WEB应用安全防护系统建设方案

《WEB应用安全防护系统建设方案》由会员分享，可在线阅读，更多相关《WEB应用安全防护系统建设方案（16页珍藏版）》请在装配图网上搜索。

1、精品文档，仅供学习与交流，如有侵权请联系网站删除Web应用安全防护系统解决方案郑州大学西亚斯国际学院2013年8月目录一、需求概述41.1背景介绍41.2需求分析41.3网络安全防护策略71.3.1“长鞭效应（bullwhip effect）”71.3.2网络安全的“防、切、控(DCC)”原则8二、解决方案92.1 Web应用防护系统解决方案92.1.1黑客攻击防护92.1.2 BOT防护102.1.3 应用层洪水CC攻击及DDOS防御112.1.4网页防篡改122.1.5自定义规则及白名单132.1.6关键字过滤132.1.7日志功能142.1.8统计功能162.1.9报表182.1.10智

2、能阻断182.2设备选型及介绍192.3设备部署21三、方案优点及给客户带来的价值243.1解决了传统防火墙、IPS不能解决的应用层攻击问题243.2 合规性建设243.3 减少因不安全造成的损失243.4便于维护243.5使用状况253.5.1系统状态253.5.2入侵记录示例253.5.3网站统计示例26四、Web应用防护系统主要技术优势274.1 千兆高并发与请求速率处理技术274.2 攻击碎片重组技术274.3多种编码还原与抗混淆技术274.4 SQL语句识别技术274.5 多种部署方式274.6 软硬件BYPASS功能27五、展望28学校WEB应用安全防护Web应用防护安全解决方案

3、一、需求概述1.1 背景介绍随着学校对信息化的不断建设，已经具有完备的校园网络，学校部署了大量信息系统和网站，包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站，各业务应用系统都通过互联网平台得到整体应用，校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放，特别是学校的门户网站，由于招生与社会影响，要求在系统Web保护方面十分重要。1.2 需求分析 很多人认为，在网络中不断部署防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网

4、络安全设备对于应用层的攻击防范，尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于 TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。总体说来，容易导致学校Web服务器

5、被攻击的主要攻击手段有以下几种：l 缓冲区溢出攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令l SQL注入构造SQL代码让服务器执行，获取敏感数据l 跨站脚本攻击提交非法脚本，其他用户浏览时盗取用户帐号等信息l 拒绝服务攻击构造大量的非法请求，使Web服务器不能相应正常用户的访问l 认证逃避攻击者利用不安全的证书和身份管理l 非法输入在动态网页的输入中使用各种非法数据，获取服务器敏感数据l 强制访问访问未授权的网页l 隐藏变量篡改对网页中的隐藏变量进行修改，欺骗服务器程序l Cookie假冒精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析

6、学校对WEB应用安全防护非常重视，在内网部署有高端防火墙，同时内网部署有众多应用服务器，网络示意图如下：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，作为整体安全中不可缺少的重要模块，局限于自身产品定位和防护深度，不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法，就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为，对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题，我们看到学校在Web服务器安全防护时需要解决以下几个问题： 跨站脚

7、本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户，常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不可能做到完美，因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据，造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，获得系统管理员权限。CC攻击CC攻击目前是最新出现针对Web系统的特殊攻击方式，通过构造特殊的攻击报文，以到达消耗应用平台的服务器计算资源为目的（其中以消耗CPU资源

8、最为常见），最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给学校形象造成不可估量的损失。拒绝服务攻击通过DOS攻击请求，以到达消耗应用平台的网络资源为目的，最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给政府形象造成不可估量的损失。Cookies/Seesion劫持Cookies/Seesion通常用户用户身份认证，别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限，或者伪装他人的身份登录。1.3 网络安全防护策略1.3.1 “长鞭效应（bullwhip effect）”网络安全的防护同管理学的“长鞭效应（bullwhip eff

9、ect）”具有相似的特性，就是要注重防患于未然。因此，针对我们单位的特点，更要注重主动防护，在安全事件发生之前进行防范，减少网络安全事件发生的机会，达到：“少发生、不发生”的目标。1.3.2 网络安全的“防、切、控(DCC)”原则基于“长鞭效应”，我们的网络安全防护要从源头做起，采用“防、切、控（DCC）”的原则：防：主动防护，防护我们的服务器受到攻击者的主动攻击外部敌对、利益驱动的攻击者，会对我们的网站、mail服务器进行各种主动攻击。而这些主动攻击往往带有非常强的目的性和针对性，因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题，主要有：防止Web服务器受到来自外部的攻击、非法控制

