XXXXWAF网站保护系统解决方案

XXXX WAF 安全解决方案安全解决方案 XXXX 公公司司 全方位的 Web 安全解决方案目目 录录1项目背景项目背景.11.1网络现状分析.11.2WEB安全现状分析.12安全风险及需求分析安全风险及需求分析.22.1安全风险分析.23网站防护方案设计网站防护方案设计.43.1实现目标.43.2设计原则.43.3参考标准.43.4总体设计方案.54产品部署方案产品部署方案.54.1产品选型.54.2产品部署示意图.54.3详细部署介绍.64.4部署后可达到的效果.65XXXX WAF 网站保护系统主要功能网站保护系统主要功能 .75.1漏洞防护.75.2攻击防护.75.3网页代码检查.85.4访问加速.85.5访问分析.85.6挂马检测.85.7XXXX WAF 技术优势.86XXXX 售后服务体系售后服务体系.96.1服务团队.96.2服务能力.96.3服务项目.106.3.1技术咨询服务.106.3.2远程协助服务.106.3.3产品重部署支持.116.3.4产品升级服务.116.3.5产品保修服务.116.3.6产品维修服务.116.3.7培训服务.11 全方位的 Web 安全解决方案1 项目背景项目背景我国互联网用户规模也快速增长，网络基础设施的迅速发展为互联网取得成功提供了坚实的基础，电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利，而且正在创造着巨大的财富。截至 2008 年底，中国网站数量已经增长至 287 万个，网页数增长至 160.9 亿个，提供 WEB服务的主机成为黑客攻击的新对象。在利益的驱使下，网站挂马成为黑客产业链上的重要环节，黑客对 WEB 服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入，给企业和政府核心业务造成严重的破坏。利用网站传播木马和病毒涉及的受害群体范围广，并且有可能在用户不知情的情况下成为黑客的傀儡主机，被黑客利用进行更深一步的犯罪行为。1.1网络现状网络现状分析分析组织机构名称通过经过多年的建设，XXXX 已经形成了比较完善的局域内网、DMZ 区外网业务网络。内网是内部办公网，使用防火墙、IPS 等安全设备对互联网进行隔离保护。DMZ 区外网业务网络是对外部提供 Web 服务的网络区域，使用防火墙进行 DMZ 区隔离保护，同时部署了 IPS 进行安全防护。组织机构名称网络的拓扑结构如下图所示。图 1 XXXX 网络现状图1.2Web 安全现状分析安全现状分析近年来组织机构名称网络业务承载日益多元化，XXXX 对外网站系统是其对外门户网站，向外部提供组织机构名称信息的重要平台。伴随着我国信息化产业的发展，大批针对于网站的黑客攻击，恶意挂马，网站篡改等不法行为也越来越猖獗，根据 IDC 统计，2005 年以来很多政府单位、事业单位以及大型国企网站被恶意攻击，严重影响了正常业务，带来了不良的社会影响。据统计，在 2009 年第一季度里，每周都有 1 千万以上的网页被植入木马，网站安全正面临着前所未有的挑战。一般挂马网站集中在政府门户、大型国企门户等重要的单位网站，此类网站一旦被挂马，会造成恶劣影响，影响组织机构的公众形象。 全方位的 Web 安全解决方案图 2 中国大陆地区被篡改网页数量统计报告（数据来源：CNCERT/CC）针对 Web 应用的传统防御方法，例如 IPS/防火墙/UTM 等传统的安全设备，已经不能对 Web服务器提供有效保护，黑客攻击技术的快速更新需要更加多元化的防御方法。对于网站安全而言，建立起结构化，立体式的 Web 纵深防御体系迫在眉睫。以 XXXX WAF 为主要部件的XXXX 网站保护系统在动态防御技术上相对领先，部署后能显著提高 Web 服务器的安全防御级别，能够有效提高网站性能，同时减少服务器负载，直接降低了用户管理成本和安全运维成本，更加突显产品的实用价值。