版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、一. 項(xiàng)目背景及必要性 21.1項(xiàng)目背景2二. 中國(guó)鐵建Web應(yīng)用安全風(fēng)險(xiǎn)分析52.1應(yīng)用層安全風(fēng)險(xiǎn)分析 52.1.1身份認(rèn)證漏洞 52.1.2 www 服務(wù)漏洞 52.1.3 Web網(wǎng)站應(yīng)用漏洞 52.2管理層安全風(fēng)險(xiǎn)分析 6三. 中國(guó)鐵建 Web網(wǎng)站安全防護(hù)方案 73.1產(chǎn)品介紹83.1.1 WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)解決方案 83.1.2 WebGuard-WAF綜合應(yīng)用安全網(wǎng)關(guān) 113.2系統(tǒng)部署173.2.1詳細(xì)部署173.2.2部署后的效果18四. 系統(tǒng)報(bào)價(jià)19可編輯項(xiàng)目背景及必要性1.1項(xiàng)目背景近年來(lái),信息技術(shù)的飛速發(fā)展使人們獲取、交流和處理信息的手段發(fā)生了巨大的變化,
2、隨著信息時(shí)代的到來(lái),信息化發(fā)展也為移動(dòng)工作帶來(lái)了新的挑戰(zhàn)和機(jī)遇。近兩年來(lái),黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見(jiàn)不鮮,而且一次比一次破壞力大,對(duì)網(wǎng)絡(luò)安全造成的威脅也越來(lái)越大,一旦網(wǎng)絡(luò)存在安全隱患, 遭受重大損失在所難免。 在企業(yè)網(wǎng)中,網(wǎng)絡(luò)管理者對(duì)于網(wǎng)絡(luò)安全普遍缺乏重視,但是隨著網(wǎng)絡(luò)環(huán)境的惡化,以及一次次付出慘重代價(jià)的教訓(xùn),企事業(yè)單位網(wǎng)的管理者已經(jīng)將安全因素看作網(wǎng)絡(luò)建設(shè)、改造的關(guān)鍵環(huán)節(jié)。國(guó)內(nèi)相關(guān)行業(yè)網(wǎng)站的安全問(wèn)題有其歷史原因:在舊網(wǎng)絡(luò)時(shí)期,一方面因?yàn)橐庾R(shí)與資金方面的原因,以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足,普遍都存在重技術(shù)、輕安全、輕管理”的傾向,政府網(wǎng)絡(luò)建設(shè)者在安全方面往往沒(méi)有太多的關(guān)注,常常只是在內(nèi)部
3、網(wǎng)與互聯(lián)網(wǎng)之間放一 個(gè)防火墻就萬(wàn)事大吉,有些政府甚至什么也不放,直接面對(duì)互聯(lián)網(wǎng),這就給病毒、黑客提供 了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等,這些安全隱 患發(fā)生任何一次對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),網(wǎng)站在各行業(yè)的信息化建設(shè)中已經(jīng)在 扮演至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)、金融證券、政府 及事業(yè)單位網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各地政府不可回避的一個(gè)緊迫 問(wèn)題;因此,解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩。當(dāng)前企業(yè)、金融證券和政府業(yè)務(wù)系統(tǒng)大都居于B/S架構(gòu),使用Web應(yīng)用來(lái)運(yùn)行核心業(yè)務(wù),然而,Web應(yīng)
4、用安全威脅已成為當(dāng)前信息安全的主要威脅,從以下數(shù)據(jù)可以看出,80%以上的信息安全威脅來(lái)自于 Web應(yīng)用:201山CNCERT址珅的網(wǎng)絡(luò)妄余"件按婁啊分巾CN< ERT/CCr> %嘰201Q訐CIMC&RT業(yè)理的阿絡(luò)齊全邱件搖類型井秣圖1.1信息安全事件分布Vulnerability Disclosures Affecting Web ApplicationsCumulative, year over year圖1.2 Web漏洞發(fā)展趨勢(shì)2010 OWASP最新十大安全威肋30.00%圖1.3最新十大安全威脅從以上數(shù)據(jù)可以看出,隨著Web應(yīng)用的極速發(fā)展及大量使用,
