教育行業(yè)WEB應(yīng)用安全解決方案.docx

1、.XX大學(xué)及 WEB應(yīng)用系統(tǒng)安全解決方案天泰網(wǎng)絡(luò)技術(shù)2013年 03月w.目錄一、教育行業(yè) WEB應(yīng)用安全概述 .7二、教育行業(yè)現(xiàn)狀分析 .82.1. WEB系統(tǒng)容易受到應(yīng)用攻擊威脅 .82.2. WEB系統(tǒng)缺乏詳盡的審計(jì) .82.3. WEB系統(tǒng)缺乏有效的訪問控制機(jī)制 .82.4. WEB安全事件 .9三、解決方案 .10第四章 天泰 WEB安全防護(hù)系統(tǒng) .124.1 安全防護(hù)功能 .144.1.1策略的覆蓋完整度 .144.1.2策略適應(yīng)性 .144.1.3學(xué)習(xí)引擎與白模式、主動(dòng)防御時(shí)代的到來 .144.1.4基于狀態(tài)的分析 .154.1.5與網(wǎng)絡(luò)層聯(lián)動(dòng)的防御技術(shù) .154.2 日志審計(jì)與

2、管理 .154.2.1安全日志 .164.2.2訪問日志 .164.3 性能優(yōu)化方案 .174.3.1站點(diǎn)集群技術(shù) .174.3.2負(fù)載均衡 .18w.4.3.3 WEB 加速 .184.4訪問控制與 SSL加速 .194.4.1時(shí)域、地域鎖定服務(wù) .194.4.2 SSL 認(rèn)證服務(wù) .204.4.3 URL 認(rèn)證技術(shù) .21第五章產(chǎn)品的選型與部署 .215.1安全產(chǎn)品的設(shè)計(jì)與選型 .215.1.1產(chǎn)品設(shè)計(jì)目標(biāo) .215.1.2產(chǎn)品選型原則 .215.1.3產(chǎn)品選型參考 .225.2安全產(chǎn)品的部署與實(shí)施 .265.2.1產(chǎn)品部署分析 .265.2.2產(chǎn)品部署方式 .27第六章產(chǎn)品售后服務(wù)體系

3、.286.1、國(guó)圍的支持 .286.2、Internet 技術(shù)支持 .286.3、熱線支持 .286.4、傳真技術(shù)支持 .286.5、遠(yuǎn)程登錄支持 .296.6、定期提供安全通告 .296.7、保持經(jīng)常性的聯(lián)系 .296.8、響應(yīng)時(shí)間 .29w.6.9 、產(chǎn)品保修30w.信息?所有 2011 ，天泰網(wǎng)絡(luò)技術(shù)本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等容，除另有特別注明，均屬天泰網(wǎng)絡(luò)技術(shù)所有， 受國(guó)家有關(guān)產(chǎn)權(quán)及法保護(hù)。 任何個(gè)人、機(jī)構(gòu)未經(jīng)天泰網(wǎng)絡(luò)技術(shù)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標(biāo)信息天泰、 TiTan 、TiTansec 、T2S2、WAF-T3

4、等標(biāo)識(shí)及其組合是天泰網(wǎng)絡(luò)技術(shù)擁有的商標(biāo)，受商標(biāo)法和有關(guān)國(guó)際公約的保護(hù)。w.第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標(biāo)，屬于各自公司或組織所有。w.一、教育行業(yè) WEB應(yīng)用安全概述教育行業(yè)立足于教育信息、資源的有效開發(fā)和權(quán)威整合，向社會(huì)大眾提供有關(guān)教育政策法規(guī)，權(quán)威數(shù)據(jù)查詢，招生考試動(dòng)態(tài)，職業(yè)技能培訓(xùn)，就業(yè)招聘，出國(guó)留學(xué)，教育大典，教育招標(biāo)，教育博客等容。隨著教育行業(yè)越來越多的應(yīng)用系統(tǒng)以WEB的方式被部署，也給惡意用戶或黑客提供了攻擊途徑， 這些系統(tǒng)的敏感數(shù)據(jù)被黑客盜竊和篡改的潛在風(fēng)險(xiǎn)也越來越高?；仡櫘?dāng)今成功的系統(tǒng)攻擊，很多都是利用了WEB應(yīng)用漏洞。WEB應(yīng)用的安全防護(hù)措施依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻、

5、IPS、IDS 等對(duì)其進(jìn)行安全防護(hù)并不能有效的保證WEB系統(tǒng)的安全，由于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備只能解決WEB應(yīng)用安全的一個(gè)方面， 而 WEB應(yīng)用系統(tǒng)的安全保障需要一個(gè)全面的安全防護(hù)和性能保障措施才能使之安全、高效、持續(xù)地對(duì)外提供服務(wù)。Web應(yīng)用防火墻 (WAF) 代表了一種新的信息安全技術(shù)， WEB應(yīng)用防火墻位于Web客戶端和 Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ?，從而發(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。用于保護(hù)Web站點(diǎn)（或者說Web應(yīng)用程序），使其在受攻擊的情況下表現(xiàn)出更強(qiáng)的抵抗力。在抵御Web攻擊方面， WAF提供了防火墻和IDS、 IPS 等常規(guī)信息安全產(chǎn)品所不具備的能力。w.二、 教育