2 安全风险及需求分析安全风险及需求分析组织机构名称系统网络结构复杂，应用多种多样，内部终端和服务器众多，在对组织机构名称系统进行初步分析后，系统网络中目前面临以下安全风险：2.1安全风险分析安全风险分析随着互联网应用的发展，基于网络的信息服务方式也在不断的发生改变，基于互联网的新型服务方式在为应用提供方便的同时，也将自身服务器暴露在了病毒和黑客面前。如果这些服务器一旦瘫痪或者因被人植入后门程序而造成被远程控制数据被窃取，后果不堪设想。为了保证业务数据的正常流通和安全，需对这些重要的 Web 服务器进行全方位的安全防护。实际情况是这些服务器的安全防护情况并不理想，主要存在以下几个方面的问题： 全方位的 Web 安全解决方案Web 服务软件开发复杂，工作量大，想要在海量的动态 Web 页面代码中，找到安全漏洞，并修补它们，是非常困难和高成本的持续性工作。Web 服务器软件自身的漏洞问题频出，这些漏洞很容易被黑客和病毒利用，成为被攻击和注入/挂马的牺牲品。考虑到兼容性问题，Web 服务器通常不会及时更新补丁，这更造成服务器容易被病毒或黑客入侵，从而使组织机构面临很大的网络安全风险。网络应用较多，而维护人员相对较少。这些人员一方面要维护重要服务器的运行，网络服务的正常开展，另一方面又要监控网络运行和安全状况，工作压力很大，无法顾及到所有服务器的实时安全情况，导致当网络中出现安全隐患后不被及时发现，或者发现后未能及时处理，最终这些微小的隐患可能造成更加严重的后果目前该网络采取的对 Web 服务器的防护方式主要是使用防火墙作为安全防护的基础设施，同时辅以 IPS 设备作为应用层安全检测设备，同时在服务器端安装杀毒软件作为最后一道防线。这样的解决方案存在如下弱点：防火墙设备对于开放端口的防火墙设备对于开放端口的 Web 服务没有防护能力。服务没有防护能力。一般的网络中都会部署防火墙作为安全防护设备，但防火墙仅能控制非授权 IP 对内不得访问，对外应用服务器，是被防火墙允许的访问。由于实现原理的限制，防火墙对于病毒或黑客在应用层面的入侵攻击“视而不见”。入侵检测防御系统（入侵检测防御系统（IPS）对于病毒的攻击行为反应缓慢。）对于病毒的攻击行为反应缓慢。IPS 主要负责监测网络中的异常流量，对受保护网络提供主动、实时的防护，特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。由于 IPS 对 WEB 的检测粒度很粗，随着网络技术和 Web 应用的发展复杂化，IPS 在更需要专业安全防护特性的 WEB 防护领域已经开始力不从心。Web 服务器端是 Web 安全防护的重要环节，虽然 Web 服务器做了相关的安全防护。但服务器端的安全设置较为专业、复杂，一旦设置不合理，就使得 Web 服务器端很容易成为恶意攻击入侵的对象。 全方位的 Web 安全解决方案3 网站防护方案设计网站防护方案设计3.1实现目标实现目标通过 XXXX 的信息安全技术和丰富的安全防护设计经验，为 XXXX Web 系统提供一个技术领先、稳定可靠的网站保护防御体系，有效抵御各种恶意威胁的攻击，提高网站系统的安全级别和防御水平。3.2设计原则设计原则根据 XXXX 网络系统的现状和系统安全和管理的需要，我们考虑保护系统应遵循以下几条原则：技术和产品的成熟性和稳定性。技术和产品的成熟性和稳定性。充分考虑网站保护产品本身和技术上的成熟性。网站保护系统必须是成熟而且经受大量用户实例考验的产品。可管理性。可管理性。对于这样安全防护产品，要管理安全防护规则的升级、配置和支持是非常难的事，这就要求提供一个方便管理的平台。系统必须提供简化管理的工具，包括对攻击特征文件和防护引擎的分发升级、报警管理和日志分析整理等。易用性易用性。网络中设备及软件较多，各类网络产品种类繁多，对于网络管理员来说产品友好易用性将起到事半功倍的效果。