Web安全解決方案

Web安全解決方案目錄Web安全 1解決方案 1第一章 需求概述 41.1 項(xiàng)目背景 41.2 網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析 41.3 Web業(yè)務(wù)面臨的安全風(fēng)險(xiǎn) 4第二章 Web安全解決方案設(shè)計(jì) 72.1 方案概述 72.2 方案價(jià)值 8第三章 XXX下一代防火墻NGAF解決方案 83.1 XXXNGAF產(chǎn)品設(shè)計(jì)理念 83.2 XXXNGAF解決方案 103.2.1 四種部署模式支持 103.2.2 多種攔截方式支持 123.2.3 安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng) 123.2.4 典型的Web攻擊防護(hù) 123.2.5 網(wǎng)關(guān)型網(wǎng)頁防篡改 183.2.6 可定義的敏感信息防泄漏 203.2.7 基于應(yīng)用的深度入侵防御 213.2.8 高效精確的病毒檢測(cè)能力 233.2.9 智能的DOS攻擊防護(hù) 243.2.10 智能的防護(hù)模塊聯(lián)動(dòng) 253.2.11 完整的防火墻功能 253.2.12 其他安全功能 253.2.13 產(chǎn)品容錯(cuò)能力 29

需求概述項(xiàng)目背景 （請(qǐng)根據(jù)客戶實(shí)際情況自行添加）網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析 （請(qǐng)根據(jù)客戶實(shí)際情況自行添加） XX擬建立Web業(yè)務(wù)對(duì)外發(fā)布系統(tǒng)，該對(duì)外發(fā)布系統(tǒng)由多臺(tái)服務(wù)器組成，承載的有OA應(yīng)用、集團(tuán)內(nèi)部門戶網(wǎng)站、集團(tuán)內(nèi)門戶網(wǎng)站群等多個(gè)WEB應(yīng)用。 目前，XXweb應(yīng)用邊界使用傳統(tǒng)防火墻進(jìn)行數(shù)據(jù)包過濾進(jìn)行安全防護(hù)，現(xiàn)運(yùn)行許多WEB應(yīng)用系統(tǒng)。Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心是XXIT建設(shè)數(shù)據(jù)大集中的產(chǎn)物，作為Web業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域，該對(duì)外發(fā)布數(shù)據(jù)中心承載著XXWeb業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息。對(duì)于惡意攻擊者而言，Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心是最具吸引力的目標(biāo)。而之前，的安全建設(shè)以各區(qū)域安全隔離為主，隔離來自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)的訪問控制。而安全隱患遷移到了應(yīng)用層，UAP云平臺(tái)資源池?cái)?shù)據(jù)中心面臨的應(yīng)用層安全威脅是基于L3-L4層的傳統(tǒng)防火墻完全無法理解的。 1、利用業(yè)務(wù)開發(fā)時(shí)期沒有對(duì)代碼的安全進(jìn)行評(píng)估，使得系統(tǒng)可輕易通過web攻擊實(shí)現(xiàn)對(duì)web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題 2、利用服務(wù)器操作系統(tǒng)漏洞、應(yīng)用軟件漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊，獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題 3、來自其他安全域的病毒、木馬、蠕蟲的交叉感染，使得數(shù)據(jù)中心成為“養(yǎng)馬場(chǎng)“ 4、由于訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題 5、利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題Web業(yè)務(wù)面臨的安全風(fēng)險(xiǎn) Web業(yè)務(wù)已經(jīng)成為當(dāng)前的主要的業(yè)務(wù)，大量的在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行。由于大量的web業(yè)務(wù)不斷更新，大量web應(yīng)用快速上線，而由于Web業(yè)務(wù)資金、進(jìn)度、意識(shí)方面的影響，這些web應(yīng)用系統(tǒng)沒有進(jìn)行充分的安全評(píng)估而導(dǎo)致大量的可利用漏洞。 根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層，2/3的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。而針對(duì)web的攻擊往往隱藏在大量的正常訪問業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。 近年來，Web安全事件不斷攀升，電子商務(wù)、金融成為了主要目標(biāo)，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）《2011年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示“網(wǎng)站安全類事件占到61.7%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè)，較2010年增加5.1%；4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接受的漏洞中，涉及網(wǎng)站相關(guān)的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶泄露事件引起社會(huì)廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫26個(gè)，涉及賬號(hào)、密碼信息2.78億條，嚴(yán)重威脅互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全?！?Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心包含Web服務(wù)器、存儲(chǔ)服務(wù)器、數(shù)據(jù)庫服務(wù)器、內(nèi)網(wǎng)系統(tǒng)等多種業(yè)務(wù)系統(tǒng)，向internet、intranet等多個(gè)區(qū)域提供服務(wù)，Web數(shù)據(jù)中心要面臨來自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅。其安全保障意義重大。而傳統(tǒng)的安全隔離形式僅僅是通過vlan、ACL訪問控制對(duì)其進(jìn)行安全隔離。應(yīng)用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內(nèi)部進(jìn)行滲透。