教育行業(yè)WEB應用安全解決方案.docx

1、.XX大學及 WEB應用系統(tǒng)安全解決方案天泰網(wǎng)絡(luò)技術(shù)2013年 03月w.目錄一、教育行業(yè) WEB應用安全概述 .7二、教育行業(yè)現(xiàn)狀分析 .82.1. WEB系統(tǒng)容易受到應用攻擊威脅 .82.2. WEB系統(tǒng)缺乏詳盡的審計 .82.3. WEB系統(tǒng)缺乏有效的訪問控制機制 .82.4. WEB安全事件 .9三、解決方案 .10第四章 天泰 WEB安全防護系統(tǒng) .124.1 安全防護功能 .144.1.1策略的覆蓋完整度 .144.1.2策略適應性 .144.1.3學習引擎與白模式、主動防御時代的到來 .144.1.4基于狀態(tài)的分析 .154.1.5與網(wǎng)絡(luò)層聯(lián)動的防御技術(shù) .154.2 日志審計與

2、管理 .154.2.1安全日志 .164.2.2訪問日志 .164.3 性能優(yōu)化方案 .174.3.1站點集群技術(shù) .174.3.2負載均衡 .18w.4.3.3 WEB 加速 .184.4訪問控制與 SSL加速 .194.4.1時域、地域鎖定服務(wù) .194.4.2 SSL 認證服務(wù) .204.4.3 URL 認證技術(shù) .21第五章產(chǎn)品的選型與部署 .215.1安全產(chǎn)品的設(shè)計與選型 .215.1.1產(chǎn)品設(shè)計目標 .215.1.2產(chǎn)品選型原則 .215.1.3產(chǎn)品選型參考 .225.2安全產(chǎn)品的部署與實施 .265.2.1產(chǎn)品部署分析 .265.2.2產(chǎn)品部署方式 .27第六章產(chǎn)品售后服務(wù)體系

3、.286.1、國圍的支持 .286.2、Internet 技術(shù)支持 .286.3、熱線支持 .286.4、傳真技術(shù)支持 .286.5、遠程登錄支持 .296.6、定期提供安全通告 .296.7、保持經(jīng)常性的聯(lián)系 .296.8、響應時間 .29w.6.9 、產(chǎn)品保修30w.信息?所有 2011 ，天泰網(wǎng)絡(luò)技術(shù)本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等容，除另有特別注明，均屬天泰網(wǎng)絡(luò)技術(shù)所有， 受國家有關(guān)產(chǎn)權(quán)及法保護。 任何個人、機構(gòu)未經(jīng)天泰網(wǎng)絡(luò)技術(shù)的書面授權(quán)許可，不得以任何方式復制或引用本文檔的任何片段。商標信息天泰、 TiTan 、TiTansec 、T2S2、WAF-T3

4、等標識及其組合是天泰網(wǎng)絡(luò)技術(shù)擁有的商標，受商標法和有關(guān)國際公約的保護。w.第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標，屬于各自公司或組織所有。w.一、教育行業(yè) WEB應用安全概述教育行業(yè)立足于教育信息、資源的有效開發(fā)和權(quán)威整合，向社會大眾提供有關(guān)教育政策法規(guī)，權(quán)威數(shù)據(jù)查詢，招生考試動態(tài)，職業(yè)技能培訓，就業(yè)招聘，出國留學，教育大典，教育招標，教育博客等容。隨著教育行業(yè)越來越多的應用系統(tǒng)以WEB的方式被部署，也給惡意用戶或黑客提供了攻擊途徑， 這些系統(tǒng)的敏感數(shù)據(jù)被黑客盜竊和篡改的潛在風險也越來越高?；仡櫘斀癯晒Φ南到y(tǒng)攻擊，很多都是利用了WEB應用漏洞。WEB應用的安全防護措施依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻、

5、IPS、IDS 等對其進行安全防護并不能有效的保證WEB系統(tǒng)的安全，由于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備只能解決WEB應用安全的一個方面， 而 WEB應用系統(tǒng)的安全保障需要一個全面的安全防護和性能保障措施才能使之安全、高效、持續(xù)地對外提供服務(wù)。Web應用防火墻 (WAF) 代表了一種新的信息安全技術(shù)， WEB應用防火墻位于Web客戶端和 Web服務(wù)器之間，分析應用程序?qū)拥耐ㄐ?，從而發(fā)現(xiàn)違反預先定義好的安全策略的行為。用于保護Web站點（或者說Web應用程序），使其在受攻擊的情況下表現(xiàn)出更強的抵抗力。在抵御Web攻擊方面， WAF提供了防火墻和IDS、 IPS 等常規(guī)信息安全產(chǎn)品所不具備的能力。w.二、 教育

