XXXX WAF网站保护系统解决方案.docx

1、XXXX WAF网站保护系统解决方案XXXX WAF安全解决方案 XXXX公司1 项目背景我国互联网用户规模也快速增长，网络基础设施的迅速发展为互联网取得成功提供了坚实的基础，电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利，而且正在创造着巨大的财富。截至2008年底，中国网站数量已经增长至287万个，网页数增长至160.9亿个，提供WEB服务的主机成为黑客攻击的新对象。在利益的驱使下，网站挂马成为黑客产业链上的重要环节，黑客对WEB服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入，给企业和政府核心业务造成严重的破坏。利用网站传播木马和病毒涉及的受害群体范围广，并且有

2、可能在用户不知情的情况下成为黑客的傀儡主机，被黑客利用进行更深一步的犯罪行为。1.1 网络现状分析组织机构名称通过经过多年的建设，XXXX已经形成了比较完善的局域内网、DMZ区外网业务网络。内网是内部办公网，使用防火墙、IPS等安全设备对互联网进行隔离保护。DMZ区外网业务网络是对外部提供Web服务的网络区域，使用防火墙进行DMZ区隔离保护，同时部署了IPS进行安全防护。组织机构名称网络的拓扑结构如下图所示。图 1 XXXX网络现状图1.2 Web安全现状分析近年来组织机构名称网络业务承载日益多元化，XXXX对外网站系统是其对外门户网站，向外部提供组织机构名称信息的重要平台。伴随着我国信息化产

3、业的发展，大批针对于网站的黑客攻击，恶意挂马，网站篡改等不法行为也越来越猖獗，根据IDC统计，2005年以来很多政府单位、事业单位以及大型国企网站被恶意攻击，严重影响了正常业务，带来了不良的社会影响。据统计，在2009年第一季度里，每周都有1千万以上的网页被植入木马，网站安全正面临着前所未有的挑战。一般挂马网站集中在政府门户、大型国企门户等重要的单位网站，此类网站一旦被挂马，会造成恶劣影响，影响组织机构的公众形象。图2 中国大陆地区被篡改网页数量统计报告（数据来源：CNCERT/CC）针对Web应用的传统防御方法，例如IPS/防火墙/UTM等传统的安全设备，已经不能对Web服务器提供有效保护，

4、黑客攻击技术的快速更新需要更加多元化的防御方法。对于网站安全而言，建立起结构化，立体式的Web纵深防御体系迫在眉睫。以XXXX WAF为主要部件的XXXX网站保护系统在动态防御技术上相对领先，部署后能显著提高Web服务器的安全防御级别，能够有效提高网站性能，同时减少服务器负载，直接降低了用户管理成本和安全运维成本，更加突显产品的实用价值。2 安全风险及需求分析组织机构名称系统网络结构复杂，应用多种多样，内部终端和服务器众多，在对组织机构名称系统进行初步分析后，系统网络中目前面临以下安全风险：2.1 安全风险分析随着互联网应用的发展，基于网络的信息服务方式也在不断的发生改变，基于互联网的新型服务

5、方式在为应用提供方便的同时，也将自身服务器暴露在了病毒和黑客面前。如果这些服务器一旦瘫痪或者因被人植入后门程序而造成被远程控制数据被窃取，后果不堪设想。为了保证业务数据的正常流通和安全，需对这些重要的Web服务器进行全方位的安全防护。实际情况是这些服务器的安全防护情况并不理想，主要存在以下几个方面的问题： Web服务软件开发复杂，工作量大，想要在海量的动态Web页面代码中，找到安全漏洞，并修补它们，是非常困难和高成本的持续性工作。 Web服务器软件自身的漏洞问题频出，这些漏洞很容易被黑客和病毒利用，成为被攻击和注入/挂马的牺牲品。 考虑到兼容性问题，Web服务器通常不会及时更新补丁，这更造成服