同時(shí)帶有目的性的內(nèi)網(wǎng)用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心急需解決應(yīng)用層安全防護(hù)的問題。 部分多功能防火墻或者是UTM雖然具備了部分應(yīng)用層安全防護(hù)的能力，但由于其實(shí)現(xiàn)方式、缺乏應(yīng)用層協(xié)議的理解能力。在應(yīng)用層攻擊防護(hù)上存在嚴(yán)重不足，比如針對(duì)數(shù)據(jù)中心的十大web攻擊： SQL注入、XSS、CSRF等攻擊是包含在http正常請(qǐng)求中的web攻擊，可以通過80端口滲透?jìng)鹘y(tǒng)防火墻與多功能網(wǎng)關(guān)，造成正對(duì)數(shù)據(jù)中心數(shù)據(jù)庫服務(wù)器、web服務(wù)器、存儲(chǔ)服務(wù)器的攻擊，可能導(dǎo)致信息泄露、數(shù)據(jù)中心服務(wù)器掛馬、數(shù)據(jù)中心B/S業(yè)務(wù)篡改、甚至是業(yè)務(wù)中斷。 SQL注入等web攻擊逃逸攻擊，由于傳統(tǒng)的多功能網(wǎng)關(guān)或者IPS實(shí)現(xiàn)應(yīng)用層攻擊僅僅通過DPI數(shù)據(jù)包的深度檢測(cè)進(jìn)行攻擊特征分析，攻擊行為一旦采用了逃逸手段，傳統(tǒng)多功能網(wǎng)關(guān)類設(shè)備或者IPS設(shè)備便無法檢測(cè)出來。聰明黑客會(huì)通過多種手段對(duì)防止攻擊行為被檢測(cè)，一旦攻擊被利用重新編碼、分片、亂序等逃逸處理方式，傳統(tǒng)的多功能網(wǎng)關(guān)將無法檢測(cè)并防護(hù)。只有真正對(duì)數(shù)據(jù)流進(jìn)行深度內(nèi)容解析，理解協(xié)議本身，還原其真實(shí)的攻擊行為才能夠進(jìn)行有效的阻斷。 其他攻擊還包括：信息泄露攻擊、目錄遍歷、系統(tǒng)命令注入、webshell等多種傳統(tǒng)基于DPI技術(shù)的多功能網(wǎng)關(guān)無法防御的攻擊，如： 信息泄露漏洞是由于web服務(wù)器配置或者本身存在安全漏洞，導(dǎo)致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。 目錄遍歷漏洞攻擊就是通過瀏覽器向web服務(wù)器任意目錄附加“../”，或者是附加“../”的一些變形，編碼，訪問web服務(wù)器根目錄或者之外的目錄。 系統(tǒng)命令注入是攻擊者提交的特殊字符或者操作系統(tǒng)命令，web程序沒有進(jìn)行檢測(cè)或者繞過web應(yīng)用程序過濾，把用戶提交的請(qǐng)求作為指令進(jìn)行解析，導(dǎo)致操作系統(tǒng)命令執(zhí)行。 …… 總的來說，由于該類攻擊可導(dǎo)致Web業(yè)務(wù)面臨的主要安全威脅如下： 1、網(wǎng)頁篡改問題 網(wǎng)頁篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的Web網(wǎng)頁替換為攻擊者提供的網(wǎng)頁/文字/圖片等內(nèi)容。一般來說網(wǎng)頁的篡改對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的影響，但對(duì)于UAP平臺(tái)重要的Web業(yè)務(wù)，需要與用戶通過Web業(yè)務(wù)進(jìn)行溝通的應(yīng)用而言，就意味著UAP平臺(tái)Web業(yè)務(wù)將被迫停止服務(wù)，對(duì)中國移動(dòng)湛江分公司的經(jīng)濟(jì)利益、企業(yè)形象及信譽(yù)會(huì)造成嚴(yán)重的損害。 2、網(wǎng)頁掛馬問題 網(wǎng)頁掛馬也是利用Web攻擊造成的一種網(wǎng)頁篡改的安全問題，相對(duì)而言這種問題會(huì)比較隱蔽，但本質(zhì)上這種方式也破壞了網(wǎng)頁的完整性。網(wǎng)頁掛馬會(huì)導(dǎo)致Web業(yè)務(wù)的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的經(jīng)濟(jì)損失。這種問題出現(xiàn)在Web業(yè)務(wù)中也嚴(yán)重影響中國移動(dòng)湛江分公司UAP數(shù)據(jù)中心的正常運(yùn)作并影響到公司的公信度。 3、敏感信息泄漏問題 這類安全問題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺(tái)數(shù)據(jù)庫，導(dǎo)致數(shù)據(jù)庫中儲(chǔ)存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對(duì)于承載多種Web業(yè)務(wù)的UAP數(shù)據(jù)中心平臺(tái)而言是致命的打擊，可產(chǎn)生巨大的經(jīng)濟(jì)損失。 4、無法響應(yīng)正常服務(wù)的問題 黑客通過DOS/DDOS拒絕服務(wù)攻擊使UAP平臺(tái)無法響應(yīng)正常請(qǐng)求。這種攻擊行為使得Web服務(wù)器充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致Web業(yè)務(wù)無法響應(yīng)正常的服務(wù)請(qǐng)求。對(duì)于中國移動(dòng)湛江分公司UAP平臺(tái)Web業(yè)務(wù)而言是巨大的威脅。Web安全解決方案設(shè)計(jì)方案概述 XXX為XX提供針對(duì)Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心完整的安全解決方案。 通過在核心交換前雙機(jī)部署兩臺(tái)XXX下一代應(yīng)用防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)服務(wù)器的業(yè)務(wù)邏輯隔離，核心業(yè)務(wù)帶寬保障、防止網(wǎng)絡(luò)層、應(yīng)用層安全威脅在數(shù)據(jù)中心內(nèi)擴(kuò)散。 NGAF應(yīng)用防火墻的部署可以從從攻擊源頭上防護(hù)導(dǎo)致Web業(yè)務(wù)各類網(wǎng)絡(luò)/應(yīng)用層安全威脅；同時(shí)XXX下一代防火墻NGAF提供的雙向內(nèi)容檢測(cè)的技術(shù)幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。 1、XXX應(yīng)用防火墻AF-8020雙機(jī)部署于核心交換前可實(shí)現(xiàn)整體安全防護(hù)； 2、NGAF通過訪問控制策略ACL可實(shí)現(xiàn)Web服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、DMZ等區(qū)域的網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題； 3、NGAF通過服務(wù)器防護(hù)功能模塊的開啟，可實(shí)現(xiàn)對(duì)各個(gè)區(qū)域（尤其是DMZ區(qū)）的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過Web攻擊實(shí)現(xiàn)對(duì)Web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題； 4、NGAF通過風(fēng)險(xiǎn)評(píng)估模塊對(duì)服務(wù)器進(jìn)行安全體檢，通過一鍵策略部署的功能開啟IPS、WAF模塊的對(duì)應(yīng)策略，可幫助管理員的實(shí)現(xiàn)針對(duì)性的策略配置； 5、利用NGAF入侵防御模塊可實(shí)現(xiàn)對(duì)各類服務(wù)器操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題； 6、NGAF防病毒網(wǎng)關(guān)的模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉感染； 7、NGAFDDOS/DOS攻擊防護(hù)模塊可以防止利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題。