5、Web應(yīng)用漏洞在急劇增加,Web安全威脅已成為當(dāng)前信息安全的主要威脅。因此,在平臺(tái)業(yè)務(wù)建設(shè)的同時(shí),必須加強(qiáng)Web應(yīng)用安全建設(shè),通過(guò)全面有效的Web安全防護(hù),保障業(yè)務(wù)系統(tǒng)正常穩(wěn)定運(yùn)行?;谝陨蠑?shù)據(jù)信息可以看出,中國(guó)鐵建的對(duì)外網(wǎng)站直接暴露在互聯(lián)網(wǎng),存在極大的安全威脅,需要對(duì)Web網(wǎng)站做必要的安全防護(hù)。中國(guó)鐵建 Web應(yīng)用安全風(fēng)險(xiǎn)分析2.1應(yīng)用層安全風(fēng)險(xiǎn)分析Web應(yīng)用系統(tǒng)主要存在以下安全風(fēng)險(xiǎn):用戶提交的業(yè)務(wù)信息被監(jiān)聽(tīng)或修改;用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴;由于移動(dòng)網(wǎng)絡(luò)對(duì)外提供網(wǎng)上WWW服務(wù),因此存在外網(wǎng)非法用戶對(duì)內(nèi)部網(wǎng)和服務(wù)器的攻擊。2.1.1身份認(rèn)證漏洞服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令,口
6、令在一定時(shí)間內(nèi)是不變的,且在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄,可重復(fù)使用。這樣非法用戶通過(guò)網(wǎng)絡(luò)竊聽(tīng),非法數(shù)據(jù)庫(kù)訪問(wèn),窮舉攻擊,重放攻擊等手段很容易得到這種靜態(tài)口令,然后,利用口令,可對(duì)資源非法訪問(wèn)和越權(quán)操作。對(duì)移動(dòng)系統(tǒng)的網(wǎng)上移動(dòng)服務(wù)平臺(tái),必須加強(qiáng)用戶的身份認(rèn)證,防止對(duì)移動(dòng)網(wǎng)絡(luò)資源的非 授權(quán)訪問(wèn)以及越權(quán)操作。2.1.2 www服務(wù)漏洞Web Server目前正在成為移動(dòng)系統(tǒng)對(duì)外宣傳、開(kāi)展業(yè)務(wù)的基地,但公開(kāi)服務(wù)器本身不能保證沒(méi)有漏洞,不法分子可能利用服務(wù)的漏洞修改頁(yè)面甚至破壞服務(wù)器。系統(tǒng)中的BUG,使得黑客可以遠(yuǎn)程對(duì)公開(kāi)服務(wù)器發(fā)出指令,從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞,包括無(wú)限制地向服 務(wù)器發(fā)出大量指令, 以至于服
7、務(wù)器 拒絕服務(wù)”,最終引起整個(gè)系統(tǒng)的崩潰。這就要求我們必須提高服務(wù)器的抗破壞能力,防止拒絕服務(wù)(DOS)或分布式拒絕服務(wù)(DDOS )之類的惡意攻擊,提高服務(wù)器備份與恢復(fù)、防篡改與自動(dòng)修復(fù)能力。2.1.3 Web網(wǎng)站應(yīng)用漏洞Web網(wǎng)站用于對(duì)外提供服務(wù),作為對(duì)外展示的窗口,部分網(wǎng)站與用戶還有相當(dāng)部分的數(shù)據(jù)交互,Web網(wǎng)站應(yīng)用在開(kāi)發(fā)過(guò)程中,難免會(huì)出現(xiàn)一些漏洞,女口: SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等,這些漏洞很容易被黑客檢測(cè)到并加以利用,達(dá)到篡改數(shù)據(jù),截取數(shù)據(jù)信息等目的,黑客還可以利用漏洞提升權(quán)限,達(dá)到控制計(jì)算機(jī),損壞數(shù)據(jù)信息等操作,對(duì)用戶數(shù)據(jù)信息造成極大威脅。2.2管理層安全風(fēng)險(xiǎn)分析