10、、篡改；防止主、备mail服务器受到攻击、非法控制。切：切断来自外部危险网站的木马、病毒传播：在网络中部分的Web服务器已经被黑客控制的情况下，Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行，防止服务器被黑客继续渗透。因此，如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。控：控制无意识的信息泄露：对于第三个要解决的问题是防止内部人员无意识的内部信息泄露，要保证接入网络的机器、设备是具有一定的安全防护标准，防止不符合要求的机器和设备接入网络，严格控制潜在的安全风险。二、 解决方案2.1 Web应用防护系统解决方案 Web应用安全防护系统可以为学校We

11、b服务器提供全方位的服务，主要保护功能包括以下几方面：2.1.1黑客攻击防护 Web应用防护系统对黑客攻击防护功能，主要阻止常见的Web攻击行为，包括以下方面：l 黑客已留后门发现，黑客控制行为阻止l SQL注入攻击（包括URL、POST、Cookie等方式的注入）l XSS攻击l Web常规攻击（包括远程包含、数据截断、远程数据写入等）l 命令执行（执行Windows、Linux、Unix关键系统命令）l 缓冲区溢出攻击l 恶意代码解决办法：通过在Web服务器的前端部署Web应用防护系统，可以有效过滤Web攻击。同时，正常的访问流量可以顺利通过。Web应用防护系统，通过内置可升级、扩展的策略

12、，可以有效的防止、控制Web攻击发生。方案价值：通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击，保障Web服务器的安全，降低资料被窃取、网站被篡改事件的发生。2.1.2 违反策略防护Web应用防护系统对互联网的内容识别与控制主要包括以下几个方面：l 非法HTTP协议l URL-ACL匹配l 盗链行为2.1.2 BOT防护Web应用防护系统对互联网的应用访问控制主要包括以下几个方面：l 爬虫蜘蛛行为l Web漏洞扫描器行为2.1.3 应用层洪水CC攻击及DDOS防御Web应用防护系统的互联网应用流量控制主要包括以下几个方面：1. UDP Flood2. ICMP Flood3.

13、 SYN Flood4. ACK Flood5. RST Flood6. CC攻击7. DDOS攻击方案价值：Web应用防护系统全方位的封堵，节省带宽资源利用率，保证组织的业务相关应用得到极以流畅的进行。2.1.4网页防篡改本设备的网页防篡改功能，对网站数据进行监控，发现对网页进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。 支持的操作系统: Windows 、 Linux(CentOS、Debian、Ubuntu)、 Solaris、AIX、IRIX、HP、Sun ONE、iPanet等操作系统。2.1.5自定义规则及白名单自定义规则设备不仅

14、具有完善的内置规则，并且还支持用户根据自身需要自行定义规划，支持自符串快速查找与PCRE正则查找。白名单根据需要设定某些网站、URL针对防护设备直接放行。2.1.6关键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤。2.1.7日志功能Web应用防护系统不但提供强大的防护功能，且提供了十分详细的日志和报表功能，能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。入侵报警日志系统提供详细的安全防护日志：包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。日志查询设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。支持日志的导出及按时间进行

15、日志自动的清理。审计日志对设备每次操作进行详细的记录系统日志可以记录设备的运行状况2.1.8统计功能网络入侵统计 该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况，以便快速掌握不同时期遭受网络攻击状况，判断网络攻击变化趋势。网络流量统计 统计该页面统计各接口的流量情况，可以按天或月以折线图的形式显示出来。了解本设备在该段时间内的网络流量情况。浏览页面统计该页面可以详细清楚地统计并显示每个web页面的访问次数，最后访问时间、浏览器情况，并可以分时间断来进行分析页面访问情况。2.1.9报表设备提供详细的基于图文的安全报表（按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、we