（拓?fù)鋱D）方案價(jià)值 XXXWeb安全解決方案是針對(duì)面向互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)發(fā)布過程中潛在的各類安全問題專門開發(fā)的一套安全防護(hù)解決方案。該方案有效的彌補(bǔ)了傳統(tǒng)安全解決方案在Web業(yè)務(wù)安全防護(hù)能力的不足： 事前，快速的進(jìn)行風(fēng)險(xiǎn)掃描，幫助用戶快速定位安全風(fēng)險(xiǎn)并智能更新防護(hù)策略； 事中，有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題、敏感信息泄漏問題、無法響應(yīng)正常服務(wù)問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊； 事后，對(duì)服務(wù)器外發(fā)內(nèi)容進(jìn)行安全檢測(cè)，防止攻擊繞過安全防護(hù)體系，對(duì)Web業(yè)務(wù)產(chǎn)生的網(wǎng)站篡改、數(shù)據(jù)泄漏問題。 同時(shí)該方案從簡(jiǎn)化組網(wǎng)、方便運(yùn)維、最優(yōu)投資的用戶角度出發(fā)，可為Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心打造L2-L7層的安全防護(hù)體系構(gòu)架，實(shí)現(xiàn)完整的安全防護(hù)，同時(shí)在可用性、可靠性上采用了XXX特有的先進(jìn)技術(shù)保證Web業(yè)務(wù)的正常穩(wěn)定運(yùn)行，打造一個(gè)“安全”、“可靠”、“高效”的Web業(yè)務(wù)對(duì)外發(fā)布數(shù)據(jù)中心。XXX下一代防火墻NGAF解決方案XXXNGAF產(chǎn)品設(shè)計(jì)理念 XXXNGAF提供對(duì)Web業(yè)務(wù)系統(tǒng)的三維立體防護(hù)解決方案，深入分析黑客攻擊的時(shí)機(jī)和動(dòng)機(jī)。從事件周期、攻擊過程、防護(hù)對(duì)象三個(gè)維度出發(fā)，提供全面的安全防護(hù)手段，保護(hù)web業(yè)務(wù)系統(tǒng)不受來自各方的侵害。 基于事件周期的設(shè)計(jì) 攻擊的防護(hù)不可能實(shí)現(xiàn)百分百的安全。Web系統(tǒng)的安全建設(shè)必須貫穿到整個(gè)Web安全事件周期中，設(shè)立事前、事中、事后三道安全防線分階段進(jìn)行防護(hù)。 NGAF提供事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體安全防護(hù)。事前策略自檢：在配置完安全策略后，NGAF可以自動(dòng)進(jìn)行掃描和探測(cè)，查看系統(tǒng)還存在哪些安全策略漏洞和隱患；事中攻擊防護(hù)：2-7層完整的安全防護(hù)，包括：Web攻擊防護(hù)、漏洞防護(hù)、病毒防護(hù)等；事后網(wǎng)頁篡改響應(yīng)：可以針對(duì)被篡改的靜態(tài)網(wǎng)頁進(jìn)行告警、替換、還原等功能?；诠暨^程的安全防護(hù) 傳統(tǒng)的web安全防護(hù)采用的是防火墻+IPS+WAF割裂式的安全防護(hù)體系，針對(duì)各類的攻擊總是被動(dòng)的增補(bǔ)相應(yīng)功能的安全設(shè)備。而對(duì)于Web安全防護(hù)不是單一攻擊手段的防護(hù)，而需要對(duì)黑客攻擊動(dòng)機(jī)與時(shí)機(jī)進(jìn)行分析，基于黑客的攻擊過程的每一個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一防護(hù)。 NGAF的設(shè)計(jì)是基于黑客攻擊過程的完整Web系統(tǒng)安全防護(hù)，針對(duì)黑客入侵三步曲即掃描、入侵、破壞進(jìn)行統(tǒng)一的安全防護(hù)：掃描過程：提供防端口/服務(wù)掃描、防弱口令暴力破解、關(guān)鍵URL防護(hù)、應(yīng)用信息隱藏等攻擊過程：提供強(qiáng)化的Web攻擊防護(hù)（防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊）、多對(duì)象漏洞利用防護(hù)等破壞過程：提供抗應(yīng)用層DOS攻擊、可執(zhí)行程序上傳過濾、上行病毒木馬清洗等多維對(duì)象的全面防護(hù) 安全的漏洞就像木桶的短板，任何可以被黑客利用的機(jī)會(huì)都可能導(dǎo)致所有的防護(hù)措施形同虛設(shè)。對(duì)眾多用戶網(wǎng)絡(luò)安全現(xiàn)狀分析后，發(fā)現(xiàn)安全問題是多角度、多方面的，在Web安全規(guī)劃中，一味強(qiáng)調(diào)Web服務(wù)器的防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。面對(duì)防護(hù)全面的Web應(yīng)用服務(wù)器，黑客往往以退為進(jìn)采用“跳板式攻擊”，先突破漏洞較多的內(nèi)網(wǎng)終端，通過內(nèi)網(wǎng)終端竊取密碼后堂而皇之的入侵Web服務(wù)器。 NGAF不僅提供強(qiáng)化的服務(wù)器安全防護(hù)，針對(duì)網(wǎng)內(nèi)存在巨大安全風(fēng)險(xiǎn)，很有可能成為“肉雞”被黑客利用的終端也采取了嚴(yán)格的防護(hù)措施?；诮K端漏洞防護(hù)終端的病毒防護(hù)惡意插件、腳本過濾 NGAF是充分考慮安全事件周期性，基于黑客攻擊行為的過程，提供多維對(duì)象防護(hù)的完整Web安全解決方案。 除此之外，NGAF涵蓋了L2-L7全面的安全功能，可以替代FW、IPS、WAF，節(jié)省投資。同時(shí)，簡(jiǎn)化了組網(wǎng)，統(tǒng)一了管理，極大地提升運(yùn)維工作效率。XXXNGAF解決方案四種部署模式支持 NGAF支持網(wǎng)關(guān)模式部署、網(wǎng)橋模式部署、混雜模式部署以及旁路模式部署等四種模式部署，可支持多進(jìn)多出，單進(jìn)多出、多進(jìn)單出等多種方式接入，可適用于各種復(fù)雜環(huán)境下的部署環(huán)境。網(wǎng)關(guān)模式：支持網(wǎng)關(guān)模式，支持NAT、路由轉(zhuǎn)發(fā)、應(yīng)用層防護(hù)等全部功能部署在網(wǎng)絡(luò)邊界，類似于一個(gè)路由器，提供靜態(tài)路由和策略路由，又是一臺(tái)防火墻，實(shí)現(xiàn)NAT地址轉(zhuǎn)換和流量管理，提供網(wǎng)絡(luò)層安全防護(hù)，還是一臺(tái)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，實(shí)現(xiàn)應(yīng)用層和內(nèi)容層的安全防御；網(wǎng)橋模式：支持網(wǎng)橋模式，以透明方式串接在網(wǎng)絡(luò)中，支持除IPECVPN以外的所有功能1、類似二層交換機(jī)一樣，采用一進(jìn)多出或多進(jìn)多出的方式，同時(shí)與不同網(wǎng)段相連接，進(jìn)行數(shù)據(jù)交換；2、可實(shí)時(shí)監(jiān)測(cè)各網(wǎng)段之間的各種流量，提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)。