SANGFORAFWeb安全解决方案详细版V10.docx

1、SANGFORAFWeb安全解决方案详细版V10深信服Web安全解决方案深信服科技有限公司20XX年XX月XX日第一章 需求概述1.1 项目背景 （请根据客户实际情况自行添加）1.2 网络安全建设现状分析 （请根据客户实际情况自行添加） XX拟建立Web业务对外发布系统，该对外发布系统由多台服务器组成，承载的有OA应用、集团内部门户网站、集团内门户网站群等多个WEB应用。 目前，XX web应用边界使用传统防火墙进行数据包过滤进行安全防护，现运行许多WEB应用系统。Web业务对外发布数据中心是XXIT建设数据大集中的产物，作为Web业务集中化部署、发布、存储的区域，该对外发布数据中心承载着XX

2、 Web业务的核心数据以及机密信息。对于恶意攻击者而言，Web业务对外发布数据中心是最具吸引力的目标。而之前，的安全建设以各区域安全隔离为主，隔离来自internet、intranet、extrane等区域的安全风险，实现网络级的访问控制。而安全隐患迁移到了应用层，UAP云平台资源池数据中心面临的应用层安全威胁是基于L3-L4层的传统防火墙完全无法理解的。 1、利用业务开发时期没有对代码的安全进行评估，使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题 2、利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，获取服务器权限、使服务

3、器瘫痪导致服务器、存储等资源被攻击的问题 3、来自其他安全域的病毒、木马、蠕虫的交叉感染，使得数据中心成为“养马场“ 4、由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题 5、利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题1.3 Web业务面临的安全风险 Web业务已经成为当前的主要的业务，大量的在线应用业务都依托于Web服务进行。由于大量的web业务不断更新，大量web应用快速上线，而由于Web业务资金、进度、意识方面的影响，这些web应用系统没有进行充分的安全评估而导致大量的可利用漏洞。 根据 Gartner 的调查，信息安全攻击有 75

4、% 都是发生在 Web 应用层，2/3的 Web 站点都相当脆弱，易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。 近年来，Web安全事件不断攀升，电子商务、金融成为了主要目标，国家互联网应急中心（CNCERT/CC）2011年我国互联网网络安全态势综述显示“网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%，较2010年大幅上升，排名由第三位上升至第二位。网站安全问题进一步引发网站用

5、户信息和数据的安全问题。2011年底，CSDN、天涯等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益和互联网安全。” Web业务对外发布数据中心包含Web服务器、存储服务器、数据库服务器、内网系统等多种业务系统，向internet、intranet等多个区域提供服务，Web数据中心要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成

6、众多泄露事件的原因之一。Web业务对外发布数据中心急需解决应用层安全防护的问题。 部分多功能防火墙或者是UTM虽然具备了部分应用层安全防护的能力，但由于其实现方式、缺乏应用层协议的理解能力。在应用层攻击防护上存在严重不足，比如针对数据中心的十大web攻击： SQL注入、XSS、CSRF等攻击是包含在http正常请求中的web攻击，可以通过80端口渗透传统防火墙与多功能网关，造成正对数据中心数据库服务器、web服务器、存储服务器的攻击，可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是业务中断。 SQL注入等web攻击逃逸攻击，由于传统的多功能网关或者IPS实现应用层攻击仅仅通

7、过DPI数据包的深度检测进行攻击特征分析，攻击行为一旦采用了逃逸手段，传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测，一旦攻击被利用重新编码、分片、乱序等逃逸处理方式，传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析，理解协议本身，还原其真实的攻击行为才能够进行有效的阻断。 其他攻击还包括：信息泄露攻击、目录遍历、系统命令注入、webshell等多种传统基于DPI技术的多功能网关无法防御的攻击，如： 信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露web服务器的一些敏感信

8、息，如用户名、密码、源代码、服务器信息、配置信息等。 目录遍历漏洞攻击就是通过浏览器向web服务器任意目录附加“./”，或者是附加“./”的一些变形，编码，访问web服务器根目录或者之外的目录。 系统命令注入是攻击者提交的特殊字符或者操作系统命令，web程序没有进行检测或者绕过web应用程序过滤， 把用户提交的请求作为指令进行解析，导致操作系统命令执行。 总的来说，由于该类攻击可导致Web业务面临的主要安全威胁如下： 1、网页篡改问题 网页篡改是指攻击者利用Web应用程序漏洞将正常的Web网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响，但对于