6、务器容易被病毒或黑客入侵，从而使组织机构面临很大的网络安全风险。 网络应用较多，而维护人员相对较少。这些人员一方面要维护重要服务器的运行，网络服务的正常开展，另一方面又要监控网络运行和安全状况，工作压力很大，无法顾及到所有服务器的实时安全情况，导致当网络中出现安全隐患后不被及时发现，或者发现后未能及时处理，最终这些微小的隐患可能造成更加严重的后果目前该网络采取的对Web服务器的防护方式主要是使用防火墙作为安全防护的基础设施，同时辅以IPS设备作为应用层安全检测设备，同时在服务器端安装杀毒软件作为最后一道防线。这样的解决方案存在如下弱点： 防火墙设备对于开放端口的Web服务没有防护能力。一般的网

7、络中都会部署防火墙作为安全防护设备，但防火墙仅能控制非授权IP对内不得访问，对外应用服务器，是被防火墙允许的访问。由于实现原理的限制，防火墙对于病毒或黑客在应用层面的入侵攻击“视而不见”。 入侵检测防御系统（IPS）对于病毒的攻击行为反应缓慢。IPS主要负责监测网络中的异常流量，对受保护网络提供主动、实时的防护，特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。由于IPS对WEB的检测粒度很粗，随着网络技术和Web应用的发展复杂化，IPS在更需要专业安全防护特性的WEB防护领域已经开始力不从心。 Web服务器端是Web安全防护的重要环节，虽然Web服务器做了相关的安全防护。但服务器端

8、的安全设置较为专业、复杂，一旦设置不合理，就使得Web服务器端很容易成为恶意攻击入侵的对象。3 网站防护方案设计3.1 实现目标通过XXXX的信息安全技术和丰富的安全防护设计经验，为XXXX Web系统提供一个技术领先、稳定可靠的网站保护防御体系，有效抵御各种恶意威胁的攻击，提高网站系统的安全级别和防御水平。3.2 设计原则根据XXXX网络系统的现状和系统安全和管理的需要，我们考虑保护系统应遵循以下几条原则： 技术和产品的成熟性和稳定性。充分考虑网站保护产品本身和技术上的成熟性。网站保护系统必须是成熟而且经受大量用户实例考验的产品。 可管理性。对于这样安全防护产品，要管理安全防护规则的升级、配

9、置和支持是非常难的事，这就要求提供一个方便管理的平台。系统必须提供简化管理的工具，包括对攻击特征文件和防护引擎的分发升级、报警管理和日志分析整理等。 易用性。网络中设备及软件较多，各类网络产品种类繁多，对于网络管理员来说产品友好易用性将起到事半功倍的效果。3.3 参考标准 ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部分

10、 安全保证要求； 国务院令第147号 中华人民共和国计算机信息系统安全保护条例 公通字200743号 信息安全等级保护管理办法 GA-243-2000 计算机病毒防治产品评级准则 公安部令第51号 计算机病毒防治管理办法 GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求； GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB20986-2007-Z 信息安全技术 信息安全事件分类分级指南3.4 总体设计方案在组织机构名称网络系统中串行部署XXXX WAF网站保护系统，将所有Web访问流量进行深度检测和过滤，阻挡恶意Web请求流量，以实现对组织机

11、构名称网站系统的全方位安全保护。4 产品部署方案4.1 产品选型根据组织机构名称网站带宽和业务流量及应用的实际情况，我们推荐使用XXXX WAF产品型号名称高性能网站保护系统。该系统处理性能参数如下表：参数值备注网络接口数量Web吞吐量CPS处理能力Connections Per second并发连接数4.2 产品部署示意图针对网络结构及所面临的风险不同，XXXX WAF网站保护系统在网中可以采用多种方式灵活部署。图 5 网站保护系统在web外网服务区中的部署此部署方式适用于DMZ区Web服务器区环境，在交换机上串行接入XXXX WAF系统，所有Web请求和恶意访问攻击均由XXXX WAF系统