6、行業(yè)現(xiàn)狀分析2.1.WEB系統(tǒng)容易受到應用攻擊威脅WEB技術(shù)與應用已經(jīng)深入到教育行業(yè)的各個層面，WEB服務(wù)作為教育行業(yè)的信息門戶和業(yè)務(wù)平臺， 以其方便性、 易擴展性和低成本快速發(fā)展；而 WEB系統(tǒng)易受攻擊等問題影響了WEB應用的高速發(fā)展。大量 WEB應用系統(tǒng)被黑客入侵和篡改，甚至被植入木馬攻擊程序，攻擊者利用WEB服務(wù)程序的漏洞（如SQL注入漏洞、跨站腳本漏洞等），對 WEB系統(tǒng)進行攻擊，輕則篡改網(wǎng)頁容，重則竊取數(shù)據(jù)，造成經(jīng)濟損失或者惡劣影響。2.2.WEB系統(tǒng)缺乏詳盡的審計日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計貯存的形式、 容和可提供的建議對安全管理員保持

7、應用系統(tǒng)長期安全運行起到重要作用。 日志不僅為管理員提供威脅管理的平臺，同時也是安全取證和策略調(diào)整的依據(jù)。 因此要求日志記錄的盡可能詳細和精確，并可根據(jù)審計的要求對特定數(shù)據(jù)進行篩選和審計。但目前缺乏詳細的安全審計， 無法有效的掌握用戶的訪問情況。2.3.WEB系統(tǒng)缺乏有效的訪問控制機制由于教育行業(yè)眾多，多數(shù)院校目前沒有一個有效的訪問控制機制，如WEB站點的管理后臺通常直接暴露在外網(wǎng)，僅依賴于口令強度和簡易的驗證碼進行訪問控制。這使得黑客更容易找到缺陷，對安全是不利的， 急需要應用系統(tǒng)需要對w.訪問者身份進行識別和授權(quán)，從而保障數(shù)據(jù)的性。2.4.WEB安全事件2011 年 09 月 19 日，人

8、民網(wǎng)報道：黑客入侵北師大人事處網(wǎng)址被篡改為黃色2011 年 11 月 18 日，郵電大學互聯(lián)網(wǎng)治理與法律研究中心的遭遇黑客攻擊，頁面被篡改為了一個類似于“憤怒的小鳥”的游戲2012 年 11 月 14 日，科技大學被黑黑客竟發(fā)深情告白w.三、 解決方案因為基于 WEB的應用系統(tǒng)可以通過任意瀏覽器進行訪問，用戶往往更容易訪問到這些系統(tǒng)，從而在一定程度上可以通過這些系統(tǒng)繞過部的安全控制。對大多數(shù)用戶來說， WEB應用防火墻系統(tǒng)已經(jīng)成為安全的邊界。使用WEB應用防火墻是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到WEB應用的多樣性，WEB應用防火墻往往只有在針對具體的應用精心配置后才能有效地承擔起應用保

9、護的角色。沒有正確部署的 WEB應用防火墻往往會阻斷合法用戶對系統(tǒng)的正常訪問，甚至沒能起到應有的左右而讓黑客長驅(qū)直入。WEB應用防火墻是一種成熟的可以保護WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)安全設(shè)備。它通過執(zhí)行非常細粒度的安全策略來保證WEB應用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于 WEB應用防火墻所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應各種WEB應用系統(tǒng)，從而滿足所有的安全需要。WEB防火墻為 WEB應用提供了全面的應用層保護，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。需要特別指出的是， WEB應用防火墻通過自己獨特的WEB對象混淆技術(shù)， 大大提高了攻擊者的技術(shù)門檻， 甚至能

10、使大部分的普通攻擊者無從下手；獨創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應用對象被篡改和偽造。 由于攻擊者無法篡改和偽造 WEB請求數(shù)據(jù)，攻擊便無法實施。 此外，通過與 WEB應用緊密相連的安全策略的配合， WEB應用防火墻能嚴格限制合法用戶的行為，避免了對系統(tǒng)受限資源非法的訪問。通過部署 WEB應用防火墻，可有效解決 WEB系統(tǒng)存在的安全應用威脅，通w.過設(shè)備的主動防御技術(shù)， 全面為應用系統(tǒng)提供全方位的防護，強化數(shù)據(jù)有效性防護，即常見的跨站腳本攻擊、SQL注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護， 提供 WEB應用或的基本安全保障。 同時，防止應用 DOS攻擊和暴力口令破解技術(shù)， 解決大