混雜模式：支持同時(shí)開啟支持網(wǎng)關(guān)和網(wǎng)橋模式，支持功能視各線路情況而定；1、在總部互聯(lián)網(wǎng)出入口處在線部署NGAF，實(shí)現(xiàn)路由防護(hù)，提供互聯(lián)網(wǎng)的從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)；2、在總部?jī)?nèi)部網(wǎng)段之間以及與分支機(jī)構(gòu)網(wǎng)絡(luò)之間在線部署NGAF，提供透明接入的、獨(dú)立多路NGAF一進(jìn)一出的、交換式NGAF多進(jìn)多出的全方位、立體式的安全防護(hù)體系，實(shí)現(xiàn)內(nèi)網(wǎng)的安全區(qū)域劃分和控制；3、在企業(yè)服務(wù)器區(qū)旁路部署NGAF，保護(hù)服務(wù)器安全；旁路模式：支持旁路模式部署，不改變?cè)芯W(wǎng)絡(luò)架構(gòu)。該模式下只支持入侵防御、WEB防護(hù)和敏感信息防泄漏功能多種攔截方式支持 NGAF可實(shí)現(xiàn)對(duì)HTTP/HTTPS協(xié)議的深入解析，精確識(shí)別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對(duì)這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，可以精確的檢測(cè)其是否包含威脅內(nèi)容。而傳統(tǒng)的IPS基于DPI深度數(shù)據(jù)包解析技術(shù)，只能實(shí)現(xiàn)在網(wǎng)絡(luò)層數(shù)據(jù)包層面進(jìn)行重組還原及特征匹配，無法解析基于HTTP協(xié)議的內(nèi)容分析，很難有效檢測(cè)針對(duì)web應(yīng)用的攻擊。而具備簡(jiǎn)單web攻擊防護(hù)的IPS，僅僅是基于簡(jiǎn)單的特征檢測(cè)技術(shù)，存在大量的漏報(bào)誤報(bào)的信息。 NGAF作為web客戶端與服務(wù)器請(qǐng)求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，NGAF雙向內(nèi)容檢測(cè)技術(shù)可檢測(cè)過濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對(duì)惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過濾。安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng) NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn)，并通過模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)的安全風(fēng)險(xiǎn)的安全防護(hù)策略。幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問題，并做出有針對(duì)性的防護(hù)策略。典型的Web攻擊防護(hù) XXX下一代防火墻NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題。 SQL注入攻擊 攻擊者通過設(shè)計(jì)上的安全漏洞，把SQL代碼黏貼在網(wǎng)頁形式的輸入框內(nèi)，獲取網(wǎng)絡(luò)資源或改變數(shù)據(jù)。NGAF設(shè)備可以檢測(cè)在http協(xié)議中Get參數(shù)、Post表單以及cooke中隱藏的攻擊威脅，并通過協(xié)議中斷阻止此類攻擊行為的發(fā)生。NGAF可針對(duì)web的主流技術(shù)進(jìn)行防護(hù)：ASP+ACCESSASP+MSSQLASP.NET+MSSQLJSP+ORACLEJSP+MYSQLPHP+MYSQL……NGAF可針對(duì)攻擊的關(guān)鍵步驟進(jìn)行攻擊防護(hù)：SQL注入漏洞掃描，踩點(diǎn)防護(hù)數(shù)據(jù)庫類型探測(cè)防護(hù)數(shù)據(jù)庫基本信息探測(cè)防護(hù)數(shù)據(jù)表總數(shù)探測(cè)數(shù)據(jù)列總數(shù)探測(cè)數(shù)據(jù)表名稱探測(cè)防護(hù)數(shù)據(jù)列名稱探測(cè)防護(hù)數(shù)據(jù)表記錄總數(shù)探測(cè)防護(hù)數(shù)據(jù)表字段值探測(cè)防護(hù)數(shù)據(jù)庫字段值增刪改防護(hù)數(shù)據(jù)庫存儲(chǔ)過程執(zhí)行防護(hù)數(shù)據(jù)庫非法授權(quán)防護(hù)數(shù)據(jù)庫備份防護(hù)……SQL注入工具防護(hù)NGAF支持黑客常用的SQL注入類工具進(jìn)行攻擊防護(hù)，包括如：Domain明小子阿D教主NBSI軍火庫HDSI穿山甲PangolinCASI二娃ZBSI……SQL注入逃逸攻擊防護(hù) 一、SQL注入編碼逃逸防護(hù) SQL注入繞過WAF的常用方法之一是對(duì)注入的語句或參數(shù)進(jìn)行編碼，因?yàn)榛居谔卣髌ヅ涞乃惴ㄍǔo法匹配編碼后的關(guān)鍵字，這樣就可以成功地繞過WAF攻擊用戶的服務(wù)器；如：UTF-7、UTF-8、UTF-16、Base64…… NGAF可實(shí)現(xiàn)對(duì)http協(xié)議的語義還原，防止通過語句或參數(shù)編碼等多種形式的SQL注入逃逸攻擊。包括： 二、SQL注入采用注釋逃逸；如：//,-,/**/,#,-+,---,;%00,/!*UNIION/等； 三、SQL注入采用大小寫轉(zhuǎn)換進(jìn)行逃逸的攻擊；如：UnIoN/**/SeLEcT等； 四、注入攻擊緩沖區(qū)；如：UNION(select0xAAAAAAAAA...AAA...)； 五、針對(duì)SQL中的功能語句增、刪、改、查進(jìn)行可能的注入點(diǎn)。 六、SQL注入TCP/IP分片進(jìn)行逃逸攻擊：類似fragrouter分片工具把數(shù)據(jù)分片，對(duì)于沒有基于包重組檢測(cè)的引擎，這類攻擊都可以成功地繞過WAF的SQL注入防護(hù)，NGAF支持TCP/IP分片進(jìn)行SQL注入逃逸的攻擊防護(hù)，防止黑客通過TCP/IP分片逃逸實(shí)施攻擊。 七、其他如：or1=1簽名繞過等逃逸方式 ……XSS跨站腳本攻擊 跨站腳本攻擊，XSS是一種經(jīng)常出現(xiàn)在WEB應(yīng)用中的計(jì)算機(jī)安全漏洞。它允許代碼植入到提供給其他用戶使用的頁面中。例如HTML代碼和客戶端腳本，攻擊者利用XSS漏洞繞過訪問控制，獲取數(shù)據(jù)，例如盜取賬號(hào)等。NGAF可以實(shí)現(xiàn)對(duì)http協(xié)議的解析，通過頁面代碼對(duì)用戶輸入進(jìn)行過濾，檢查并替換常見的XSS使用字符。