12、来承担处理，清洗、过滤后XXXX WAF系统向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好的防范来自互联网的威胁，保护网站的安全、稳定、高性能运行。4.3 详细部署介绍组织机构名称网络中在网关处已经部署了防火墙产品和IPS安全产品，建议网站保护系统的部署采用纯透明串行接入模式。纯透明串行接入方式可以在不改变原有网络结构的情况下接入，一般放置在路由器或防火墙设备后面的交换机上。这样接入的优点是： 对现有网络结构的完全不影响。 安装、部署方便简单。4.4 部署后可达到的效果通过部署网站保护系统，可以使网络中Web服务器的安全性得到大幅提升。 简单的接入方式部署快

13、速简单，无需更改现有网络拓扑结构。XXXX WAF保护系统以纯透明串行接入，对现有网络的不产生影响；无需改动网络拓扑模式，接入简单、方便。 Web访问数据清洗、过滤。对于客户端的每个请求进行深度的检测、清洗、过滤，有效阻击恶意请求，SQL注入，SQL盲注、密码猜测，网站扫描，XSS攻击，表单字段篡改、参数篡改、网页include脚本注入攻击、恶意代码、跨站请求伪造(CSRF)、跨站脚本 (XSS)、会话劫持Google Hacking等的深度防御。 保护网站服务器免受漏洞攻击。对代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡改、URL重定向等多种漏洞攻击进行有效防护。 强大的

14、Web攻击防护。XXXX WAF网站保护系统对客户度请求提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率，针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段，提供了有效识别、阻断并告警。 降低服务器压力，节省带宽。通过XXXX WAF网站保护系统的访问加速功能，将用户经常访问的页面和最近访问的页面缓存到系统本地内存直接发送，降低服务器压力。还可以开启压缩功能，节省带宽资源，降低出口网络拥堵的风险。 详细掌握网站访问状况。通过访问分析，全面掌握时段流量、PV，关键词搜索，搜索引擎收录，等访问分析数据，全面掌握网站的运营情况；为管理员改进网站功能和合理分配服务器资

15、源提供可靠的依据。 通过日志报表能够及时发现网站的安全隐患。XXXX WAF网站保护系统具备完善的日志功能，不但拥有多种类型的日志,可以随时通过网站保护系统实时显示，而且在网站故障时,可以通过电子邮件和短信方式通知管理员。 减轻维护人员的工作压力。部署网站保护系统后，攻击和入侵已经被拦截，根本不会威胁网站系统，减轻了维护人员的工作压力。另外通过XXXX WAF保护系统内显示的相关信息，维护人员可以轻松的掌握网站的运营和安全情况。5 XXXX WAF网站保护系统主要功能5.1 漏洞防护XXXX WAF系统能够对SQL注入、跨站脚本、代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡

16、改、URL重定向等多种漏洞攻击进行有效防护。5.2 攻击防护XXXX WAF系统能够对用户请求提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率。针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段，XXXX WAF系统提供了有效识别、阻断并告警。5.3 网页代码检查XXXX WAF系统能够对用ASP、ASPX、JSP、PHP、CGI等语言编写的页面，对用SQL Server、Mysql、Oracle等数据构建的网站进行检查，能够在客户网站被挂马之前发现网站的脆弱点，从而使客户可以未雨绸缪，避免挂马事件的发生。5.4 访问加速XXXX WAF系统通过在现有的互联网

17、中增加一层新的网络架构，将网站服务器内容缓存到系统内存中，使用户可以就近取得所需内容，降低服务器的压力，解决互联网拥挤的状况，提高用户访问服务器的响应速度。从而解决由于网络带宽小、用户访问量大、网点分布不均等原因所造成的用户访问网站响应速度慢的问题。5.5 访问分析XXXX WAF系统提供强大的用户访问分析功能，对用户访问的IP地址、浏览深度、访问来源、客户端信息、网站流量等进行详细的统计。通过对用户访问网站的行为分析报告，为管理员改进网站功能和合理分配服务器资源提供可靠的依据。5.6 挂马检测多数攻击者在成功入侵并不采取直接的网站篡改，为了获取更多的经济利益往往采取比较隐蔽的方式，其最终目的

