WEB应用安全防护系统建设方案

Web应郑州大学西亚斯国际学院20138月

西亚斯

Web应防护系统解决方案目录一、需求概述..................................................................................................................................41.11。21.3

背景介绍....................................................................................................................需求分析....................................................................................................................网络安全防护策略....................................................................................................1.3。1“长鞭效应（bullwhipeffect）..................................................................71。3.2

网络安全的“防、切、控(DCC）”原............................................................8二、

解决方案............................................................................................................................92。1Web应用防护系统解决方案........................................................................................92。1.1黑客攻击防护............................................................................................................92。1。2BOT防护................................................................................................................102.1.3应用层洪水CC攻击及DDOS防御...........................................................................112.1。4网页防篡改..............................................................................................................122.1.5自定义规则及白名单................................................................................................2.1。6关键字过滤..............................................................................................................132.1.7日志功能....................................................................................................................2。1.8统计功能..................................................................................................................162。1。9报表........................................................................................................................2。1.10智能阻断................................................................................................................182。2设备选型及介绍..........................................................................................................192。3设备部署......................................................................................................................三、方案优点及给客户带来的价值............................................................................................243。1解决了传统防火墙、IPS不能解决的应用层攻击问题..........................................3。2合规性建设.................................................................................................................243.3减少因不安全造成的损失...........................................................................................3。4便于维护......................................................................................................................3。5使用状况......................................................................................................................2

西亚斯

Web应防护系统解决方案3。5.1系统状态...................................................................................................................3。5.2入侵记录示...........................................................................................................25。站统计示...........................................................................................................26四、Web应用防护系统主要技术优势.........................................................................................274.1千兆高并发与请求速率处理技术...............................................................................274.2攻击碎片重组技术.......................................................................................................274.3多种编码还原与抗混淆技术........................................................................................4.4SQL语句识别技术........................................................................................................274。5多种部署方式.............................................................................................................274.6软硬件BYPASS功能.....................................................................................................27五、展望........................................................................................................................................283

西亚斯

Web应防护系统解决方案学校WEB应用安全防护Web应用防护安全解决方案一、求概述1.1背介随着学校对信息化的不断建设,已经具有完备的校园网络，学校部署了大量信息系统和网站，包括OA系统、WEB服务器、教务管理系统、邮件服务器等多台服务器和100多个业务系统和网站，各业务应用系统都通过互联网平台得到整体应用校园网出口已经部署了专用防火墙、流控等网络安全设备。所有应用是向公众开放，特别是学校的门户网站，由于招生与社会影响,要求在系统Web保护方面十分重要。1.2需分很多人认为，在网络中不断部署防火墙，入侵检测系统（），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生其根本的原因在于传统的网络安全设备对于应用层的攻击防范尤其是对Web系统的攻击防范作用十分有限.目前的大多防火墙都是工作在网络层通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击IDS和IPS同样不能有效的防护.总体说来，容易导致学校Web服务器被攻击的主要攻击手段有以下几种4

西亚斯

Web应防护系统解决方案缓冲区溢出—-攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令SQL注入——构造SQL代码让服务器执行，获取敏感数据跨站脚本攻击-—提交非法脚本，其他用户浏览时盗取用户帐号等信息拒绝服务攻击——构造大量的非法请求,使服务器不能相应正常用户的访问认证逃避--攻击者利用不安全的证书和身份管理非法输入--在动态网页的输入中使用各种非法数据，获取服务器敏感数据强制访问—-访问未授权的网页隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序Cookie假冒——精心修改cookie数据进行用户假冒5

西亚斯学校应用全防护体需求析

Web应防护系统解决方案学校对WEB应用安全防护非常重视，在内网部署有高端防火墙，同时内网部署有众多应用服务器，网络示意图如下：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力，作为整体安全中不可缺少的重要模块，局限于自身产品定位和防护深度，不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法，就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为，对其进行有效的检测、防护通过对学校内部网络目前在WEB应用存在的问题，我们看到学校在服务器安全防护时需要解决以下几个问题:跨脚攻击跨站脚本攻击利用网站漏洞攻击那些访问学校服务器的用户，常见的目的是窃取Web服务器访问者相关的用户登录和认证信息.注攻6