8、再安全的網(wǎng)絡(luò)設(shè)備離不開(kāi)人的管理,再好的安全策略最終要靠人來(lái)實(shí)現(xiàn),因此管理是整 個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán),尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò),更是如此。因此我 們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn),并采取相應(yīng)的安全措施。移動(dòng)系統(tǒng)應(yīng)按照國(guó)家關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)的一些安全管理?xiàng)l例,如計(jì)算站場(chǎng)地安全要求、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等,制訂安全管理制度。責(zé)權(quán)不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入 機(jī)房重地,或者員工有意無(wú)意泄漏他們所知道的一些重要信息,而管理上卻沒(méi)有相應(yīng)制度來(lái)
9、約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)(如內(nèi)部人員的違規(guī)操作等),無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí),當(dāng)事故發(fā)生后,也無(wú)法提供黑客攻擊行為的追 蹤線索及破案依據(jù),即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活 動(dòng)進(jìn)行多層次的記錄,及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制,必須深刻理解網(wǎng)絡(luò) 并能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結(jié)合。中國(guó)鐵建Web網(wǎng)站安全防護(hù)方案根據(jù)上述需求分析,對(duì)當(dāng)前 Web安全風(fēng)險(xiǎn)分析,XX科技應(yīng)用安全團(tuán)隊(duì)通過(guò)對(duì)網(wǎng)站安全多年的研究、調(diào)研,針對(duì) Web應(yīng)用安全提出了全新的安全防護(hù)方式,對(duì)Webserver和
10、AppServer采用Web網(wǎng)站安全防護(hù)系統(tǒng)(WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng),簡(jiǎn)稱WebGuard') +WAF綜合應(yīng)用安全網(wǎng)關(guān)來(lái)對(duì)網(wǎng)站應(yīng)用做全面的安全防護(hù),WebGuard采用系統(tǒng)底層文件驅(qū)動(dòng)保護(hù)技術(shù)+增強(qiáng)型事件觸發(fā)技術(shù),對(duì) Web網(wǎng)站頁(yè)面直接防護(hù),防止黑客篡改網(wǎng)站頁(yè)面。WAF綜合應(yīng)用安全網(wǎng)關(guān)能夠有效防止各類新型應(yīng)用攻擊,如:SQL注入攻擊、跨站攻擊、目錄遍歷、操作系統(tǒng)命令攻擊、Cookie攻擊等,還能有效防護(hù)給類DDos攻擊,CC攻擊等主要的流量及應(yīng)用型拒絕服務(wù)式攻擊。設(shè)備一覽表:產(chǎn)品名稱產(chǎn)品形態(tài)產(chǎn)品職能其他說(shuō)明Web網(wǎng)站安全防護(hù)系統(tǒng)(WebGuard)軟件通過(guò)文件底層驅(qū)動(dòng)技術(shù)