11、規(guī)模異常訪問導致應用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。在必要時，利用SSL加密認證技術(shù)對重要WEB系統(tǒng)進行安全認證，確保數(shù)據(jù)的可靠、有效性。利用 WEB應用防火墻的報表和即時分析功能，通過分析有助于安全管理人員把握應用系統(tǒng)安全現(xiàn)狀， 及時調(diào)整安全策略， 并針對威脅等級較高的攻擊進行提醒，提出建議性解決辦法。利用 WEB應用防火墻詳盡紀錄和有效統(tǒng)計用戶對Web應用資源的訪問，包括頁面點擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜索引擎關(guān)鍵字等信息，實現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計，便于識別WEB應用的訪問群體是否符合預期，為應用優(yōu)

12、化提供指導。WEB應用防火墻融合可靠的應用層過濾技術(shù)和先進的數(shù)據(jù)加密技術(shù)，具備事前主動防御、 事中智能響應及事后審計的綜合防護能力。在事前防御方面， 智能分析應用缺陷、屏蔽惡意請求、防網(wǎng)頁篡改、阻斷應用攻擊，全方位保護WEB應用；事中智能響應， WEB應用防火墻作為一種專業(yè)的Web安全防護工具，基于對 HTTP/HTTPS流量的雙向解碼和分析， 可應對 HTTP/HTTPS應用中的各類安全威脅，如 SQL注入、XSS、跨站請求偽造攻擊 （CSRF）、Cookie 篡改以及應用層 DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應用的高可用性和可靠性；事后審計，W

13、EB應用防火墻給服務(wù)器提供了可靠的安全防護，同時也應該具備深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應用價值，為w.評估安全狀況提供詳盡報表功能。可以為院校系統(tǒng)提供立體的安全防護體系，為應用完整的安全解決方案。第四章天泰 WEB安全防護系統(tǒng)伴隨著防護技術(shù)的不斷發(fā)展，WEB應用系統(tǒng)的防護技術(shù)經(jīng)歷了網(wǎng)關(guān)型防護手段和操作系統(tǒng)防護手段。如含有應用層過濾功能的網(wǎng)絡(luò)防火墻、IPS 等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進行防護； 網(wǎng)頁防篡改軟件則是基于文件監(jiān)控原理，對指定路徑的文件進行監(jiān)控和寫保護。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)頁防篡改軟件只能解決WEB應用安全的一個方面，而 WEB應用系統(tǒng)的安全保障需要一個全面的安全防護和性

14、能保障措施才能使之安全、高效、持續(xù)地對外提供服務(wù)。WEB應用系統(tǒng)的安全是一個系統(tǒng)的問題，包括三個方面，即可用性、完整性和性。實現(xiàn)這些原則所需的安全等級因 WEB系統(tǒng)的屬性、 WEB應用的價值不同而異。如對性要求較高的應用系統(tǒng)應當保障數(shù)據(jù)的訪問、傳輸過程的安全，同時需要對訪問者進行認證、授權(quán)、審計；對于一個面向客戶群的應用系統(tǒng)既要考慮其應用交互的可用性，同時也需要對其完整性進行有效的保障。 而面向大眾的門戶類則需要充分考慮其抗攻擊能力、高可用性和完整性，提供 7X24 小時不中斷服務(wù)，確保提供的數(shù)據(jù)是真實的、有效的。綜上所述 WEB應用系統(tǒng)的安全保障需要充分考慮其高可用性、 完整性和機才w.能達

15、到安全有效的防護目的。專業(yè)的WEB安全網(wǎng)關(guān)則是專用于防護及優(yōu)化WEB應用系統(tǒng)的最佳選擇， 有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁防篡改軟件在WEB應用防護方面的局限性，在重視應用系統(tǒng)的高可用性的前提下進行安全優(yōu)化從而達到WEB防護的最佳目標。圖 4-1 天泰 WEB安全網(wǎng)關(guān)的綜合防護能力天泰網(wǎng)絡(luò)技術(shù)專業(yè)從事于 WEB應用安全的研究、 防護工作。天泰自主研發(fā)的WEB應用安全網(wǎng)關(guān)是國首家通過國家公安部、國家局、解放軍信息安全測評中心、國家信息安全測評認證中心等權(quán)威機構(gòu)檢測認可的綜合性WEB安全保障平臺。天泰專注細分市場， 依靠持續(xù)創(chuàng)新與自主研發(fā)， 結(jié)合先進的軟件體系和硬件架構(gòu)，打造穩(wěn)定高效的平臺， 將多項特

