教育行业WEB应用安全解决方案

1、XX大学网站及WEB应用系统安全解决方案上海天泰网络技术有限公司2013年03月目 录一、教育行业WEB应用安全概述5二、教育行业网站现状分析52.1.WEB系统容易受到应用攻击威胁52.2.WEB系统缺乏详尽的审计62.3.WEB系统缺乏有效的访问控制机制62.4.WEB安全事件6三、解决方案7第四章 天泰WEB安全防护系统94.1安全防护功能104.1.1策略的覆盖完整度104.1.2策略适应性114.1.3学习引擎与白名单模式、主动防御时代的到来114.1.4基于状态的分析114.1.5与网络层联动的防御技术124.2日志审计与管理124.2.1安全日志124.2.2访问日志134.3性

2、能优化方案134.3.1站点集群技术144.3.2负载均衡144.3.3 WEB加速154.4访问控制与SSL加速154.4.1 时域、地域锁定服务154.4.2 SSL认证服务164.4.3 URL认证技术17第五章 产品的选型与部署175.1安全产品的设计与选型175.1.1产品设计目标175.1.2产品选型原则175.1.3 产品选型参考185.2安全产品的部署与实施215.2.1 产品部署分析215.2.2 产品部署方式22第六章 产品售后服务体系236.1、国内范围的支持236.2、Internet技术支持236.3、电话热线支持236.4、传真技术支持236.5、远程登录支持236

3、.6、定期提供安全通告236.7、保持经常性的联系246.8、响应时间246.9、产品保修24版权信息版权所有 2011，上海天泰网络技术有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海天泰网络技术有限公司所有，受国家有关产权及版权法保护。任何个人、机构未经上海天泰网络技术有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息天泰、TiTan、TiTansec、T2S2、WAF-T3等标识及其组合是上海天泰网络技术有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司

4、或组织所有。一、教育行业WEB应用安全概述教育行业立足于教育信息、资源的有效开发和权威整合，向社会大众提供有关教育政策法规，权威数据查询，招生考试动态，职业技能培训，就业招聘，出国留学，教育大典，教育招标，教育博客等内容。随着教育行业越来越多的应用系统以WEB的方式被部署，也给恶意用户或黑客提供了攻击途径，这些系统的敏感数据被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击，很多都是利用了WEB应用漏洞。WEB应用的安全防护措施依靠传统的网络防火墙、IPS、IDS等对其进行安全防护并不能有效的保证WEB系统的安全，由于传统的网络安全设备只能解决WEB应用安全的一个方面，而WEB应用系

5、统的安全保障需要一个全面的安全防护和性能保障措施才能使之安全、高效、持续地对外提供服务。Web应用防火墙 (WAF) 代表了一种新的信息安全技术，WEB应用防火墙位于Web客户端和Web服务器之间，分析应用程序层的通信，从而发现违反预先定义好的安全策略的行为。用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。在抵御Web攻击方面，WAF 提供了防火墙和IDS、IPS等常规信息安全产品所不具备的能力。二、 教育行业网站现状分析2.1. WEB系统容易受到应用攻击威胁WEB技术与应用已经深入到教育行业的各个层面，WEB服务作为教育行业的信息门户和业务平台，以其方便

6、性、易扩展性和低成本快速发展；而WEB系统易受攻击等问题影响了WEB应用的高速发展。大量WEB应用系统被黑客入侵和篡改，甚至被植入木马攻击程序，攻击者利用WEB服务程序的漏洞（如SQL注入漏洞、跨站脚本漏洞等），对WEB系统进行攻击，轻则篡改网页内容，重则窃取机密数据，造成经济损失或者恶劣影响。2.2. WEB系统缺乏详尽的审计日志分析与管理模块作为安全产品与安全管理人员交互最为重要的接口，其日志审计贮存的形式、内容和可提供的建议对安全管理员保持应用系统长期安全运行起到重要作用。日志不仅为管理员提供威胁管理的平台，同时也是安全取证和策略调整的依据。因此要求日志记录的尽可能详细和精确，并可根据审