11、 +增強(qiáng)型事件觸發(fā) 技術(shù),對(duì)Web網(wǎng)頁(yè)文件進(jìn)去全面有效的防 護(hù),防止黑客對(duì)Web頁(yè)面的非法篡改攻 擊,有效保障Web應(yīng)用安全。WebGuard-WAF 綜合應(yīng)用安全網(wǎng)關(guān)軟件+硬件針對(duì)當(dāng)前主流的 Web應(yīng)用攻擊做全面安 全防護(hù),可以防止各類應(yīng)用攻擊,包括 SQL注入攻擊、跨站攻擊、目錄遍歷、遠(yuǎn) 程文件包含攻擊、操作系統(tǒng)命令注入攻 擊、Cookie注入攻擊、其他變形的應(yīng)用攻 擊。還能有效防止 DDoS攻擊,CC攻擊 等網(wǎng)絡(luò)及應(yīng)用類型的拒絕服務(wù)類攻擊。3.1產(chǎn)品介紹3.1.1 WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)解決方案Web網(wǎng)站安全防護(hù)系統(tǒng)由 XX科技根據(jù)長(zhǎng)期對(duì) Web站點(diǎn)進(jìn)行安全研究成果自主研發(fā)的
12、高 可靠性、高安全性以及高易用性的軟件系統(tǒng)。主要用于保護(hù)站點(diǎn)內(nèi)容安全,防止黑客非法篡 改網(wǎng)頁(yè),保護(hù)公眾形象。該系統(tǒng)也是國(guó)內(nèi)唯一通過(guò)國(guó)家嚴(yán)格檢測(cè)的第三代網(wǎng)頁(yè)防篡改技術(shù)。網(wǎng)頁(yè)防篡改技術(shù)在近幾年當(dāng)中根據(jù)黑客攻擊技術(shù)的發(fā)展也得到了較快的發(fā)展,第三代網(wǎng)頁(yè)防 篡改技術(shù)較之以前的技術(shù)有幾個(gè)特點(diǎn),響應(yīng)恢復(fù)速度快、判斷準(zhǔn)確、部署靈活等特點(diǎn),集成 度較高,不依賴于原有 web系統(tǒng)架構(gòu)、部署也不影響網(wǎng)站整體結(jié)構(gòu)。經(jīng)過(guò)廣大用戶實(shí)踐表明,WebGuard已經(jīng)成為網(wǎng)站安全建設(shè)最佳解決方案。系統(tǒng)組成原理WebGuard系統(tǒng)包含三個(gè)部分:監(jiān)控代理客戶端,管理中心服務(wù)器和管理客戶端,各部分功能如下:1. 監(jiān)控代理
13、客戶端(Monitor Client Setup )安裝在 Web站點(diǎn)服務(wù)器上,根據(jù)服務(wù)器數(shù)量購(gòu)買客戶端數(shù)量,主要用于監(jiān)控站點(diǎn)狀態(tài),執(zhí)行管理中心所配置的策略;2. 管理中心服務(wù)器(Center Server Setup)建議部署在獨(dú)立 pc服務(wù)器上,若所管理的web服務(wù)器數(shù)量較少,也可以同時(shí)部署在管理客戶端;主要用于用戶管理,策略下發(fā),日志監(jiān)控,以及管理各代理客戶端;3. 管理客戶端(Console Setup)部署在網(wǎng)管員任意一臺(tái)計(jì)算機(jī),可以由單臺(tái)pc機(jī)替代,主要用于登錄管理中心服務(wù)器進(jìn)行配置管理WebGuard中心服務(wù)器;Center Server Sc-lud圖3.1系統(tǒng)結(jié)構(gòu)示意圖各組建
14、之間通信采取完全加密傳輸,包括數(shù)據(jù)傳輸,用戶認(rèn)證等,確保通信的保密性;系統(tǒng)主要功能基于驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù),支持各類網(wǎng)頁(yè)格式,包含各類動(dòng)態(tài)頁(yè)面腳本;完全防護(hù)技術(shù),支持大規(guī)模連續(xù)篡改攻擊防護(hù);系統(tǒng)后臺(tái)自動(dòng)運(yùn)行,支持?jǐn)嗑€狀態(tài)下篡改監(jiān)測(cè);驅(qū)動(dòng)技術(shù)完全杜絕被篡改內(nèi)容被外界瀏覽;支持多站點(diǎn)分布式部署,統(tǒng)一集中管理功能;支持大規(guī)模虛擬機(jī)、雙機(jī)熱備網(wǎng)站系統(tǒng)部署架構(gòu);支持單獨(dú)文件、文件夾及多級(jí)文件夾目錄內(nèi)容篡改保護(hù);支持網(wǎng)頁(yè)格式類型分類,便于分類管理;支持網(wǎng)頁(yè)自動(dòng)上傳功能,無(wú)需人工干涉;支持異地文件快速同步功能和斷點(diǎn)續(xù)傳功能,極大的增加網(wǎng)站整體安全性和穩(wěn)定性;支持多用戶管理功能,方便操作;支持網(wǎng)頁(yè)
