WEB应用安全防护系统建设方案.docx

1、WEB应用安全防护系统建设方案Web应用安全防护系统解决方案 郑州大学西亚斯国际学院2013年8月学校WEB应用安全防护Web应用防护安全解决方案 一、需求概述1.1 背景介绍随着学校对信息化的不断建设，已经具有完备的校园网络，学校部署了大量信息系统和网站，包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站，各业务应用系统都通过互联网平台得到整体应用，校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放，特别是学校的门户网站，由于招生与社会影响，要求在系统Web保护方面十分重要。1.2 需求分析 很多人认为，在网络中不断部署

2、防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于 TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对

3、于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。总体说来，容易导致学校Web服务器被攻击的主要攻击手段有以下几种： 缓冲区溢出攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令 SQL注入构造SQL代码让服务器执行，获取敏感数据 跨站脚本攻击提交非法脚本，其他用户浏览时盗取用户帐号等信息 拒绝服务攻击构造大量的非法请求，使Web服务器不能相应正常用户的访问 认证逃避攻击者利用不安全的证书和身份管理 非法输入在动态网页的输入中使用各种非法数据，获取服务器敏感数据 强制访问访问未授权的网页 隐藏变量篡改

4、对网页中的隐藏变量进行修改，欺骗服务器程序 Cookie假冒精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析学校对WEB应用安全防护非常重视，在内网部署有高端防火墙，同时内网部署有众多应用服务器，网络示意图如下：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，作为整体安全中不可缺少的重要模块，局限于自身产品定位和防护深度，不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法，就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为，对其进行

5、有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题，我们看到学校在Web服务器安全防护时需要解决以下几个问题： 跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户，常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不可能做到完美，因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据，造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，获得系统管理员权限。CC攻击CC攻击

6、目前是最新出现针对Web系统的特殊攻击方式，通过构造特殊的攻击报文，以到达消耗应用平台的服务器计算资源为目的（其中以消耗CPU资源最为常见），最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给学校形象造成不可估量的损失。拒绝服务攻击通过DOS攻击请求，以到达消耗应用平台的网络资源为目的，最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给政府形象造成不可估量的损失。Cookies/Seesion劫持Cookies/Seesion通常用户用户身份认证，别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限，或者伪装他人的身份登录。1.3 网络

7、安全防护策略1.3.1 “长鞭效应（bullwhip effect）”网络安全的防护同管理学的“长鞭效应（bullwhip effect）”具有相似的特性，就是要注重防患于未然。因此，针对我们单位的特点，更要注重主动防护，在安全事件发生之前进行防范，减少网络安全事件发生的机会，达到：“少发生、不发生”的目标。1.3.2 网络安全的“防、切、控(DCC)”原则基于“长鞭效应”，我们的网络安全防护要从源头做起，采用“防、切、控（DCC）”的原则：防：主动防护，防护我们的服务器受到攻击者的主动攻击外部敌对、利益驱动的攻击者，会对我们的网站、mail服务器进行各种主动攻击。而这些主动攻击往往带有非常强

8、的目的性和针对性，因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题，主要有：防止Web服务器受到来自外部的攻击、非法控制、篡改；防止主、备mail服务器受到攻击、非法控制。切：切断来自外部危险网站的木马、病毒传播：在网络中部分的Web服务器已经被黑客控制的情况下，Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行，防止服务器被黑客继续渗透。因此，如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。控：控制无意识的信息泄露：对于第三个要解决的问题是防止内部人员无意识的内部信息泄露，要保证接入网络的机器、设备是具有一定的安全防护标准，防止不符合要求的

9、机器和设备接入网络，严格控制潜在的安全风险。二、 解决方案2. 3. 2.1 Web应用防护系统解决方案 Web应用安全防护系统可以为学校Web服务器提供全方位的服务，主要保护功能包括以下几方面：2.1.1黑客攻击防护 Web应用防护系统对黑客攻击防护功能，主要阻止常见的Web攻击行为，包括以下方面： 黑客已留后门发现，黑客控制行为阻止 SQL注入攻击（包括URL、POST、Cookie等方式的注入） XSS攻击 Web常规攻击（包括远程包含、数据截断、远程数据写入等） 命令执行（执行Windows、Linux、Unix关键系统命令） 缓冲区溢出攻击 恶意代码解决办法：通过在Web服务器的前端