7、计的要求对特定数据进行筛选和审计。但目前网站缺乏详细的安全审计，无法有效的掌握用户的访问情况。2.3. WEB系统缺乏有效的访问控制机制由于教育行业网站众多，多数院校目前没有一个有效的访问控制机制，如WEB站点的管理后台通常直接暴露在外网，仅依赖于口令强度和简易的验证码进行访问控制。这使得黑客更容易找到网站缺陷，对网站安全是不利的，急需要应用系统需要对访问者身份进行识别和授权，从而保障数据的机密性。 2.4. WEB安全事件2011年09月19日，人民网报道：黑客入侵北师大人事处网站 网址被篡改为黄色网站2011年11月18日，北京邮电大学互联网治理与法律研究中心的网站遭遇黑客攻击，网站页面被

8、篡改为了一个类似于“愤怒的小鸟”的游戏2012年11月14日，内蒙古科技大学网站被黑 黑客竟发深情告白三、 解决方案因为基于WEB的应用系统可以通过任意浏览器进行访问，用户往往更容易访问到这些系统，从而在一定程度上可以通过这些系统绕过内部的安全控制。对大多数用户来说，WEB应用防火墙系统已经成为安全的边界。使用WEB应用防火墙是确保这些系统安全的唯一途径。然而，考虑到WEB应用的多样性，WEB应用防火墙往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的WEB应用防火墙往往会阻断合法用户对系统的正常访问，甚至没能起到应有的左右而让黑客长驱直入。WEB应用防火墙是一种

9、成熟的可以保护WEB系统免遭攻击的网络安全设备。它通过执行非常细粒度的安全策略来保证WEB应用系统自身以及系统数据免遭各种攻击。得益于WEB应用防火墙所使用的突破性技术，这些安全策略能够非常容易地适应各种WEB应用系统，从而满足所有的安全需要。WEB 防火墙为WEB应用提供了全面的应用层保护，它不但能抵御目前已知的攻击及其变种，还能抵御未知的攻击。需要特别指出的是，WEB应用防火墙通过自己独特的WEB对象混淆技术，大大提高了攻击者的技术门槛，甚至能使大部分的普通攻击者无从下手；独创的安全令牌技术则能彻底防止WEB应用对象被篡改和伪造。由于攻击者无法篡改和伪造WEB请求数据，攻击便无法实施。此外

10、，通过与WEB应用紧密相连的安全策略的配合，WEB应用防火墙能严格限制合法用户的行为，避免了对系统受限资源非法的访问。通过部署WEB应用防火墙，可有效解决WEB系统存在的安全应用威胁，通过设备的主动防御技术，全面为应用系统提供全方位的防护，强化数据有效性防护，即常见的跨站脚本攻击、SQL注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护，提供WEB应用或网站的基本安全保障。同时，防止应用DOS攻击和暴力口令破解技术，解决大规模异常访问导致应用系统面临的性能问题，甚至系统崩溃、服务中断等恶性事件的发生。在必要时，利用SSL加密认证技术对重要WEB系统进行安全认证，确保数据的可靠、有效性。利用WE

11、B应用防火墙的报表和即时分析功能，通过分析有助于安全管理人员把握应用系统安全现状，及时调整安全策略，并针对威胁等级较高的攻击进行提醒，提出建议性解决办法。利用WEB应用防火墙详尽纪录和有效统计用户对Web应用资源的访问，包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析。生成基于地区区域的访问统计，便于识别WEB应用的访问群体是否符合预期，为应用优化提供指导。WEB应用防火墙融合可靠的应用层过滤技术和先进的数据加密技术，具备事前主动防御、事中智能响应及事后审计的综合防护能力。在事前防御方面，智能分析应用缺陷、屏蔽恶意请求、防范

12、网页篡改、阻断应用攻击，全方位保护WEB应用；事中智能响应，WEB应用防火墙作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击（CSRF）、Cookie篡改以及应用层DDoS等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性；事后审计，WEB应用防火墙给服务器提供了可靠的安全防护，同时也应该具备深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表功能。可以为院校网站系统提供立体的安全防护体系，为网站应用完整的安全解