9、UAP平台重要的Web业务，需要与用户通过Web业务进行沟通的应用而言，就意味着UAP平台Web业务将被迫停止服务，对中国移动湛江分公司的经济利益、企业形象及信誉会造成严重的损害。 2、网页挂马问题 网页挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者，成为攻击者的帮凶或者造成自身的经济损失。这种问题出现在Web业务中也严重影响中国移动湛江分公司UAP数据中心的正常运作并影响到公司的公信度。 3、敏感信息泄漏问题 这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导

10、致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于承载多种Web业务的UAP数据中心平台而言是致命的打击，可产生巨大的经济损失。 4、无法响应正常服务的问题 黑客通过DOS/DDOS拒绝服务攻击使UAP平台无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致Web业务无法响应正常的服务请求。对于中国移动湛江分公司UAP平台Web业务而言是巨大的威胁。第二章 Web安全解决方案设计2.1 方案概述 深信服为XX提供针对Web业务对外发布数据中心完整的安全解决方案。 通过在核心交换前双机部署两台深信服下一代

11、应用防火墙NGAF，可实现业务服务器的业务逻辑隔离，核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。 NGAF应用防火墙的部署可以从从攻击源头上防护导致Web业务各类网络/应用层安全威胁；同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。 1、深信服应用防火墙AF-8020双机部署于核心交换前可实现整体安全防护； 2、NGAF通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配

12、置导致的敏感信息跨区域传播的问题； 3、NGAF通过服务器防护功能模块的开启，可实现对各个区域（尤其是DMZ区）的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题； 4、NGAF通过风险评估模块对服务器进行安全体检，通过一键策略部署的功能开启IPS、WAF模块的对应策略，可帮助管理员的实现针对性的策略配置； 5、利用NGAF入侵防御模块可实现对各类服务器操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apac

13、he服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题； 6、NGAF防病毒网关的模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染； 7、NGAF DDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题。（拓扑图）2.2 方案价值 深信服Web安全解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套

14、安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足： 事前，快速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略； 事中，有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击； 事后，对服务器外发内容进行安全检测，防止攻击绕过安全防护体系，对Web业务产生的网站篡改、数据泄漏问题。 同时该方案从简化组网、方便运维、最优投资的用户角度出发，可为Web业务对外发布数据中心打造L2-L7层的安全防护体系构架，实现完整的安全防护，同时在可用性、可靠性上采用了深信服特有的先

15、进技术保证Web业务的正常稳定运行，打造一个“安全”、“可靠”、“高效”的Web业务对外发布数据中心。第三章 深信服下一代防火墙NGAF解决方案3.1 深信服NGAF产品设计理念 深信服NGAF提供对Web业务系统的三维立体防护解决方案，深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发，提供全面的安全防护手段，保护web业务系统不受来自各方的侵害。 基于事件周期的设计 攻击的防护不可能实现百分百的安全。Web系统的安全建设必须贯穿到整个Web安全事件周期中，设立事前、事中、事后三道安全防线分阶段进行防护。 NGAF提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防

16、护。 事前策略自检：在配置完安全策略后，NGAF可以自动进行扫描和探测，查看系统还存在哪些安全策略漏洞和隐患； 事中攻击防护： 2-7层完整的安全防护，包括：Web攻击防护、漏洞防护、病毒防护等； 事后网页篡改响应：可以针对被篡改的静态网页进行告警、替换、还原等功能。基于攻击过程的安全防护 传统的web安全防护采用的是防火墙+IPS+WAF割裂式的安全防护体系，针对各类的攻击总是被动的增补相应功能的安全设备。而对于Web安全防护不是单一攻击手段的防护，而需要对黑客攻击动机与时机进行分析，基于黑客的攻击过程的每一个环节进行统一防护。 NGAF的设计是基于黑客攻击过程的完整Web系统安全防护，针对

17、黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护： 扫描过程：提供防端口/服务扫描、防弱口令暴力破解、关键URL防护、应用信息隐藏等 攻击过程：提供强化的Web攻击防护（防SQL注入、OS命令注入、XSS攻击、CSRF攻击）、多对象漏洞利用防护等 破坏过程：提供抗应用层DOS攻击、可执行程序上传过滤、上行病毒木马清洗等多维对象的全面防护 安全的漏洞就像木桶的短板，任何可以被黑客利用的机会都可能导致所有的防护措施形同虚设。对众多用户网络安全现状分析后，发现安全问题是多角度、多方面的，在Web安全规划中，一味强调Web服务器的防护是远远不够的。面对防护全面的Web应用服务器，黑客往往以退为进采用