10、部署Web应用防护系统，可以有效过滤Web攻击。同时，正常的访问流量可以顺利通过。Web应用防护系统，通过内置可升级、扩展的策略，可以有效的防止、控制Web攻击发生。方案价值：通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击，保障Web服务器的安全，降低资料被窃取、网站被篡改事件的发生。2.1.2 违反策略防护Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面： 非法HTTP协议 URL-ACL匹配 盗链行为2.1.2 BOT防护 Web应用防护系统对互联网的应用访问控制主要包括以下几个方面： 爬虫蜘蛛行为 Web漏洞扫描器行为2.1.3 应用层洪水CC攻击及DDO

11、S防御Web应用防护系统的互联网应用流量控制主要包括以下几个方面：1. UDP Flood2. ICMP Flood3. SYN Flood4. ACK Flood5. RST Flood6. CC攻击7. DDOS攻击方案价值：Web应用防护系统全方位的封堵，节省带宽资源利用率，保证组织的业务相关应用得到极以流畅的进行。2.1.4网页防篡改本设备的网页防篡改功能，对网站数据进行监控，发现对网页进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。 支持的操作系统: Windows 、 Linux(CentOS、Debian、Ubuntu)、 Sol

12、aris、AIX、IRIX、HP、Sun ONE、iPanet等操作系统。、2.1.5自定义规则及白名单自定义规则设备不仅具有完善的内置规则，并且还支持用户根据自身需要自行定义规划，支持自符串快速查找与PCRE正则查找。白名单根据需要设定某些网站、URL针对防护设备直接放行。2.1.6关键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。2.1.7日志功能Web应用防护系统不但提供强大的防护功能，且提供了十分详细的日志和报表功能，能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。入侵报警日志系统提供详细的安全防护日志：包括攻击时间、方式、来源IP、目的URL、物理地址、页

13、面访问统计等。日志查询设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。支持日志的导出及按时间进行日志自动的清理。审计日志对设备每次操作进行详细的记录系统日志可以记录设备的运行状况2.1.8统计功能网络入侵统计 该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况，以便快速掌握不同时期遭受网络攻击状况，判断网络攻击变化趋势。 网络流量统计 统计该页面统计各接口的流量情况，可以按天或月以折线图的形式显示出来。了解本设备在该段时间内的网络流量情况。浏览页面统计该页面可以详细清楚地统计并显示每个web页面的访问次数，最后访问时间、浏览器情况，并可以分时间断来进行分析页面访

14、问情况。2.1.9报表设备提供详细的基于图文的安全报表（按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等）并可以按事件攻击类型、周期、统计目标进行统计。支持Html、Word、Pdf格式的输出。定时去发送攻击报表等功能。2.1.10智能阻断该设备可以智能识别外来的攻击行为，根据自定义单位时间内触发安全规则次数的方式，自动阻断攻击源。阻断的时间及次数均可自行定义。2.2设备选型及介绍根据对学校WEB应用安全防护需求的分析，采用WAF产品系列的Web防火墙管理设备，以下是要求的设备基本性能参数：项目技术要求体系结构1U，采用多核硬件架构配置8个电

15、口，配置2对电口Bypass性能单向HTTP吞吐量1000 Mbps最大并发会话数100万（内置规则全开，防护状态）HTTP请求速率1,0000（内置规则全开，防护状态）网络延迟0.05毫秒（内置规则全开，防护状态）防护网站不限IP拦截方式至少包含4种方式：拦截、检测、放行、拦截并阻断；阻断方式下，可设置阻断时间，可手工解除阻断入侵者记录能够记录入侵攻击详细数据，至少包含：序号、攻击时间、拦截原因、规则集名称、危害等级、源IP地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、HTTP请求、URL等防御功能双向检测功能，能够对流入流出数据进行检测；具有默认的防护端口，并可指定防护端口；系