13、决方案。第四章 天泰WEB安全防护系统伴随着防护技术的不断发展，WEB应用系统的防护技术经历了网关型防护手段和操作系统防护手段。如含有应用层过滤功能的网络防火墙、IPS等网关型硬件产品，基于特征匹配进行防护；网页防篡改软件则是基于文件监控原理，对指定路径的文件进行监控和写保护。传统的网络安全设备和网页防篡改软件只能解决WEB应用安全的一个方面，而WEB应用系统的安全保障需要一个全面的安全防护和性能保障措施才能使之安全、高效、持续地对外提供服务。WEB应用系统的安全是一个系统的问题，包括三个方面，即可用性、完整性和机密性。实现这些原则所需的安全等级因WEB系统的属性、WEB应用的价值不同而异。如

14、对机密性要求较高的应用系统应当保障数据的访问、传输过程的安全，同时需要对访问者进行认证、授权、审计；对于一个面向客户群的应用系统既要考虑其应用交互的可用性，同时也需要对其完整性进行有效的保障。而面向大众的门户类网站则需要充分考虑其抗攻击能力、高可用性和完整性，提供7X24小时不中断服务，确保提供的数据是真实的、有效的。综上所述WEB应用系统的安全保障需要充分考虑其高可用性、完整性和机密机才能达到安全有效的防护目的。专业的WEB安全网关则是专用于防护及优化WEB应用系统的最佳选择，有效解决传统网络防火墙及网页防篡改软件在WEB应用防护方面的局限性，在重视应用系统的高可用性的前提下进行安全优化从而

15、达到WEB防护的最佳目标。图4-1 天泰WEB安全网关的综合防护能力上海天泰网络技术有限公司专业从事于WEB应用安全的研究、防护工作。天泰自主研发的WEB应用安全网关是国内首家通过国家公安部、国家保密局、解放军信息安全测评中心、国家信息安全测评认证中心等权威机构检测认可的综合性WEB安全保障平台。上海天泰专注细分市场，依靠持续创新与自主研发，结合先进的软件体系和硬件架构，打造稳定高效的平台，将多项特性与功能整合至单一设备，提供全面的应用安全与优化解决方案，为客户创造一个安全高效的应用环境，成就国内应用安全行业的领导者。向广大用户提供WEB应用的安全解决方案，通过WEB安全网关的安全防护模块、应

16、用审计模块实现应用的安全防护，解决用户面临的严重入侵威胁；通过负载均衡和WEB加速技术解决用户在高可用性、性能提升上因为需要大量资金投入的烦恼；天泰的SSL加速引擎和访问控制模块轻松解决了WEB应用系统差异化访问控制等复杂应用。目前已经在政府、教育、军队、金融、电信、大型企业等多个领域有着广泛的应用。4.1安全防护功能4.1.1策略的覆盖完整度天泰WEB安全网关提供对应用系统全方位的防护，强化数据有效性防护即常见的跨站脚本攻击、SQL注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护，提供WEB应用或网站的基本安全保障。天泰安全团队经过多年的安全研究和市场实践，研发了虚拟服务器补丁技术用于缓解

17、WEB服务器漏洞的零日攻击、和不安全配置带来的安全隐患。集成的会话签名鉴别技术和分级授权模块专用于防护WEB应用系统面临的认证威胁，如失效的会话管理缺陷、不安全的会话密钥管理缺陷等均可通过天泰WEB安全网关进行快速修复。提供防止应用DOS攻击和暴力口令破解技术，解决大规模异常访问导致应用系统面临的性能问题，甚至系统崩溃、服务中断等恶性事件的发生。4.1.2策略适应性优秀的安全策略不仅需要有广泛的应用系统覆盖面、还需要有细的匹配粒度和良好的应用系统适应性。天泰安全网关的策略基于URI、时间、访问者、访问状态、访问工具、访问内容等对象定制安全规则，每条规则在发布前均通过严格的适应性测试，特别针对国