15、自動(dòng)同步新增、修改、刪除等功能;自動(dòng)檢測(cè)文件攻擊記錄,并實(shí)時(shí)記入日志,支持導(dǎo)出報(bào)表;支持服務(wù)器多種遠(yuǎn)程管理功能,如遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程用戶注銷等;系統(tǒng)c/s結(jié)構(gòu),確保高可靠性;支持多個(gè)策略管理,策略設(shè)置支持即時(shí)生效,無(wú)需重啟;支持服務(wù)器冗余雙機(jī)及負(fù)載均衡分布部署;支持多種告警方式,日志告警、聲音告警、郵件告警或定制其他告警方式;支持用戶認(rèn)證,采用加密傳輸,安全可靠;系統(tǒng)全中文界面,操作、配置方便,網(wǎng)絡(luò)管理人員僅需十分鐘即可熟練完成系統(tǒng)初始配置,大大提高工作效率;支持當(dāng)前所有主流操作系統(tǒng)和 web服務(wù)器支持SQL注入攻擊防護(hù);支持跨站腳本攻擊防護(hù);支持對(duì)系統(tǒng)文件的訪問(wèn)防護(hù);支持特殊
16、字符構(gòu)成的 URL利用防護(hù);支持對(duì)危險(xiǎn)系統(tǒng)路徑的訪問(wèn)防護(hù);支持構(gòu)造危險(xiǎn)的Cookie攻擊防護(hù);各類攻擊的變種防護(hù);支持自定義檢測(cè)庫(kù);規(guī)則庫(kù)支持在線升級(jí)功能;技術(shù)特點(diǎn)介紹完全基于事件觸發(fā)機(jī)制,避免服務(wù)器資源額外開(kāi)支; 文件驅(qū)動(dòng)保護(hù)技術(shù),確保系統(tǒng)穩(wěn)定、安全、高效; 不限制網(wǎng)站發(fā)布服務(wù)器類型,實(shí)現(xiàn)高可用性和擴(kuò)展性;文件傳輸過(guò)程加密技術(shù),防竊聽(tīng)和防篡改;部署模式簡(jiǎn)單部署模式輛叫“垃獨(dú)相11宣interrwt圖3.2簡(jiǎn)單部署集群冗余部署模式rT* 卻“魚(yú)雷傳JVM|圖3.3集群冗余部署部署WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng),對(duì) Web應(yīng)用進(jìn)行全面保護(hù),即便黑客獲得Web目錄操
17、作權(quán)限,依然無(wú)法對(duì) Web頁(yè)面進(jìn)行篡改,保障 Web網(wǎng)站安全。3.1.2 WebGuard-WAF綜合應(yīng)用安全網(wǎng)關(guān)WEB綜合安全應(yīng)用網(wǎng)關(guān)(以下簡(jiǎn)稱 WAF )是XX科技自有知識(shí)產(chǎn)權(quán),自主研發(fā)出品的高 可靠性、高安全性、高易用性系統(tǒng)。WAF是網(wǎng)絡(luò)安全專家團(tuán)針對(duì)“網(wǎng)站型”服務(wù)器量身定制的產(chǎn)業(yè)化產(chǎn)品,融合了我公司長(zhǎng) 期對(duì)網(wǎng)站系統(tǒng)進(jìn)行的安全研究成果,應(yīng)用多項(xiàng)專利技術(shù),主要從網(wǎng)站平臺(tái)系統(tǒng)可用性和信息 可信任的角度,解決 WEB防護(hù)及加速、內(nèi)容防篡改、流量分析和管理、異常流量清洗、負(fù)載 均衡等核心需求,提供事前預(yù)警、事中防護(hù)、事后分析全周期安全防護(hù)解決方案。圖3.4 WAF工作原理示意圖腸揄岀完豐性松童網(wǎng)
18、帀建懺為防護(hù)WAF源于防護(hù)產(chǎn)品精品理念,致力于提高“網(wǎng)站型”服務(wù)器,應(yīng)用服務(wù)系統(tǒng)的安全性和 可靠性,保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量,提升網(wǎng)站應(yīng)用系統(tǒng)運(yùn)行質(zhì)量,為網(wǎng)站應(yīng)用服務(wù) 系統(tǒng)的信息化規(guī)劃部門、投資決策部門、運(yùn)行維護(hù)部門提供具有參考意義的量化數(shù)據(jù)。事前,WAF進(jìn)行網(wǎng)站服務(wù)運(yùn)行動(dòng)態(tài)監(jiān)視,實(shí)時(shí)監(jiān)測(cè)服務(wù)能力和服務(wù)質(zhì)量,建立隱患預(yù)警 機(jī)制。事中,基于“無(wú)故障運(yùn)行時(shí)間”理念,依托穩(wěn)定高效安全的系統(tǒng)內(nèi)核以及先進(jìn)全面的多維防護(hù)體系,從 WEB應(yīng)用威脅防御、WEB防篡改、抗拒絕服務(wù)攻擊和WEB應(yīng)用效能優(yōu)化等多個(gè)角度,保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量。事后,WAF提供多角度量化的決策支撐數(shù)據(jù),為用戶提供便捷的使