16、bshell分析、页面访问次数等）并可以按事件攻击类型、周期、统计目标进行统计。支持Html、Word、Pdf格式的输出。定时去发送攻击报表等功能。2.1.10智能阻断该设备可以智能识别外来的攻击行为，根据自定义单位时间内触发安全规则次数的方式，自动阻断攻击源。阻断的时间及次数均可自行定义。2.2设备选型及介绍根据对学校WEB应用安全防护需求的分析，采用WAF产品系列的Web防火墙管理设备，以下是要求的设备基本性能参数：项目技术要求体系结构1U，采用多核硬件架构配置8个电口，配置2对电口Bypass性能单向HTTP吞吐量1000 Mbps最大并发会话数100万（内置规则全开，防护状态）HTTP

17、请求速率1,0000（内置规则全开，防护状态）网络延迟0.05毫秒（内置规则全开，防护状态）防护网站不限IP拦截方式至少包含4种方式：拦截、检测、放行、拦截并阻断；阻断方式下，可设置阻断时间，可手工解除阻断入侵者记录能够记录入侵攻击详细数据，至少包含：序号、攻击时间、拦截原因、规则集名称、危害等级、源IP地址、地理位置、目的IP地址、源端口、目的端口、拦截方式、HTTP请求、URL等防御功能双向检测功能，能够对流入流出数据进行检测；具有默认的防护端口，并可指定防护端口；系统内置防护规则、并支持用户自定义防护规则；白名单功能:能够对特定的IP、域名、域名+URL设置白名单；HTTP请求类型允许与

18、禁止：可对常用的HTTP请求设置允许或禁止通过Web攻击防护SQL注入攻击（包括URL、POST、Cookie等方式的注入）：攻击者通过输入数据库查询代码窃取或修改数据库中的数据、XSS攻击、远程、本地文件包含攻击CSRF跨站请求、Web常规攻击（包括远程包含、数据截断、远程数据写入等）、恶意扫描：攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击、命令执行（执行Windows、Linux、Unix关键系统命令）、缓冲区溢出攻击、关键文件下载、搜索引擎爬虫（spider）、恶意代码、信息伪装、“零日”攻击、本马上传：攻击者利用黑客工具上传Webshell以达到控制服务器

19、的目的、WebShell检测与拦截等负载均衡支持应用层负载均衡功能，并支持动态网站、流量分配防CC攻击（选配）支持对CC攻击的防护功能防DOS攻击（选配）支持对DOS攻击防护功能网页防篡改（选配）支持对网页的篡改并进行自动恢复，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系统漏洞扫描（选配）针对web服务器的SQL、XSS等漏洞进行扫描，并生成报告。数据库防篡改（选配）数据库防篡改：支持MSSQL、SQLSERVER等数据库防篡改。高级访问控制支持对内、外IP地址的精确控制，设置不同的防御方式（阻断、过滤、检测、放行）可靠性电口、光口硬件BYPASS、软件BYP

20、ASS、可扩展支持端口汇聚、多机热备；平均无故障时间 100000h；支持日志自动清理功能：可在达到日志上限时通知管理员进行日志清理，如手动清理未实施，系统实行自动清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虚拟化部署等报表功能提供详细的基于图文的安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势等）并可以按事件攻击类型、周期、统计目标进行统计管理特性支持通过HTTPS初始化、设置、管理设备实时流量查看、入侵告警查看流量统计、入侵统计自定义规则查看管理支持入侵记录、系统日志、审计日志导出功

21、能、系统配置安全导入、导出功能支持内置规则升级、固件升级允许用户自由定制规则，提供友好的定制模板报表系统、系统日志、审计日志产品资质获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB132004涉及国家秘密的计算机信息系统入侵检测产品技术要求的千兆涉密信息系统产品检测证书获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007信息技术 信息安全 网站恢复产品认证技术规范增强级认证中国国家信息安全产品认证证书公安部颁发的计算机信息系统安全专用产品销售许可证国家漏洞中心提交漏洞证明文件2.3设备部署根据学校WEB应用安全防护Web服务器部署情况，我们建议通过透明网

22、桥的部署模式来达到对Web服务器保护的目的。集中/集群式Web服务器部署集群式/集中式Web服务：集群式Web服务采用多台Web服务器负荷分担提供同一Web服务；集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内，但不同的Web服务器可能提供多样的Web服务。这种情况多数应用于中大型企业的Web服务器模式，或者是IDC。在这种网络结构下，可直接将“Web应用防火墙”串接在Web服务器群所在子网交换机前端，如下图显示：部署方式：WAF的WAN口与广域网的接入线路相连，一般是光纤、ADSL线路或者是路由器，WAF的LAN口（DMZ口）同局域网的交换机相连，所有对WEB服务器