3.3参考标准参考标准ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型；ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求；ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求；国务院令第 147 号 中华人民共和国计算机信息系统安全保护条例公通字200743 号 信息安全等级保护管理办法 全方位的 Web 安全解决方案GA-243-2000 计算机病毒防治产品评级准则公安部令第 51 号 计算机病毒防治管理办法GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求；GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南GB20986-2007-Z 信息安全技术 信息安全事件分类分级指南3.4总体设计方案总体设计方案在组织机构名称网络系统中串行部署 XXXX WAF 网站保护系统，将所有 Web 访问流量进行深度检测和过滤，阻挡恶意 Web 请求流量，以实现对组织机构名称网站系统的全方位安全保护。4 产品部署产品部署方案方案4.1产品选型产品选型根据组织机构名称网站带宽和业务流量及应用的实际情况，我们推荐使用 XXXX WAF 产品型号名称高性能网站保护系统。该系统处理性能参数如下表：参数值备注网络接口数量Web 吞吐量CPS 处理能力Connections Per second并发连接数4.2产品部署示意图产品部署示意图针对网络结构及所面临的风险不同，XXXX WAF 网站保护系统在网中可以采用多种方式灵活部署。 全方位的 Web 安全解决方案图 5 网站保护系统在 web 外网服务区中的部署此部署方式适用于 DMZ 区 Web 服务器区环境，在交换机上串行接入 XXXX WAF 系统，所有Web 请求和恶意访问攻击均由 XXXX WAF 系统来承担处理，清洗、过滤后 XXXX WAF 系统向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好的防范来自互联网的威胁，保护网站的安全、稳定、高性能运行。4.3详细部署介绍详细部署介绍组织机构名称网络中在网关处已经部署了防火墙产品和 IPS 安全产品，建议网站保护系统的部署采用纯透明串行接入模式。纯透明串行接入方式可以在不改变原有网络结构的情况下接入，一般放置在路由器或防火墙设备后面的交换机上。这样接入的优点是：对现有网络结构的完全不影响。安装、部署方便简单。4.4部署后可达到的效果部署后可达到的效果通过部署网站保护系统，可以使网络中 Web 服务器的安全性得到大幅提升。简单简单的接入方式部署快速的接入方式部署快速简单简单，无需更改，无需更改现现有网有网络络拓扑拓扑结结构。构。XXXX WAF 保护系统以纯透明串行接入，对现有网络的不产生影响；无需改动网络拓扑模式，接入简单、方便。Web 访问访问数据清洗、数据清洗、过滤过滤。 。对于客户端的每个请求进行深度的检测、清洗、过滤，有效阻击恶意请求，SQL 注入，SQL 盲注、密码猜测，网站扫描，XSS 攻击，表单字段篡改、参数篡改、网页 include 脚本注入攻击、恶意代码、跨站请求伪造(CSRF)、跨站脚本 (XSS)、会话劫持 Google Hacking 等的深度防御。保保护护网站服网站服务务器免受漏洞攻器免受漏洞攻击击。 。对代码执行、目录遍历、脚本源代码泄露、CRLF 注入、COOKIE 篡改、URL 重定向等多种漏洞攻击进行有效防护。强强大的大的 Web 攻攻击击防防护护。 。XXXX WAF 网站保护系统对客户度请求提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率，针对 Flood 攻击、SQL 注入、跨站脚本、目录遍历等主要攻击手段，提供了有效识别、阻断并告警。 