19、用管理、有效的數(shù)據(jù)和簡(jiǎn)潔清晰的階段性報(bào)表,幫助網(wǎng)絡(luò)維護(hù)隊(duì)伍了解網(wǎng)站的建設(shè)情況和運(yùn)行情況,掌握網(wǎng)站應(yīng) 用服務(wù)系統(tǒng)規(guī)劃設(shè)計(jì)目標(biāo)的滿足程度、網(wǎng)站應(yīng)用服務(wù)系統(tǒng)運(yùn)行效能及負(fù)載、網(wǎng)站應(yīng)用服務(wù)質(zhì) 量、運(yùn)行報(bào)告等等多個(gè)角度的量化的決策支撐數(shù)據(jù)。幫助網(wǎng)站系統(tǒng)運(yùn)行維護(hù)隊(duì)伍從宏觀環(huán)境、當(dāng)前建設(shè)現(xiàn)狀、系統(tǒng)負(fù)載、異常行為過(guò)程等多個(gè)維度綜合考慮安全問(wèn)題,分角色提供既有清 晰結(jié)論、又有多角度量化的決策支撐數(shù)據(jù)的高水平報(bào)表。3.121產(chǎn)品功能.1 WEB 應(yīng)用威脅防御WEB防護(hù)系統(tǒng)對(duì)HTTP數(shù)據(jù)流進(jìn)行分析,應(yīng)用了先進(jìn)的多維防護(hù)體系,對(duì)WEB應(yīng)用攻擊進(jìn)行深入的研究,固化了一套針對(duì)WEB應(yīng)用防護(hù)的專用特征規(guī)則庫(kù),對(duì)
20、當(dāng)前國(guó)內(nèi)主要的WEB應(yīng)用攻擊手段實(shí)現(xiàn)了有效的防護(hù)機(jī)制,可以有效應(yīng)對(duì)黑客傳統(tǒng)攻擊如緩沖區(qū)溢出、CGI掃描、遍歷目錄、OS命令注入等以及 SQL注入和跨站腳本等攻擊手段。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問(wèn)權(quán)和控制權(quán),檢查所有的HTTP內(nèi)容,解釋和建立規(guī)則。一旦某個(gè)會(huì)話被應(yīng)用防火墻終止并被控制,WAF就會(huì)對(duì)向內(nèi)或向外的流量進(jìn)行多種檢查,以阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取??梢灾付ǜ鞣N策略對(duì)URL、參數(shù)和格式等進(jìn)行檢查。3.121.2抗拒絕服務(wù)攻擊拒絕服務(wù)攻擊是攻擊者通常利用目標(biāo)服務(wù)器的網(wǎng)絡(luò)協(xié)議漏洞或耗盡其系統(tǒng)、網(wǎng)絡(luò)資源, 使得目標(biāo)服務(wù)器業(yè)務(wù)癱瘓,無(wú)法響應(yīng)正常用戶請(qǐng)求。近年來(lái),拒絕服務(wù)攻擊事件呈上升
21、趨勢(shì),網(wǎng)站系統(tǒng)尤其要加強(qiáng)防范此類惡性攻擊事件,避免系統(tǒng)癱瘓。WAF集成了具有核心知識(shí)產(chǎn)權(quán)的抗拒絕服務(wù)攻擊功能,能夠防御迄今已知的所有種類的DDoS 攻擊,如 SYN Flood、UDP Flood、ICMP Flood、pi ng of Death 、Smurf、HTTP-get Flood 等等。同時(shí)還能防御未知攻擊。攻擊指紋識(shí)別WAF利用多種技術(shù)手段對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行特征統(tǒng)計(jì)和發(fā)現(xiàn),能夠準(zhǔn)確定位當(dāng)前的攻擊類 型,并觸發(fā)不同的防御機(jī)制,在提高效率的同時(shí)確保準(zhǔn)確度。異常流量識(shí)別WAF創(chuàng)造性地提出了一種新的、基于數(shù)據(jù)挖掘的DDoS攻擊盲檢測(cè)技術(shù),利用關(guān)聯(lián)算法和聚類算法自適應(yīng)的產(chǎn)生檢測(cè)模型,任何偏離