18、内数百家WEB应用系统进行测试，确保规则安全稳定、无误判。4.1.3学习引擎与白名单模式、主动防御时代的到来安全防护技术可以分和黑名单防护技术和白名单防护技术，黑名单技术目前被大量应用，基于黑名单的防护技术可以防护已知的攻击行为，但对于未知的或已知规则的变种则无法防护。白名单技术可以有效的防护黑名单无法解决的问题，然而由于WEB应用系统的复杂多样，所以白名单技术在实施过程中通常十分复杂并可能导致误判。经过长期的研发与实践，天泰自适应引擎（TSAdaptive）让白名单防护技术成为了可能。在天泰WEB安全Positive模式下，识别攻击行为不再依赖于已知的攻击特征，而是基于用户应用系统的正常请求

19、特征和签名列表。自适应引擎生成的推荐规则专用于特定的应用系统，最大限度的降低了黑名单技术带来的误判、漏判、零日攻击等无法解决的技术难题。4.1.4基于状态的分析WEB应用防火墙技术在开发初期是完全基于规则匹配的响应机制，表现为无状态特性。随着防护技术的不断提高及面临日益严重的零日攻击威胁，天泰WEB安全网关开创性的采用了应用防火墙状态防护技术，对会话管理、请求伪造、盗链等行为进行识别和防护；对攻击者的入侵扫描、探测、渗透过程进行状态识别和跟踪，快速定位威胁，及时告警或阻止。4.1.5与网络层联动的防御技术WEB应用受到攻击，WEB安全网关应当采取行之有效的防护措施。天泰WEB安全网关在检测到有

20、攻击流量时会跟据不同的安全级别做出对应的响应，如阻断并给出伪装或告警信息。当检测到有持继的攻击流量时，天泰WEB安全网关将会采取一系列的安全联动措施，如基于状态的威胁识别和限时锁定措施将入侵者进行延时锁定，或者及时将可疑攻击通过邮件、短信、SNMP、Syslog通知安全管理员，及时采取安全措施，降低攻击带来的损失。4.2日志审计与管理日志分析与管理模块作为安全产品与安全管理人员交互最为重要的接口，其日志审计贮存的形式、内容和可提供的建议对安全管理员保持应用系统长期安全运行起到重要作用。4.2.1安全日志日志不仅为管理员提供威胁管理的平台，同时也是安全取证和策略调整的依据。因此要求日志记录的尽可

21、能详细和精确，并可根据审计的要求对特定数据进行筛选和审计。天泰WEB安全网关可提供定时报表和即时分析功能，通过分析有助于安全管理人员把握应用系统安全现状，及时调整安全策略，并针对威胁等级较高的攻击进行提醒，提出建议性解决办法。图4-2 天泰WEB安全的统计报表系统的安全是需要通过不断的评估、响应、防护和加固安全策略从而达到一个动态的平衡。天泰为用户提供以WEB安全网关为载体、以安全策略为核心的防护机制，检测到可疑威胁的情况时可使用天泰的自适应引擎实现新策略的生成，提高安全管理员的工作效率。4.2.2访问日志天泰WEB安全网关详尽纪录和有效统计用户对Web应用资源的访问，包括页面点击率、客户端地

22、址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析。生成基于地区区域的访问统计，便于识别WEB应用的访问群体是否符合预期，为应用优化提供指导。4.3性能优化方案应用系统的可用性是构成系统安全的重要组成部分，应用系统访问延时、堵塞、服务中断、性能急剧下降等都会导致系统可用性下降。对于公众开放的应用系统的可用性的安全等级通常放在首位。如何经济高效的保障应用系统的可用性是管理人员在进行安全规划时的首要问题。性能优化方面，天泰针对不同用户的需求提供了多种性能优化方案供用户选择。4.3.1站点集群技术在应用系统设计开发阶段融入天泰WEB安全的WEB应用集群功能

