Web應用安全解決方案資料

1、xxWeb應用安全解決方案 一、應用安全需求 針 對 Web 的 攻 擊現(xiàn)代的信息系統(tǒng)，無論是建立對外的信息發(fā)布和數(shù)據(jù)交換平臺，還是建立內(nèi) 部 的 業(yè) 務 應 用 系 統(tǒng) ，都 離 不 開 W eb 應 用 。 W eb 應 用 不 僅 給 用 戶 提 供 一 個 方 便 和易用的交互手段，也給信息和服務提供者構(gòu)建一個標準技術(shù)開發(fā)和應用平 臺。網(wǎng)絡的發(fā)展歷史也可以說是攻擊與防護不斷交織發(fā)展的過程。目前，全球網(wǎng) 絡 用 戶 已 近 20 億 ， 用 戶 利 用 互 聯(lián) 網(wǎng) 進 行 購 物 、 銀 行 轉(zhuǎn) 賬 支 付 和 各 種 軟 件 下 載，企業(yè)用戶更是依賴于網(wǎng)絡構(gòu)建他 們的核心業(yè)務，對此 ，

2、Web安全性 已 經(jīng)提高一個空前的高度。然 而 ， 隨著黑客們 將注意 力從以往對網(wǎng) 絡 服 務 器的 攻 擊 逐 步 轉(zhuǎn) 移 到 了 對 Web TOC o 1-5 h z 應用的攻擊上，他們針對Web網(wǎng)站和應用的 攻 擊 愈 演愈 烈 ，頻頻得手。根據(jù)Gartner的最新調(diào) 查，信 息安全攻擊有 75% 都 是發(fā) 生 在 W eb應 用 而 非 網(wǎng) 絡 層面上。同時，數(shù)據(jù)也顯示，三分之二的Web 站點都相當脆弱，易受攻擊。另外，據(jù)美國計算機安全協(xié)會（CSI ）/美國聯(lián)邦調(diào)查局（FBI ）的研 究表 明 ，在接受調(diào)查的公司中，2004年有52% 的公 司 的信息系統(tǒng)遭受過外部攻擊（包括系統(tǒng)入

3、侵、 濫 用Web應用系統(tǒng)、網(wǎng) 頁置換、 盜取私人信息 及拒絕服務等 等 ） ，這些攻擊給269家受訪公司帶來的經(jīng)濟損 失 超過1.41億美元，但事實上他們之中有98% 的公司都裝有防火墻。早在2002年，IDC就曾在報告中認為，“網(wǎng)絡防火墻對應用層的安全已起不到什么作用了，因為為了確保通信，網(wǎng)絡防火墻內(nèi)的Web端口都必須處于開放狀態(tài)?！蹦壳埃镁W(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡協(xié)議深厚理解，即可完成諸如更換 Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等等 攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。. Web安全防范在 Web應用的各個層面，都會使用不同的

4、技術(shù)來確保安全性，如圖示1所示。 為了保證用戶數(shù)據(jù)傳輸?shù)狡髽I(yè) Web服務器的傳輸安全，通信層通常會使用 SSL技術(shù)加密數(shù)據(jù)；企業(yè)會使用防火墻和IDS/IPS 來保證僅允許特定的訪問， 所有不必要暴露的端口和非法的訪問，在這里都會被阻止。防火墻IDS/IPSWeb應用注入式攻擊已知Web服務器漏洞DoS攻擊端口掃描網(wǎng)絡層模式攻擊應用服務器網(wǎng)頁篡改數(shù)據(jù)庫服務器Web服務器跨站腳本惡意執(zhí)行圖示1 Web應用的安全防護但是，即便有防火墻和IDS/IPS ,企業(yè)仍然不得不允許一部分的通訊經(jīng)過防 火墻，畢竟 Web應用的目的是為用戶提供服務，保護措施可以關(guān)閉不必要 暴露的端口，但是W eb應用必須的80和