22、這些正常狀態(tài)的流量特征都可以被捕獲,從而 能夠?qū)崟r(shí)地、自動(dòng)地、有效地識(shí)別出異常流量。攻擊特征挖掘WAF具備高效的攻擊特征挖掘能力。通過(guò)對(duì)網(wǎng)絡(luò)流量的顯微分析,挖掘出攻擊特征,把 挖掘出的攻擊特征交給規(guī)則執(zhí)行機(jī)執(zhí)行。攻擊流量過(guò)濾WAF針對(duì)檢測(cè)出的攻擊流量,采用規(guī)則執(zhí)行機(jī),干凈徹底地過(guò)濾攻擊流量,放過(guò)正常流 量,保護(hù)正常服務(wù)的進(jìn)行。3.121.3 WEB應(yīng)用加速WAF在對(duì)網(wǎng)站進(jìn)行全面的安全防護(hù)的同時(shí),通過(guò)連接池、緩存等機(jī)制,實(shí)現(xiàn)應(yīng)用加速, 優(yōu)化網(wǎng)站的性能。WEB應(yīng)用加速功能通過(guò)高性能的硬件平臺(tái)和軟件加速算法,可以將用戶的WEB請(qǐng)求響應(yīng)速度提高數(shù)倍,對(duì)網(wǎng)站系統(tǒng)的可用性有巨大的提升。產(chǎn)品特
23、色3.122.1 流的產(chǎn)品設(shè)計(jì)理念“三高”安全防護(hù)產(chǎn)品精品WAF是XX科技自有知識(shí)產(chǎn)權(quán),自主研發(fā)出品的高可靠性、高安全性、高易用性的信息 安全防護(hù)系統(tǒng)。WAF是網(wǎng)絡(luò)安全專家針對(duì)“網(wǎng)站型”服務(wù)器量身定制的業(yè)化產(chǎn)品,源于安全防護(hù)產(chǎn)品精 品理念,致力于提高網(wǎng)站平臺(tái)的可靠性和內(nèi)容的可信性,保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量,提升網(wǎng)站應(yīng)用系統(tǒng)服務(wù)效率,為網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的維護(hù)隊(duì)伍提供具有參考意義的量化數(shù)據(jù)?!耙徽臼健卑踩芾懋a(chǎn)品理念WAF提供“網(wǎng)站型”服務(wù)器的可用性問(wèn)題、內(nèi)容可信任問(wèn)題的“一站式”解決方案,用“一個(gè)帳號(hào),一次登錄,一套界面,三次點(diǎn)擊”解決安全問(wèn)題?!盁o(wú)故障運(yùn)行時(shí)間提升”理念WAF深入理解網(wǎng)站
24、服務(wù)質(zhì)量,首位提出網(wǎng)站“無(wú)故障運(yùn)行時(shí)間”理念。WAF從網(wǎng)站應(yīng)用威脅防護(hù)、服務(wù)效率動(dòng)態(tài)監(jiān)視,服務(wù)帶寬保護(hù)和服務(wù)質(zhì)量保障等三個(gè)層 面,提高網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的連續(xù)服務(wù)時(shí)間,保障網(wǎng)站應(yīng)用服務(wù)系統(tǒng)的運(yùn)行質(zhì)量。.2領(lǐng)先的核心關(guān)鍵技術(shù)穩(wěn)定高效安全的系統(tǒng)內(nèi)核WAF基于XX科技在操作系統(tǒng)內(nèi)核以及對(duì)硬件電路設(shè)計(jì)方面多年的沉淀,結(jié)合我公司自 有知識(shí)產(chǎn)權(quán)進(jìn)行優(yōu)化移植,內(nèi)核精簡(jiǎn)、穩(wěn)定、高效,安全。先進(jìn)全面的多維防護(hù)體系WAF通過(guò)宏觀判斷和微觀分析、操作系統(tǒng)和應(yīng)用分析、實(shí)時(shí)流量和歷史特征等等多個(gè)角度的信息聚合,圍繞 WEB應(yīng)用威脅防御、 WEB防篡改、抗拒絕服務(wù)攻擊和WEB應(yīng)用效能優(yōu)化等進(jìn)行相關(guān)多元化組合分
25、析,全方位構(gòu)建多維防護(hù)體系。主動(dòng)式應(yīng)用安全加固技術(shù)WAF通過(guò)漏洞掃描、實(shí)時(shí)WEB威脅防護(hù)、WEB應(yīng)用架構(gòu)協(xié)議規(guī)范化等多種手段相結(jié)合,動(dòng)態(tài)發(fā)現(xiàn) WEB應(yīng)用威脅,及時(shí)提供相應(yīng)的修復(fù)措施、解決方案,并進(jìn)行主動(dòng)修復(fù)。3.122.3提供量化的決策支撐數(shù)據(jù)多角度量化的決策支撐數(shù)據(jù)WAF在安全防護(hù)的基礎(chǔ)上,提供多角度量化的決策支撐數(shù)據(jù),讓網(wǎng)絡(luò)維護(hù)隊(duì)伍了解網(wǎng)站的建設(shè)情況和運(yùn)行情況。從網(wǎng)站應(yīng)用服務(wù)系統(tǒng)規(guī)劃設(shè)計(jì)目標(biāo)的滿足程度、網(wǎng)站應(yīng)用服務(wù)系統(tǒng)運(yùn)行效能及負(fù)載、網(wǎng)站應(yīng)用服務(wù)質(zhì)量、運(yùn)行報(bào)告等等多個(gè)角度提供量化的決策支撐數(shù)據(jù)。提供多角色視角的數(shù)據(jù)展示W(wǎng)AF從用戶的角色、網(wǎng)站應(yīng)用系統(tǒng)的服務(wù)類型、網(wǎng)站應(yīng)用系統(tǒng)的服務(wù)對(duì)象三個(gè)層