西亚斯

Web应防护系统解决方案由于代码编写不可能做到完美，因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据，造成用户资料的丢失、泄露和服务器权限的丢失。缓区出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈,使程序转而执行其他的指令，获得系统管理员权限。CC击CC攻击目前是最新出现针对Web系统的特殊攻击方式，通过构造特殊的攻击报文，以到达消耗应用平台的服务器计算资源为目的(其中以消耗资源最为常见），最终造成应用平台的拒绝服务,正常用户无法访问Web服务器，给学校形象造成不可估量的损失拒服攻击通过DOS攻击请求，以到达消耗应用平台的网络资源为目的，最终造成应用平台的拒绝服务,正常用户无法访问Web服务器，给政府形象造成不可估量的损失。Cookies/Seesion持Cookies/Seesion通常用户用户身份认证，别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限，或者伪装他人的身份登录1.3网安防策1.3.1长鞭效（bullwhip）”网络安全的防护同管理学的“长鞭效应(bullwhipeffect)"具有相似的特性，就是要注重防患于未然。因此,针对我们单位的特点，更要注重主动防护，在安全事件发生之前进行防范，减少网络安全事件发生的机会，达到“少发生、不发生”的目标。7

西亚斯1.3.2络安全“防、、控(DCC）”原则

Web应防护系统解决方案基于“长鞭效应”,我们的网络安全防护要从源头做起，采用“防、切、控（”的原则：防：主防护，护我们服务器到攻者的主攻击外部敌对、利益驱动的攻击者，会对我们的网站、服务器进行各种主动攻击。而这些主动攻击往往带有非常强的目的性和针对性，因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题，主要有:防止Web务器受到来自外部的攻击、非法控制、篡改；防止主、备mail服务器受到攻击、非法控制。切：切来自外危险网的木马病毒播：在网络中部分的Web服务器已经被黑客控制的情况下，应用防护系统可以有效的防止已经植入Web服务器的木马的运行，防止服务器被黑客继续渗透。因此，如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题控：控无意识信息泄：对于第三个要解决的问题是防止内部人员无意识的内部信息泄露，要保证接入网络的机器、设备是具有一定的安全防护标准，防止不符合要求的机器和设备接入网络，严格控制潜在的安全风险。8

西亚斯二、解决方案2Web应用防系解方

Web应防护系统解决方案Web应用安全防护系统可以为学校Web服务器提供全方位的服务主要保护功能包括以下几方面：2黑客攻防护Web应用防护系统对黑客攻击防护功能，主要阻止常见的攻击行为,包括以下方面：黑客已留后门发现，黑客控制行为阻止SQL注入攻击(包括URL、POST、Cookie等方式的注入）XSS攻击Web常规攻击(包括远程包含、数据截断、远程数据写入等命令执行（执行Windows、Linux、Unix关键系统命令缓冲区溢出攻击恶意代码解决办:通过在Web服务器的前端部署Web应用防护系统，可以有效过滤攻击。同时，正常的访问流量可以顺利通过。Web应用防护系统,通过内置可升级、扩展的策略，可以有效的防止、控制攻击发生。9

西亚斯

Web应防护系统解决方案方案价：通过署Web应用防护统可以效的防黑客对网站应层的击，保障务器的全降低料被窃、网站篡改事的发。2.1违反策略防护Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面：非法HTTP协议URL-ACL匹配盗链行为2BOT防护Web应用防护系统对互联网的应用访问控制主要包括以下几个方面：爬虫蜘蛛行为10

西亚斯

Web应防护系统解决方案Web漏洞扫描器行为2.1应用层洪水CC攻击及DDOS防御Web应用防护系统的互联网应用流量控制主要包括以下几个方面1.UDPFlood2.ICMPFlood3.SYNFlood4.ACKFlood5.RSTFlood6.CC攻击7.DDOS攻击11

