WEB应用安全防护系统建设方案

Web应用平安防护系统解决方案郑州高校西亚斯国际学院2013年8月

书目TOC\o"1-4"\h\u一、需求概述 41.1 背景介绍 41.2 需求分析 41.3 网络平安防护策略 7 “长鞭效应（bullwhipeffect）” 7 网络平安的“防、切、控(DCC)”原则 8二、 解决方案 92.1Web应用防护系统解决方案 92.1.1黑客攻击防护 92.1.2BOT防护 102.1.3应用层洪水CC攻击及DDOS防卫 11网页防篡改 12自定义规则及白名单 13关键字过滤 13日志功能 14统计功能 16报表 18智能阻断 182.2设备选型及介绍 192.3设备部署 21三、方案优点及给客户带来的价值 243.1解决了传统防火墙、IPS不能解决的应用层攻击问题 243.2合规性建设 243.3削减因担心全造成的损失 243.4便于维护 243.5运用状况 25系统状态 25入侵记录示例 25网站统计示例 26四、Web应用防护系统主要技术优势 274.1千兆高并发与恳求速率处理技术 274.2攻击碎片重组技术 274.3多种编码还原与抗混淆技术 274.4SQL语句识别技术 274.5多种部署方式 274.6软硬件BYPASS功能 27五、展望 28

学校WEB应用平安防护Web应用防护平安解决方案一、需求概述背景介绍随着学校对信息化的不断建设，已经具有完备的校内网络，学校部署了大量信息系统和网站，包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站，各业务应用系统都通过互联网平台得到整体应用，校内网出口已经部署了专用防火墙、流控等网络平安设备。全部Web应用是向公众开放，特殊是学校的门户网站，由于招生与社会影响，要求在系统Web爱护方面特别重要。需求分析许多人认为，在网络中不断部署防火墙，入侵检测系统（IDS），入侵防卫系统（IPS）等设备，可以提高网络的平安性。但是为何基于应用的攻击事务仍旧不断发生？其根本的缘由在于传统的网络平安设备对于应用层的攻击防范，尤其是对Web系统的攻击防范作用特别有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问限制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。全部的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过运用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过敏捷编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。总体说来，简洁导致学校Web服务器被攻击的主要攻击手段有以下几种：缓冲区溢出——攻击者利用超出缓冲区大小的恳求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令SQL注入——构造SQL代码让服务器执行，获得敏感数据跨站脚本攻击——提交非法脚本，其他用户阅读时盗取用户帐号等信息拒绝服务攻击——构造大量的非法恳求，使Web服务器不能相应正常用户的访问认证躲避——攻击者利用担心全的证书和身份管理非法输入——在动态网页的输入中运用各种非法数据，获得服务器敏感数据强制访问——访问未授权的网页隐藏变量篡改——对网页中的隐藏变量进行修改，欺瞒服务器程序Cookie假冒——细心修改cookie数据进行用户假冒

