截，根本不会威胁网 站系统，减轻了维护人员的工作压力。另外通过 XXXX WAF 保护系统内显示的相关信息，维 护人员可以轻松的掌握网站的运营和安全情况。 5 XXXX WAF 网站保护系统主要功能网站保护系统主要功能 5.1漏洞防护漏洞防护 XXXX WAF 系统能够对 SQL 注入、跨站脚本、代码执行、目录遍历、脚本源代码泄露、 CRLF 注入、COOKIE 篡改、URL 重定向等多种漏洞攻击进行有效防护。 5.2攻击防护攻击防护 XXXX WAF 系统能够对用户请求提供多重检查机制和智能分析，确保对高安全风险级别攻击 事件的准确识别率。针对 Flood 攻击、SQL 注入、跨站脚本、目录遍历等主要攻击手段， XXXX WAF 系统提供了有效识别、阻断并告警。 5.3网页代码检查网页代码检查 XXXX WAF 系统能够对用 ASP、ASPX、JSP、PHP、CGI 等语言编写的页面，对用 SQL Server、Mysql、Oracle 等数据构建的网站进行检查，能够在客户网站被挂马之前发现网站 全方位的 Web 安全解决方案 的脆弱点，从而使客户可以未雨绸缪，避免挂马事件的发生。 5.4访问加速访问加速 XXXX WAF 系统通过在现有的互联网中增加一层新的网络架构，将网站服务器内容缓存到系 统内存中，使用户可以就近取得所需内容，降低服务器的压力，解决互联网拥挤的状况，提高 用户访问服务器的响应速度。从而解决由于网络带宽小、用户访问量大、网点分布不均等原因 所造成的用户访问网站响应速度慢的问题。 5.5访问分析访问分析 XXXX WAF 系统提供强大的用户访问分析功能，对用户访问的 IP 地址、浏览深度、访问来源、 客户端信息、网站流量等进行详细的统计。通过对用户访问网站的行为分析报告，为管理员改 进网站功能和合理分配服务器资源提供可靠的依据。 5.6挂马检测挂马检测 多数攻击者在成功入侵并不采取直接的网站篡改，为了获取更多的经济利益往往采取比较隐蔽 的方式，其最终目的是为了盗取用户的敏感信息，如各类账号密码，甚至使用户电脑沦为攻击 者的“肉鸡”。一旦网站服务器成为传播病毒木马的“傀儡帮凶”，将会严重影响到网站的公 众信誉度。 5.7XXXX WAF 技术优势技术优势 强大的 Web 防护能力 2000 多条 Web 安全检测规则，超过 20 个分类。 支持虚拟主机，多域名、多个网站的保护。 Web 安全检测规则及时更新升级，提供可靠的升级保障。 系统安全性保障 自主研发高可靠性操作系统，系统本身安全性得到了有效的保障。 集成 Intel 最新多核硬件平台，产品处理性能得到了质的飞跃。 友好操作界面可管理性 全方位的 Web 安全解决方案 简易方便的管理页面，适合国内用户使用习惯 提供图形化的 WEBUI 界面管理系统，用户可灵活制定策略 多级管理员分级控制，方便多层次管理。 丰富的日志查询和报表 提供详细的攻击、入侵日志信息，详细了解安全事件情况 提供安全事件统计功能，对源地址、URL，攻击方式等进行统计 报表功能，日报、周报和月报看按周期了解网站安全状况。 6 XXXX 售后服务售后服务体系体系 XXXX 公司作为最早从事信息安全研究和应用的单位，经过多年的技术积累和培养形成了 一支技术过硬，经验丰富的服务队伍，具备专业的服务能力。 6.1服务团队服务团队 为加强对重点用户服务，XXXX 特成立针对重点用户的多个网站安全事件响应小组，每个小组 各司其职，并能在重大 Web 安全事件爆发时或根据用户需要在现场提供全方位的安全服务。 现场救援小组主要服务重点是用户现场紧急事件救援响应；产品救援组负责用户现场产品紧急 事件响应。为了更快速的处置新出现的病毒事件，XXXX 还抽调各职能部门的核心人员建立了 跨部门的项目组，出现紧急事件可以协同整个单位的资源联合服务。 XXXX 网络安全硬件服务工程师均具有多年重点用户的产品实施及服务经验，通过多年的实践 积累，能熟练规划各种网络环境下的产品部署，优化配置产品功能，使产品发挥强大的效能。 6.2服务能力服务能力 分分级级的的应应急急预预案服案服务务。 。针对不同的安全事件、服务事件建立了不同级别的应急预案，在出现 重安全事件或针对用户网络出现的不同的安全事件进行有步骤，有计划的处置。 快速的快速的应应急响急响应应服服务务。 。通过多年为大中型用户、重点用户服务的经验积累，能依据用户具体 网络环境，业务环境提供适当的服务项目，服务响应级别。多种服务项目及响应机制相结合， 形成保障用户网络稳定运行的服务体系。 高效的高效的应应急事件服急事件服务务通道。通道。应急响应服务不仅仅是救援人员现场事态分析、控制、处理，还 全方位的 Web 安全解决方案 需要结合公司级的各方安全技术资源，提供深入、全面的协助支持及安全信息，利用全面的 技术分析才能提供可靠的处置方案。应急事件服务通道涉及安全应急服务所必须的所有部 门，如病毒分析，网络安全响应，深入测试，安全产品研发，产品升级等，所有相关部门将第 一时间按照要求提供快速准确的服务支持。 专专家家级级的信息安全的信息安全队