18、“跳板式攻击”，先突破漏洞较多的内网终端，通过内网终端窃取密码后堂而皇之的入侵Web服务器。 NGAF不仅提供强化的服务器安全防护，针对网内存在巨大安全风险，很有可能成为“肉鸡”被黑客利用的终端也采取了严格的防护措施。 基于终端漏洞防护 终端的病毒防护 恶意插件、脚本过滤 NGAF是充分考虑安全事件周期性，基于黑客攻击行为的过程，提供多维对象防护的完整Web安全解决方案。 除此之外，NGAF涵盖了L2-L7全面的安全功能，可以替代FW、IPS、WAF，节省投资。同时，简化了组网，统一了管理，极大地提升运维工作效率。3.2 深信服NGAF解决方案3.2.1 四种部署模式支持 NGAF支持网关模式

19、部署、网桥模式部署、混杂模式部署以及旁路模式部署等四种模式部署，可支持多进多出，单进多出、多进单出等多种方式接入，可适用于各种复杂环境下的部署环境。 网关模式：支持网关模式，支持NAT、路由转发、应用层防护等全部功能部署在网络边界，类似于一个路由器，提供静态路由和策略路由，又是一台防火墙，实现NAT地址转换和流量管理，提供网络层安全防护，还是一台网络入侵防护系统，实现应用层和内容层的安全防御； 网桥模式：支持网桥模式，以透明方式串接在网络中，支持除IPEC VPN以外的所有功能1、类似二层交换机一样，采用一进多出或多进多出的方式，同时与不同网段相连接，进行数据交换；2、可实时监测各网段之间的各

20、种流量，提供从网络层、应用层到内容层的深度安全防护。 混杂模式：支持同时开启支持网关和网桥模式，支持功能视各线路情况而定；1、在总部互联网出入口处在线部署NGAF，实现路由防护，提供互联网的从网络层、应用层到内容层的深度安全防护；2、在总部内部网段之间以及与分支机构网络之间在线部署NGAF，提供透明接入的、独立多路NGAF一进一出的、交换式NGAF多进多出的全方位、立体式的安全防护体系，实现内网的安全区域划分和控制；3、在企业服务器区旁路部署NGAF，保护服务器安全； 旁路模式：支持旁路模式部署，不改变原有网络架构。该模式下只支持入侵防御、WEB防护和敏感信息防泄漏功能3.2.2 多种拦截方式

21、支持 NGAF可实现对HTTP/HTTPS协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于HTTP协议的内容分析，很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS，仅仅是基于简单的特征检测技术，存在大量的漏报误报的信息。 NGAF作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，N

22、GAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。3.2.3 安全风险评估与策略联动 NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。3.2.4 典型的Web攻击防护 深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供

23、OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。 3.2.3.1 SQL注入攻击 攻击者通过设计上的安全漏洞，把SQL代码黏贴在网页形式的输入框内，获取网络资源或改变数据。NGAF设备可以检测在http协议中Get参数、Post表单以及cooke中隐藏的攻击威胁，并通过协议中断阻止此类攻击行为的发生。NGAF可针对web的主流技术进行防护： ASP+ACCESS ASP+MSSQL ASP.NET+MSSQL JSP+ORACLE JS

24、P+MYSQL PHP+MYSQL NGAF可针对攻击的关键步骤进行攻击防护： SQL注入漏洞扫描，踩点防护 数据库类型探测防护 数据库基本信息探测防护 数据表总数探测 数据列总数探测 数据表名称探测防护 数据列名称探测防护 数据表记录总数探测防护 数据表字段值探测防护 数据库字段值增删改防护 数据库存储过程执行防护 数据库非法授权防护 数据库备份防护 3.2.3.2 SQL注入工具防护NGAF支持黑客常用的SQL注入类工具进行攻击防护，包括如： Domain明小子 阿D 教主NBSI 军火库HDSI 穿山甲Pangolin CASI 二娃 ZBSI 3.2.3.3 SQL注入逃逸攻击防护 一