23、的访问请求都必须通过WAF设备。半分散式WEB服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在不同的子网中；比如：公司有整体的Web服务集群，同时，各个部门还有各自的Web服务器，而这些服务器分布在不同的子网中，如果想对这些Web服务器进行保护，需要将“Web应用防火墙”部署在这些Web服务器所在网络的边缘，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时保护处于内网不同网段的多个Web服务器。全分散式Web服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这

24、些Web应用服务器分散在几乎全部的子网中；比较常见的案例：IDC机房，这时，需要将“Web应用防火墙”部署在局域网边缘，一般部署在主交换机同主路由器之间，如下图显示：部署方式：WAF的WAN口同广域网接入线路相连，LAN口（DMZ口）同局域网交换机连接。同时保护处于内网的所有Web服务器及DB服务器。三、方案优点及给客户带来的价值通过Web应用防护系统在学校WEB应用安全防护的具体实施给客户带来以下价值：3.1解决了传统防火墙、IPS不能解决的应用层攻击问题 传统的网络防火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检

25、测能力。因此，对Web应用而言，传统的网络防火墙仅提供IP及端口防护，对各类WEB应用攻击缺乏防御能力。Web应用防护系统主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。WAF 的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP 协议报文内容，由于WAF对HTT

26、P协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。3.2 合规性建设 学校WEB应用安全防护网站由于其社会地位和政治地位的特殊性，在公安部计算机信息安全等级保护基本要求中明确要求必须对所有外部网络访问行为进行入侵防范，访问行为有相应的日志审计行为。Web应用防护系统不仅能完全防范非法用户的入侵行为，更能提供完整的统计表报。3.3 减少因不安全造成的损失 Web应用防护系统可以防止黑客通过各种方式获取系统的管理员权限，避免黑客获得管理员权限篡改Web服务器主页，或者以服务器为跳板攻击局域网内其他服务器。可以防止因代码编写不规

27、范，造成数据库服务器被SQL注入攻击，黑客获得数据库中的用户数据。3.4便于维护Web应用防护系统连续工作时间为120000小时，能保证在夜间及节假日等无人值守时刻也能保护Web服务器。减少管理员的工作负担。同时B/S设计架构方便管理员进行规则设置，参数配置。系统管理员不必随时关注系统补丁升级，发现漏洞可以在Waf的防护下慢慢的修补。3.5使用状况3.5.1系统状态3.5.2入侵记录示例3.5.3网站统计示例四、Web应用防护系统主要技术优势4.1 千兆高并发与请求速率处理技术 Web应用防护系统，通过对网络协议底层的深层次的优化，可以达到百万级别的并发连接。并提供每秒超过8万个HTTP请求的

28、七层深度包检测的能力。在网站数量超过500的情况下，仍然能够提供高带宽吞吐与极低的网络带宽延迟。4.2 攻击碎片重组技术 通过独有的碎片包重组技术，可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而的Web应用防护系统可以准确的模拟TCP/IP栈进行完整重组数据包。4.3多种编码还原与抗混淆技术 Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释、混淆等方式绕过检测引擎。内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。4.4 SQL语句识别技术Web应用防护系统可以通过人工智能的方式识别”注入攻击”中使用的SQL语句，识别

29、SQL语法结构，而不是通过简单的select/insert/update等简单的SQL关键词的字符串匹配。在对攻击的识别和准确率上可以大大提升。4.5 多种部署方式 Web应用防护系统能应用于各种复杂的网络环境中，可以分别保护单台或者多台Web服务器，DB数据库。可以采用网桥模式，混合部署模式，旁路反向代理模式。可以方便、灵活的应对客户网络环境的变化。4.6 软硬件BYPASS功能Web防火墙支持在断电、硬件故障等特殊情况下，仍然能保持网络的畅通，避免了因为故障造成的网络无法访问，给单位和用户带来不必要的损失。硬件Bypassl 硬件Bypass 外部突然断电时，自动直连 来电后自动启动时，自动直连 硬件启动、重启时，自动直连l 软件Bypass五、展望随着Web2.0的大量应用和云计算的应用，云安全日益重要，Web应用安全防护系统需要日趋完善，更快速更安全的一站式防火墙是高校的需要。【精品文档】第 16 页