NGAF可實(shí)現(xiàn)包括： 1、基于標(biāo)簽事件的XSS防護(hù) 2、基于標(biāo)簽style的XSS防護(hù) 3、基于標(biāo)簽javascript偽協(xié)議的XSS防護(hù) 4、基于IE支持的expression的防護(hù) ……WEBSHELL WEBSHELL是WEB入侵的一種腳本工具，通常情況下，是一個(gè)ASP、PHP或者JSP程序頁面，也叫做網(wǎng)站后面木馬，在入侵一個(gè)網(wǎng)站后，常常將這些木馬放置在服務(wù)器WEB目錄中，也正常網(wǎng)頁混在一起。通過WEHSHELL，長(zhǎng)期操縱和控制受害者網(wǎng)站。NGAF設(shè)備不僅可以防止黑客通過webshell獲得權(quán)限。 如比較流行的一句話木馬：把一句話<%executerequest(“value”)%>添加到數(shù)據(jù)庫中，然后打開客戶端，填上加入了一句話的asp文件，或者是asp網(wǎng)頁，便可實(shí)施入侵。 1、NGAF可對(duì)常見的文件格式內(nèi)容進(jìn)行解析；主要是分析一下各種文件格式的通用格式，然后提取特征，作為上傳的檢測(cè)機(jī)制.包括:PE/ELF/PHPwebshell/LinuxShell/PowerShell/Javashell/AspShell/PerlShell/Pythonshell/AIXshell/solarisshell/cgi/ssi/OracleAppServer/等； 2、NGAF可提取常見的Webshell的特征，阻止上傳到服務(wù)器； 3、NGAF優(yōu)化文件類型判斷,不再簡(jiǎn)單以擴(kuò)展名為依據(jù)，解決Webshell偽裝問題；例如可以把可執(zhí)行的腳本嵌入到圖片中。NGAF還可以支持包括多種類型的webshell后臺(tái)木馬，如：ASP海洋頂端木馬砍客木馬藍(lán)屏木馬站長(zhǎng)助手木馬冰狐浪子木馬超級(jí)隱藏免殺木馬阿江探針Asp一句話小馬……PHPPHPShell靈魂P(guān)HP木馬采飛揚(yáng)PHP木馬C99Shell木馬浪點(diǎn)PHP探針……JSP修改文件時(shí)間木馬執(zhí)行CMD木馬JshellJfolderJbrowser……ASPX.NET安全浮云木馬WebAdmin木馬ASPXSPY木馬……應(yīng)用信息隱藏 NGAF可針對(duì)主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如：HTTP出錯(cuò)頁面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等FTP應(yīng)用信息隱藏： 客戶端登錄FTP服務(wù)器的時(shí)候，服務(wù)器會(huì)返回客戶端FTP服務(wù)器的版本等信息。攻擊者可以利用相應(yīng)版本的漏洞發(fā)起攻擊。該功能是隱藏FTP服務(wù)器返回的這些信息，避免被攻擊者利用。HTTP應(yīng)用信息隱藏： 當(dāng)客戶端訪問WEB網(wǎng)站的時(shí)候，服務(wù)器會(huì)通過HTTP報(bào)文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會(huì)泄露代理服務(wù)器的版本信息，攻擊者可以利用服務(wù)器版本漏洞進(jìn)行攻擊。因此可以通過隱藏這些字段來防止攻擊?？缯菊?qǐng)求偽造攻擊（CSRF） CSRF即跨站請(qǐng)求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對(duì)XSS漏洞更高級(jí)的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執(zhí)行功能相對(duì)復(fù)雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網(wǎng)站的會(huì)話，攻擊者可以與運(yùn)行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。NGAF通過先進(jìn)的雙向內(nèi)容檢測(cè)技術(shù)，結(jié)合數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的CSRF的攻擊代碼，防止WEB系統(tǒng)遭受跨站請(qǐng)求偽造攻擊。網(wǎng)頁木馬 網(wǎng)頁木馬實(shí)際上是一個(gè)經(jīng)過黑客精心設(shè)計(jì)的HTML網(wǎng)頁。當(dāng)用戶訪問該頁面時(shí)，嵌入該網(wǎng)頁中的腳本利用瀏覽器漏洞，讓瀏覽器自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行這個(gè)木馬。NGAF設(shè)備可以檢測(cè)到此類攻擊行為。網(wǎng)站掃描 網(wǎng)站掃描是對(duì)WEB站點(diǎn)掃描，對(duì)WEB站點(diǎn)的結(jié)構(gòu)、漏洞進(jìn)行掃描。NGAF設(shè)備可以檢測(cè)到如爬蟲、掃描軟件，如appscan、等多種掃描攻擊行為并進(jìn)行阻斷。系統(tǒng)命令注入 攻擊者利用服務(wù)器操作系統(tǒng)的漏洞，把OS命令利用WEB訪問的形式傳至服務(wù)器，獲取其網(wǎng)絡(luò)資源或者改變數(shù)據(jù)。NGAF設(shè)備可以檢測(cè)到此類攻擊行為。文件包含攻擊 文件包含漏洞攻擊是針對(duì)PHP站點(diǎn)特有的一種惡意攻擊。當(dāng)PHP中變量過濾不嚴(yán)，沒有判斷參數(shù)是本地的還是遠(yuǎn)程主機(jī)上的時(shí)，就可以指定遠(yuǎn)程主機(jī)上的文件作為參數(shù)來提交給變量指向，而如果提交的這個(gè)文件中存在惡意代碼甚至干脆就是一個(gè)PHP木馬的話，文件中的代碼或者是PHP木馬就會(huì)以WEB權(quán)限被成功執(zhí)行。NGAF設(shè)備可以檢測(cè)到此類攻擊行為。目錄遍歷攻擊 目錄遍歷漏洞就是通過瀏覽器向WEB服務(wù)器任意目錄附件“.../”，或者是在有特殊意義的目錄附加“.../”，或者是附件“.../”的一些變形，編碼訪問WEB服務(wù)器的根目錄之外的目錄。NGAF設(shè)備可以檢測(cè)到此類攻擊行為。信息泄露攻擊 信息泄露漏洞是由于WEB服務(wù)器配置或者本身存在安全漏洞，導(dǎo)致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露WEB服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。NGAF設(shè)備可以檢測(cè)到此類攻擊行為。口令暴力破解防護(hù) 弱口令被視為眾多認(rèn)證類web應(yīng)用程序的普遍風(fēng)險(xiǎn)問題，NGAF通過對(duì)弱口令的檢查，制定弱口令檢查規(guī)則控制弱口令廣泛存在于web應(yīng)用程序中。同時(shí)通過時(shí)間鎖定的設(shè)置防止黑客對(duì)web系統(tǒng)口令的暴力破解。文件上傳過濾 由于web應(yīng)用系統(tǒng)在開發(fā)時(shí)并沒有完善的安全控制，對(duì)上傳至web服務(wù)器的信息進(jìn)行檢查，從而導(dǎo)致web服務(wù)器被植入病毒、木馬成為黑客利用的工具。NGAF通過嚴(yán)格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時(shí)還能夠結(jié)合病毒防護(hù)、插件過濾等功能檢查上傳文件的安全性，以達(dá)到保護(hù)web服務(wù)器安全的目的。URL防護(hù) Web應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù)web應(yīng)用系統(tǒng)，但是這種便利很可能會(huì)被黑客利用從而入侵應(yīng)用系統(tǒng)。