6、行業(yè)現(xiàn)狀分析2.1.WEB系統(tǒng)容易受到應(yīng)用攻擊威脅WEB技術(shù)與應(yīng)用已經(jīng)深入到教育行業(yè)的各個(gè)層面，WEB服務(wù)作為教育行業(yè)的信息門戶和業(yè)務(wù)平臺(tái)， 以其方便性、 易擴(kuò)展性和低成本快速發(fā)展；而 WEB系統(tǒng)易受攻擊等問題影響了WEB應(yīng)用的高速發(fā)展。大量 WEB應(yīng)用系統(tǒng)被黑客入侵和篡改，甚至被植入木馬攻擊程序，攻擊者利用WEB服務(wù)程序的漏洞（如SQL注入漏洞、跨站腳本漏洞等），對(duì) WEB系統(tǒng)進(jìn)行攻擊，輕則篡改網(wǎng)頁(yè)容，重則竊取數(shù)據(jù)，造成經(jīng)濟(jì)損失或者惡劣影響。2.2.WEB系統(tǒng)缺乏詳盡的審計(jì)日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計(jì)貯存的形式、 容和可提供的建議對(duì)安全管理員保持

7、應(yīng)用系統(tǒng)長(zhǎng)期安全運(yùn)行起到重要作用。 日志不僅為管理員提供威脅管理的平臺(tái)，同時(shí)也是安全取證和策略調(diào)整的依據(jù)。 因此要求日志記錄的盡可能詳細(xì)和精確，并可根據(jù)審計(jì)的要求對(duì)特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。但目前缺乏詳細(xì)的安全審計(jì)， 無法有效的掌握用戶的訪問情況。2.3.WEB系統(tǒng)缺乏有效的訪問控制機(jī)制由于教育行業(yè)眾多，多數(shù)院校目前沒有一個(gè)有效的訪問控制機(jī)制，如WEB站點(diǎn)的管理后臺(tái)通常直接暴露在外網(wǎng)，僅依賴于口令強(qiáng)度和簡(jiǎn)易的驗(yàn)證碼進(jìn)行訪問控制。這使得黑客更容易找到缺陷，對(duì)安全是不利的， 急需要應(yīng)用系統(tǒng)需要對(duì)w.訪問者身份進(jìn)行識(shí)別和授權(quán)，從而保障數(shù)據(jù)的性。2.4.WEB安全事件2011 年 09 月 19 日，人

8、民網(wǎng)報(bào)道：黑客入侵北師大人事處網(wǎng)址被篡改為黃色2011 年 11 月 18 日，郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心的遭遇黑客攻擊，頁(yè)面被篡改為了一個(gè)類似于“憤怒的小鳥”的游戲2012 年 11 月 14 日，科技大學(xué)被黑黑客竟發(fā)深情告白w.三、 解決方案因?yàn)榛?WEB的應(yīng)用系統(tǒng)可以通過任意瀏覽器進(jìn)行訪問，用戶往往更容易訪問到這些系統(tǒng)，從而在一定程度上可以通過這些系統(tǒng)繞過部的安全控制。對(duì)大多數(shù)用戶來說， WEB應(yīng)用防火墻系統(tǒng)已經(jīng)成為安全的邊界。使用WEB應(yīng)用防火墻是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到WEB應(yīng)用的多樣性，WEB應(yīng)用防火墻往往只有在針對(duì)具體的應(yīng)用精心配置后才能有效地承擔(dān)起應(yīng)用保

9、護(hù)的角色。沒有正確部署的 WEB應(yīng)用防火墻往往會(huì)阻斷合法用戶對(duì)系統(tǒng)的正常訪問，甚至沒能起到應(yīng)有的左右而讓黑客長(zhǎng)驅(qū)直入。WEB應(yīng)用防火墻是一種成熟的可以保護(hù)WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)安全設(shè)備。它通過執(zhí)行非常細(xì)粒度的安全策略來保證WEB應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于 WEB應(yīng)用防火墻所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應(yīng)各種WEB應(yīng)用系統(tǒng)，從而滿足所有的安全需要。WEB防火墻為 WEB應(yīng)用提供了全面的應(yīng)用層保護(hù)，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。需要特別指出的是， WEB應(yīng)用防火墻通過自己獨(dú)特的WEB對(duì)象混淆技術(shù)， 大大提高了攻擊者的技術(shù)門檻， 甚至能

10、使大部分的普通攻擊者無從下手；獨(dú)創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應(yīng)用對(duì)象被篡改和偽造。 由于攻擊者無法篡改和偽造 WEB請(qǐng)求數(shù)據(jù)，攻擊便無法實(shí)施。 此外，通過與 WEB應(yīng)用緊密相連的安全策略的配合， WEB應(yīng)用防火墻能嚴(yán)格限制合法用戶的行為，避免了對(duì)系統(tǒng)受限資源非法的訪問。通過部署 WEB應(yīng)用防火墻，可有效解決 WEB系統(tǒng)存在的安全應(yīng)用威脅，通w.過設(shè)備的主動(dòng)防御技術(shù)， 全面為應(yīng)用系統(tǒng)提供全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)，即常見的跨站腳本攻擊、SQL注入攻擊、跨站請(qǐng)求偽造、網(wǎng)頁(yè)掛馬、盜鏈等威脅的防護(hù)， 提供 WEB應(yīng)用或的基本安全保障。 同時(shí)，防止應(yīng)用 DOS攻擊和暴力口令破解技術(shù)， 解決大

11、規(guī)模異常訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。在必要時(shí)，利用SSL加密認(rèn)證技術(shù)對(duì)重要WEB系統(tǒng)進(jìn)行安全認(rèn)證，確保數(shù)據(jù)的可靠、有效性。利用 WEB應(yīng)用防火墻的報(bào)表和即時(shí)分析功能，通過分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀， 及時(shí)調(diào)整安全策略， 并針對(duì)威脅等級(jí)較高的攻擊進(jìn)行提醒，提出建議性解決辦法。利用 WEB應(yīng)用防火墻詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對(duì)Web應(yīng)用資源的訪問，包括頁(yè)面點(diǎn)擊率、客戶端地址、客戶端類型、訪問流量、訪問時(shí)間、搜索引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計(jì)，便于識(shí)別WEB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)

