XXXX WAF网站保护系统解决方案Word格式.docx
《XXXX WAF网站保护系统解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《XXXX WAF网站保护系统解决方案Word格式.docx(12页珍藏版)》请在冰豆网上搜索。
3.4总体设计方案5
4产品部署方案5
4.1产品选型5
4.2产品部署示意图5
4.3详细部署介绍6
4.4部署后可达到的效果6
5XXXXWAF网站保护系统主要功能7
5.1漏洞防护7
5.2攻击防护7
5.3网页代码检查8
5.4访问加速8
5.5访问分析8
5.6挂马检测8
5.7XXXXWAF技术优势8
6XXXX售后服务体系9
6.1服务团队9
6.2服务能力9
6.3服务项目10
6.3.1技术咨询服务10
6.3.2远程协助服务10
6.3.3产品重部署支持11
6.3.4产品升级服务11
6.3.5产品保修服务11
6.3.6产品维修服务11
6.3.7培训服务11
1项目背景
我国互联网用户规模也快速增长,网络基础设施的迅速发展为互联网取得成功提供了坚实的基础,电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利,而且正在创造着巨大的财富。
截至2008年底,中国网站数量已经增长至287万个,网页数增长至160.9亿个,提供WEB服务的主机成为黑客攻击的新对象。
在利益的驱使下,网站挂马成为黑客产业链上的重要环节,黑客对WEB服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入,给企业和政府核心业务造成严重的破坏。
利用网站传播木马和病毒涉及的受害群体范围广,并且有可能在用户不知情的情况下成为黑客的傀儡主机,被黑客利用进行更深一步的犯罪行为。
1.1网络现状分析
组织机构名称通过经过多年的建设,XXXX已经形成了比较完善的局域内网、DMZ区外网业务网络。
内网是内部办公网,使用防火墙、IPS等安全设备对互联网进行隔离保护。
DMZ区外网业务网络是对外部提供Web服务的网络区域,使用防火墙进行DMZ区隔离保护,同时部署了IPS进行安全防护。
组织机构名称网络的拓扑结构如下图所示。
图1XXXX网络现状图
1.2Web安全现状分析
近年来组织机构名称网络业务承载日益多元化,XXXX对外网站系统是其对外门户网站,向外部提供组织机构名称信息的重要平台。
伴随着我国信息化产业的发展,大批针对于网站的黑客攻击,恶意挂马,网站篡改等不法行为也越来越猖獗,根据IDC统计,2005年以来很多政府单位、事业单位以及大型国企网站被恶意攻击,严重影响了正常业务,带来了不良的社会影响。
据统计,在2009年第一季度里,每周都有1千万以上的网页被植入木马,网站安全正面临着前所未有的挑战。
一般挂马网站集中在政府门户、大型国企门户等重要的单位网站,此类网站一旦被挂马,会造成恶劣影响,影响组织机构的公众形象。
图2中国大陆地区被篡改网页数量统计报告(数据来源:
CNCERT/CC)
针对Web应用的传统防御方法,例如IPS/防火墙/UTM等传统的安全设备,已经不能对Web服务器提供有效保护,黑客攻击技术的快速更新需要更加多元化的防御方法。
对于网站安全而言,建立起结构化,立体式的Web纵深防御体系迫在眉睫。
以XXXXWAF为主要部件的XXXX网站保护系统在动态防御技术上相对领先,部署后能显著提高Web服务器的安全防御级别,能够有效提高网站性能,同时减少服务器负载,直接降低了用户管理成本和安全运维成本,更加突显产品的实用价值。
2安全风险及需求分析
组织机构名称系统网络结构复杂,应用多种多样,内部终端和服务器众多,在对组织机构名称系统进行初步分析后,系统网络中目前面临以下安全风险:
2.1安全风险分析
随着互联网应用的发展,基于网络的信息服务方式也在不断的发生改变,基于互联网的新型服务方式在为应用提供方便的同时,也将自身服务器暴露在了病毒和黑客面前。
如果这些服务器一旦瘫痪或者因被人植入后门程序而造成被远程控制数据被窃取,后果不堪设想。
为了保证业务数据的正常流通和安全,需对这些重要的Web服务器进行全方位的安全防护。
实际情况是这些服务器的安全防护情况并不理想,主要存在以下几个方面的问题:
●Web服务软件开发复杂,工作量大,想要在海量的动态Web页面代码中,找到安全漏洞,并修补它们,是非常困难和高成本的持续性工作。
●Web服务器软件自身的漏洞问题频出,这些漏洞很容易被黑客和病毒利用,成为被攻击和注入/挂马的牺牲品。
●考虑到兼容性问题,Web服务器通常不会及时更新补丁,这更造成服务器容易被病毒或黑客入侵,从而使组织机构面临很大的网络安全风险。
●网络应用较多,而维护人员相对较少。
这些人员一方面要维护重要服务器的运行,网络服务的正常开展,另一方面又要监控网络运行和安全状况,工作压力很大,无法顾及到所有服务器的实时安全情况,导致当网络中出现安全隐患后不被及时发现,或者发现后未能及时处理,最终这些微小的隐患可能造成更加严重的后果
目前该网络采取的对Web服务器的防护方式主要是使用防火墙作为安全防护的基础设施,同时辅以IPS设备作为应用层安全检测设备,同时在服务器端安装杀毒软件作为最后一道防线。
这样的解决方案存在如下弱点:
●防火墙设备对于开放端口的Web服务没有防护能力。
一般的网络中都会部署防火墙作为安全防护设备,但防火墙仅能控制非授权IP对内不得访问,对外应用服务器,是被防火墙允许的访问。
由于实现原理的限制,防火墙对于病毒或黑客在应用层面的入侵攻击“视而不见”。
●入侵检测防御系统(IPS)对于病毒的攻击行为反应缓慢。