18、是为了盗取用户的敏感信息，如各类账号密码，甚至使用户电脑沦为攻击者的“肉鸡”。一旦网站服务器成为传播病毒木马的“傀儡帮凶”，将会严重影响到网站的公众信誉度。5.7 XXXX WAF技术优势 强大的Web防护能力 2000多条Web安全检测规则，超过20个分类。 支持虚拟主机，多域名、多个网站的保护。 Web安全检测规则及时更新升级，提供可靠的升级保障。 系统安全性保障 自主研发高可靠性操作系统，系统本身安全性得到了有效的保障。 集成Intel最新多核硬件平台，产品处理性能得到了质的飞跃。 友好操作界面可管理性 简易方便的管理页面，适合国内用户使用习惯 提供图形化的WEBUI界面管理系统，用户可

19、灵活制定策略 多级管理员分级控制，方便多层次管理。 丰富的日志查询和报表 提供详细的攻击、入侵日志信息，详细了解安全事件情况 提供安全事件统计功能，对源地址、URL，攻击方式等进行统计 报表功能，日报、周报和月报看按周期了解网站安全状况。6 XXXX售后服务体系XXXX公司作为最早从事信息安全研究和应用的单位，经过多年的技术积累和培养形成了一支技术过硬，经验丰富的服务队伍，具备专业的服务能力。6.1 服务团队为加强对重点用户服务，XXXX特成立针对重点用户的多个网站安全事件响应小组，每个小组各司其职，并能在重大Web安全事件爆发时或根据用户需要在现场提供全方位的安全服务。现场救援小组主要服务重

20、点是用户现场紧急事件救援响应；产品救援组负责用户现场产品紧急事件响应。为了更快速的处置新出现的病毒事件，XXXX还抽调各职能部门的核心人员建立了跨部门的项目组，出现紧急事件可以协同整个单位的资源联合服务。XXXX网络安全硬件服务工程师均具有多年重点用户的产品实施及服务经验，通过多年的实践积累，能熟练规划各种网络环境下的产品部署，优化配置产品功能，使产品发挥强大的效能。6.2 服务能力 分级的应急预案服务。针对不同的安全事件、服务事件建立了不同级别的应急预案，在出现重安全事件或针对用户网络出现的不同的安全事件进行有步骤，有计划的处置。 快速的应急响应服务。通过多年为大中型用户、重点用户服务的经验

21、积累，能依据用户具体网络环境，业务环境提供适当的服务项目，服务响应级别。多种服务项目及响应机制相结合，形成保障用户网络稳定运行的服务体系。 高效的应急事件服务通道。应急响应服务不仅仅是救援人员现场事态分析、控制、处理，还需要结合公司级的各方安全技术资源，提供深入、全面的协助支持及安全信息，利用全面的技术分析才能提供可靠的处置方案。应急事件服务通道涉及安全应急服务所必须的所有部门，如病毒分析，网络安全响应，深入测试，安全产品研发，产品升级等，所有相关部门将第一时间按照要求提供快速准确的服务支持。 专家级的信息安全队伍。XXXX公司拥有专业的安全团队，安全领域的安全专家分布于计算机病毒防治与应急、

22、网站保护、数据恢复、安全产品实验室等专业部门等工作。6.3 服务项目6.3.1 技术咨询服务XXXX公司提供电话咨询、邮件咨询、远程调试等服务，为用户提供产品管理、产品应用咨询和支持。 电话咨询服务。XXXX公司特设安全事件电话响应专员，提供专业、贴心的电话服务支持，电话专员支持工程师具有多年的安全服务经验及网络安全设备支持经验，不但可以为产品应用提供支持，而且可以提供全面的安全建议。 邮件咨询服务。XXXX公司提供邮件支持，除了解答用户有关产品使用问题及技术咨询外，还会将最新的公司动态、网络安全技术、产品信息等发送给客户，使客户能够掌握最新的网络安全信息和产品的相关情况。6.3.2 远程协助服务用户在产品部署、配置或使用的过程中如果遇到问题，可拨打XXXX安全技术支持电话，向XXXX的工程师咨询，技术支持工程师可通过远程调试的方式解决用户产品问题，远程在线协助用户进行产品部署和调试，以保证发挥产品良好效能。6.3.3 产品重部署支持