12、化提供指導(dǎo)。WEB應(yīng)用防火墻融合可靠的應(yīng)用層過濾技術(shù)和先進(jìn)的數(shù)據(jù)加密技術(shù)，具備事前主動(dòng)防御、 事中智能響應(yīng)及事后審計(jì)的綜合防護(hù)能力。在事前防御方面， 智能分析應(yīng)用缺陷、屏蔽惡意請(qǐng)求、防網(wǎng)頁(yè)篡改、阻斷應(yīng)用攻擊，全方位保護(hù)WEB應(yīng)用；事中智能響應(yīng)， WEB應(yīng)用防火墻作為一種專業(yè)的Web安全防護(hù)工具，基于對(duì) HTTP/HTTPS流量的雙向解碼和分析， 可應(yīng)對(duì) HTTP/HTTPS應(yīng)用中的各類安全威脅，如 SQL注入、XSS、跨站請(qǐng)求偽造攻擊 （CSRF）、Cookie 篡改以及應(yīng)用層 DDoS等，能有效解決網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性；事后審計(jì)，W

13、EB應(yīng)用防火墻給服務(wù)器提供了可靠的安全防護(hù)，同時(shí)也應(yīng)該具備深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值，為w.評(píng)估安全狀況提供詳盡報(bào)表功能。可以為院校系統(tǒng)提供立體的安全防護(hù)體系，為應(yīng)用完整的安全解決方案。第四章天泰 WEB安全防護(hù)系統(tǒng)伴隨著防護(hù)技術(shù)的不斷發(fā)展，WEB應(yīng)用系統(tǒng)的防護(hù)技術(shù)經(jīng)歷了網(wǎng)關(guān)型防護(hù)手段和操作系統(tǒng)防護(hù)手段。如含有應(yīng)用層過濾功能的網(wǎng)絡(luò)防火墻、IPS 等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進(jìn)行防護(hù)； 網(wǎng)頁(yè)防篡改軟件則是基于文件監(jiān)控原理，對(duì)指定路徑的文件進(jìn)行監(jiān)控和寫保護(hù)。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)頁(yè)防篡改軟件只能解決WEB應(yīng)用安全的一個(gè)方面，而 WEB應(yīng)用系統(tǒng)的安全保障需要一個(gè)全面的安全防護(hù)和性

14、能保障措施才能使之安全、高效、持續(xù)地對(duì)外提供服務(wù)。WEB應(yīng)用系統(tǒng)的安全是一個(gè)系統(tǒng)的問題，包括三個(gè)方面，即可用性、完整性和性。實(shí)現(xiàn)這些原則所需的安全等級(jí)因 WEB系統(tǒng)的屬性、 WEB應(yīng)用的價(jià)值不同而異。如對(duì)性要求較高的應(yīng)用系統(tǒng)應(yīng)當(dāng)保障數(shù)據(jù)的訪問、傳輸過程的安全，同時(shí)需要對(duì)訪問者進(jìn)行認(rèn)證、授權(quán)、審計(jì)；對(duì)于一個(gè)面向客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性，同時(shí)也需要對(duì)其完整性進(jìn)行有效的保障。 而面向大眾的門戶類則需要充分考慮其抗攻擊能力、高可用性和完整性，提供 7X24 小時(shí)不中斷服務(wù)，確保提供的數(shù)據(jù)是真實(shí)的、有效的。綜上所述 WEB應(yīng)用系統(tǒng)的安全保障需要充分考慮其高可用性、 完整性和機(jī)才w.能達(dá)

15、到安全有效的防護(hù)目的。專業(yè)的WEB安全網(wǎng)關(guān)則是專用于防護(hù)及優(yōu)化WEB應(yīng)用系統(tǒng)的最佳選擇， 有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁(yè)防篡改軟件在WEB應(yīng)用防護(hù)方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進(jìn)行安全優(yōu)化從而達(dá)到WEB防護(hù)的最佳目標(biāo)。圖 4-1 天泰 WEB安全網(wǎng)關(guān)的綜合防護(hù)能力天泰網(wǎng)絡(luò)技術(shù)專業(yè)從事于 WEB應(yīng)用安全的研究、 防護(hù)工作。天泰自主研發(fā)的WEB應(yīng)用安全網(wǎng)關(guān)是國(guó)首家通過國(guó)家公安部、國(guó)家局、解放軍信息安全測(cè)評(píng)中心、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心等權(quán)威機(jī)構(gòu)檢測(cè)認(rèn)可的綜合性WEB安全保障平臺(tái)。天泰專注細(xì)分市場(chǎng)， 依靠持續(xù)創(chuàng)新與自主研發(fā)， 結(jié)合先進(jìn)的軟件體系和硬件架構(gòu)，打造穩(wěn)定高效的平臺(tái)， 將多項(xiàng)特