25、、SQL注入编码逃逸防护 SQL注入绕过WAF的常用方法之一是对注入的语句或参数进行编码，因为基本于特征匹配的算法通常无法匹配编码后的关键字，这样就可以成功地绕过WAF攻击用户的服务器；如：UTF-7、UTF-8、UTF-16、Base64 NGAF可实现对http协议的语义还原，防止通过语句或参数编码等多种形式的SQL注入逃逸攻击。包括： 二、SQL注入采用注释逃逸；如：/,-,/*/,#,-+,- -,;%00,/!*UNIION/等； 三、SQL注入采用大小写转换进行逃逸的攻击；如：UnIoN/*/SeLEcT等； 四、注入攻击缓冲区；如：UNION (select 0xAAAAAAAA

26、A.AAA .)； 五、针对SQL中的功能语句增、删、改、查进行可能的注入点。 六、SQL注入TCP/IP分片进行逃逸攻击：类似fragrouter分片工具把数据分片，对于没有基于包重组检测的引擎，这类攻击都可以成功地绕过WAF的SQL注入防护，NGAF支持TCP/IP分片进行SQL注入逃逸的攻击防护，防止黑客通过TCP/IP分片逃逸实施攻击。 七、其他如：or 1=1签名绕过等逃逸方式 3.2.3.4 XSS跨站脚本攻击 跨站脚本攻击，XSS是一种经常出现在WEB应用中的计算机安全漏洞。它允许代码植入到提供给其他用户使用的页面中。例如HTML代码和客户端脚本，攻击者利用XSS漏洞绕过访问控制

27、，获取数据，例如盗取账号等。NGAF可以实现对http协议的解析，通过页面代码对用户输入进行过滤，检查并替换常见的XSS使用字符。NGAF可实现包括： 1、基于标签事件的XSS防护 2、基于标签 style的XSS防护 3、基于标签javascript伪协议的XSS防护 4、基于IE支持的expression的防护 3.2.3.5 WEBSHELL WEBSHELL是WEB入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后面木马，在入侵一个网站后，常常将这些木马放置在服务器WEB目录中，也正常网页混在一起。通过WEHSHELL，长期操纵和控制受害者网站。NGA

28、F设备不仅可以防止黑客通过webshell获得权限。 如比较流行的一句话木马：把一句话添加到数据库中，然后打开客户端，填上加入了一句话的asp文件，或者是asp网页，便可实施入侵。 1、NGAF可对常见的文件格式内容进行解析；主要是分析一下各种文件格式的通用格式，然后提取特征，作为上传的检测机制.包括:PE/ELF/PHP web shell/Linux Shell/Power Shell/Java shell/Asp Shell/Perl Shell/Python shell/AIX shell/solaris shell/cgi/ssi/Oracle App Server/等； 2、NGA

29、F可提取常见的Webshell的特征，阻止上传到服务器； 3、NGAF优化文件类型判断,不再简单以扩展名为依据，解决Webshell伪装问题；例如可以把可执行的脚本嵌入到图片中。NGAF还可以支持包括多种类型的webshell后台木马，如：ASP 海洋顶端木马 砍客木马 蓝屏木马 站长助手木马 冰狐浪子木马 超级隐藏免杀木马 阿江探针 Asp一句话小马PHP PHPShell 灵魂PHP木马 采飞扬PHP木马 C99Shell木马 浪点PHP探针JSP 修改文件时间木马 执行CMD木马 Jshell Jfolder JbrowserASPX.NET 安全浮云木马 WebAdmin木马 ASPX

30、SPY木马3.2.3.6 应用信息隐藏 NGAF可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等FTP应用信息隐藏： 客户端登录FTP服务器的时候，服务器会返回客户端FTP服务器的版本等信息。攻击者可以利用相应版本的漏洞发起攻击。该功能是隐藏FTP服务器返回的这些信息，避免被攻击者利用。HTTP应用信息隐藏： 当客户端访问WEB网站的时候，服务器会通过HTTP报文头部返回客户端很多字段信息，例如Server、Via等，Via可能会泄露代理服务器的版本信息

31、，攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。3.2.3.7 跨站请求伪造攻击（CSRF） CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的双向内容检测技术，结合数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。3.2.3.8 网页木马 网页木马实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个木马。NGAF设备可以检测到此类攻击行为。3.2.3.9 网站扫描