5、443端口，是一定要開放的?？梢?順利通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。而惡 意的用戶則可以利用這兩個端口執(zhí)行各種惡意的操作，或者偷竊、或者操控、 或者破壞Web應用中的重要信息。然而我們看到的現(xiàn)實確是，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器 的安全上，沒有從真正意義上保證 Web應用本身的安全，給黑客以可乘之 機。如圖示3所示，在目前安全投資中，只有10%花在了如何防護應用安全 漏洞，而這卻是75 %的攻擊來源。正是這種投資的錯位也是造成當前Web 站點頻頻被攻陷的一個重要因素。安全風險安全投資10%Web 應用75%90%25%網(wǎng)絡服務器示 2 安全風險和投資

6、Web 漏 洞 TOC o 1-5 h z Web應用系統(tǒng)有著其固 有 的 開 發(fā)特 點：經(jīng)常更改、設(shè)計和代碼編寫不徹底、沒 有 經(jīng) 過 嚴 格 的 測 試 等 ， 這 些 特 點 導 致 Web 應 用 出 現(xiàn) 了 很 多 的 漏 洞 。 另 外 ， 管理員對Web服務器的 配 置 不 當也 會造成很多漏洞。目前常用的針對Web服 務 器 和Web應用漏洞的攻擊已經(jīng)多達幾百種，常見的攻擊手段包括：注入式攻擊、跨站腳本攻擊、上傳假冒文件、不安全本地 存儲、非法執(zhí)行腳本和 系 統(tǒng) 命 令、 源代 碼泄漏、URL訪問限制失效等。攻擊目 的 包 括 ：非 法 篡 改 網(wǎng) 頁 、非 法 篡 改 數(shù) 據(jù)

7、 庫 、非 法 執(zhí) 行 命 令 、跨 站 提 交 信 息 、 網(wǎng)站資源盜鏈、竊取腳本源程序、竊取系統(tǒng)信息、竊取用戶信息等。二、產(chǎn)品概況 iGuard 網(wǎng) 頁 防 篡 改 系 統(tǒng)iGuard 網(wǎng) 頁 防 篡 改 系 統(tǒng) 采 用 先 進 的 W eb 服 務 器 核 心 內(nèi) 嵌 技 術(shù) ， 將 篡 改 檢 測 模 塊（ 數(shù) 字 水 印 技 術(shù) ）和 應 用 防 護 模 塊（ 防 注 入 攻 擊 ）內(nèi) 嵌 于 W eb 服 務 器 內(nèi) 部 ， 并輔助以增強型事件觸發(fā)檢測技術(shù)，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢 測 和 恢 復 ， 更 可 以 保 護 數(shù) 據(jù) 庫 中 的 動 態(tài) 內(nèi) 容 免 受 來 自

8、 于 W eb 的 攻 擊 和 篡 改 ， 徹底解決網(wǎng)頁防篡改問題。iGuard的 篡 改 檢 測 模 塊 使 用 密 碼 技 術(shù) ， 為網(wǎng)頁 對 象計算出 唯 一 性的 數(shù) 字 水 印 。公眾每次訪問網(wǎng)頁時，都將網(wǎng)頁內(nèi)容與數(shù)字水印進行對比；一旦發(fā)現(xiàn)網(wǎng)頁被 非 法 修改 ，即 進 行 自 動 恢 復 ，保 證 非 法 網(wǎng)頁內(nèi) 容 不被公眾 瀏 覽 。同 時 ， iGuard應 用 防 護 模 塊 也 對 用 戶 輸 入 的 URL 地 址 和 提 交 的 表 單 內(nèi) 容 進 行 檢 查 ，任 何 對數(shù)據(jù)庫的注入式攻擊都能夠被實時阻斷。iGuard以國家863項 目 技術(shù)為 基 礎(chǔ)， 全 面 保