16、性與功能整合至單一設(shè)備，提供全面的應(yīng)用安全與優(yōu)化解決方案， 為客戶創(chuàng)造一個(gè)安全高效的應(yīng)用環(huán)境，成就國(guó)應(yīng)用安全行業(yè)的領(lǐng)導(dǎo)者。 向廣大用戶提供WEB應(yīng)用的安全解決方案， 通過 WEB安全網(wǎng)關(guān)的安全防護(hù)模塊、 應(yīng)用審計(jì)模塊實(shí)現(xiàn)應(yīng)用的安全防護(hù)，解決用戶面臨的嚴(yán)重入侵威脅；通過負(fù)載均衡和 WEB加速技術(shù)解決用戶在高可用性、性能提升上因?yàn)樾枰罅抠Y金投入的煩惱； 天泰的 SSL加速引擎和訪問控制模塊輕松解決了WEB應(yīng)用系統(tǒng)差異化訪問控制等復(fù)雜應(yīng)用。目前已經(jīng)在政府、教育、軍隊(duì)、金融、電信、大w.型企業(yè)等多個(gè)領(lǐng)域有著廣泛的應(yīng)用。4.1 安全防護(hù)功能4.1.1 策略的覆蓋完整度天泰 WEB安全網(wǎng)關(guān)提供對(duì)應(yīng)用系統(tǒng)

17、全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)即常見的跨站腳本攻擊、 SQL注入攻擊、跨站請(qǐng)求偽造、網(wǎng)頁(yè)掛馬、盜鏈等威脅的防護(hù)，提供 WEB應(yīng)用或的基本安全保障。天全團(tuán)隊(duì)經(jīng)過多年的安全研究和市場(chǎng)實(shí)踐，研發(fā)了虛擬服務(wù)器補(bǔ)丁技術(shù)用于緩解 WEB服務(wù)器漏洞的零日攻擊、和不安全配置帶來的安全隱患。集成的會(huì)話簽名鑒別技術(shù)和分級(jí)授權(quán)模塊專用于防護(hù)WEB應(yīng)用系統(tǒng)面臨的認(rèn)證威脅，如失效的會(huì)話管理缺陷、 不安全的會(huì)話密鑰管理缺陷等均可通過天泰WEB安全網(wǎng)關(guān)進(jìn)行快速修復(fù)。提供防止應(yīng)用 DOS攻擊和暴力口令破解技術(shù)， 解決大規(guī)模異常訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。4.1.2 策略適應(yīng)性優(yōu)秀

18、的安全策略不僅需要有廣泛的應(yīng)用系統(tǒng)覆蓋面、還需要有細(xì)的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。 天全網(wǎng)關(guān)的策略基于URI、時(shí)間、訪問者、訪問狀態(tài)、訪問工具、訪問容等對(duì)象定制安全規(guī)則， 每條規(guī)則在發(fā)布前均通過嚴(yán)格的適應(yīng)性測(cè)試，特別針對(duì)國(guó)數(shù)百家WEB應(yīng)用系統(tǒng)進(jìn)行測(cè)試，確保規(guī)則安全穩(wěn)定、無誤判。4.1.3 學(xué)習(xí)引擎與白模式、主動(dòng)防御時(shí)代的到來安全防護(hù)技術(shù)可以分和黑防護(hù)技術(shù)和白防護(hù)技術(shù)，黑技術(shù)目前被大量應(yīng)用，基于黑的防護(hù)技術(shù)可以防護(hù)已知的攻擊行為，但對(duì)于未知的或已知規(guī)則的變種則無法防護(hù)。白技術(shù)可以有效的防護(hù)黑無法解決的問題，然而由于 WEB應(yīng)用系統(tǒng)的w.復(fù)雜多樣，所以白技術(shù)在實(shí)施過程常十分復(fù)雜并可能導(dǎo)致誤判。

19、經(jīng)過長(zhǎng)期的研發(fā)與實(shí)踐，天泰自適應(yīng)引擎（TSAdaptive ?）讓白防護(hù)技術(shù)成為了可能。在天泰WEB安全 Positive模式下，識(shí)別攻擊行為不再依賴于已知的攻擊特征，而是基于用戶應(yīng)用系統(tǒng)的正常請(qǐng)求特征和簽名列表。自適應(yīng)引擎生成的推薦規(guī)則專用于特定的應(yīng)用系統(tǒng)， 最大限度的降低了黑技術(shù)帶來的誤判、 漏判、零日攻擊等無法解決的技術(shù)難題。4.1.4 基于狀態(tài)的分析WEB應(yīng)用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)則匹配的響應(yīng)機(jī)制，表現(xiàn)為無狀態(tài)特性。隨著防護(hù)技術(shù)的不斷提高及面臨日益嚴(yán)重的零日攻擊威脅，天泰WEB安全網(wǎng)關(guān)開創(chuàng)性的采用了應(yīng)用防火墻狀態(tài)防護(hù)技術(shù)，對(duì)會(huì)話管理、 請(qǐng)求偽造、盜鏈等行為進(jìn)行識(shí)別和防護(hù)； 對(duì)

20、攻擊者的入侵掃描、 探測(cè)、滲透過程進(jìn)行狀態(tài)識(shí)別和跟蹤，快速定位威脅，及時(shí)告警或阻止。4.1.5 與網(wǎng)絡(luò)層聯(lián)動(dòng)的防御技術(shù)WEB應(yīng)用受到攻擊， WEB安全網(wǎng)關(guān)應(yīng)當(dāng)采取行之有效的防護(hù)措施。天泰WEB安全網(wǎng)關(guān)在檢測(cè)到有攻擊流量時(shí)會(huì)跟據(jù)不同的安全級(jí)別做出對(duì)應(yīng)的響應(yīng)，如阻斷并給出偽裝或告警信息。 當(dāng)檢測(cè)到有持繼的攻擊流量時(shí)，天泰 WEB安全網(wǎng)關(guān)將會(huì)采取一系列的安全聯(lián)動(dòng)措施， 如基于狀態(tài)的威脅識(shí)別和限時(shí)鎖定措施將入侵者進(jìn)行延時(shí)鎖定，或者及時(shí)將可疑攻擊通過、短信、SNMP、Syslog 通知安全管理員，及時(shí)采取安全措施，降低攻擊帶來的損失。4.2 日志審計(jì)與管理日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互