学校WEB应用平安防护具体需求分析学校对WEB应用平安防护特别重视，在内网部署有高端防火墙，同时内网部署有众多应用服务器，网络示意图如下：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的平安风险和威逼供应了肯定的防卫实力，作为整体平安中不行缺少的重要模块，局限于自身产品定位和防护深度，不同有效的供应针对Web应用攻击的防卫实力。对于来自外网的各种各样的攻击方法，就必需采纳一种专用的机制来阻挡黑客对Web服务器的攻击行为，对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题，我们看到学校在Web服务器平安防护时须要解决以下几个问题：跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户，常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不行能做到完备，因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据，造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，获得系统管理员权限。CC攻击CC攻击目前是最新出现针对Web系统的特殊攻击方式，通过构造特殊的攻击报文，以到达消耗应用平台的服务器计算资源为目的（其中以消耗CPU资源最为常见），最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给学校形象造成不行估量的损失。拒绝服务攻击通过DOS攻击恳求，以到达消耗应用平台的网络资源为目的，最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给政府形象造成不行估量的损失。Cookies/Seesion劫持Cookies/Seesion通常用户用户身份认证，别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限，或者伪装他人的身份登录。网络平安防护策略“长鞭效应（bullwhipeffect）”网络平安的防护同管理学的“长鞭效应（bullwhipeffect）”具有相像的特性，就是要注意防患于未然。因此，针对我们单位的特点，更要注意主动防护，在平安事务发生之前进行防范，削减网络平安事务发生的机会，达到：“少发生、不发生”的目标。网络平安的“防、切、控(DCC)”原则基于“长鞭效应”，我们的网络平安防护要从源头做起，采纳“防、切、控（DCC）”的原则：防：主动防护，防护我们的服务器受到攻击者的主动攻击外部敌对、利益驱动的攻击者，会对我们的网站、mail服务器进行各种主动攻击。而这些主动攻击往往带有特别强的目的性和针对性，因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题，主要有：防止Web服务器受到来自外部的攻击、非法限制、篡改；防止主、备mail服务器受到攻击、非法限制。切：切断来自外部危急网站的木马、病毒传播：在网络中部分的Web服务器已经被黑客限制的状况下，Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行，防止服务器被黑客接着渗透。因此，如何切断被黑客攻击以至于被限制的网站的木马传播成为当前的其次个主要解决问题。控：限制无意识的信息泄露：对于第三个要解决的问题是防止内部人员无意识的内部信息泄露，要保证接入网络的机器、设备是具有肯定的平安防护标准，防止不符合要求的机器和设备接入网络，严格限制潜在的平安风险。解决方案2.1Web应用防护系统解决方案Web应用平安防护系统可以为学校Web服务器供应全方位的服务，主要爱护功能包括以下几方面：黑客攻击防护Web应用防护系统对黑客攻击防护功能，主要阻挡常见的Web攻击行为，包括以下方面：黑客已留后门发觉，黑客限制行为阻挡SQL注入攻击（包括URL、POST、Cookie等方式的注入）XSS攻击Web常规攻击（包括远程包含、数据截断、远程数据写入等）吩咐执行（执行Windows、Linux、Unix关键系统吩咐）缓冲区溢出攻击恶意代码解决方法：通过在Web服务器的前端部署Web应用防护系统，可以有效过滤Web攻击。同时，正常的访问流量可以顺当通过。Web应用防护系统，通过内置可升级、扩展的策略，可以有效的防止、限制Web攻击发生。方案价值：通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击，保障Web服务器的平安，降低资料被窃取、网站被篡改事务的发生。违反策略防护Web应用防护系统对互联网的内容识别与限制主要包括以下几个方面：非法HTTP协议URL-ACL匹配盗链行为2.1.2BOT防护 Web应用防护系统对互联网的应用访问限制主要包括以下几个方面：爬虫蜘蛛行为Web漏洞扫描器行为2.1.3应用层洪水CC攻击及DDOS防卫Web应用防护系统的互联网应用流量限制主要包括以下几个方面：UDPFloodICMPFloodSYNFloodACKFloodRSTFloodCC攻击DDOS攻击方案价值：Web应用防护系统全方位的封堵，节约带宽资源利用率，保证组织的业务相关应用得到极以流畅的进行。2.1.4网页防篡改本设备的网页防篡改功能，对网站数据进行监控，发觉对网页进行任何形式的非法添加、修改、删除等操作时，马上进行爱护，复原数据并进行告警，同时记录防篡改日志。