9、護網(wǎng) 站的靜 態(tài) 網(wǎng) 頁和 動 態(tài)網(wǎng)頁 。iGuard支持網(wǎng)頁 的自 動 發(fā)布、 篡 改檢 測 、 應用保 護、警 告 和 自動 恢 復，保 證傳輸、鑒別、完整性檢查、地址訪問、表單提交、審計等各個環(huán)節(jié)的安全， 完全 實 時地 杜 絕 篡 改 后 的網(wǎng)頁 被 訪 問 的 可 能 性，也 杜 絕 任 何使用 W eb 方 式 對后臺數(shù)據(jù)庫的篡改。iGuard 支持 所 有 主 流 的 操 作 系 統(tǒng)，包 括 ：Windows、 Linux、 FreeBSD、Unix TOC o 1-5 h z （Solaris、 HP-UX 、 AIX ）；支 持 常 用 的 W eb 服務器 軟 件 ， 包括

10、：IIS 、 Apache、SunONE、 W eblogic、 W ebSphere 等 ； 保護 所 有 常用 的 數(shù)據(jù) 庫 系 統(tǒng) ，包括 ：SQL Server 、 Oracle 、 MySQL 、 Access 等 。iWall 應 用 防 火 墻iW all 應用防火墻（ Web應 用 防 護系 統(tǒng) ）是 一 款 保護 Web站 點 和 應 用 免 受 來自于應用層攻擊的Web防護 系統(tǒng)。iW all 應用防火墻實 現(xiàn) 了對 W eb 站點 特 別是 Web應 用 的 保護 。它 內(nèi) 置 于 Web服務器軟件中，通過分 析應 用 層 的用戶 請 求 數(shù) 據(jù)（如URL 、 參 數(shù) 、

11、 鏈 接 、Cookie等），區(qū)分正常用戶訪 問W eb和攻擊 者 的 惡 意行為，對 攻 擊 行 為 進 行實 時 阻斷和報警。這些攻擊包括利用特殊字符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法執(zhí)行程序或腳本的命 令攻擊等，黑客通過這些攻擊手段可以達到篡改數(shù)據(jù)庫和網(wǎng)頁、繞過身份認證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴重危害網(wǎng)站內(nèi)容安全的目的。iW all 應 用 防 火 墻 對 常 見 的 注 入 式 攻 擊 、跨 站 攻 擊 、上 傳 假 冒 文 件 、不 安 全 本 地 存 儲、非法 執(zhí) 行腳本、非法執(zhí)行 系 統(tǒng) 命 令 、 資 源 盜 鏈 、源 代碼泄漏、URL訪問限制失效等攻擊手段都著有效的防護效果。i

12、W all應用防火 墻為軟件實現(xiàn)，適用 于 所 有 的 操 作 系 統(tǒng) 和Web服務器軟件 ，并 且 完全對W eb應用系統(tǒng)透明。應用防火墻是現(xiàn)代網(wǎng)絡安全架構(gòu)的一個重要組成部分，它著重進行應用層的 內(nèi) 容 檢 查 和 安 全 防 御 ，與 傳 統(tǒng) 安 全 設(shè) 備 共 同 構(gòu) 成 全 面 和 有 效 的 安 全 防 護 體 系 。產(chǎn) 品 特 性篡 改 檢 測 和 恢 復iGuard 支 持 以 下 篡 改 檢 測 和 恢 復 功 能 ：支持安全散列檢測方法；可 檢 測 靜 態(tài) 頁 面 /動 態(tài) 腳 本 /二 進 制 實 體 ；支持對注入式攻擊的防護；網(wǎng)頁發(fā)布同時自動更新水印值；網(wǎng)頁發(fā)送時比較網(wǎng)頁