16、统内置防护规则、并支持用户自定义防护规则；白名单功能:能够对特定的IP、域名、域名+URL设置白名单；HTTP请求类型允许与禁止：可对常用的HTTP请求设置允许或禁止通过Web攻击防护SQL注入攻击（包括URL、POST、Cookie等方式的注入）：攻击者通过输入数据库查询代码窃取或修改数据库中的数据、XSS攻击、远程、本地文件包含攻击CSRF跨站请求、Web常规攻击（包括远程包含、数据截断、远程数据写入等）、恶意扫描：攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击、命令执行（执行Windows、Linux、Unix关键系统命令）、缓冲区溢出攻击、关键文件下载、搜索

17、引擎爬虫（spider）、恶意代码、信息伪装、“零日”攻击、本马上传：攻击者利用黑客工具上传Webshell以达到控制服务器的目的、WebShell检测与拦截等负载均衡支持应用层负载均衡功能，并支持动态网站、流量分配防CC攻击（选配）支持对CC攻击的防护功能防DOS攻击（选配）支持对DOS攻击防护功能网页防篡改（选配）支持对网页的篡改并进行自动恢复，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系统漏洞扫描（选配）针对web服务器的SQL、XSS等漏洞进行扫描，并生成报告。数据库防篡改（选配）数据库防篡改：支持MSSQL、SQLSERVER等数据库防篡改。高级访问

18、控制支持对内、外IP地址的精确控制，设置不同的防御方式（阻断、过滤、检测、放行）可靠性电口、光口硬件BYPASS、软件BYPASS、可扩展支持端口汇聚、多机热备；平均无故障时间 100000h；支持日志自动清理功能：可在达到日志上限时通知管理员进行日志清理，如手动清理未实施，系统实行自动清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虚拟化部署等报表功能提供详细的基于图文的安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势等）并可以按事件攻击类型、周期、统计目标进行统计管理特性支持通过HTTP

19、S初始化、设置、管理设备实时流量查看、入侵告警查看流量统计、入侵统计自定义规则查看管理支持入侵记录、系统日志、审计日志导出功能、系统配置安全导入、导出功能支持内置规则升级、固件升级允许用户自由定制规则，提供友好的定制模板报表系统、系统日志、审计日志产品资质获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB132004涉及国家秘密的计算机信息系统入侵检测产品技术要求的千兆涉密信息系统产品检测证书获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007信息技术 信息安全 网站恢复产品认证技术规范增强级认证中国国家信息安全产品认证证书公安部颁发的计算机信息系统安全专

20、用产品销售许可证国家漏洞中心提交漏洞证明文件2.3设备部署根据学校WEB应用安全防护Web服务器部署情况，我们建议通过透明网桥的部署模式来达到对Web服务器保护的目的。集中/集群式Web服务器部署集群式/集中式Web服务：集群式Web服务采用多台Web服务器负荷分担提供同一Web服务；集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内，但不同的Web服务器可能提供多样的Web服务。这种情况多数应用于中大型企业的Web服务器模式，或者是IDC。在这种网络结构下，可直接将“Web应用防火墙”串接在Web服务器群所在子网交换机前端，如下图显示：部署方式：WAF的WAN口与广域

21、网的接入线路相连，一般是光纤、ADSL线路或者是路由器，WAF的LAN口（DMZ口）同局域网的交换机相连，所有对WEB服务器的访问请求都必须通过WAF设备。半分散式WEB服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在不同的子网中；比如：公司有整体的Web服务集群，同时，各个部门还有各自的Web服务器，而这些服务器分布在不同的子网中，如果想对这些Web服务器进行保护，需要将“Web应用防火墙”部署在这些Web服务器所在网络的边缘，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时保护处于

22、内网不同网段的多个Web服务器。全分散式Web服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在几乎全部的子网中；比较常见的案例：IDC机房，这时，需要将“Web应用防火墙”部署在局域网边缘，一般部署在主交换机同主路由器之间，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时保护处于内网的所有Web服务器及DB服务器。三、方案优点及给客户带来的价值通过Web应用防护系统在学校WEB应用安全防护的具体实施给客户带来以下价值：3.1解决了传统防火墙、IPS不能解决的应用层攻击问题 传统的网络防