26、面,提 供多種視角的數(shù)據(jù)展示,并支持展示界面的自定義。在網(wǎng)站 WAF上,用戶可以:按照業(yè)務(wù)視角,將當(dāng)前各類業(yè)務(wù)的運(yùn)行狀態(tài)和當(dāng)前安全威脅等級(jí)列出;按照行業(yè)視角,將網(wǎng)站應(yīng)用系統(tǒng)對(duì)服務(wù)對(duì)象的服務(wù)效能情況列出;根據(jù)自身的角色,選擇查看不同范圍、不同明細(xì)粒度和不同側(cè)重點(diǎn)的報(bào)表;根據(jù)自身操作習(xí)慣和業(yè)務(wù)需要,自定義多套展示界面。WAF致力于為用戶提供便捷的使用管理和有效的數(shù)據(jù)。提供簡(jiǎn)潔清晰的階段性報(bào)表WAF提供簡(jiǎn)潔清晰的階段性報(bào)表。從宏觀環(huán)境、當(dāng)前建設(shè)現(xiàn)狀、系統(tǒng)負(fù)載、異常行為過(guò)程等多個(gè)維度綜合考慮安全問(wèn)題,分角色提供既有清晰結(jié)論、又有多角度量化的決策支撐數(shù) 據(jù)的高水平報(bào)表。產(chǎn)品系列根據(jù)設(shè)備性能
27、的不同, WAF分為如下四類產(chǎn)品:WAF-S2000 : WAF千兆增強(qiáng)型WAF-S800 : WAF千兆基礎(chǔ)型WAF-S200 : WAF百兆基礎(chǔ)型WAF-E200 :企業(yè)專用型WAF系列產(chǎn)品都是功能完備的 WEB安全防護(hù)設(shè)備,適用于透明串聯(lián)、反向代理、單臂 模式,提供 WEB應(yīng)用威脅防御、WEB防篡改、抗拒絕服務(wù)攻擊、WEB應(yīng)用加速等安全防護(hù)功能,并能為用戶提供量化的決策支持?jǐn)?shù)據(jù)等行業(yè)解決方案。3.124部署方式WAF提供貼合網(wǎng)站網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)的多種部署方式支持,可以根據(jù)實(shí)際環(huán)境需求進(jìn)行性靈 活設(shè)計(jì)。.1透明串接部署透明模式是最便捷部署的方式,在已經(jīng)交付使用的系統(tǒng)中需要快速部署WEB防護(hù)系統(tǒng)時(shí),推薦使用此
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 社區(qū)養(yǎng)老照護(hù)協(xié)議
- 個(gè)性婚慶策劃方案
- 招標(biāo)文件承諾書(shū)的編寫(xiě)規(guī)范
- 品質(zhì)保障書(shū)聲明
- 員工安全生產(chǎn)承諾聲明
- 供應(yīng)與服務(wù)合同手冊(cè)
- 計(jì)算機(jī)軟件技術(shù)外包合同案例
- 電子購(gòu)銷合同的稅務(wù)籌劃
- 氣體滅火工程招標(biāo)誠(chéng)邀您的參與
- 外派工作保證書(shū)
- 觸式橄欖球智慧樹(shù)知到期末考試答案2024年
- 設(shè)備管理中的主要問(wèn)題和挑戰(zhàn)
- 2024年廣東開(kāi)放大學(xué)《汽車電器設(shè)備構(gòu)造與檢修》形成性考核參考試題庫(kù)(含答案)
- 電路分析試題及答案(大學(xué)期末考試題)
- 藝術(shù)景觀專業(yè)職業(yè)生涯發(fā)展報(bào)告
- 棋牌室加盟方案
- 遼寧經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院?jiǎn)握小墩Z(yǔ)文》考試復(fù)習(xí)題庫(kù)(含答案)
- 水工藝設(shè)備基礎(chǔ)全套課件
- HGT 2520-2023 工業(yè)亞磷酸 (正式版)
- 跨文化人工智能倫理比較
- 外委單位安全培訓(xùn)
評(píng)論
0/150
提交評(píng)論