全方位的 Web 安全解决方案降低服降低服务务器器压压力，力，节节省省带宽带宽。 。通过 XXXX WAF 网站保护系统的访问加速功能，将用户经常访问的页面和最近访问的页面缓存到系统本地内存直接发送，降低服务器压力。还可以开启压缩功能，节省带宽资源，降低出口网络拥堵的风险。详细详细掌握网站掌握网站访问访问状况。状况。通过访问分析，全面掌握时段流量、PV，关键词搜索，搜索引擎收录，等访问分析数据，全面掌握网站的运营情况；为管理员改进网站功能和合理分配服务器资源提供可靠的依据。通通过过日志日志报报表能表能够够及及时发现时发现网站的安全网站的安全隐隐患。患。XXXX WAF 网站保护系统具备完善的日志功能，不但拥有多种类型的日志,可以随时通过网站保护系统实时显示，而且在网站故障时,可以通过电子邮件和短信方式通知管理员。减减轻维护轻维护人人员员的工作的工作压压力。力。部署网站保护系统后，攻击和入侵已经被拦截，根本不会威胁网站系统，减轻了维护人员的工作压力。另外通过 XXXX WAF 保护系统内显示的相关信息，维护人员可以轻松的掌握网站的运营和安全情况。5 XXXX WAF 网站保护系统主要功能网站保护系统主要功能5.1漏洞防护漏洞防护XXXX WAF 系统能够对 SQL 注入、跨站脚本、代码执行、目录遍历、脚本源代码泄露、CRLF 注入、COOKIE 篡改、URL 重定向等多种漏洞攻击进行有效防护。5.2攻击防护攻击防护XXXX WAF 系统能够对用户请求提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率。针对 Flood 攻击、SQL 注入、跨站脚本、目录遍历等主要攻击手段，XXXX WAF 系统提供了有效识别、阻断并告警。5.3网页代码检查网页代码检查XXXX WAF 系统能够对用 ASP、ASPX、JSP、PHP、CGI 等语言编写的页面，对用 SQL Server、Mysql、Oracle 等数据构建的网站进行检查，能够在客户网站被挂马之前发现网站 全方位的 Web 安全解决方案的脆弱点，从而使客户可以未雨绸缪，避免挂马事件的发生。5.4访问加速访问加速XXXX WAF 系统通过在现有的互联网中增加一层新的网络架构，将网站服务器内容缓存到系统内存中，使用户可以就近取得所需内容，降低服务器的压力，解决互联网拥挤的状况，提高用户访问服务器的响应速度。从而解决由于网络带宽小、用户访问量大、网点分布不均等原因所造成的用户访问网站响应速度慢的问题。5.5访问分析访问分析XXXX WAF 系统提供强大的用户访问分析功能，对用户访问的 IP 地址、浏览深度、访问来源、客户端信息、网站流量等进行详细的统计。通过对用户访问网站的行为分析报告，为管理员改进网站功能和合理分配服务器资源提供可靠的依据。5.6挂马检测挂马检测多数攻击者在成功入侵并不采取直接的网站篡改，为了获取更多的经济利益往往采取比较隐蔽的方式，其最终目的是为了盗取用户的敏感信息，如各类账号密码，甚至使用户电脑沦为攻击者的“肉鸡”。一旦网站服务器成为传播病毒木马的“傀儡帮凶”，将会严重影响到网站的公众信誉度。5.7XXXX WAF 技术优势技术优势 强大的 Web 防护能力2000 多条 Web 安全检测规则，超过 20 个分类。支持虚拟主机，多域名、多个网站的保护。Web 安全检测规则及时更新升级，提供可靠的升级保障。 系统安全性保障自主研发高可靠性操作系统，系统本身安全性得到了有效的保障。集成 Intel 最新多核硬件平台，产品处理性能得到了质的飞跃。 友好操作界面可管理性 全方位的 Web 安全解决方案简易方便的管理页面，适合国内用户使用习惯提供图形化的 WEBUI 界面管理系统，用户可灵活制定策略多级管理员分级控制，方便多层次管理。 丰富的日志查询和报表提供详细的攻击、入侵日志信息，详细了解安全事件情况提供安全事件统计功能，对源地址、URL，攻击方式等进行统计报表功能，日报、周报和月报看按周期了解网站安全状况。