通過NGAF提供的URL防護(hù)功能，幫助用戶選擇特定URL的開放對(duì)象，防止由于過多的信息暴露于公網(wǎng)產(chǎn)生的威脅。網(wǎng)關(guān)型網(wǎng)頁防篡改 【網(wǎng)站篡改防護(hù)】功能是XXX下一代防火墻NGAF-服務(wù)器防護(hù)中的一個(gè)子模塊，其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問題。防篡改實(shí)現(xiàn)流程及原理 當(dāng)網(wǎng)頁被數(shù)據(jù)篡改后，用戶看到的頁面變成了非法頁面或者損害企事業(yè)單位形象的網(wǎng)頁，這種事故往往會(huì)給企事業(yè)單位造成很嚴(yán)重的影響，甚至造成嚴(yán)重的經(jīng)濟(jì)損失。XXX下一代防火墻NGAF【網(wǎng)站篡改防護(hù)】功能可有效降低此類風(fēng)險(xiǎn)，當(dāng)內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁面，并且及時(shí)地通過短信或者郵件方式通知管理員。 【網(wǎng)站篡改防護(hù)】功能使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁防篡改功能。這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類防篡改軟件而言，客戶無需在服務(wù)器上安裝第三方軟件，易于使用和維護(hù)，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測(cè)與恢復(fù)，對(duì)服務(wù)器性能沒有影響。防篡改實(shí)現(xiàn)流程 網(wǎng)站防篡改實(shí)現(xiàn)流程如下：管理員預(yù)先在控制臺(tái)設(shè)置好需要防護(hù)的網(wǎng)站，設(shè)置后，NGAF設(shè)備會(huì)向該網(wǎng)站請(qǐng)求頁面并且緩存到設(shè)備。當(dāng)用戶訪問網(wǎng)站的時(shí)候，數(shù)據(jù)經(jīng)過NGAF設(shè)備，NGAF設(shè)備根據(jù)預(yù)先緩存的頁面與用戶訪問的頁面進(jìn)行比對(duì)，如有變動(dòng)，則判斷為篡改，跳轉(zhuǎn)到指定頁面并且通知管理員。檢測(cè)原理 【網(wǎng)站篡改防護(hù)】的樣本采樣模塊會(huì)將首次獲取到的防護(hù)頁面作為基準(zhǔn)頁面，通過一定時(shí)間反復(fù)或者通過手動(dòng)更新輪詢方式更新采集網(wǎng)站的樣本，再次之后獲取的頁面為輪詢頁面。采樣得到的基準(zhǔn)頁面與輪詢頁面將通過【網(wǎng)站篡改防護(hù)】模塊中的檢測(cè)算法進(jìn)行輪詢的檢測(cè)與匹配。若經(jīng)過算法計(jì)算的基準(zhǔn)頁面與輪詢頁面出現(xiàn)不一致時(shí)，則判定網(wǎng)頁存在篡改的風(fēng)險(xiǎn)，通過提交管理員審核的方式判定更新內(nèi)容是合法更新還是非法篡改。匹配方式 【網(wǎng)站篡改防護(hù)】功能能實(shí)現(xiàn)動(dòng)態(tài)、靜態(tài)網(wǎng)頁的篡改檢測(cè)，通過兩種匹配方式對(duì)網(wǎng)頁篡改進(jìn)行檢測(cè)與匹配。一般情況下純靜態(tài)網(wǎng)頁，則選擇[精確匹配]，全動(dòng)態(tài)頁面的網(wǎng)站選擇[模糊匹配-靈敏度低]，靜/動(dòng)態(tài)網(wǎng)頁都有的網(wǎng)站可選擇[模糊匹配-靈敏度高]或者[模糊匹配-靈敏度中]。 方式一：精確匹配 精確匹配模式適用于首頁或者前幾級(jí)更新內(nèi)容較少、用戶訪問次數(shù)最多需要進(jìn)行嚴(yán)格保障的頁面。通過精確匹配的識(shí)別方式，網(wǎng)站框架、文字、圖片等網(wǎng)站任何一個(gè)元素的變化均被判定為被非法篡改。 方式二：模糊匹配 模糊匹配適用于內(nèi)容更新頻發(fā)的動(dòng)態(tài)更新的頁面，網(wǎng)頁中的文字會(huì)隨著動(dòng)態(tài)發(fā)布進(jìn)行更新，而網(wǎng)站的整體框架不允許被篡改，否則被認(rèn)定為是一種篡改事件?？勺R(shí)別篡改類型 1、替換整個(gè)網(wǎng)頁 XXXNGAF可識(shí)別黑客對(duì)整個(gè)網(wǎng)頁進(jìn)行替換的篡改事件。 2、插入新鏈接 若攻擊者篡改頁面插入其他網(wǎng)站鏈接打廣告，NGAF則可以通過檢測(cè)外鏈的功能進(jìn)行檢驗(yàn)。 3、替換網(wǎng)站圖片文件 若攻擊者更改了網(wǎng)頁中某些圖片內(nèi)容，XXXNGAF可根據(jù)圖片的特征精確識(shí)別圖片的更改與否，防止攻擊者替換網(wǎng)頁中的圖片信息。 4、小規(guī)模編輯網(wǎng)頁（僅精確模式使用） 在精確檢測(cè)模式下，XXXNGAF可識(shí)別小規(guī)模的網(wǎng)頁編輯，如小部分文字內(nèi)容的修改實(shí)現(xiàn)嚴(yán)格的網(wǎng)頁篡改防護(hù)要求。 5、因網(wǎng)站運(yùn)行出錯(cuò)導(dǎo)致結(jié)構(gòu)畸變 XXXNGAF可實(shí)現(xiàn)網(wǎng)站更新、訪問出錯(cuò)導(dǎo)致的網(wǎng)站結(jié)構(gòu)發(fā)生畸變的篡改防護(hù)，保證網(wǎng)頁不會(huì)因?yàn)槌鲥e(cuò)使得網(wǎng)站結(jié)構(gòu)與框架發(fā)生改變。管理員維護(hù)界面 為了方便網(wǎng)站業(yè)務(wù)維護(hù)人員更新網(wǎng)站內(nèi)容，XXX下一代防火墻NGAF【網(wǎng)站篡改防護(hù)】模塊為管理員提供了單獨(dú)維護(hù)的管理界面。該界面不同于下一代防火墻的管理界面，用于業(yè)務(wù)維護(hù)人員管理更新網(wǎng)站。實(shí)現(xiàn)業(yè)務(wù)維護(hù)人員與安全管理人員的維護(hù)的安全分離。通過業(yè)務(wù)維護(hù)界面可實(shí)現(xiàn)網(wǎng)站內(nèi)容更新是否合法的判定，且能夠?qū)崿F(xiàn)通過該維護(hù)界面實(shí)現(xiàn)合法圖片更新的還原。篡改后重定向 XXXNGAF【網(wǎng)站篡改防護(hù)】模塊提供網(wǎng)站篡改重定向的功能。當(dāng)檢測(cè)到篡改發(fā)生后，NGAF可阻止用戶訪問到被篡改的頁面，同時(shí)能夠提供兩種重定向的方式，避免用戶訪問到被篡改的頁面。 一、指定網(wǎng)頁重定向 檢測(cè)到篡改事件時(shí)，NGAF可將用戶的訪問重定向引導(dǎo)到預(yù)先編輯的顯示提示頁面。該頁面可由管理員預(yù)先設(shè)定，防止用戶訪問到被篡改的頁面。 二、web服務(wù)器重定向 用戶可搭建一個(gè)備份服務(wù)器實(shí)現(xiàn)關(guān)鍵頁面的實(shí)時(shí)備份。NGAF檢測(cè)到篡改事件后，也可將用戶的訪問請(qǐng)求重定向到備份的web服務(wù)器上，保證用戶訪問業(yè)務(wù)的永續(xù)性，防止用戶訪問到被篡改的頁面。報(bào)警方式 XXXNGAF【網(wǎng)站篡改防護(hù)】模塊檢測(cè)到篡改發(fā)生后，可以通過郵件、短信的方式通知管理員。通過郵件進(jìn)行實(shí)時(shí)的篡改界定，若屬于正常更新則可通過連接防通更新內(nèi)容；若更改屬于篡改事件，則可通過連接防止篡改內(nèi)容發(fā)布?？