西亚斯

Web应护系统解决方案方案价值：Web应用防护系统全方位的封堵,省带宽资源利用率，保证组织的业务相关应用得到极以流畅的进行。2页防篡本设备的网页防篡改功能，对网站数据进行监控，发现对网页进行任何形式的非法添加、修改、删除等操作时,立即进行保护，恢复数据并进行告警，同时记录防篡改日志。支持的操作系统:Windows、Linux(CentOS、Debian、Ubuntu）、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系统。、12

西亚斯2自定义则及白单

Web应防护系统解决方案自定义则设备不仅具有完善的内置规则，并且还支持用户根据自身需要自行定义规划，支持自符串快速查找与PCRE正则查找。白名单根据需要设定某些网站、URL针对防护设备直接放行。2.1.6键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤13

西亚斯

Web应防护系统解决方案2.1日志功Web应用防护系统不但提供强大的防护功能，且提供了十分详细的日志和报表功能能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。入侵报日志系统提供详细的安全防护日志：包括攻击时间、方式、来源、目的URL、物理地址、页面访问统计等。14

西亚斯日志查

Web应防护系统解决方案设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式支持日志的导出及按时间进行日志自动的清理。审计日对设备每次操作进行详细的记录系统日可以记录设备的运行状况15

西亚斯

Web应防护系统解决方案2统计功网络入统计该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况，以便快速掌握不同时期遭受网络攻击状况，判断网络攻击变化趋势。16

西亚斯网络流统计

Web应防护系统解决方案统计该页面统计各接口的流量情况，可以按天或月以折线图的形式显示出来。了解本设备在该段时间内的网络流量情况.浏览页统计该页面可以详细清楚地统计并显示每个web页面的访问次数，最后访问时间、浏览器情况,并可以分时间断来进行分析页面访问情况。17

西亚斯2.1.9表

Web应防护系统解决方案设备提供详细的基于图文的安全报表（按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等）并可以按事件攻击类型、周期、统计目标进行统计。支持Html、Word、Pdf式的输出。定时去发送攻击报表等功能。2.1智能断该设备可以智能识别外来的攻击行为,根据自定义单位时间内触发安全规则次数的方式，自动阻断攻击源.阻断的时间及次数均可自行定义。18

西亚斯

Web应防护系统解决方案2.2设备选型介根据对学校WEB应用安全防护需求的分析，采用产品系列的Web防火墙管理设备，以下是要求的设备基本性能参数：项目体系结构

技术要1U，采用多核硬件架构配置≥8个电口，配置2对电口单向HTTP吞吐量≥1000Mbps最大并发会话数≥100（内置规则全开,防护状态）性能HTTP求速率≥1,0000（内置规则全开，防护状态）网络延迟≤秒(内置规则全开，防护状态)防护网站不限IP拦截方式入侵者记录防御功能Web攻击防护

至少包含4种方式：拦截、检测、放行、拦截并阻断；阻断方式下，可设置阻断时间,可手工解除阻断能够记录入侵攻击详细数据,至少包含：序号、攻击时间、拦截原因、规则集名称、危害等级、源地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、请求、URL等双向检测功能,能够对流入流出数据进行检测；具有默认的防护端口并可指定防护端口；系统内置防护规则、并支持用户自定义防护规则;白名单功能:能够对特定的IP域名、域名+URL设置白名单；HTTP请求类型允许与禁止：可对常用的请求设置允许或禁止通过SQL注入攻击（包括URL、POST等方式的注入）:攻击者通过输入数据库查询代码窃取或修改数据库中的数据、XSS攻击、远程、本地文件包含攻击CSRF跨站请求、Web常规攻击（包括远程包含、数据截断、远程数据19