6 XXXX 售后服务售后服务体系体系XXXX 公司作为最早从事信息安全研究和应用的单位，经过多年的技术积累和培养形成了一支技术过硬，经验丰富的服务队伍，具备专业的服务能力。6.1服务团队服务团队为加强对重点用户服务，XXXX 特成立针对重点用户的多个网站安全事件响应小组，每个小组各司其职，并能在重大 Web 安全事件爆发时或根据用户需要在现场提供全方位的安全服务。现场救援小组主要服务重点是用户现场紧急事件救援响应；产品救援组负责用户现场产品紧急事件响应。为了更快速的处置新出现的病毒事件，XXXX 还抽调各职能部门的核心人员建立了跨部门的项目组，出现紧急事件可以协同整个单位的资源联合服务。XXXX 网络安全硬件服务工程师均具有多年重点用户的产品实施及服务经验，通过多年的实践积累，能熟练规划各种网络环境下的产品部署，优化配置产品功能，使产品发挥强大的效能。6.2服务能力服务能力分分级级的的应应急急预预案服案服务务。 。针对不同的安全事件、服务事件建立了不同级别的应急预案，在出现重安全事件或针对用户网络出现的不同的安全事件进行有步骤，有计划的处置。快速的快速的应应急响急响应应服服务务。 。通过多年为大中型用户、重点用户服务的经验积累，能依据用户具体网络环境，业务环境提供适当的服务项目，服务响应级别。多种服务项目及响应机制相结合，形成保障用户网络稳定运行的服务体系。高效的高效的应应急事件服急事件服务务通道。通道。应急响应服务不仅仅是救援人员现场事态分析、控制、处理，还 全方位的 Web 安全解决方案需要结合公司级的各方安全技术资源，提供深入、全面的协助支持及安全信息，利用全面的技术分析才能提供可靠的处置方案。应急事件服务通道涉及安全应急服务所必须的所有部门，如病毒分析，网络安全响应，深入测试，安全产品研发，产品升级等，所有相关部门将第一时间按照要求提供快速准确的服务支持。专专家家级级的信息安全的信息安全队队伍。伍。XXXX 公司拥有专业的安全团队，安全领域的安全专家分布于计算机病毒防治与应急、网站保护、数据恢复、安全产品实验室等专业部门等工作。6.3服务服务项目项目6.3.1 技术咨询服务技术咨询服务XXXX 公司提供电话咨询、邮件咨询、远程调试等服务，为用户提供产品管理、产品应用咨询和支持。电话咨询服务。XXXX 公司特设安全事件电话响应专员，提供专业、贴心的电话服务支持，电话专员支持工程师具有多年的安全服务经验及网络安全设备支持经验，不但可以为产品应用提供支持，而且可以提供全面的安全建议。邮件咨询服务。XXXX 公司提供邮件支持，除了解答用户有关产品使用问题及技术咨询外，还会将最新的公司动态、网络安全技术、产品信息等发送给客户，使客户能够掌握最新的网络安全信息和产品的相关情况。6.3.2 远程协助服务远程协助服务用户在产品部署、配置或使用的过程中如果遇到问题，可拨打 XXXX 安全技术支持电话，向XXXX 的工程师咨询，技术支持工程师可通过远程调试的方式解决用户产品问题，远程在线协助用户进行产品部署和调试，以保证发挥产品良好效能。6.3.3 产品重部署支持产品重部署支持用户购买 XXXX WAF 产品后，XXXX 可根据用户实际网络结构提供部署建议：推荐产品部署最优的网络位置；根据用户的需要，合理配置安全策略 全方位的 Web 安全解决方案实时监控测试 XXXX WAF 设备运行状况6.3.4 产品升级服务产品升级服务产品升级服务是指软件功能模块的升级、扩展和硬件平台升级，包括 XXXX WAF 网站安全检测规则升级。6.3.5 产品保修服务产品保修服务产品在保修期内发生系统故障时，为用户提供保修服务。6.3.6 产品维修服务产品维修服务保修期内产品发生的非系统故障或超出保修期的产品故障，为用户提供有偿维修服务。6.3.7 培训服务培训服务根据用户需要可以提供网络安全技术发展形势、产品应用等培训。