16、性與功能整合至單一設(shè)備，提供全面的應用安全與優(yōu)化解決方案， 為客戶創(chuàng)造一個安全高效的應用環(huán)境，成就國應用安全行業(yè)的領(lǐng)導者。 向廣大用戶提供WEB應用的安全解決方案， 通過 WEB安全網(wǎng)關(guān)的安全防護模塊、 應用審計模塊實現(xiàn)應用的安全防護，解決用戶面臨的嚴重入侵威脅；通過負載均衡和 WEB加速技術(shù)解決用戶在高可用性、性能提升上因為需要大量資金投入的煩惱； 天泰的 SSL加速引擎和訪問控制模塊輕松解決了WEB應用系統(tǒng)差異化訪問控制等復雜應用。目前已經(jīng)在政府、教育、軍隊、金融、電信、大w.型企業(yè)等多個領(lǐng)域有著廣泛的應用。4.1 安全防護功能4.1.1 策略的覆蓋完整度天泰 WEB安全網(wǎng)關(guān)提供對應用系統(tǒng)

17、全方位的防護，強化數(shù)據(jù)有效性防護即常見的跨站腳本攻擊、 SQL注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護，提供 WEB應用或的基本安全保障。天全團隊經(jīng)過多年的安全研究和市場實踐，研發(fā)了虛擬服務(wù)器補丁技術(shù)用于緩解 WEB服務(wù)器漏洞的零日攻擊、和不安全配置帶來的安全隱患。集成的會話簽名鑒別技術(shù)和分級授權(quán)模塊專用于防護WEB應用系統(tǒng)面臨的認證威脅，如失效的會話管理缺陷、 不安全的會話密鑰管理缺陷等均可通過天泰WEB安全網(wǎng)關(guān)進行快速修復。提供防止應用 DOS攻擊和暴力口令破解技術(shù)， 解決大規(guī)模異常訪問導致應用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。4.1.2 策略適應性優(yōu)秀

18、的安全策略不僅需要有廣泛的應用系統(tǒng)覆蓋面、還需要有細的匹配粒度和良好的應用系統(tǒng)適應性。 天全網(wǎng)關(guān)的策略基于URI、時間、訪問者、訪問狀態(tài)、訪問工具、訪問容等對象定制安全規(guī)則， 每條規(guī)則在發(fā)布前均通過嚴格的適應性測試，特別針對國數(shù)百家WEB應用系統(tǒng)進行測試，確保規(guī)則安全穩(wěn)定、無誤判。4.1.3 學習引擎與白模式、主動防御時代的到來安全防護技術(shù)可以分和黑防護技術(shù)和白防護技術(shù)，黑技術(shù)目前被大量應用，基于黑的防護技術(shù)可以防護已知的攻擊行為，但對于未知的或已知規(guī)則的變種則無法防護。白技術(shù)可以有效的防護黑無法解決的問題，然而由于 WEB應用系統(tǒng)的w.復雜多樣，所以白技術(shù)在實施過程常十分復雜并可能導致誤判。

19、經(jīng)過長期的研發(fā)與實踐，天泰自適應引擎（TSAdaptive ?）讓白防護技術(shù)成為了可能。在天泰WEB安全 Positive模式下，識別攻擊行為不再依賴于已知的攻擊特征，而是基于用戶應用系統(tǒng)的正常請求特征和簽名列表。自適應引擎生成的推薦規(guī)則專用于特定的應用系統(tǒng)， 最大限度的降低了黑技術(shù)帶來的誤判、 漏判、零日攻擊等無法解決的技術(shù)難題。4.1.4 基于狀態(tài)的分析WEB應用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)則匹配的響應機制，表現(xiàn)為無狀態(tài)特性。隨著防護技術(shù)的不斷提高及面臨日益嚴重的零日攻擊威脅，天泰WEB安全網(wǎng)關(guān)開創(chuàng)性的采用了應用防火墻狀態(tài)防護技術(shù)，對會話管理、 請求偽造、盜鏈等行為進行識別和防護； 對

20、攻擊者的入侵掃描、 探測、滲透過程進行狀態(tài)識別和跟蹤，快速定位威脅，及時告警或阻止。4.1.5 與網(wǎng)絡(luò)層聯(lián)動的防御技術(shù)WEB應用受到攻擊， WEB安全網(wǎng)關(guān)應當采取行之有效的防護措施。天泰WEB安全網(wǎng)關(guān)在檢測到有攻擊流量時會跟據(jù)不同的安全級別做出對應的響應，如阻斷并給出偽裝或告警信息。 當檢測到有持繼的攻擊流量時，天泰 WEB安全網(wǎng)關(guān)將會采取一系列的安全聯(lián)動措施， 如基于狀態(tài)的威脅識別和限時鎖定措施將入侵者進行延時鎖定，或者及時將可疑攻擊通過、短信、SNMP、Syslog 通知安全管理員，及時采取安全措施，降低攻擊帶來的損失。4.2 日志審計與管理日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互