23、可以提高软件开发的效率、取代由软件实现站点集群的性能瓶颈和繁琐的技术细节，提升整个应用系统的性能。通过站点集群技术您可以实现站点网页文件、图片、媒体文件的分离与整合，也可以方便实现不同应子系统的拆分。利用天泰WEB安全网关还可以实现站点文本、图片文件域名分离，从而提缩短用户下载网页的时间，提高用户体验。图4-3 天泰WEB安全网关的集群服务4.3.2负载均衡天泰WEB安全网关提供高可用性、负载均衡以及基于HTTP应用的代理，作为快速并且高可靠的一种负载均衡产品，天泰WEB安全网关特别适用于那些负载特大的WEB站点，这些站点通常又需要会话保持或七层处理。图4-4 天泰WEB安全网关的负载均衡服务

24、天泰WEB安全网关提供成熟的负载均衡解决方案，支持的负载均衡模式有：平均分发、压力分发、请求路径分发、请求参数分发，并支持WEB应用系统的会话保持功能、服务状态监测与故障切换功能。4.3.3 WEB加速基于现有环境的WEB加速功能可使用户不改变现有环境的情况下提升访问WEB应用的速度；天泰WebCompress引擎对Web应用数据进行实时智能压缩，改善终端用户性能，降低带宽消耗。WebCache引擎对静态应用内容的高速缓存，显著减少服务器负载。双向TCP连接池和高效复用算法将上千短连接优化为少量持久的服务器连接，减轻服务器压力，改善服务器性能，提高应用响应速度，降低服务延迟。图4-6 天泰WE

25、B安全网关的加速功能4.4访问控制与SSL加速如果应用系统需要对访问者身份进行识别和授权，从而保障数据的机密性，此时可以使用天泰WEB安全网关的访问控制功能以及SSL加功能。该功能特别适用于已经交付使用的应用系统，不需要修改程序代码，通过WEB安全网关实现访问控制和SSL加速。如WEB站点的管理后台通常直接暴露在外网，仅依赖于口令强度和简易的验证码进行访问控制，类似这种应用可以通过天泰WEB安全网关的访问控制功能实现身份识别和访问控制以提高应用系统的安全性。4.4.1 时域、地域锁定服务天泰安全服务团队长期对国内网站入侵事件提供应急响应服务，结合多年的服务经验发现针对国内站点被入侵的时间和IP

26、地址对应的地理位置特性，并将这个特性整合进了天泰WEB安全网关。对网站指定路径定时锁定，如网站的信息提交功能深夜至凌晨锁定，政府事业单位的网点仅限于国内IP地址的用户可以访问等功能，从而将易受到攻击的时段、区域进屏蔽。天泰WEB安全网关集成了基于时间、页面、和客户端IP地址的网络层联动防护技术，方便管理员对站点的控制，如业务系统只有工作时间才对外开放，后台管理系统只有指定范围的IP才可访问，涉及政务查询的数据仅国内或省内访问者可访问等功能均可通过天泰WEB安全网关实现。图4-7 天泰WEB安全网关的地域锁定功能4.4.2 SSL认证服务天泰WEB安全网关集成了SSL加密功能，应用内容在传输过程

27、中都受加密保护，通过转移服务器复杂的加/解密任务从而将应用处理能力发挥到了极致。该功能使管理员能保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜在威胁。适用于电子政务、电子商务等对数据机密性要求较高的场合。图4-7 天泰WEB安全网关的SSL认证服务4.4.3 URL认证技术失效的会话管理、弱口令等缺陷给WEB应用系统带来巨大的安全隐患，然而对于一些已经交付运行的应用系统，最佳的解决办法是采用第三方的认证管理技术进行控制，而不是对原来程序进行修复。天泰WEB安全网关可以对指定的WEB资源进行访问控制，并结合LDAP、RADIUS、AD等认证服务器提高WEB应用系统的安全性。第五章 产品的选型