IPS主要负责监测网络中的异常流量,对受保护网络提供主动、实时的防护,特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。
由于IPS对WEB的检测粒度很粗,随着网络技术和Web应用的发展复杂化,IPS在更需要专业安全防护特性的WEB防护领域已经开始力不从心。
●Web服务器端是Web安全防护的重要环节,虽然Web服务器做了相关的安全防护。
但服务器端的安全设置较为专业、复杂,一旦设置不合理,就使得Web服务器端很容易成为恶意攻击入侵的对象。
3网站防护方案设计
3.1实现目标
通过XXXX的信息安全技术和丰富的安全防护设计经验,为XXXXWeb系统提供一个技术领先、稳定可靠的网站保护防御体系,有效抵御各种恶意威胁的攻击,提高网站系统的安全级别和防御水平。
3.2设计原则
根据XXXX网络系统的现状和系统安全和管理的需要,我们考虑保护系统应遵循以下几条原则:
●技术和产品的成熟性和稳定性。
充分考虑网站保护产品本身和技术上的成熟性。
网站保护系统必须是成熟而且经受大量用户实例考验的产品。
●可管理性。
对于这样安全防护产品,要管理安全防护规则的升级、配置和支持是非常难的事,这就要求提供一个方便管理的平台。
系统必须提供简化管理的工具,包括对攻击特征文件和防护引擎的分发升级、报警管理和日志分析整理等。
●易用性。
网络中设备及软件较多,各类网络产品种类繁多,对于网络管理员来说产品友好易用性将起到事半功倍的效果。
3.3参考标准
Ø
ISO15408/GB/T18336《信息技术安全技术信息技术安全性评估准则,第一部分简介和一般模型》;
ISO15408/GB/T18336《信息技术安全技术信息技术安全性评估准则,第二部分安全功能要求》;
ISO15408/GB/T18336《信息技术安全技术信息技术安全性评估准则,第三部分安全保证要求》;
国务院令第147号《中华人民共和国计算机信息系统安全保护条例》
公通字[2007]43号《信息安全等级保护管理办法》
GA-243-2000《计算机病毒防治产品评级准则》
公安部令第51号《计算机病毒防治管理办法》
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》;
GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》
GB20986-2007-Z《信息安全技术信息安全事件分类分级指南》
3.4总体设计方案
在组织机构名称网络系统中串行部署XXXXWAF网站保护系统,将所有Web访问流量进行深度检测和过滤,阻挡恶意Web请求流量,以实现对组织机构名称网站系统的全方位安全保护。
4产品部署方案
4.1产品选型
根据组织机构名称网站带宽和业务流量及应用的实际情况,我们推荐使用XXXXWAF产品——型号名称高性能网站保护系统。
该系统处理性能参数如下表:
参数
值
备注
网络接口数量
Web吞吐量
CPS处理能力
ConnectionsPersecond
并发连接数
4.2产品部署示意图
针对网络结构及所面临的风险不同,XXXXWAF网站保护系统在网中可以采用多种方式灵活部署。
图5网站保护系统在web外网服务区中的部署
此部署方式适用于DMZ区Web服务器区环境,在交换机上串行接入XXXXWAF系统,所有Web请求和恶意访问攻击均由XXXXWAF系统来承担处理,清洗、过滤后XXXXWAF系统向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。
这样可以很好的防范来自互联网的威胁,保护网站的安全、稳定、高性能运行。
4.3详细部署介绍
组织机构名称网络中在网关处已经部署了防火墙产品和IPS安全产品,建议网站保护系统的部署采用纯透明串行接入模式。
纯透明串行接入方式可以在不改变原有网络结构的情况下接入,一般放置在路由器或防火墙设备后面的交换机上。
这样接入的优点是:
●对现有网络结构的完全不影响。
●安装、部署方便简单。
4.4部署后可达到的效果
通过部署网站保护系统,可以使网络中Web服务器的安全性得到大幅提升。
●简单的接入方式部署快速简单,无需更改现有网络拓扑结构。
XXXXWAF保护系统以纯透明串行接入,对现有网络的不产生影响;
无需改动网络拓扑模式,接入简单、方便。
●Web访问数据清洗、过滤。
对于客户端的每个请求进行深度的检测、清洗、过滤,有效阻击恶意请求,SQL注入,SQL盲注、密码猜测,网站扫描,XSS攻击,表单字段篡改、参数篡改、网页include脚本注入攻击、恶意代码、跨站请求伪造(CSRF)、跨站脚本(XSS)、会话劫持GoogleHacking等的深度防御。
●保护网站服务器免受漏洞攻击。
对代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡改、URL重定向等多种漏洞攻击进行有效防护。
●强大的Web攻击防护。
XXXXWAF网站保护系统对客户度请求提供多重检查机制和智能分析,确保对高安全风险级别攻击事件的准确识别率,针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段,提供了有效识别、阻断并告警。
●降低服务器压力,节省带宽。
通过XXXXWAF网站保护系统的访问加速功能,将用户经常访问的页面和最近访问的页面缓存到系统本地内存直接发送,降低服务器压力。
还可以开启压缩功能,节省带宽资源,降低出口网络拥堵的风险。
●详细掌握网站访问状况。
通过访问分析,全面掌握时段流量、PV,关键词搜索,搜索引擎收录,等访问分析数据,全面掌握网站的运营情况;
为管理员改进网站功能和合理分配服务器资源提供可靠的依据。
●通过日志报表能够及时发现网站的安全隐患。
XXXXWAF网站保护系统具备完善的日志
升级会员 