21、最為重要的接口，其日志審計貯存的形式、 容和可提供的建議對安全管理員保持應用系統(tǒng)長期安全運w.行起到重要作用。4.2.1 安全日志日志不僅為管理員提供威脅管理的平臺，同時也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細和精確，并可根據(jù)審計的要求對特定數(shù)據(jù)進行篩選和審計。天泰 WEB安全網(wǎng)關(guān)可提供定時報表和即時分析功能，通過分析有助于安全管理人員把握應用系統(tǒng)安全現(xiàn)狀，及時調(diào)整安全策略， 并針對威脅等級較高的攻擊進行提醒，提出建議性解決辦法。圖 4-2 天泰 WEB安全的統(tǒng)計報表系統(tǒng)的安全是需要通過不斷的評估、 響應、防護和加固安全策略從而達到一個動態(tài)的平衡。 天泰為用戶提供以WEB安全

22、網(wǎng)關(guān)為載體、 以安全策略為核心的防護機制，檢測到可疑威脅的情況時可使用天泰的自適應引擎實現(xiàn)新策略的生成，提高安全管理員的工作效率。4.2.2 訪問日志天泰 WEB安全網(wǎng)關(guān)詳盡紀錄和有效統(tǒng)計用戶對Web應用資源的訪問，包括頁w.面點擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜索引擎關(guān)鍵字等信息，實現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計，便于識別 WEB應用的訪問群體是否符合預期，為應用優(yōu)化提供指導。4.3 性能優(yōu)化方案應用系統(tǒng)的可用性是構(gòu)成系統(tǒng)安全的重要組成部分，應用系統(tǒng)訪問延時、 堵塞、服務(wù)中斷、性能急劇下降等都會導致系統(tǒng)可用性下降。對于公眾開放的應用系統(tǒng)的可用

23、性的安全等級通常放在首位。如何經(jīng)濟高效的保障應用系統(tǒng)的可用性是管理人員在進行安全規(guī)劃時的首要問題。性能優(yōu)化方面，天泰針對不同用戶的需求提供了多種性能優(yōu)化方案供用戶選擇。4.3.1 站點集群技術(shù)在應用系統(tǒng)設(shè)計開發(fā)階段融入天泰WEB安全的 WEB應用集群功能可以提高軟件開發(fā)的效率、 取代由軟件實現(xiàn)站點集群的性能瓶頸和繁瑣的技術(shù)細節(jié)，提升整個應用系統(tǒng)的性能。通過站點集群技術(shù)您可以實現(xiàn)站點網(wǎng)頁文件、圖片、媒體文件的分離與整合，也可以方便實現(xiàn)不同應子系統(tǒng)的拆分。利用天泰 WEB安全網(wǎng)關(guān)還可以實現(xiàn)站點文本、圖片文件域名分離，從而提縮短用戶下載網(wǎng)頁的時間，提高用戶體驗。圖 4-3 天泰 WEB安全網(wǎng)關(guān)的集群

24、服務(wù)w.4.3.2 負載均衡天泰 WEB安全網(wǎng)關(guān)提供高可用性、負載均衡以及基于HTTP應用的代理，作為快速并且高可靠的一種負載均衡產(chǎn)品，天泰 WEB安全網(wǎng)關(guān)特別適用于那些負載特大的 WEB站點，這些站點通常又需要會話保持或七層處理。圖 4-4 天泰 WEB安全網(wǎng)關(guān)的負載均衡服務(wù)天泰 WEB安全網(wǎng)關(guān)提供成熟的負載均衡解決方案，支持的負載均衡模式有：平均分發(fā)、壓力分發(fā)、請求路徑分發(fā)、請求參數(shù)分發(fā)，并支持WEB應用系統(tǒng)的會話保持功能、服務(wù)狀態(tài)監(jiān)測與故障切換功能。4.3.3 WEB加速基于現(xiàn)有環(huán)境的WEB加速功能可使用戶不改變現(xiàn)有環(huán)境的情況下提升訪問WEB應用的速度；天泰 WebCompress?引擎

25、對 Web應用數(shù)據(jù)進行實時智能壓縮， 改善終端用戶性能，降低帶寬消耗。WebCache?引擎對靜態(tài)應用容的高速緩存，顯著減少服務(wù)器負載。 雙向 TCP連接池和高效復用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應用響應速度，降低服務(wù)延遲。w.圖 4-6 天泰 WEB安全網(wǎng)關(guān)的加速功能4.4 訪問控制與SSL加速如果應用系統(tǒng)需要對訪問者身份進行識別和授權(quán)，從而保障數(shù)據(jù)的性， 此時可以使用天泰 WEB安全網(wǎng)關(guān)的訪問控制功能以及SSL加功能。該功能特別適用于已經(jīng)交付使用的應用系統(tǒng)， 不需要修改程序代碼， 通過 WEB安全網(wǎng)關(guān)實現(xiàn)訪問控制和 SSL加速。如 WEB站