21、最為重要的接口，其日志審計(jì)貯存的形式、 容和可提供的建議對(duì)安全管理員保持應(yīng)用系統(tǒng)長(zhǎng)期安全運(yùn)w.行起到重要作用。4.2.1 安全日志日志不僅為管理員提供威脅管理的平臺(tái)，同時(shí)也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細(xì)和精確，并可根據(jù)審計(jì)的要求對(duì)特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。天泰 WEB安全網(wǎng)關(guān)可提供定時(shí)報(bào)表和即時(shí)分析功能，通過分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時(shí)調(diào)整安全策略， 并針對(duì)威脅等級(jí)較高的攻擊進(jìn)行提醒，提出建議性解決辦法。圖 4-2 天泰 WEB安全的統(tǒng)計(jì)報(bào)表系統(tǒng)的安全是需要通過不斷的評(píng)估、 響應(yīng)、防護(hù)和加固安全策略從而達(dá)到一個(gè)動(dòng)態(tài)的平衡。 天泰為用戶提供以WEB安全

22、網(wǎng)關(guān)為載體、 以安全策略為核心的防護(hù)機(jī)制，檢測(cè)到可疑威脅的情況時(shí)可使用天泰的自適應(yīng)引擎實(shí)現(xiàn)新策略的生成，提高安全管理員的工作效率。4.2.2 訪問日志天泰 WEB安全網(wǎng)關(guān)詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對(duì)Web應(yīng)用資源的訪問，包括頁(yè)w.面點(diǎn)擊率、客戶端地址、客戶端類型、訪問流量、訪問時(shí)間、搜索引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計(jì)，便于識(shí)別 WEB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。4.3 性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)安全的重要組成部分，應(yīng)用系統(tǒng)訪問延時(shí)、 堵塞、服務(wù)中斷、性能急劇下降等都會(huì)導(dǎo)致系統(tǒng)可用性下降。對(duì)于公眾開放的應(yīng)用系統(tǒng)的可用

23、性的安全等級(jí)通常放在首位。如何經(jīng)濟(jì)高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進(jìn)行安全規(guī)劃時(shí)的首要問題。性能優(yōu)化方面，天泰針對(duì)不同用戶的需求提供了多種性能優(yōu)化方案供用戶選擇。4.3.1 站點(diǎn)集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計(jì)開發(fā)階段融入天泰WEB安全的 WEB應(yīng)用集群功能可以提高軟件開發(fā)的效率、 取代由軟件實(shí)現(xiàn)站點(diǎn)集群的性能瓶頸和繁瑣的技術(shù)細(xì)節(jié)，提升整個(gè)應(yīng)用系統(tǒng)的性能。通過站點(diǎn)集群技術(shù)您可以實(shí)現(xiàn)站點(diǎn)網(wǎng)頁(yè)文件、圖片、媒體文件的分離與整合，也可以方便實(shí)現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用天泰 WEB安全網(wǎng)關(guān)還可以實(shí)現(xiàn)站點(diǎn)文本、圖片文件域名分離，從而提縮短用戶下載網(wǎng)頁(yè)的時(shí)間，提高用戶體驗(yàn)。圖 4-3 天泰 WEB安全網(wǎng)關(guān)的集群

24、服務(wù)w.4.3.2 負(fù)載均衡天泰 WEB安全網(wǎng)關(guān)提供高可用性、負(fù)載均衡以及基于HTTP應(yīng)用的代理，作為快速并且高可靠的一種負(fù)載均衡產(chǎn)品，天泰 WEB安全網(wǎng)關(guān)特別適用于那些負(fù)載特大的 WEB站點(diǎn)，這些站點(diǎn)通常又需要會(huì)話保持或七層處理。圖 4-4 天泰 WEB安全網(wǎng)關(guān)的負(fù)載均衡服務(wù)天泰 WEB安全網(wǎng)關(guān)提供成熟的負(fù)載均衡解決方案，支持的負(fù)載均衡模式有：平均分發(fā)、壓力分發(fā)、請(qǐng)求路徑分發(fā)、請(qǐng)求參數(shù)分發(fā)，并支持WEB應(yīng)用系統(tǒng)的會(huì)話保持功能、服務(wù)狀態(tài)監(jiān)測(cè)與故障切換功能。4.3.3 WEB加速基于現(xiàn)有環(huán)境的WEB加速功能可使用戶不改變現(xiàn)有環(huán)境的情況下提升訪問WEB應(yīng)用的速度；天泰 WebCompress?引擎

25、對(duì) Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮， 改善終端用戶性能，降低帶寬消耗。WebCache?引擎對(duì)靜態(tài)應(yīng)用容的高速緩存，顯著減少服務(wù)器負(fù)載。 雙向 TCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。w.圖 4-6 天泰 WEB安全網(wǎng)關(guān)的加速功能4.4 訪問控制與SSL加速如果應(yīng)用系統(tǒng)需要對(duì)訪問者身份進(jìn)行識(shí)別和授權(quán)，從而保障數(shù)據(jù)的性， 此時(shí)可以使用天泰 WEB安全網(wǎng)關(guān)的訪問控制功能以及SSL加功能。該功能特別適用于已經(jīng)交付使用的應(yīng)用系統(tǒng)， 不需要修改程序代碼， 通過 WEB安全網(wǎng)關(guān)實(shí)現(xiàn)訪問控制和 SSL加速。如 WEB站