13、和水印值；支 持 斷 線 /連 線 狀 態(tài) 下 篡 改 檢 測 ；支持連線狀態(tài)下網(wǎng)頁恢復；網(wǎng)頁篡改時多種方式報警；網(wǎng)頁篡改時可執(zhí)行外部程序或命令；可以按不同容器選擇待檢測的網(wǎng)頁；支持增強型事件觸發(fā)檢測技術(shù)；加密存放水印值數(shù)據(jù)庫；支持各種私鑰的硬件存儲；支持使用外接安全密碼算法。 TOC o 1-5 h z 自動 發(fā) 布和同步iGuard支 持 以下自動發(fā) 布 和 同 步 功 能 ：自動檢測發(fā)布服務器上文件系統(tǒng)任何變化； 文件變化自動同步到多 個W eb服 務器 ；支持文件/目錄的增加/刪 除/修 改/更名 ；支持任何內(nèi)容管理系統(tǒng)；支持虛擬目錄/虛擬主機 ；支持頁面包含文件；支持雙機方式的冗余部

14、署；斷線后自動重聯(lián)；上傳失敗后自動重試；使 用 SSL 安 全 協(xié) 議 進 行 通 信 ；保證通信過程不被篡改和不被竊聽；通信實體使用數(shù)字證書進行身份鑒別； 所有過程有詳細的審計。應 用 安 全 防 護 特 性 TOC o 1-5 h z 請 求 特性限制iW all 可 以 對 HTTP 請 求 的 特 性 進 行 以 下 過 濾 和 限 制 ：請求頭檢查：對HTTP報文 中 請 求頭的名字和長度進 行 檢 查 。請求方法過濾：限制對指定HTTP請求方法的訪問。請求地址過濾：限制對指定HTTP請求地址的訪問。請求開始路徑過濾：限 制HTTP請 求 中 的 對 指 定 開 始 路 徑 地 址

15、的 訪問。請求文件過濾：限制HTTP請 求中 的 對 指 定 文 件 的 訪 問 。請求文件類型過濾：限制HTTP 請求中的對指定文件類型的訪問。請求版本過濾：限制對指定HTTP版本的訪問及完整性檢查。請求客戶端過濾：限制對指定HTTP客戶端的訪問及完整性檢查。請求鏈接過濾：限制鏈接字段中含有的字符及完整性檢查。鑒別類型過濾：限制對指定HTTP鑒別類型的訪問。鑒別帳號過濾：限制對指定HTTP鑒別帳號的訪問。內(nèi)容長度過濾：限制對指定HTTP請求內(nèi)容長度的訪問。內(nèi)容類型過濾：限制對指定HTTP請求內(nèi)容類型的訪問。這 些 規(guī)則 需 要 可 以 根 據(jù) W eb 系統(tǒng)的實際情況進行配置和 分 站 點

16、應 用 。請 求 內(nèi)容限制iW all 可以 對 HTTP請 求 的 內(nèi) 容進行以下過濾和限制：URL 過 濾 ： 對 提 交 的 URL 請 求 中 的 字 符 進 行 限 制 。請 求 參數(shù)過濾： 對GET方法提交的參數(shù)進 行 檢 查 （包括注入式攻 擊和代碼攻擊）。請 求 數(shù)據(jù)過濾：對POST方法提交的數(shù)據(jù)進 行 檢 查（包括注入式攻 擊和代碼攻擊）。Cookie過濾：對Cookie內(nèi)容進行檢查。盜鏈檢查：對指定的文件類型進行參考域的檢查?？缯灸_本攻擊檢查：對指定的文件類型進行參考開始路徑的檢查。這 些 規(guī)則 需 要 可 以 根 據(jù) W eb 系統(tǒng)的實際情況進行配置和分站點 應 用 。指

17、 定 站 點 規(guī) 則iW all 可以 分 別 為 一 臺 服 務 器 上不同的站點制定不同的規(guī)則，站 點 區(qū) 分 的 方 法包括：不同的端口。不 同 的 IP 地 址 。不同的主機頭名（即域名）?？煞婪?的攻擊iW all組合 以上限制 特 性 ， 可 針 對 以 下 應 用 攻 擊 進 行 有 效 防 御 ：SQL數(shù)據(jù)庫 注 入 式 攻 擊 。腳本源代碼泄露。非法執(zhí)行系統(tǒng)命令。非法執(zhí)行腳本。上傳假冒文件。跨站腳本漏洞。不安全的本地存儲。網(wǎng)站資源盜鏈。應用層拒絕服務攻擊。對這些攻擊更詳細的描述見本文檔第6章：常見應用層攻擊簡介。4. iGuard 標準部署1）兩臺服務器部署iGuard 至少

