任子行WAF应用防火墙柠檬豆解决方案.docx
《任子行WAF应用防火墙柠檬豆解决方案.docx》由会员分享,可在线阅读,更多相关《任子行WAF应用防火墙柠檬豆解决方案.docx(11页珍藏版)》请在冰豆网上搜索。
任子行WAF应用防火墙柠檬豆解决方案
柠檬豆网站安全等级提升
解决方案
©2016任子行网络技术股份有限公司
一.背景
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个网站数据等攻击。
而这些攻击过程中产生的网络层数据,和正常数据没有什么区别
以下是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的2014年4月份我国境内网站被篡改13526个,平均每天多达450多个较08上半年统计数字翻了一倍,数字非常惊人。
从上图我们看出,网站被篡改的数目以每年呈上升趋势。
在WEB应用非常普及且至关重要的今天,网站的防黑防篡改已成为每一个企业或事业单位网络运维部门的迫在眉急的重大任务。
很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?
其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。
目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过防火墙保证内部网络不会被外部网络非法接入。
所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。
IDS、IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出已知的网络攻击,达到对应用层攻击的防护。
但是对于未知攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
二、柠檬豆网络现状
1.柠檬豆门户站点服务器群部署在北京阿里云IDC机房,租用阿里云一公网IP:
182.92.31.137,集群共有7台物理服务器,近期业务系统受黑客到多次攻击。
2.青岛内网较为简单,办公营业区域和研发区域各有一条运营商外线接入,内网无安全设备,处于家用级网络架构。
三、柠檬豆企业网站安全建设必要性
企业网站进行全面信息安全体系设计和建设的必要性:
1、网站布局与安全相关的信息泄露安全威胁
2、网页内容被篡改安全威胁
3、网站数据库内容泄露安全威胁
四、任子行SURF-WAF应用防护解决方案
4.1、需求分析
4.1.1针对WEB的攻击
现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。
Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。
网络的发展历史也可以说是攻击与防护不断交织发展的过程。
目前,全球网络用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。
4.1.2WEB漏洞
Web应用系统有着其固有的开发特点:
经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致Web应用出现了很多的漏洞。
另外,管理员对Web服务器的配置不当也会造成很多漏洞。
目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种,常见的攻击手段包括:
注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。
攻击目的包括:
非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。
4.1.3信息安全三级保护要求
国家信息等级安全保护三级保护要应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能偶发现安全漏洞和安全事件,在系统早到损害后,能够较快的恢复绝大部分功能
五、建设原则:
先进性和经济性原则
采用业界主流的平台,系统具有先进性,并保证系统的可移植性。
在采用先进技术的同时也能考虑系统经济实用以及对以往投资设备的使用。
可靠性原则
软件系统的运行必须具有很高的可靠性,具有良好的容错性。
满足在一定的故障、灾难发生时,仍能保证平台的不间断运行。
可维护性原则
系统必须易于维护。
能够方便的监测到系统运行的情况,以及各级系统运行状态等。
可扩展性原则
网络技术在不断发展,相应安全业务也在不断发展,因此,平台的建设必须满足可扩展性的要求。
结构设计模块化,接口标准要统一;在系统建设和开发过程中的每个环节,遵循和参照有关国家主流技术标准。
开放性原则
系统中每种设备、软件必须具有良好的开放性,所有硬、软件都应遵循业界相关标准,支持开放的标准接口,使整个系统成为一个统一的整体。
成熟性原则
为保证系统的可靠性,采用被业界广泛采用的软、硬件技术。
系统安全性原则
系统设计必须从网络、系统和数据等各层次上考虑信息的安全性。
系统易用性和友好性原则
提供友好的用户操作界面,具备直观易用的人机界面,贴近网监部门的业务流程。
六、解决方案
6.1规划拓扑图
根据以上分析,我们为俊誉公司选择任子行SURF-WAF设备来进行本次WEB防护的建设,系统整体建设部署如下图:
6.2网络架构描述
方案采用两台SURF-WAF产品进行双机热备部署,网络访问服务器时,首先访问在WAF上的虚拟服务器地址,经WAF进行数据检测后,符合要求的访问链接将被重新制定到真实服务器上,为符合要求的访问将被禁止。