26、點的管理后臺通常直接暴露在外網(wǎng)，僅依賴于口令強度和簡易的驗證碼進行訪問控制， 類似這種應用可以通過天泰WEB安全網(wǎng)關(guān)的訪問控制功能實現(xiàn)身份識別和訪問控制以提高應用系統(tǒng)的安全性。4.4.1時域、地域鎖定服務(wù)天全服務(wù)團隊長期對國入侵事件提供應急響應服務(wù)，結(jié)合多年的服務(wù)經(jīng)驗發(fā)現(xiàn)針對國站點被入侵的時間和IP 地址對應的地理位置特性，并將這個特性整合進了天泰WEB安全網(wǎng)關(guān)。對指定路徑定時鎖定， 如的信息提交功能深夜至凌晨鎖定，政府事業(yè)單位的網(wǎng)點僅限于國IP 地址的用戶可w.以訪問等功能，從而將易受到攻擊的時段、區(qū)域進屏蔽。天泰 WEB安全網(wǎng)關(guān)集成了基于時間、頁面、和客戶端IP 地址的網(wǎng)絡(luò)層聯(lián)動防護技術(shù)，

27、方便管理員對站點的控制， 如業(yè)務(wù)系統(tǒng)只有工作時間才對外開放，后臺管理系統(tǒng)只有指定圍的IP 才可訪問，涉及政務(wù)查詢的數(shù)據(jù)僅國或省訪問者可訪問等功能均可通過天泰WEB安全網(wǎng)關(guān)實現(xiàn)。圖 4-7 天泰 WEB安全網(wǎng)關(guān)的地域鎖定功能4.4.2 SSL 認證服務(wù)天泰 WEB安全網(wǎng)關(guān)集成了 SSL加密功能，應用容在傳輸過程中都受加密保護，通過轉(zhuǎn)移服務(wù)器復雜的加/ 解密任務(wù)從而將應用處理能力發(fā)揮到了極致。該功能使管理員能保護敏感應用容的安全，使其擺脫被竊取及被濫用的潛在威脅。適用于電子政務(wù)、電子商務(wù)等對數(shù)據(jù)性要求較高的場合。圖 4-7 天泰 WEB安全網(wǎng)關(guān)的 SSL認證服務(wù)w.4.4.3 URL 認證技術(shù)失效

28、的會話管理、 弱口令等缺陷給WEB應用系統(tǒng)帶來巨大的安全隱患，然而對于一些已經(jīng)交付運行的應用系統(tǒng)，最佳的解決辦法是采用第三方的認證管理技術(shù)進行控制，而不是對原來程序進行修復。天泰WEB安全網(wǎng)關(guān)可以對指定的WEB資源進行訪問控制，并結(jié)合LDAP、RADIUS、 AD等認證服務(wù)器提高WEB應用系統(tǒng)的安全性。第五章產(chǎn)品的選型與部署5.1 安全產(chǎn)品的設(shè)計與選型5.1.1 產(chǎn)品設(shè)計目標針對目前日益增多的應用層網(wǎng)絡(luò)攻擊行為，需要對能夠提供有效的安全防護，選用天泰 WEB安全網(wǎng)關(guān)對公司門戶、系統(tǒng)、招標進行應用安全防護，防止被入侵、防止系統(tǒng)信息被修改、防止對后臺數(shù)據(jù)庫的惡意訪問、杜絕DDoS攻擊，保障系統(tǒng)服務(wù)

29、的持續(xù)性。為保障 XX單位對外業(yè)務(wù)系統(tǒng)的高可用、高安全性，我們將要部署一臺設(shè)備對門戶、招標網(wǎng)、系統(tǒng)進行安全防護。5.1.2 產(chǎn)品選型原則安全性：對進行有效的防護，加強應用層的綜合防護；可靠性：提供的安全防護設(shè)備具有較高的可靠性；先進性：采用先進、 成熟的技術(shù)和主流的產(chǎn)品， 使網(wǎng)絡(luò)建設(shè)能適應未來的需求；實用性：系統(tǒng)設(shè)計以實用性為原則， 同時應考慮到系統(tǒng)的開放性， 兼容性、w.技術(shù)支持服務(wù)等能力；兼容性：要求對現(xiàn)有的系統(tǒng)具有良好的兼容性。5.1.3產(chǎn)品選型參考天泰公司在大量應用新技術(shù)的條件下，推出了“新一代”Web安全網(wǎng)關(guān)。在占領(lǐng) WEB安全技術(shù)的制高點上，天泰公司站在Web安全的最前沿。對于用戶