28、与部署5.1安全产品的设计与选型5.1.1产品设计目标针对目前日益增多的应用层网络攻击行为，需要对网站能够提供有效的安全防护，选用天泰WEB安全网关对公司门户网站、邮件系统、招标网站进行应用安全防护，防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝DDoS攻击，保障系统服务的持续性。为保障XX单位对外业务系统的高可用、高安全性，我们将要部署一台设备对门户网站、招标网、邮件系统网站进行安全防护。5.1.2产品选型原则 安全性：对网站进行有效的防护，加强应用层的综合防护； 可靠性：提供的安全防护设备具有较高的可靠性； 先进性：采用先进、成熟的技术和主流的产品，使网络建设能适应未

29、来的需求； 实用性：系统设计以实用性为原则，同时应考虑到系统的开放性，兼容性、技术支持服务等能力； 兼容性：要求对现有的系统具有良好的兼容性。5.1.3 产品选型参考上海天泰公司在大量应用新技术的条件下，推出了“新一代”Web安全网关。在占领WEB安全技术的制高点上，天泰公司站在Web安全的最前沿。对于用户普遍关心的Web安全防御中的性能损耗问题，上海天泰Web安全网关通过采用缓存、压缩、连接保持等技术提升了WEB系统性能，在最近XX行业的系统上，使用天泰Web安全网关提高访问速度近30倍。根据XX单位网站WEB应用系统的实际需求，推荐采用上海天泰WAF-T3-2000-S型设备，具体产品功能

30、和性能参数如下：项目类别技术参数产品形态产品规格：2U机架式物理接口：1000BASE-T4，RS2321产品性能HTTP请求/秒：20,000TCP并发连接：2,000,000部署方式支持路由、透明、单臂等多种部署模式支持链路聚合，提升链路带宽和可靠性支持策略路由，能支持多条链路接入分布式模式，产品内置WebAP/WebUTM/WebSwitch引擎，可以分别部署多台硬件平台，大大提高处理能力网络防护具有状态监测防火墙功能，支持基于五元组的访问控制具有端口映射功能，支持SNAT、DNAT和PNAT支持MAC地址绑定，防止ARP假冒与攻击能防御常见DOS攻击WEB防护专用的WebUTM引擎，统

31、一防范针对WEB应用的各种威胁能够对HTTP数据流进行双向深度检查，具备完全的HTTP协议和事务解析能力能够阻断攻击探测，防止对WEB应用和服务器等信息的恶意获取和特征收集能够阻止SQL注入、跨站脚本、目录泄漏、目录遍历、COOKIE假冒、认证逃避、命令行注入等常见攻击行为支持黑、白名单技术，能防护应用系统免遭常见和未知的WEB攻击提供网页防盗链功能，防止WEB资源被盗用提供对网页挂马的主动监测，当检测到网页被挂马时，能通过邮件或短消息进行告警具有自动学习引擎，能自动对双向的HTTP流量进行智能分析，并能自动学习到后台WEB服务器及WEB站点和目录结构检测到攻击时，能选择阻断当前请求或阻断攻击

32、者的IP；并通过控制台、Mail等多种方法进行告警内置600多条攻击特征库，支持攻击特征库自动升级；支持自定义防护规则应用加速能对Web应用数据进行实时智能压缩，改善终端用户性能，提高带宽利用率提供对静态应用内容高速缓存，显著减少服务器负载具有连接保持功能，双向TCP连接池和高效复用算法优化服务器连接，改善服务器性能提高响应速度能限制WEB服务器最大服务能力，防止因为请求浪涌导致服务器异常应用控制URL级别的流量管理，可以最大限度的缓解WEB服务器因访问量大而造成的DOS攻击访问过载保护功能可以自动保护已经建立的连接，将后续的连接放入连接队列提供URL级别的访问控制，针对不同的URL设置不同的