23、火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力。因此，对Web应用而言，传统的网络防火墙仅提供IP及端口防护，对各类WEB应用攻击缺乏防御能力。Web应用防护系统主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。WAF 的运行基础是应用层访问控制列表。整个应用层的访问控制列

24、表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP 协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。3.2 合规性建设 学校WEB应用安全防护网站由于其社会地位和政治地位的特殊性，在公安部计算机信息安全等级保护基本要求中明确要求必须对所有外部网络访问行为进行入侵防范，访问行为有相应的日志审计行为。Web应用防护系统不仅能完全防范非法用户的入侵行为，更能提供完整的统计表报。3.3 减少因不安全造成的损失 Web应用防护系统可以防止黑客通过各种方式获取系

25、统的管理员权限，避免黑客获得管理员权限篡改Web服务器主页，或者以服务器为跳板攻击局域网内其他服务器。可以防止因代码编写不规范，造成数据库服务器被SQL注入攻击，黑客获得数据库中的用户数据。3.4便于维护Web应用防护系统连续工作时间为120000小时，能保证在夜间及节假日等无人值守时刻也能保护Web服务器。减少管理员的工作负担。同时B/S设计架构方便管理员进行规则设置，参数配置。系统管理员不必随时关注系统补丁升级，发现漏洞可以在Waf的防护下慢慢的修补。3.5使用状况3.5.1系统状态3.5.2入侵记录示例3.5.3网站统计示例四、Web应用防护系统主要技术优势4.1 千兆高并发与请求速率处

26、理技术 Web应用防护系统，通过对网络协议底层的深层次的优化，可以达到百万级别的并发连接。并提供每秒超过8万个HTTP请求的七层深度包检测的能力。在网站数量超过500的情况下，仍然能够提供高带宽吞吐与极低的网络带宽延迟。4.2 攻击碎片重组技术 通过独有的碎片包重组技术，可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而的Web应用防护系统可以准确的模拟TCP/IP栈进行完整重组数据包。4.3多种编码还原与抗混淆技术 Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释、混淆等方式绕过检测引擎。内置的解码模块可以将复杂编码后的数据还原为最基本的

27、数据格式进行匹配。4.4 SQL语句识别技术Web应用防护系统可以通过人工智能的方式识别”注入攻击”中使用的SQL语句，识别SQL语法结构，而不是通过简单的select/insert/update等简单的SQL关键词的字符串匹配。在对攻击的识别和准确率上可以大大提升。4.5 多种部署方式 Web应用防护系统能应用于各种复杂的网络环境中，可以分别保护单台或者多台Web服务器，DB数据库。可以采用网桥模式，混合部署模式，旁路反向代理模式。可以方便、灵活的应对客户网络环境的变化。4.6 软硬件BYPASS功能Web防火墙支持在断电、硬件故障等特殊情况下，仍然能保持网络的畅通，避免了因为故障造成的网络

28、无法访问，给单位和用户带来不必要的损失。硬件Bypass 硬件Bypass 外部突然断电时，自动直连 来电后自动启动时，自动直连 硬件启动、重启时，自动直连 软件Bypass五、展望随着Web2.0的大量应用和云计算的应用，云安全日益重要，Web应用安全防护系统需要日趋完善，更快速更安全的一站式防火墙是高校的需要。爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记

29、昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。感情不是游戏，谁也伤不起；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未

30、走远，谁能为你一直都在？这世上，别指望人人都对你好，对你好的人一辈子也不会遇到几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。动了真情，情才会最难割；付出真心，心才会最难舍。你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智商下降，完全变了性格，越来越不果断。所以啊，不管你有多聪明，多有手段，多富有攻击性，真的爱上人时，就一点也用不上。这件事情告诉我们。谁在你面前很聪明，很有手段，谁就真的不爱你呀。遇到你之前，我以为爱是惊天动地，爱是轰轰烈烈抵死缠绵；我以为爱是荡气回肠，爱是热血沸腾幸福满满。我以为爱是窒息疯狂，爱是炙热的火炭。婚姻生活牵手走过酸甜苦辣温馨与艰难，我开始懂得爱是经得起平淡。爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许