啥x的敏感信息防泄漏 NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。XXX敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶信息MD5加密密碼銀行卡號(hào)身份證號(hào)碼社保賬號(hào)信用卡號(hào)手機(jī)號(hào)碼…… 通過XXX深度內(nèi)容檢測(cè)技術(shù)的應(yīng)用，XXX下一代防火墻具備深度內(nèi)容檢測(cè)的能力。能夠檢測(cè)出通過文件、數(shù)據(jù)流、標(biāo)準(zhǔn)協(xié)議等通過網(wǎng)關(guān)的內(nèi)容。因此具備針對(duì)敏感信息，如186、139等有特征的11位的手機(jī)號(hào)碼、18位身份證號(hào)，有標(biāo)準(zhǔn)特征的@郵箱等有特征數(shù)據(jù)進(jìn)行識(shí)別。并通過分離平面設(shè)計(jì)的軟件構(gòu)架，實(shí)現(xiàn)控制平面與內(nèi)容平面檢測(cè)聯(lián)動(dòng)，通過控制平面向底層數(shù)據(jù)轉(zhuǎn)發(fā)平面發(fā)送操作指令來阻斷敏感信息的泄漏。有防護(hù)了各單位、政府、金融機(jī)構(gòu)的敏感泄漏的風(fēng)險(xiǎn)?；趹?yīng)用的深度入侵防御 NGAF基于應(yīng)用的深度入侵防御采用六大威脅檢測(cè)機(jī)制：攻擊特征檢測(cè)、特殊攻擊檢測(cè)、威脅關(guān)聯(lián)分析、異常流量檢測(cè)、協(xié)議異常檢測(cè)、深度內(nèi)容分析能夠有效的防止各類已知未知攻擊，實(shí)時(shí)阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測(cè)、掃描、間諜軟件、以及各類IPS逃逸攻擊等。 XXXNGAF融合多種應(yīng)用威脅檢測(cè)方式，提升威脅檢測(cè)的精度。檢測(cè)方式主要包含6種檢測(cè)方式：攻擊特征檢測(cè)特殊攻擊檢測(cè)威脅關(guān)聯(lián)分析異常流量檢測(cè)協(xié)議異常檢測(cè)深度內(nèi)容分析 NGAF漏洞防護(hù)策略的設(shè)計(jì)思路是，防御服務(wù)器和客戶端的各種漏洞，以保護(hù)服務(wù)器和客戶端不受攻擊。管理員在配置策略時(shí)可根據(jù)具體的應(yīng)用場(chǎng)景，配置針對(duì)性的策略，便于維護(hù)與管理。如： 1、互聯(lián)網(wǎng)邊界：由于涉及幾乎所有的應(yīng)用對(duì)象，建議開啟IPS所有的安全特征庫，對(duì)流量進(jìn)行最全面檢測(cè)防護(hù)；2、服務(wù)器保護(hù)：根據(jù)保護(hù)服務(wù)器類型，開啟相應(yīng)服務(wù)器的防護(hù)規(guī)則，如果服務(wù)器中包含WEB服務(wù)器，建議開啟WAF防護(hù)規(guī)則，同時(shí)開啟系統(tǒng)類防護(hù)規(guī)則，包括操作系統(tǒng)、木馬軟件、后門軟件、病毒軟件。3、保護(hù)客戶端網(wǎng)絡(luò)安全：建議開啟應(yīng)用軟件、瀏覽器、惡意文件、常用ActiveX控件，同時(shí)開啟系統(tǒng)類防護(hù)規(guī)則，包括操作系統(tǒng)、木馬軟件、后門軟件、病毒軟件。NGAF防護(hù)的服務(wù)器漏洞包含：協(xié)議脆弱性保護(hù)DDoS攻擊保護(hù)DNS服務(wù)器保護(hù)其他exploit保護(hù)finger服務(wù)保護(hù)ftp服務(wù)器保護(hù)imap服務(wù)器保護(hù)mysql服務(wù)器保護(hù)netbios服務(wù)保護(hù)nntp服務(wù)保護(hù)oracle服務(wù)器保護(hù)Pop2服務(wù)器保護(hù)Pop3服務(wù)器保護(hù)RPC服務(wù)保護(hù)remoteservice保護(hù)遠(yuǎn)程探測(cè)防護(hù)shellcode防護(hù)smtp服務(wù)器保護(hù)snmp服務(wù)器保護(hù)SQLserver服務(wù)器保護(hù)telnet服務(wù)保護(hù)tftp類服務(wù)保護(hù)voip防護(hù)frontpage擴(kuò)展安全性保護(hù)iis服務(wù)器保護(hù)X11服務(wù)器保護(hù)…… 內(nèi)網(wǎng)終端仍然存在漏洞被利用的問題，多數(shù)傳統(tǒng)安全設(shè)備僅僅提供基于服務(wù)器的漏洞防護(hù)，對(duì)于終端漏洞的利用視而不見。NGAF同時(shí)提供基于終端的漏洞保護(hù)能防護(hù)如：后門程序預(yù)防、協(xié)議脆弱性保護(hù)、exploit保護(hù)、網(wǎng)絡(luò)共享服務(wù)保護(hù)、shellcode預(yù)防、間諜程序預(yù)防等基于終端的漏洞防護(hù)，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。NGAF防護(hù)的終端漏洞包括：后門程序預(yù)防協(xié)議脆弱性保護(hù)其他exploit保護(hù)網(wǎng)絡(luò)共享服務(wù)保護(hù)shellcode預(yù)防間諜程序預(yù)防web應(yīng)用安全…… NGAF基于應(yīng)用的入侵防御包含豐富的威脅處理動(dòng)作，灰度威脅可通過“云”端聯(lián)動(dòng)與XXX攻防團(tuán)隊(duì)實(shí)現(xiàn)互動(dòng)，幫助用戶排查未知威脅。 NGAF可針對(duì)各種優(yōu)先級(jí)別的漏洞設(shè)置動(dòng)作，高的默認(rèn)值為阻斷；中等威脅可定義為允許通過并記錄日志；威脅等級(jí)為低的特征可定義為禁用或者記錄日志。 NGAF的統(tǒng)一威脅識(shí)別具備2500+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、1000+Web應(yīng)用威脅特征庫，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的各種安全威脅。其漏洞特征庫已通過國際最著名的安全漏洞庫CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評(píng)審，獲得CVE兼容性認(rèn)證（CVECompatible）。 XXX憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累組建了專業(yè)的安全攻防團(tuán)隊(duì)，作為微軟的MAPP（MicrosoftActiveProtectionsProgram）項(xiàng)目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時(shí)有效的保護(hù)，以確保防御的及時(shí)性。高效精確的病毒檢測(cè)能力 NGAF提供先進(jìn)的病毒防護(hù)功能，可從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時(shí)采用高效的流式掃描技術(shù)，可大幅提升病毒檢測(cè)效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。 NGAF的具有大容量病毒庫，能夠查殺10萬種以上種病毒。為了更有效地過濾網(wǎng)絡(luò)病毒，除了特征碼識(shí)別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見的檢測(cè)方法以外，XXXNGAF還采用了多種先進(jìn)的新一代病毒掃描引擎技術(shù)，以巧妙而精確的算法保證在檢測(cè)大量病毒時(shí)，仍然保持高速而準(zhǔn)確的檢測(cè)結(jié)果，其中包括:病毒脫殼技術(shù):對(duì)加殼的病毒先進(jìn)行脫殼，然后再進(jìn)行檢測(cè)。