33、访问权限，可基于用户、IP范围、用户组等权限的访问控制对应用服务进行准确的监控，及时发现WEB应用状态异常可以对网站管理后台使用SSL发布，采用双向数字证书认证，保护数据通信的完整性和机密性行为审计能记录站点访问日志，提供基于访问日志的用户行为分析与审计能够对页面点击率、客户端地址、访问流量和时间等进行有效的行为跟踪和审计能导出站点访问日志，为外部日志分析系统提供访问日志原始数据对攻击来源、数据、时间、处理结果形成列表，提供多种审计报表为系统的安全审计提供丰富的审计报表，支持标准第三方SYSLOG日志服务器内置IP地址信息库，实现发现访问和攻击网站的用户区域分布篡改保护能实时检测页面是否被篡改

34、，支持数字水印、相似度、内容取样等多种算法动态防篡改功能，支持对动态页面的防篡改，有效防止对后台数据库的篡改行为检测到篡改发生后，支持发送镜像内容，阻断或者页面重定向等响应动作具有可选的篡改恢复软件模块，可以实时恢复被篡改的页面高级应用支持应用负载均衡模块，支持平均分发，压力分发，请求分发，请求参数分发等算法支持静默扫描模块，为上线的应用系统提供实时安全评估支持SSLAccel模块，可以分担应用服务器SSL运算压力，有效提升了服务器处理能力支持WEB诱捕模块，能吸引攻击者的注意力，降低应用系统被攻击的风险，同时能记录攻击者IP和攻击手段高可用性支持双机热备功能，可灵活选择集群、热备的应用模式支

35、持软件BYPASS功能，当产品出现故障或用户有特殊需要时能停止防护而不中断正常应用支持硬件BYPASS功能，当硬件故障或者系统掉电时，防止网络和应用出现中断设备管理产品管理图形界面（GUI）以及产品文档均为中文以SSL加密的WEB图形化界面进行设备管理，并可通过专用管理接口进行管理能指定管理员远程管理允许登录的IP或网段,可以限制管理员登录次数，并能锁定恶意登录者的IP支持SNMP，能接受专用的网络管理系统的集中管理5.2安全产品的部署与实施5.2.1 产品部署分析Web安全网关主要是对XX单位的门户网站、招标网、邮件应用系统的服务器进行应用安全防护。天泰web安全网关主要接入方式有：透明方式

36、、路由方式和单臂方式等。在确定保护对象后，要根据应用和产品适应网络的情况不同，采用合适的部署方式。透明或路由方式部署透明方式和路由方式的部署位置极为相似，均需要串联接入网络中，所有访问web服务器的数据都需要通过web安全网关设备，web安全网关除了需要分析http应用的数据以外还需要处理非http协议的数据流，对设备的性能要求较高。路由方式： 设备接口分别设置为不同网段的地址，具有基本路由功能； 能够进行源地址转换和目标地址转换功能； 支持软件安全防护BYPASS功能； 需要防火墙将原来影射到web服务器地址的信息更改为影射到web安全网关的外部地址。透明方式： 设备接口在同一个网段，接入方

37、便，不需要更改网络配置； 支持软硬件BYPASS功能； 支持路由转发功能。5.2.2 产品部署方式根据我们对XX单位网站的研究，以尽可能不改变目前网络和故障恢复便利为设计原则，最大的提高网络安全性为要求，我们推荐使用透明方式进行接入。以下具体说明：（1）透明方式接入就是web安全网关安装后，用户在使用时意识不到该设备的存在，在用户无所察觉的情况下提高网络的整体安全。（2）在网络设备出现人为或自然的破坏以后将影响到网络链路的畅通，采用透明式安装方式可以非常方便的恢复网络链路的畅通性，只需关闭web安全网关即可。虽然暂时失去对web服务器的保护，但降低了由于网络链路故障导致网站不能正常打开所带来的损失。所以，根据我们研究，推荐使用透明方式部署。将WEB安全网关部署于服务器的前端，不需要更改任何网络层的配置，仅需分配给WEB安全网关一个可路由的IP地址即可。WEB防护拓扑结构图：第六章 产品售后服务体系本方案中涉及的安全产品售后服务如下：上海天泰在维护责任期内，提供技术后援支持，为用户网络系统中本项目涉及的