18、需要兩臺服務器：發(fā)布服務器：位于內(nèi)網(wǎng)中，本身處在相對安全的環(huán)境中，其上部署iGuard 的發(fā)布服務器軟件。Web服務器：位于公網(wǎng)/DMZ中，本身處在不安全的環(huán)境中，其上部署iGuard 的 Web服務器端軟件。它們之間的關(guān)系如圖示1所示。DMZIntranetInternet1 iGuard 兩臺服務器Interne） 發(fā) 布 服 務 器 TOC o 1-5 h z 發(fā)布服務器上運行 iGuard的“發(fā)布服務器軟件”（Staging Server）。所有網(wǎng)頁的合法變更（包括增加、修改、刪除、重命名）都在發(fā)布服務器上進行。發(fā)布服務器上具有與 Web服務器上的網(wǎng)頁文件完全相 同 的 目 錄 結(jié) 構(gòu)

19、，發(fā)布服務器上的任何文件/目 錄 的變化都會自動和立即地反映 到 Web 服 務器的相應位 置 上 ，文 件 /目 錄 變 更 的 方 法 可 以 是 任 意 方 式 的（ 例 如 ： FTP 、 SFTP 、 RCP 、 NFS 、 文 件 共 享 等 ） 。 網(wǎng) 頁 變 更 后 ， “ 發(fā) 布 服 務 器 軟 件 ” 將 其 同 步 到 Web 服 務器上。發(fā)布服務器是部署iGuard 時 新 增 添 的 機 器 ，原則需要一臺獨立的服務器；對于網(wǎng)頁更新不太頻繁 的 網(wǎng)站 ， 也 可 以 用 普 通PC機或者與擔任其他工作的服務器共用。發(fā)布服務器為PC服 務 器， 其 本 身 的 硬 件

20、配置 無特定要求，操作系統(tǒng)可選擇Windows（一般網(wǎng)站）或Linux（大 型網(wǎng)站，需 選加Linux 企業(yè)發(fā) 布 模塊）。） Web 服 務 器Web 服 務器上除了原本運行的Web 服務器軟件（如IIS 、 Apache 、 SunONE、Weblogic、W ebsphere等）外，還運行有iGuard的“ Web 服 務 器 端 軟件”，“ W eb 服務器端軟件”由“同步服務器”（SyncServer ） 和“防 篡 改模塊”（ AntiTamper ） 組 成 。iGuard 同 步 服 務 器負 責 與 iGuard 發(fā) 布 服 務 器 通 信 ， 將 發(fā) 布 服 務 器 上 的

21、 所有網(wǎng)頁文件變更同步到 Web服務器本地； iGuard 防篡改模塊”作為 Web服務器軟件的一個插件運行，負責對 Web請求進行檢查和對網(wǎng)頁進行完整性檢查，需要對 Web服務器軟件作適當配置，以使其生效。Web服務器是用戶網(wǎng)站原有的機器，iGuard 可適應于任何硬件和操作系統(tǒng)。4）內(nèi)容管理系統(tǒng)目前，大部分網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（CMS ）來管理網(wǎng)頁產(chǎn)生的全過程， 包括網(wǎng)頁的編輯、審核、簽發(fā)和合成等。在網(wǎng)站的網(wǎng)絡拓撲中，發(fā)布服務器 部署在原有的內(nèi)容管理系統(tǒng)和 Web服務器之間，圖示2表明了三者之間的關(guān) 系。圖示2標準部署圖為一個已有的Web站點部署iGuard 時，Web服務器和內(nèi)容管理