26、點(diǎn)的管理后臺(tái)通常直接暴露在外網(wǎng)，僅依賴于口令強(qiáng)度和簡(jiǎn)易的驗(yàn)證碼進(jìn)行訪問控制， 類似這種應(yīng)用可以通過天泰WEB安全網(wǎng)關(guān)的訪問控制功能實(shí)現(xiàn)身份識(shí)別和訪問控制以提高應(yīng)用系統(tǒng)的安全性。4.4.1時(shí)域、地域鎖定服務(wù)天全服務(wù)團(tuán)隊(duì)長(zhǎng)期對(duì)國(guó)入侵事件提供應(yīng)急響應(yīng)服務(wù)，結(jié)合多年的服務(wù)經(jīng)驗(yàn)發(fā)現(xiàn)針對(duì)國(guó)站點(diǎn)被入侵的時(shí)間和IP 地址對(duì)應(yīng)的地理位置特性，并將這個(gè)特性整合進(jìn)了天泰WEB安全網(wǎng)關(guān)。對(duì)指定路徑定時(shí)鎖定， 如的信息提交功能深夜至凌晨鎖定，政府事業(yè)單位的網(wǎng)點(diǎn)僅限于國(guó)IP 地址的用戶可w.以訪問等功能，從而將易受到攻擊的時(shí)段、區(qū)域進(jìn)屏蔽。天泰 WEB安全網(wǎng)關(guān)集成了基于時(shí)間、頁(yè)面、和客戶端IP 地址的網(wǎng)絡(luò)層聯(lián)動(dòng)防護(hù)技術(shù)，

27、方便管理員對(duì)站點(diǎn)的控制， 如業(yè)務(wù)系統(tǒng)只有工作時(shí)間才對(duì)外開放，后臺(tái)管理系統(tǒng)只有指定圍的IP 才可訪問，涉及政務(wù)查詢的數(shù)據(jù)僅國(guó)或省訪問者可訪問等功能均可通過天泰WEB安全網(wǎng)關(guān)實(shí)現(xiàn)。圖 4-7 天泰 WEB安全網(wǎng)關(guān)的地域鎖定功能4.4.2 SSL 認(rèn)證服務(wù)天泰 WEB安全網(wǎng)關(guān)集成了 SSL加密功能，應(yīng)用容在傳輸過程中都受加密保護(hù)，通過轉(zhuǎn)移服務(wù)器復(fù)雜的加/ 解密任務(wù)從而將應(yīng)用處理能力發(fā)揮到了極致。該功能使管理員能保護(hù)敏感應(yīng)用容的安全，使其擺脫被竊取及被濫用的潛在威脅。適用于電子政務(wù)、電子商務(wù)等對(duì)數(shù)據(jù)性要求較高的場(chǎng)合。圖 4-7 天泰 WEB安全網(wǎng)關(guān)的 SSL認(rèn)證服務(wù)w.4.4.3 URL 認(rèn)證技術(shù)失效

28、的會(huì)話管理、 弱口令等缺陷給WEB應(yīng)用系統(tǒng)帶來巨大的安全隱患，然而對(duì)于一些已經(jīng)交付運(yùn)行的應(yīng)用系統(tǒng)，最佳的解決辦法是采用第三方的認(rèn)證管理技術(shù)進(jìn)行控制，而不是對(duì)原來程序進(jìn)行修復(fù)。天泰WEB安全網(wǎng)關(guān)可以對(duì)指定的WEB資源進(jìn)行訪問控制，并結(jié)合LDAP、RADIUS、 AD等認(rèn)證服務(wù)器提高WEB應(yīng)用系統(tǒng)的安全性。第五章產(chǎn)品的選型與部署5.1 安全產(chǎn)品的設(shè)計(jì)與選型5.1.1 產(chǎn)品設(shè)計(jì)目標(biāo)針對(duì)目前日益增多的應(yīng)用層網(wǎng)絡(luò)攻擊行為，需要對(duì)能夠提供有效的安全防護(hù)，選用天泰 WEB安全網(wǎng)關(guān)對(duì)公司門戶、系統(tǒng)、招標(biāo)進(jìn)行應(yīng)用安全防護(hù)，防止被入侵、防止系統(tǒng)信息被修改、防止對(duì)后臺(tái)數(shù)據(jù)庫(kù)的惡意訪問、杜絕DDoS攻擊，保障系統(tǒng)服務(wù)

29、的持續(xù)性。為保障 XX單位對(duì)外業(yè)務(wù)系統(tǒng)的高可用、高安全性，我們將要部署一臺(tái)設(shè)備對(duì)門戶、招標(biāo)網(wǎng)、系統(tǒng)進(jìn)行安全防護(hù)。5.1.2 產(chǎn)品選型原則安全性：對(duì)進(jìn)行有效的防護(hù)，加強(qiáng)應(yīng)用層的綜合防護(hù)；可靠性：提供的安全防護(hù)設(shè)備具有較高的可靠性；先進(jìn)性：采用先進(jìn)、 成熟的技術(shù)和主流的產(chǎn)品， 使網(wǎng)絡(luò)建設(shè)能適應(yīng)未來的需求；實(shí)用性：系統(tǒng)設(shè)計(jì)以實(shí)用性為原則， 同時(shí)應(yīng)考慮到系統(tǒng)的開放性， 兼容性、w.技術(shù)支持服務(wù)等能力；兼容性：要求對(duì)現(xiàn)有的系統(tǒng)具有良好的兼容性。5.1.3產(chǎn)品選型參考天泰公司在大量應(yīng)用新技術(shù)的條件下，推出了“新一代”Web安全網(wǎng)關(guān)。在占領(lǐng) WEB安全技術(shù)的制高點(diǎn)上，天泰公司站在Web安全的最前沿。對(duì)于用戶