西亚斯负载均衡防CC攻击（选配）防DOS攻击（选配）网页防篡改(选配）漏洞扫描(选配）数据库防篡改（选配）高级访问控制可靠性部署方式报表功能

Web应防护系统解决方案写入等）、恶意扫描：攻击者利用、Wvs等专业扫描攻击工具对服务器进行扫描和攻击、命令执行（执行、Unix关键系统命令）、缓冲区溢出攻击、关键文件下载、搜索引擎爬虫(spider）、恶意代码、信息伪装、“零日”攻击、本马上传:攻击者利用黑客工具上传Webshell以达到控制服务器的目的、WebShell检测与拦截等支持应用层负载均衡功能，并支持动态网站、流量分配支持对CC攻击的防护功能支持对DOS攻击防护功能支持对网页的篡改并进行自动恢复，支持主流的、Linux、Unix、Solaris、AIX等操作系统针对web服务器的SQL、XSS等漏洞进行扫描，并生成报告。数据库防篡改：支持MSSQL、SQLSERVER数据库防篡改。支持对内、外IP地址的精确控制，设置不同的防御方式阻断、过滤、检测、放行）电口、光口硬件BYPASS、软件、可扩展支持端口汇聚、多机热备；平均无故障时间≥100000h；支持日志自动清理功能：可在达到日志上限时通知管理员进行日志清理如手动清理未实施，系统实行自动清理；支持即插即用，部署方式具有透明方式、反向代理方式、透明反向代理混合方式、路由方式、虚拟化部署等提供详细的基于图文的安全报表入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势等）并可以按事件攻击类型、周期、统计目标进行统计20

术要求》的千术要求》的千兆《涉密信息系统产品检测证书管理特性产品资质2.3设备部署

Web应防护系统解决方案支持通过HTTPS初始化、设置、管理设备实时流量查看、入侵告警查看流量统计、入侵统计自定义规则查看管理支持入侵记录、系统日志、审计日志导出功能、系统配置安全导入、导出功能支持内置规则升级、固件升级允许用户自由定制规则，提供友好的定制模板报表系统、系统日志、审计日志获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13－2004《涉及国家秘密的计算机信息系统入侵检测产品技获得中国信息安全认证中心颁发的符合0050-2007《信息技术信息安全网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》公安部颁发的《计算机信息系统安全专用产品销售许可证》国家漏洞中心提交漏洞证明文件根据学校用安全防护Web服务器部署情况，我们建议通过透明网桥的部署模式来达到对Web服务器保护的目的.集中集群式Web务器部集群式/集中式Web服务:集群式Web服务采用多台服务器负荷分担提供同一Web服务；集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内，但不同的Web服务器可能提供多样的Web服务。这种情况多数应用于中大型企业的服务器模式,或者是IDC。在这种网络结构下，可直接将“应用防火墙”串接在Web服务器群所在子网交换机前端，如下图显示：21

西亚斯

Web应防护系统解决方案部署方式：WAF的WAN口与广域网的接入线路相连，一般是光纤、路或者是路由器,WAF的LAN口(DMZ口）同局域网的交换机相连，所有对服务器的访问请求都必须通过WAF设备。半分散WEB服务部署模式半分散式Web服务:在局域网中存在各种不同的应用服务，并且这些Web应用服务器分散在不同的子网中;比如:公司有整体的Web务集群，同时，各个部门还有各自的Web服务器,而这些服务器分布在不同的子网中，如果想对这些服务器进行保护,需要将“Web应用防火墙”部署在这些Web服务器所在网络的边缘，如下图显示：部署方式:WAF的WAN口同广域网接入线路相连，口(DMZ口）同局域网交换机连接。同时保护处于内网不同网段的多个Web服务器。22

西亚斯全分散Web服务部署模式

Web应防护系统解决方案半分散式Web服务：在局域网中存在各种不同的应用服务，并且这些Web应用服务器分散在几乎全部的子网中；比较常见的案例IDC机房，这时，需要将“Web应用防火墙”部署在局域网边缘，一般部署在主交换机同主路由器之间，如下图显示：部署方式:WAF的WAN口同广域网接入线路相连，口(DMZ口）同局域网交换机连接。同时保护处于内网的所有Web服务器及DB服务器23

西亚斯三、案优点及客户带的价值

Web应防护系统解决方案通过Web应用防护系统在学校WEB应用安全防护的具体实施给客户带来以下价值：3.1解决了传防墙能决应层击题传统的网络防火墙作为访问控制设备工作在层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力因此,对Web应用而言，传统的网络防火墙仅提供及端口防护，对各类WEB应用攻击缺乏防御能力。Web应用防护系统主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击.只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括协议报文内容，由于对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。只是做部分的扫描