22、系統(tǒng)都沿用 原來的機器，而需要在其間增加一臺發(fā)布服務器。iGuard 的自動同步機制完 全與內(nèi)容管理系統(tǒng)無關(guān)的，適合與所有的內(nèi)容管理系統(tǒng)協(xié)同工作，而內(nèi)容管 理系統(tǒng)本身無須作任何變動。發(fā)布服務器上具有與 Web服務器上的網(wǎng)站文件完全相同的目錄結(jié)構(gòu)，任何文件/目錄的變化都會自動映射到 Web服務器的相應位置上。 TOC o 1-5 h z 網(wǎng)頁的合法變更（包括增加、修改、刪除、重命名）都在發(fā)布服務器上進行， 變更的手段可以是任意方式的（例如：FTP 、SFTP、RCP、NFS、文件共享等 ）。網(wǎng) 頁 變 更 后 ，發(fā) 布 服 務 器 將 其 同 步 到 Web 服 務 器 上 。無 論 什 么 情

23、 況 下 ， 不允許直接變更Web 服 務 器 上 的 頁 面文 件 。iGuard一般情況下與內(nèi)容管理系統(tǒng)分開部 署，當然它也可以與內(nèi)容管理系統(tǒng)部署在一臺機器上，在這種情形下，iGuard還可以提供接口，與內(nèi)容管理系統(tǒng)進行互相的功能調(diào)用，以實現(xiàn)整合性更強的功能。集 群 和 冗 余 部 署Web 站點運 行的 穩(wěn) 定 性 是最 關(guān) 鍵 的 。 iGuard支持 所有部件的 多 機 工 作 和 熱 備 ：可 以 有多臺 安裝 了 iGuard 防 篡 改 模 塊 和 同步服 務軟件的W eb服 務 器 ， 也 可以 有 兩 臺 安 裝 了 iGuard 發(fā) 布 服 務 軟 件 的 發(fā) 布 服 務

24、 器 ，如 圖 示 4 所 示 。它 實 現(xiàn) 了 2Xn 的 同 步 機 制 （ 2 為 發(fā) 布 服 務 器 ， n 為 Web 服 務 器 ） ， 當 2 或 n 的 單 點 失效完全不影響系統(tǒng)的正常運行，且在修復后自動工作。Web服務器1iGuardWeb服務器n發(fā)布服務器（備）DMZIntranet圖示3集群和雙機部署示意圖Web服務器多機和集群iGuard 發(fā)布服務器支持1對多達64臺 Web服務器的內(nèi)容同步，這些 Web服務器的操作系統(tǒng)、Web服務器系統(tǒng)軟件、應用腳本及網(wǎng)頁內(nèi)容既可以相同也可以不同。iGuard 實現(xiàn)了異種系統(tǒng)架構(gòu)下對不同內(nèi)容的統(tǒng)一管理。當多臺Web服務器作鏡像集群時

25、，iGuard 對于能夠嚴格保證多臺Web服務器內(nèi)容相同。當單臺 Web服務器失效時，由于 Web服務器集群前端通常有負載均衡設(shè)備，因此，它并不影響公眾訪問網(wǎng)站。同時，它的失效也不影響 iGuard 發(fā) 布 服 務 器 向 其 他 正 常 工 作 的 Web 服 務 器 提 供 內(nèi) 容 同 步 。 在 失 效 期間， iGuard 發(fā) 布 服 務 器 會 嘗 試 連 接 這 臺 W eb 服務器，一 旦 它 修 復 后 重 新 工 作 ，即可自動進行連接，并自動進行內(nèi)容同步。因此 ， W eb服 務 器 的 單 點 失 效 不 影 響 系 統(tǒng) 的 完整性， 并 且 在 系 統(tǒng) 恢 復 時 不