30、普遍關(guān)心的Web安全防御中的性能損耗問題， 天泰 Web安全網(wǎng)關(guān)通過采用緩存、壓縮、連接保持等技術(shù)提升了WEB系統(tǒng)性能，在最近XX行業(yè)的系統(tǒng)上，使用天泰Web安全網(wǎng)關(guān)提高訪問速度近30 倍。根據(jù) XX單位 WEB應(yīng)用系統(tǒng)的實(shí)際需求，推薦采用天泰WAF-T3-2000-S型設(shè)備，具體產(chǎn)品功能和性能參數(shù)如下：項(xiàng)目類別技術(shù)參數(shù)產(chǎn)品規(guī)格： 2U機(jī)架式產(chǎn)品形態(tài)物理接口： 1000BASE-T×4，RS232×1HTTP請(qǐng)求 / 秒： 20,000產(chǎn)品性能TCP并發(fā)連接： 2,000,000支持路由、透明、單臂等多種部署模式支持鏈路聚合，提升鏈路帶寬和可靠性部署方式支持策略路由，能支持

31、多條鏈路接入分布式模式，產(chǎn)品置WebAP/WebUTM/WebSwitch引擎，可以分別部署多臺(tái)硬件平臺(tái)，大大提高處理能力具有狀態(tài)監(jiān)測(cè)防火墻功能，支持基于五元組的訪問控制網(wǎng)絡(luò)防護(hù)具有端口映射功能，支持SNAT、DNAT和 PNATw.支持 MAC地址綁定，防止ARP假冒與攻擊能防御常見 DOS攻擊專用的 WebUTM引擎，統(tǒng)一防針對(duì)WEB應(yīng)用的各種威脅能夠?qū)?HTTP數(shù)據(jù)流進(jìn)行雙向深度檢查，具備完全的HTTP協(xié)議和事務(wù)解析能力能夠阻斷攻擊探測(cè)，防止對(duì)WEB應(yīng)用和服務(wù)器等信息的惡意獲取和特征收集能夠阻止 SQL注入、跨站腳本、目錄泄漏、目錄遍歷、COOKIE假冒、認(rèn)證逃避、命令行注入等常見攻擊行

32、為支持黑、白技術(shù)，能防護(hù)應(yīng)用系統(tǒng)免遭常見和未知的WEB攻擊WEB防護(hù)提供網(wǎng)頁(yè)防盜鏈功能，防止WEB資源被盜用提供對(duì)網(wǎng)頁(yè)掛馬的主動(dòng)監(jiān)測(cè)，當(dāng)檢測(cè)到網(wǎng)頁(yè)被掛馬時(shí)，能通過或短消息進(jìn)行告警具有自動(dòng)學(xué)習(xí)引擎，能自動(dòng)對(duì)雙向的HTTP流量進(jìn)行智能分析，并能自動(dòng)學(xué)習(xí)到后臺(tái) WEB服務(wù)器及 WEB站點(diǎn)和目錄結(jié)構(gòu)檢測(cè)到攻擊時(shí)， 能選擇阻斷當(dāng)前請(qǐng)求或阻斷攻擊者的IP ；并通過控制臺(tái)、Mail 等多種方法進(jìn)行告警置 600 多條攻擊特征庫(kù)，支持攻擊特征庫(kù)自動(dòng)升級(jí)；支持自定義防護(hù)規(guī)則能對(duì) Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮，改善終端用戶性能，提高帶寬利應(yīng)用加速用率提供對(duì)靜態(tài)應(yīng)用容高速緩存，顯著減少服務(wù)器負(fù)載w.具有連接保持功

33、能，雙向TCP連接池和高效復(fù)用算法優(yōu)化服務(wù)器連接，改善服務(wù)器性能提高響應(yīng)速度能限制 WEB服務(wù)器最大服務(wù)能力，防止因?yàn)檎?qǐng)求浪涌導(dǎo)致服務(wù)器異常URL級(jí)別的流量管理， 可以最大限度的緩解WEB服務(wù)器因訪問量大而造成的 DOS攻擊訪問過載保護(hù)功能可以自動(dòng)保護(hù)已經(jīng)建立的連接，將后續(xù)的連接放入連接隊(duì)列應(yīng)用控制提供 URL級(jí)別的訪問控制，針對(duì)不同的URL設(shè)置不同的訪問權(quán)限，可基于用戶、 IP 圍、用戶組等權(quán)限的訪問控制對(duì)應(yīng)用服務(wù)進(jìn)行準(zhǔn)確的監(jiān)控，及時(shí)發(fā)現(xiàn)WEB應(yīng)用狀態(tài)異常可以對(duì)管理后臺(tái)使用SSL發(fā)布，采用雙向數(shù)字證書認(rèn)證，保護(hù)數(shù)據(jù)通信的完整性和性能記錄站點(diǎn)訪問日志，提供基于訪問日志的用戶行為分析與審計(jì)能夠?qū)?/p>