OLE分離技術(shù):宏掃描從Office文件中提取宏，根據(jù)已知的宏病毒字符串對(duì)宏進(jìn)行檢測(cè)，并對(duì)宏中的代碼行為進(jìn)行分析，識(shí)別宏病毒。壓縮格式病毒檢測(cè)技術(shù):輕松查殺多種壓縮格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木馬、黑客程序檢測(cè)技術(shù):針對(duì)網(wǎng)絡(luò)上流行的木馬、黑客程序，XXXNGAF掃描引擎采用了獨(dú)特的特征&行為雙重檢測(cè)技術(shù)，可以對(duì)其進(jìn)行有效的阻斷。高速的協(xié)議分析、還原和內(nèi)容檢測(cè)技術(shù):通過精心設(shè)計(jì)的算法保證了在檢測(cè)大量病毒時(shí)仍然保持高速而準(zhǔn)確的檢測(cè)結(jié)果。智能的DOS攻擊防護(hù) NGAF采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。智能的防護(hù)模塊聯(lián)動(dòng) 智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)NGAF內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng)，如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效的防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡(jiǎn)單，可實(shí)現(xiàn)無網(wǎng)管的自動(dòng)化安全管理。完整的防火墻功能 NGAF涵蓋了完整的傳統(tǒng)防火墻功能包括訪問控制、NAT支持、路由協(xié)議、VLAN屬性等功能，已便于用戶替換傳統(tǒng)防火墻后，將原有的策略完全遷移至下一代防火墻中，實(shí)現(xiàn)簡(jiǎn)化組網(wǎng)、方便運(yùn)維的效果。訪問控制 NGAF內(nèi)置狀態(tài)防火墻，支持基于網(wǎng)絡(luò)接口、源/目的IP地址、協(xié)議、時(shí)間等元素，自定義訪問控制策略。NAT支持 NGAF提供地址轉(zhuǎn)換功能，支持靜態(tài)NAT（StaticNAT）、動(dòng)態(tài)NAT（PooledNAT）和端口NAT（PAT），支持多對(duì)一、多對(duì)多和一對(duì)一等多種地址轉(zhuǎn)換方式。路由支持 NGAF提供控制力更強(qiáng)，使用更靈活的策略路由功能，能夠根據(jù)協(xié)議類型、應(yīng)用、IP源地址等策略來選擇數(shù)據(jù)轉(zhuǎn)發(fā)路徑，而且能夠根據(jù)報(bào)文數(shù)據(jù)流的發(fā)起方向來確定以后的路由，滿足各種應(yīng)用環(huán)境的需要。VLAN特性 NGAF支持工業(yè)標(biāo)準(zhǔn)的802.1QVLANTrunk封裝協(xié)議，實(shí)現(xiàn)兩個(gè)交換機(jī)同一VLAN間的數(shù)據(jù)交互，同時(shí)具備不同VLAN虛擬接口間的路由功能，極大增強(qiáng)了NGAF對(duì)交換式網(wǎng)絡(luò)的部署適應(yīng)能力。其他安全功能可視化的應(yīng)用識(shí)別 傳統(tǒng)防火墻最主要的用途就是在非信任網(wǎng)絡(luò)與信任網(wǎng)絡(luò)通過訪問控制實(shí)現(xiàn)安全管理。過去一個(gè)端口便代表了一個(gè)應(yīng)用，防火墻的問題并沒有完全暴露出來。而隨著應(yīng)用程序的不斷發(fā)展，采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的應(yīng)用越來越多，使得傳統(tǒng)防火墻五元組的訪問控制策略可讀性、可視性，可控性受到巨大沖擊，傳統(tǒng)防火墻在web2.0時(shí)代已無法滿足精細(xì)化訪問控制的需求。 NGAF具有卓越的應(yīng)用可視化功能，通過多種應(yīng)用識(shí)別技術(shù)形成國內(nèi)最大的應(yīng)用特征識(shí)別庫，可精確識(shí)別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的各類應(yīng)用，為下一代防火墻實(shí)現(xiàn)用戶與應(yīng)用的精細(xì)化訪問控制提供技術(shù)基礎(chǔ)。NGAF的應(yīng)用識(shí)別有以下幾種方式： 第一，基于協(xié)議和端口的檢測(cè)僅僅是第一步(傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對(duì)穩(wěn)定,可以根據(jù)端口快速識(shí)別應(yīng)用。 第二，基于應(yīng)用特征碼的識(shí)別，深入讀取IP包載荷的內(nèi)容中的OSI七層協(xié)議中的應(yīng)用層信息，將解包后的應(yīng)用信息與后臺(tái)特征庫進(jìn)行比較來確定應(yīng)用類型。 第三，基于流量特征的識(shí)別，不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應(yīng)用的流量模型特點(diǎn)為平均包長(zhǎng)都在450字節(jié)以上、下載時(shí)間長(zhǎng)、連接速率高、首選傳輸層協(xié)議為TCP等；NGAF基于這一系列流量的行為特征，通過分析會(huì)話連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來鑒別應(yīng)用類型。智能的用戶身份識(shí)別 NGAF用戶識(shí)別功能可以與8種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對(duì)接，通過單點(diǎn)登錄的方式自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)。 1、映射組織架構(gòu) NGAF可以按照組織的行政結(jié)構(gòu)建立樹形用戶分組，將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡(jiǎn)單方便，除手工輸入帳戶方式外，NGAF能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理員管理。 此外，NGAF支持賬戶自動(dòng)創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對(duì)應(yīng)關(guān)系，基于新用戶的源IP地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定IP/MAC，并繼承管理員指定的網(wǎng)絡(luò)權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導(dǎo)入，實(shí)現(xiàn)快捷的創(chuàng)建用戶和分組信息。 2、建立身份認(rèn)證體系 本地認(rèn)證：Web認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC/IP-MAC綁定 第三方認(rèn)證：AD、LDAP、Radius、POP3、PROXY等； 雙因素認(rèn)證：USB-Key認(rèn)證； 單點(diǎn)登