30、普遍關(guān)心的Web安全防御中的性能損耗問題， 天泰 Web安全網(wǎng)關(guān)通過采用緩存、壓縮、連接保持等技術(shù)提升了WEB系統(tǒng)性能，在最近XX行業(yè)的系統(tǒng)上，使用天泰Web安全網(wǎng)關(guān)提高訪問速度近30 倍。根據(jù) XX單位 WEB應用系統(tǒng)的實際需求，推薦采用天泰WAF-T3-2000-S型設(shè)備，具體產(chǎn)品功能和性能參數(shù)如下：項目類別技術(shù)參數(shù)產(chǎn)品規(guī)格： 2U機架式產(chǎn)品形態(tài)物理接口： 1000BASE-T×4，RS232×1HTTP請求 / 秒： 20,000產(chǎn)品性能TCP并發(fā)連接： 2,000,000支持路由、透明、單臂等多種部署模式支持鏈路聚合，提升鏈路帶寬和可靠性部署方式支持策略路由，能支持

31、多條鏈路接入分布式模式，產(chǎn)品置WebAP/WebUTM/WebSwitch引擎，可以分別部署多臺硬件平臺，大大提高處理能力具有狀態(tài)監(jiān)測防火墻功能，支持基于五元組的訪問控制網(wǎng)絡(luò)防護具有端口映射功能，支持SNAT、DNAT和 PNATw.支持 MAC地址綁定，防止ARP假冒與攻擊能防御常見 DOS攻擊專用的 WebUTM引擎，統(tǒng)一防針對WEB應用的各種威脅能夠?qū)?HTTP數(shù)據(jù)流進行雙向深度檢查，具備完全的HTTP協(xié)議和事務(wù)解析能力能夠阻斷攻擊探測，防止對WEB應用和服務(wù)器等信息的惡意獲取和特征收集能夠阻止 SQL注入、跨站腳本、目錄泄漏、目錄遍歷、COOKIE假冒、認證逃避、命令行注入等常見攻擊行

32、為支持黑、白技術(shù)，能防護應用系統(tǒng)免遭常見和未知的WEB攻擊WEB防護提供網(wǎng)頁防盜鏈功能，防止WEB資源被盜用提供對網(wǎng)頁掛馬的主動監(jiān)測，當檢測到網(wǎng)頁被掛馬時，能通過或短消息進行告警具有自動學習引擎，能自動對雙向的HTTP流量進行智能分析，并能自動學習到后臺 WEB服務(wù)器及 WEB站點和目錄結(jié)構(gòu)檢測到攻擊時， 能選擇阻斷當前請求或阻斷攻擊者的IP ；并通過控制臺、Mail 等多種方法進行告警置 600 多條攻擊特征庫，支持攻擊特征庫自動升級；支持自定義防護規(guī)則能對 Web應用數(shù)據(jù)進行實時智能壓縮，改善終端用戶性能，提高帶寬利應用加速用率提供對靜態(tài)應用容高速緩存，顯著減少服務(wù)器負載w.具有連接保持功

33、能，雙向TCP連接池和高效復用算法優(yōu)化服務(wù)器連接，改善服務(wù)器性能提高響應速度能限制 WEB服務(wù)器最大服務(wù)能力，防止因為請求浪涌導致服務(wù)器異常URL級別的流量管理， 可以最大限度的緩解WEB服務(wù)器因訪問量大而造成的 DOS攻擊訪問過載保護功能可以自動保護已經(jīng)建立的連接，將后續(xù)的連接放入連接隊列應用控制提供 URL級別的訪問控制，針對不同的URL設(shè)置不同的訪問權(quán)限，可基于用戶、 IP 圍、用戶組等權(quán)限的訪問控制對應用服務(wù)進行準確的監(jiān)控，及時發(fā)現(xiàn)WEB應用狀態(tài)異?？梢詫芾砗笈_使用SSL發(fā)布，采用雙向數(shù)字證書認證，保護數(shù)據(jù)通信的完整性和性能記錄站點訪問日志，提供基于訪問日志的用戶行為分析與審計能夠?qū)?/p>

34、頁面點擊率、客戶端地址、訪問流量和時間等進行有效的行為跟蹤和審計能導出站點訪問日志，為外部日志分析系統(tǒng)提供訪問日志原始數(shù)據(jù)行為審計對攻擊來源、數(shù)據(jù)、時間、處理結(jié)果形成列表，提供多種審計報表為系統(tǒng)的安全審計提供豐富的審計報表，支持標準第三方SYSLOG日志服務(wù)器置 IP 地址信息庫，實現(xiàn)發(fā)現(xiàn)訪問和攻擊的用戶區(qū)域分布能實時檢測頁面是否被篡改，支持數(shù)字水印、相似度、容取樣等多種算篡改保護法w.動態(tài)防篡改功能，支持對動態(tài)頁面的防篡改，有效防止對后臺數(shù)據(jù)庫的篡改行為檢測到篡改發(fā)生后，支持發(fā)送鏡像容，阻斷或者頁面重定向等響應動作具有可選的篡改恢復軟件模塊，可以實時恢復被篡改的頁面支持應用負載均衡模塊，支持