支持的操作系统:Windows、Linux(CentOS、Debian、Ubuntu)、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系统。、2.1.5自定义规则及白名单自定义规则设备不仅具有完善的内置规则，并且还支持用户依据自身须要自行定义规划，支持自符串快速查找与PCRE正则查找。白名单依据须要设定某些网站、URL针对防护设备干脆放行。2.1.6关键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。2.1.7日志功能Web应用防护系统不但供应强大的防护功能，且供应了特别具体的日志和报表功能，能够让管理人员更加全面、快捷地了解整个设备运行及防护状况。入侵报警日志系统供应具体的平安防护日志：包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。日志查询设备供应基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。支持日志的导出及按时间进行日志自动的清理。审计日志对设备每次操作进行具体的记录系统日志可以记录设备的运行状况2.1.8统计功能网络入侵统计该设备页面以柱状图的形式显示指定月份所发生的全部入侵状况，以便快速驾驭不同时期遭遇网络攻击状况，推断网络攻击改变趋势。网络流量统计统计该页面统计各接口的流量状况，可以按天或月以折线图的形式显示出来。了解本设备在该段时间内的网络流量状况。阅读页面统计该页面可以具体清晰地统计并显示每个web页面的访问次数，最终访问时间、阅读器状况，并可以分时间断来进行分析页面访问状况。2.1.9报表设备供应具体的基于图文的平安报表（按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等）并可以按事务攻击类型、周期、统计目标进行统计。支持Html、Word、Pdf格式的输出。定时去发送攻击报表等功能。2.1.10智能阻断该设备可以智能识别外来的攻击行为，依据自定义单位时间内触发平安规则次数的方式，自动阻断攻击源。阻断的时间及次数均可自行定义。2.2设备选型及介绍依据对学校WEB应用平安防护需求的分析，采纳WAF产品系列的Web防火墙管理设备，以下是要求的设备基本性能参数：项目技术要求体系结构1U，采纳多核硬件架构配置≥8个电口，配置2对电口Bypass性能单向HTTP吞吐量≥1000Mbps最大并发会话数≥100万（内置规则全开，防护状态）HTTP恳求速率≥1,0000（内置规则全开，防护状态）网络延迟≤0.05毫秒（内置规则全开，防护状态）防护网站不限IP拦截方式至少包含4种方式：拦截、检测、放行、拦截并阻断；阻断方式下，可设置阻断时间，可手工解除阻断入侵者记录能够记录入侵攻击具体数据，至少包含：序号、攻击时间、拦截缘由、规则集名称、危害等级、源IP地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、HTTP恳求、URL等防卫功能双向检测功能，能够对流入流出数据进行检测；具有默认的防护端口，并可指定防护端口；系统内置防护规则、并支持用户自定义防护规则；白名单功能:能够对特定的IP、域名、域名+URL设置白名单；HTTP恳求类型允许与禁止：可对常用的HTTP恳求设置允许或禁止通过Web攻击防护SQL注入攻击（包括URL、POST、Cookie等方式的注入）：攻击者通过输入数据库查询代码窃取或修改数据库中的数据、XSS攻击、远程、本地文件包含攻击CSRF跨站恳求、Web常规攻击（包括远程包含、数据截断、远程数据写入等）、恶意扫描：攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击、吩咐执行（执行Windows、Linux、Unix关键系统吩咐）、缓冲区溢出攻击、关键文件下载、搜寻引擎爬虫（spider）、恶意代码、信息伪装、“零日”攻击、本立刻传：攻击者利用黑客工具上传Webshell以达到限制服务器的目的、WebShell检测与拦截等负载均衡支持应用层负载均衡功能，并支持动态网站、流量安排防CC攻击（选配）支持对CC攻击的防护功能防DOS攻击（选配）支持对DOS攻击防护功能网页防篡改（选配）支持对网页的篡改并进行自动复原，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系统漏洞扫描（选配）针对web服务器的SQL、XSS等漏洞进行扫描，并生成报告。数据库防篡改（选配）数据库防篡改：支持MSSQL、SQLSERVER等数据库防篡改。高级访问限制支持对内、外IP地址的精确限制，设置不同的防卫方式（阻断、过滤、检测、放行）牢靠性电口、光口硬件BYPASS、软件BYPASS、可扩展支持端口汇聚、多机热备；平均无故障时间≥100000h；支持日志自动清理功能：可在达到日志上限时通知管理员进行日志清理，如手动清理未实施，系统实行自动清理；部署方式支持即插即用，部署方式具有透亮方式、反向代理方式、透亮/反向代理混合方式、路由方式、虚拟化部署等报表功能供应具体的基于图文的平安报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势等）并可以按事务攻击类型、周期、统计目标进行统计管理特性支持通过HTTPS初始化、设置、管理设备实时流量查看、入侵告警查看流量统计、入侵统计自定义规则查看管理支持入侵记录、系统日志、审计日志导出功能、系统配置平安导入、导出功能支持内置规则升级、固件升级允许用户自由定制规则，供应友好的定制模板报表系统、系统日志、审计日志产品资质获得国家保密局涉密信息系统平安保密测评中心颁发的符合国家保密标准BMB13－2004《涉及国家隐私的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》获得中国信息平安认证中心颁发的符合CNCA/CTS0050-2007《信息技术信息平安网站复原产品认证技术规范》增加级认证《中国国家信息平安产品认证证书》公安部颁发的《计算机信息系统平安专用产品销售许可证》国家漏洞中心提交漏洞证明文件2.3设备部署依据学校WEB应用平安防护Web服务器部署状况，我们建议通过透亮网桥的部署模式来达到对Web服务器爱护的目的。集中/集群式Web服务器部署集群式/集中式Web服务：集群式Web服务采纳多台Web服务器负荷分担供应同一Web服务；集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内，但不同的Web服务器可能供应多样的Web服务。这种状况多数应用于中大型企业的Web服务器模式，或者是IDC。在这种网络结构下，可干脆将“Web应用防火墙”串接在Web服务器群所在子网交换机前端，如下图显示：部署方式：WAF的WAN口与广域网的接入线路相连，一般是光纤、ADSL线路或者是路由器，WAF的LAN口（DMZ口）同局域网的交换机相连，全部对WEB服务器的访问恳求都必需通过WAF设备。半分散式WEB服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在不同的子网中；比如：公司有整体的Web服务集群，同时，各个部门还有各自的Web服务器，而这些服务器分布在不同的子网中，假如想对这些Web服务器进行爱护，须要将“Web应用防火墙”部署在这些Web服务器所在网络的边缘，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时爱护处于内网不同网段的多个Web服务器。全分散式Web服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在几乎全部的子网中；比较常见的案例：IDC机房，这时，须要将“Web应用防火墙”部署在局域网边缘，一般部署在主交换机同主路由器之间，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时爱护处于内网的全部Web服务器及DB服务器。三、方案优点及给客户带来的价值通过Web应用防护系统在学校WEB应用平安防护的具体实施给客户带来以下价值：3.1解决了传统防火墙、IPS不能解决的应用层攻击问题传统的网络防火墙作为访问限制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问限制等，对报文中的具体内容不具备检测实力。因此，对Web应用而言，传统的网络防火墙仅供应IP及端口防护，对各类WEB应用攻击缺乏防卫实力。Web应用防护系统主要致力于供应应用层爱护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，而WAF则深化到应用层，对全部应用信息进行过滤，这是二者的本质区分。WAF的运行基础是应用层访问限制列表。整个应用层的访问限制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。3.2合规性建设学校WEB应用平安防护网站由于其社会地位和政治地位的特殊性，在公安部《计算机信息平安等级爱护基本要求》中明确要求必需对全部外部网络访问行为进行入侵防范，访问行为有相应的日志审计行为。Web应用防护系统不仅能完全防范非法用户的入侵行为，更能供应完整的统计表报。3.3削减因担心全造成的损失Web应用防护系统可以防止黑客