可以有效地防止各类攻击行为。
综合描述:
即事前可预防、事中检测防护、事后可及时恢复篡改。
6.3部署后效果预期
1.精确判定业务服务器安全威胁及其他各种业务服务器入侵行为,阻断对web服务器的恶意访问与非法操作,适应web2.0时代的主动实时监测过滤风险技术,从而做到对web服务器的多重保护。
2.确保业务服务器安全的最大化,防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防数据库泄密、防XSS攻击等。
6.4SURF-WAF产品介绍
6.3.1WEB应用安全面临新的挑战
web网络应用对于攻击者是最有吸引力的目标,它们往往是公共应用开放互联网的接口并提供主要的电子商务和商业业务工具。
Web应用程序连接到后台数据库,这些数据库是可能是企业重要信息库。
存储公司业务数据和其他一些敏感信息。
根据SANS攻击网络应用程序报告,超过60%的总击在互联网web程序上。
网络应用缺陷如:
SQL注入、跨站脚本缺陷占web应用攻击80%以上,但是这些漏洞却经常不被发现。
网络安全威胁的不断进化使得个人或一些组织可以发起规模性协同性的攻击,目的是金钱或其他目的上的获利。
如今攻击者通过僵尸网络等手段感染服务器主机或控制受感染的设备,用于自动钓鱼、或伪装为垃圾邮件发送源,或用于DDoS攻击。
用户需要对这些应用层的攻击例如SQL注入与跨站脚本攻击部署新的解决方案。
6.3.2任子行WEB应用防火墙
任子行web应用防火墙是任子行公司在多年应用安全技术积累的基础上,自主开发的新一代安全产品,可部署于中大型企业、应用服务器提供商与SaaS提供商网络中,作为专门的web应用防火墙设备。
任子行web应用防火墙除了常用的WAF防护功能外,还包含了web漏洞扫描、应用加速和负载均衡等功能,协助用户完成符合各种信息监管法规或公司内部数据保护规定的网络建设和加固。
6.3.3任子行web应用防火墙全方位防护
•皆具WAF与集成漏洞扫描功能
•OWASPTop10攻击的防御
•僵尸网络与恶意访问的持续与自动防御
•僵尸网络分析模块可对流量进行恶意僵尸程序、网络爬虫、扫描程序、搜索引擎等分析。
•网络与应用层DoS防御
•用户行为与Web应用架构分析
•流量来源的地理位置与安全性分析
•反病毒文件扫描
•定期更新Web行为特征库
6.3.4任子行web应用防火墙产品特色
漏洞防护
•应用层漏洞扫描:
可对最为复杂的攻击例如常见漏洞、SQL注入、跨站脚本、源码泄露、CSRF与其他攻击提供现成的防御,以计划扫面和按需扫描两种方式进行防护,并且可以精细的控制扫描范围。
•漏洞评估:
自动扫描并分析设置保护的Web应用并检测安全漏洞、潜在的已知或未知漏洞,根据多个维度生成评估报告,并自动通过邮件发送,让用户实时掌握web应用的安全情况。
对多元化的攻击的防御,可做到以下威胁的阻断:
OWASPtop10的攻击防御:
任子行web应用防火墙SURF-WAF可提供基于双向流量的主动与被动的攻击检测,内嵌的行为特征库,可防御OWASP所列出的TOP10的攻击。
DDoS攻击:
识别发出DDoS攻击的攻击源
钓鱼:
钓鱼攻击或主机钓鱼网站的识别
匿名代理:
来自付费收买的匿名流量或来自伪装为真是客户端的匿名代理。
恶意软件:
感染恶意软件的主机
垃圾邮件发送端:
被作为垃圾邮件发送端
应用交付
应用负载均衡:
智能7层应用负载分担、丰富的均衡算法、持久性的连接、灵活的健康检查,消除了性能瓶颈,减少了部署的复杂性并提供无缝的应用集成。
•SSL卸载:
通过硬件方面的加速SSL卸载,加速了Web会话的处理速度
•数据压缩:
对内容进行优化压缩,以尽量减少对网络资源和降低应用交付延迟的影响;将从服务器取回的数据进行压缩,实现高效的带宽利用率和响应时间,为用户通过压缩数据从服务器检索。
终极防御与监控
•自学习的安全配置功能:
根据持续并实时的对网络中用户活动的监控,自动且动态创建一套应用保护模式。
减少了手动配置安全选项的过程
•敏感信息防泄漏:
通过对外向流量的严格监控可防御信用卡信息与应用信息
的泄漏。
用户可结合预定义的规则创建颗粒化的管控特征,并启动相应的动作
•网页防篡改:
网页防篡改并会自动且快速恢复为存储的版本
•HTTPRFC合规校验:
SURF-WAF可阻断控制HTTP协议的攻击,保持严格的RFC标准以防御注入代码攻击、缓存一处与其他针对应用的攻击
•防病毒:
SURF-WAF还可以启用反病毒引擎扫描上传的文件。
6.3.5SURF-WAF可防御广泛的应用攻击
•跨站脚本•SQL注入•会话劫持•Cookie篡改与中毒
•类型篡改•隐藏域操纵•外向流量泄露•HTTP请求走私
•编码攻击•中断访问控制•暴力浏览•目录穿越
•网站扫描•搜索引擎劫持•暴力登录破解•访问频率控制
•缓存溢出•XML入侵防御•0Day攻击•外部实体攻击
•命令注入•远程文件夹带•跨站请求伪造(CSRF)
•循环的有效负载•Schema中毒•拒绝服务攻击
6.3.6任子行web应用防火墙灵活的部署方式和高效的管理
•多样的部署选择:
透明检测模式、纯透明代理模式、反向代理模式与离线模式的多重部署方式,使SURF-WAF可适用于任何网络环境。
•支持IPv6:
IPv4与IPv6的双栈支持,简化了网络配置
•认证卸载:
Web服务器的认证可以转移到SURF-WAF平台,可支持不同的认证方式,包括Local、LDAP、NTLM与RADIUS
•预定义策略:
支持一键式部署,极大简化了策略创建的步骤
•高可用性:
高可用性模式可提供配置同步并支持故障恢复,以应对突发网络事件。
设备集成的旁路接口同时在单机部署情形下的故障恢复功能。
升级会员 