35、平均分發(fā)，壓力分發(fā)，請求分發(fā)，請求參數(shù)分發(fā)等算法支持靜默掃描模塊，為上線的應用系統(tǒng)提供實時安全評估高級應用支持 SSLAccel 模塊，可以分擔應用服務(wù)器SSL運算壓力，有效提升了服務(wù)器處理能力支持 WEB誘捕模塊，能吸引攻擊者的注意力，降低應用系統(tǒng)被攻擊的風險，同時能記錄攻擊者IP 和攻擊手段支持雙機熱備功能，可靈活選擇集群、熱備的應用模式支持軟件 BYPASS功能，當產(chǎn)品出現(xiàn)故障或用戶有特殊需要時能停止防護高可用性而不中斷正常應用支持硬件 BYPASS功能，當硬件故障或者系統(tǒng)掉電時，防止網(wǎng)絡(luò)和應用出現(xiàn)中斷產(chǎn)品管理圖形界面（ GUI）以及產(chǎn)品文檔均為中文以 SSL加密的 WEB圖形化界面進行

36、設(shè)備管理，并可通過專用管理接口進行管理設(shè)備管理能指定管理員遠程管理允許登錄的IP 或網(wǎng)段 , 可以限制管理員登錄次數(shù)，并能鎖定惡意登錄者的IP支持 SNMP，能接受專用的網(wǎng)絡(luò)管理系統(tǒng)的集中管理w.5.2 安全產(chǎn)品的部署與實施5.2.1產(chǎn)品部署分析Web安全網(wǎng)關(guān)主要是對XX 單位的門戶、招標網(wǎng)、應用系統(tǒng)的服務(wù)器進行應用安全防護。 天泰 web安全網(wǎng)關(guān)主要接入方式有：透明方式、路由方式和單臂方式等。在確定保護對象后， 要根據(jù)應用和產(chǎn)品適應網(wǎng)絡(luò)的情況不同，采用合適的部署方式。透明或路由方式部署透明方式和路由方式的部署位置極為相似，均需要串聯(lián)接入網(wǎng)絡(luò)中，所有訪問 web 服務(wù)器的數(shù)據(jù)都需要通過web

37、安全網(wǎng)關(guān)設(shè)備， web安全網(wǎng)關(guān)除了需要分析 http 應用的數(shù)據(jù)以外還需要處理非 http 協(xié)議的數(shù)據(jù)流，對設(shè)備的性能要求較高。路由方式： 設(shè)備接口分別設(shè)置為不同網(wǎng)段的地址，具有基本路由功能； 能夠進行源地址轉(zhuǎn)換和目標地址轉(zhuǎn)換功能； 支持軟件安全防護BYPASS功能； 需要防火墻將原來影射到web 服務(wù)器地址的信息更改為影射到web安全網(wǎng)關(guān)的外部地址。透明方式： 設(shè)備接口在同一個網(wǎng)段，接入方便，不需要更改網(wǎng)絡(luò)配置； 支持軟硬件 BYPASS功能； 支持路由轉(zhuǎn)發(fā)功能。w.5.2.2產(chǎn)品部署方式根據(jù)我們對 XX單位的研究，以盡可能不改變目前網(wǎng)絡(luò)和故障恢復便利為設(shè)計原則，最大的提高網(wǎng)絡(luò)安全性為要求，我們推薦使用透明方式進行接入。以下具體說明：（1）透明方式接入就是web安全網(wǎng)關(guān)安裝后，用戶在使用時意識不到該設(shè)備的存在，在用戶無所察覺的情況下提高網(wǎng)絡(luò)的整體安全。（2）在網(wǎng)絡(luò)設(shè)備出現(xiàn)人為或自然的破壞以后將影響到網(wǎng)絡(luò)鏈路的暢通，采用透明式安裝方式可以非常方便的恢復網(wǎng)絡(luò)鏈路的暢通性，只需關(guān)閉 web 安全網(wǎng)關(guān)即可。雖然暫時失去對web服務(wù)器的保護， 但降低了由于網(wǎng)絡(luò)鏈路故障導致不能正常打開所帶來的損失。所以，根據(jù)我們研究， 推薦使用透明方式部署。 將 WEB安全網(wǎng)關(guān)部署于