26、需要對其余機器作任何手工操作。發(fā) 布 服 務 器 雙 機 TOC o 1-5 h z iGuard 支 持 發(fā)布 服 務 器 雙 機 協(xié) 同 工 作，即 一 臺 主 發(fā)布服務器和一臺熱備發(fā)布服 務 器 。 在 這種 部 署 情 形 下 ， 內(nèi) 容 管理系統(tǒng) （ CMS）需要將內(nèi)容同時發(fā)布到兩 臺 iGuard服 務 器 上 。 在 正 常 狀 態(tài)下，iGuard 主發(fā)布服務器工作，由它對所 有 W eb 服 務 器 進 行 內(nèi) 容 同 步 。 顯 然 ， 熱 備 發(fā) 布 服 務 器 失 效 不 影 響 系 統(tǒng) 運 作 ， 一旦在它修復后可以從主發(fā)布服務器恢復數(shù)據(jù)，進入正常熱備狀態(tài)。主發(fā)布 服務

27、器如果失效（即不發(fā)心跳信號），熱備發(fā)布服務器會接管工作，由它對 所 有 W eb 服 務 器 進 行 內(nèi) 容 同 步 。當 主 發(fā) 布 服 務 器 修 復 后 ，兩 機 同 時 工 作 ，經(jīng) 過一段時間的數(shù)據(jù)交接時間，熱備發(fā)布服務器重新進入熱備狀態(tài)。因 此 ， iGuard 發(fā) 布 服 務 器 的 單 點 失 效 也 不 影 響 系 統(tǒng) 的 完 整 性 ， 并 且 在 系 統(tǒng) 恢 復時不需要對其余機器作任何手工操作。5 iWall 標 準 部 署iW all 由以下兩個模塊組成 ：應用防護模塊。iW all的核 心防護模塊 ，內(nèi) 嵌 于 Web 系 統(tǒng)（ Web 服 務器軟件）中，與Web服務

28、 器一起運行 。配置管理模塊。iW all的配置生成程序，在獨立管理員機器上運行，僅在系統(tǒng)管理員需要改變iW all配置時才使用。兩者之間沒有通信連接。僅通過一個配置文件交換數(shù)據(jù)，即：配置管理模塊 生成一個配置文件，將它復制到Web服務器上供應用防護模塊使用。它們的關(guān)系如圖示5-1所示。I 口配置文件HTTP圖示二-4部署示意圖采取這種配置方式的優(yōu)點在于：避免直接在Web服務器上修改配置，不給黑客可乘之機。避免在 Web上新開管理網(wǎng)絡端口，不增加新的安全隱患。在多個 Web服務器鏡像時，可以快速生成統(tǒng)一配置。三、“上海XX” Web應用安全部署方案1 .系統(tǒng)現(xiàn)狀1）拓撲圖“上海X X ”網(wǎng)站目

29、前的網(wǎng)絡拓撲圖如圖示4所示。圖示5系統(tǒng)現(xiàn)狀拓撲圖2）要點Web網(wǎng)站內(nèi)容既有全靜態(tài)站點，也有動態(tài)應用站點；Web服務器的操作系統(tǒng)為Sun Salaris ;3）安全隱患目前這個系統(tǒng)在網(wǎng)頁內(nèi)容方面存在如下安全隱患：網(wǎng)頁篡改：沒有部署網(wǎng)頁防篡改系統(tǒng)，靜態(tài)網(wǎng)頁一旦被黑客篡改，沒有檢查、報警和恢復機制。應用防護：沒有應用防護機制，容易遭受各類web攻擊，例如注入 式、跨站、上傳假冒文件、不 安全本地存儲、非法執(zhí)行腳本、非法執(zhí)行系統(tǒng)命令、資源盜鏈、源代碼泄漏、URL訪問限制失效等。.部署實施1）拓撲圖“上海x x ”網(wǎng)站部署 Web應用安全產(chǎn)品的網(wǎng)絡拓撲圖如圖示5所示。Web服務器雙機iGuard Web端軟件iWall應用防護模塊iGuard發(fā)布服務器（主）cmsiWall配置管理模塊內(nèi)容管理系統(tǒng)發(fā)布服務器（備）DMZ Intranet圖示6部署拓撲圖2）要點增加：新增一臺PC服務器（iGuard 發(fā)布服務器），其