34、頁(yè)面點(diǎn)擊率、客戶端地址、訪問流量和時(shí)間等進(jìn)行有效的行為跟蹤和審計(jì)能導(dǎo)出站點(diǎn)訪問日志，為外部日志分析系統(tǒng)提供訪問日志原始數(shù)據(jù)行為審計(jì)對(duì)攻擊來源、數(shù)據(jù)、時(shí)間、處理結(jié)果形成列表，提供多種審計(jì)報(bào)表為系統(tǒng)的安全審計(jì)提供豐富的審計(jì)報(bào)表，支持標(biāo)準(zhǔn)第三方SYSLOG日志服務(wù)器置 IP 地址信息庫(kù)，實(shí)現(xiàn)發(fā)現(xiàn)訪問和攻擊的用戶區(qū)域分布能實(shí)時(shí)檢測(cè)頁(yè)面是否被篡改，支持?jǐn)?shù)字水印、相似度、容取樣等多種算篡改保護(hù)法w.動(dòng)態(tài)防篡改功能，支持對(duì)動(dòng)態(tài)頁(yè)面的防篡改，有效防止對(duì)后臺(tái)數(shù)據(jù)庫(kù)的篡改行為檢測(cè)到篡改發(fā)生后，支持發(fā)送鏡像容，阻斷或者頁(yè)面重定向等響應(yīng)動(dòng)作具有可選的篡改恢復(fù)軟件模塊，可以實(shí)時(shí)恢復(fù)被篡改的頁(yè)面支持應(yīng)用負(fù)載均衡模塊，支持

35、平均分發(fā)，壓力分發(fā)，請(qǐng)求分發(fā)，請(qǐng)求參數(shù)分發(fā)等算法支持靜默掃描模塊，為上線的應(yīng)用系統(tǒng)提供實(shí)時(shí)安全評(píng)估高級(jí)應(yīng)用支持 SSLAccel 模塊，可以分擔(dān)應(yīng)用服務(wù)器SSL運(yùn)算壓力，有效提升了服務(wù)器處理能力支持 WEB誘捕模塊，能吸引攻擊者的注意力，降低應(yīng)用系統(tǒng)被攻擊的風(fēng)險(xiǎn)，同時(shí)能記錄攻擊者IP 和攻擊手段支持雙機(jī)熱備功能，可靈活選擇集群、熱備的應(yīng)用模式支持軟件 BYPASS功能，當(dāng)產(chǎn)品出現(xiàn)故障或用戶有特殊需要時(shí)能停止防護(hù)高可用性而不中斷正常應(yīng)用支持硬件 BYPASS功能，當(dāng)硬件故障或者系統(tǒng)掉電時(shí)，防止網(wǎng)絡(luò)和應(yīng)用出現(xiàn)中斷產(chǎn)品管理圖形界面（ GUI）以及產(chǎn)品文檔均為中文以 SSL加密的 WEB圖形化界面進(jìn)行

36、設(shè)備管理，并可通過專用管理接口進(jìn)行管理設(shè)備管理能指定管理員遠(yuǎn)程管理允許登錄的IP 或網(wǎng)段 , 可以限制管理員登錄次數(shù)，并能鎖定惡意登錄者的IP支持 SNMP，能接受專用的網(wǎng)絡(luò)管理系統(tǒng)的集中管理w.5.2 安全產(chǎn)品的部署與實(shí)施5.2.1產(chǎn)品部署分析Web安全網(wǎng)關(guān)主要是對(duì)XX 單位的門戶、招標(biāo)網(wǎng)、應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行應(yīng)用安全防護(hù)。 天泰 web安全網(wǎng)關(guān)主要接入方式有：透明方式、路由方式和單臂方式等。在確定保護(hù)對(duì)象后， 要根據(jù)應(yīng)用和產(chǎn)品適應(yīng)網(wǎng)絡(luò)的情況不同，采用合適的部署方式。透明或路由方式部署透明方式和路由方式的部署位置極為相似，均需要串聯(lián)接入網(wǎng)絡(luò)中，所有訪問 web 服務(wù)器的數(shù)據(jù)都需要通過web

37、安全網(wǎng)關(guān)設(shè)備， web安全網(wǎng)關(guān)除了需要分析 http 應(yīng)用的數(shù)據(jù)以外還需要處理非 http 協(xié)議的數(shù)據(jù)流，對(duì)設(shè)備的性能要求較高。路由方式： 設(shè)備接口分別設(shè)置為不同網(wǎng)段的地址，具有基本路由功能； 能夠進(jìn)行源地址轉(zhuǎn)換和目標(biāo)地址轉(zhuǎn)換功能； 支持軟件安全防護(hù)BYPASS功能； 需要防火墻將原來影射到web 服務(wù)器地址的信息更改為影射到web安全網(wǎng)關(guān)的外部地址。透明方式： 設(shè)備接口在同一個(gè)網(wǎng)段，接入方便，不需要更改網(wǎng)絡(luò)配置； 支持軟硬件 BYPASS功能； 支持路由轉(zhuǎn)發(fā)功能。w.5.2.2產(chǎn)品部署方式根據(jù)我們對(duì) XX單位的研究，以盡可能不改變目前網(wǎng)絡(luò)和故障恢復(fù)便利為設(shè)計(jì)原則，最大的提高網(wǎng)絡(luò)安全性為要求，我們推薦使用透明方式進(jìn)行接入。以下具體說明：（1）透明方式接入就是web安全網(wǎng)關(guān)安裝后，用戶在使用時(shí)意識(shí)不到該設(shè)備的存在，在用戶無所察覺的情況下提高網(wǎng)絡(luò)的整體安全。（2）在網(wǎng)絡(luò)設(shè)備出現(xiàn)人為或自然的破壞以后將影響到網(wǎng)絡(luò)鏈路的暢通，采用透明式安裝方式可以非常方便的恢復(fù)網(wǎng)絡(luò)鏈路的暢通性，只需關(guān)閉 web 安全網(wǎng)關(guān)即可。雖然暫時(shí)失去對(duì)web服務(wù)器的保護(hù)， 但降低了由于網(wǎng)絡(luò)鏈路故障導(dǎo)致不能正常打開所帶來的損失。所以，根據(jù)我們研究， 推薦使用透明方式部署。 將 WEB安全網(wǎng)關(guān)部署于