WEB應(yīng)用安全防護(hù)系統(tǒng)建設(shè)方案

Web應(yīng)用安全防護(hù)系統(tǒng)解決方案

目錄TOC\o"1-4"\h\u一、需求概述 41.1 背景介紹 41.2 需求分析 41.3 網(wǎng)絡(luò)安全防護(hù)策略 71.3.1 “長(zhǎng)鞭效應(yīng)（bullwhipeffect）” 71.3.2 網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則 8二、 解決方案 92.1Web應(yīng)用防護(hù)系統(tǒng)解決方案 92.1.1黑客攻擊防護(hù) 92.1.2BOT防護(hù) 102.1.3應(yīng)用層洪水CC攻擊及DDOS防御 112.1.4網(wǎng)頁(yè)防篡改 122.1.5自定義規(guī)則及白名單 132.1.6關(guān)鍵字過濾 132.1.7日志功能 142.1.8統(tǒng)計(jì)功能 162.1.9報(bào)表 182.1.10智能阻斷 182.2設(shè)備選型及介紹 192.3設(shè)備部署 21三、方案優(yōu)點(diǎn)及給客戶帶來的價(jià)值 243.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題 243.2合規(guī)性建設(shè) 243.3減少因不安全造成的損失 243.4便于維護(hù) 243.5使用狀況 253.5.1系統(tǒng)狀態(tài) 253.5.2入侵記錄示例 253.5.3網(wǎng)站統(tǒng)計(jì)示例 26四、Web應(yīng)用防護(hù)系統(tǒng)主要技術(shù)優(yōu)勢(shì) 274.1千兆高并發(fā)與請(qǐng)求速率處理技術(shù) 274.2攻擊碎片重組技術(shù) 274.3多種編碼還原與抗混淆技術(shù) 274.4SQL語(yǔ)句識(shí)別技術(shù) 274.5多種部署方式 274.6軟硬件BYPASS功能 27五、展望 28

學(xué)校WEB應(yīng)用安全防護(hù)Web應(yīng)用防護(hù)安全解決方案一、需求概述背景介紹隨著學(xué)校對(duì)信息化的不斷建設(shè)，已經(jīng)具有完備的校園網(wǎng)絡(luò)，學(xué)校部署了大量信息系統(tǒng)和網(wǎng)站，包括OA系統(tǒng)、WEB服務(wù)器、教務(wù)管理系統(tǒng)、郵件服務(wù)器等50多臺(tái)服務(wù)器和100多個(gè)業(yè)務(wù)系統(tǒng)和網(wǎng)站，各業(yè)務(wù)應(yīng)用系統(tǒng)都通過互聯(lián)網(wǎng)平臺(tái)得到整體應(yīng)用，校園網(wǎng)出口已經(jīng)部署了專用防火墻、流控等網(wǎng)絡(luò)安全設(shè)備。所有Web應(yīng)用是向公眾開放，特別是學(xué)校的門戶網(wǎng)站，由于招生與社會(huì)影響，要求在系統(tǒng)Web保護(hù)方面十分重要。需求分析很多人認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測(cè)系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，尤其是對(duì)Web系統(tǒng)的攻擊防范作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于TCP/IP報(bào)文頭部的ACL）實(shí)現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測(cè)出來的。IDS，IPS通過使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫(kù)進(jìn)行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來才會(huì)出現(xiàn)的攻擊，以及通過靈活編碼和報(bào)文分割來實(shí)現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護(hù)?？傮w說來，容易導(dǎo)致學(xué)校Web服務(wù)器被攻擊的主要攻擊手段有以下幾種：緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)跨站腳本攻擊——提交非法腳本，其他用戶瀏覽時(shí)盜取用戶帳號(hào)等信息拒絕服務(wù)攻擊——構(gòu)造大量的非法請(qǐng)求，使Web服務(wù)器不能相應(yīng)正常用戶的訪問認(rèn)證逃避——攻擊者利用不安全的證書和身份管理非法輸入——在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)強(qiáng)制訪問——訪問未授權(quán)的網(wǎng)頁(yè)隱藏變量篡改——對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒

學(xué)校WEB應(yīng)用安全防護(hù)具體需求分析學(xué)校對(duì)WEB應(yīng)用安全防護(hù)非常重視，在內(nèi)網(wǎng)部署有高端防火墻，同時(shí)內(nèi)網(wǎng)部署有眾多應(yīng)用服務(wù)器，網(wǎng)絡(luò)示意圖如下：通過以上機(jī)構(gòu)的內(nèi)網(wǎng)拓?fù)浜?jiǎn)圖可見，機(jī)構(gòu)內(nèi)部眾多用戶和各種應(yīng)用系統(tǒng)，通過位于外網(wǎng)接口的防火墻進(jìn)行了防護(hù)和保障，對(duì)于來自外網(wǎng)的安全風(fēng)險(xiǎn)和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于自身產(chǎn)品定位和防護(hù)深度，不同有效的提供針對(duì)Web應(yīng)用攻擊的防御能力。對(duì)于來自外網(wǎng)的各種各樣的攻擊方法，就必須采用一種專用的機(jī)制來阻止黑客對(duì)Web服務(wù)器的攻擊行為，對(duì)其進(jìn)行有效的檢測(cè)、防護(hù)。通過對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)目前在WEB應(yīng)用存在的問題，我們看到學(xué)校在Web服務(wù)器安全防護(hù)時(shí)需要解決以下幾個(gè)問題：跨站腳本攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問學(xué)校Web服務(wù)器的用戶，常見的目的是竊取Web服務(wù)器訪問者相關(guān)的用戶登錄和認(rèn)證信息。SQL注入攻擊由于代碼編寫不可能做到完美，因此攻擊者可以通過輸入一段數(shù)據(jù)庫(kù)查詢代碼竊取或者修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，造成用戶資料的丟失、泄露和服務(wù)器權(quán)限的丟失。緩沖區(qū)溢出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，獲得系統(tǒng)管理員權(quán)限。CC攻擊CC攻擊目前是最新出現(xiàn)針對(duì)Web系統(tǒng)的特殊攻擊方式，通過構(gòu)造特殊的攻擊報(bào)文，以到達(dá)消耗應(yīng)用平臺(tái)的服務(wù)器計(jì)算資源為目的（其中以消耗CPU資源最為常見），最終造成應(yīng)用平臺(tái)的拒絕服務(wù)，正常用戶無法訪問Web服務(wù)器，給學(xué)校形象造成不可估量的損失。拒絕服務(wù)攻擊通過DOS攻擊請(qǐng)求，以到達(dá)消耗應(yīng)用平臺(tái)的網(wǎng)絡(luò)資源為目的，最終造成應(yīng)用平臺(tái)的拒絕服務(wù)，正常用戶無法訪問Web服務(wù)器，給政府形象造成不可估量的損失。Cookies/Seesion劫持Cookies/Seesion通常用戶用戶身份認(rèn)證，別且可能攜帶用戶敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高訪問權(quán)限，或者偽裝他人的身份登錄。網(wǎng)絡(luò)安全防護(hù)策略“長(zhǎng)鞭效應(yīng)（bullwhipeffect）”網(wǎng)絡(luò)安全的防護(hù)同管理學(xué)的“長(zhǎng)鞭效應(yīng)（bullwhipeffect）”具有相似的特性，就是要注重防患于未然。因此，針對(duì)我們單位的特點(diǎn)，更要注重主動(dòng)防護(hù)，在安全事件發(fā)生之前進(jìn)行防范，減少網(wǎng)絡(luò)安全事件發(fā)生的機(jī)會(huì)，達(dá)到：“少發(fā)生、不發(fā)生”的目標(biāo)。網(wǎng)絡(luò)安全的“防、切、控(DCC)”原則基于“長(zhǎng)鞭效應(yīng)”，我們的網(wǎng)絡(luò)安全防護(hù)要從源頭做起，采用“防、切、控（DCC）”的原則：防：主動(dòng)防護(hù)，防護(hù)我們的服務(wù)器受到攻擊者的主動(dòng)攻擊外部敵對(duì)、利益驅(qū)動(dòng)的攻擊者，會(huì)對(duì)我們的網(wǎng)站、mail服務(wù)器進(jìn)行各種主動(dòng)攻擊。而這些主動(dòng)攻擊往往帶有非常強(qiáng)的目的性和針對(duì)性，因此我們當(dāng)前如何防范惡意攻擊者的主動(dòng)攻擊成為首要解決的問題，主要有：防止Web服務(wù)器受到來自外部的攻擊、非法控制、篡改；防止主、備mail服務(wù)器受到攻擊、非法控制。切：切斷來自外部危險(xiǎn)網(wǎng)站的木馬、病毒傳播：在網(wǎng)絡(luò)中部分的Web服務(wù)器已經(jīng)被黑客控制的情況下，Web應(yīng)用防護(hù)系統(tǒng)可以有效的防止已經(jīng)植入Web服務(wù)器的木馬的運(yùn)行，防止服務(wù)器被黑客繼續(xù)滲透。因此，如何切斷被黑客攻擊以至于被控制的網(wǎng)站的木馬傳播成為當(dāng)前的第二個(gè)主要解決問題?？兀嚎刂茻o意識(shí)的信息泄露：對(duì)于第三個(gè)要解決的問題是防止內(nèi)部人員無意識(shí)的內(nèi)部信息泄露，要保證接入網(wǎng)絡(luò)的機(jī)器、設(shè)備是具有一定的安全防護(hù)標(biāo)準(zhǔn)，防止不符合要求的機(jī)器和設(shè)備接入網(wǎng)絡(luò)，嚴(yán)格控制潛在的安全風(fēng)險(xiǎn)。解決方案2.1Web應(yīng)用防護(hù)系統(tǒng)解決方案Web應(yīng)用安全防護(hù)系統(tǒng)可以為學(xué)校Web服務(wù)器提供全方位的服務(wù)，主要保護(hù)功能包括以下幾方面：2.1.1黑客攻擊防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)黑客攻擊防護(hù)功能，主要阻止常見的Web攻擊行為，包括以下方面：黑客已留后門發(fā)現(xiàn)，黑客控制行為阻止SQL注入攻擊（包括URL、POST、Cookie等方式的注入）XSS攻擊Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)?、遠(yuǎn)程數(shù)據(jù)寫入等）命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）緩沖區(qū)溢出攻擊惡意代碼解決辦法：通過在Web服務(wù)器的前端部署Web應(yīng)用防護(hù)系統(tǒng)，可以有效過濾Web攻擊。同時(shí)，正常的訪問流量可以順利通過。Web應(yīng)用防護(hù)系統(tǒng)，通過內(nèi)置可升級(jí)、擴(kuò)展的策略，可以有效的防止、控制Web攻擊發(fā)生。方案價(jià)值：通過部署Web應(yīng)用防護(hù)系統(tǒng)可以有效的防止黑客對(duì)于網(wǎng)站應(yīng)用層的攻擊，保障Web服務(wù)器的安全，降低資料被竊取、網(wǎng)站被篡改事件的發(fā)生。2.1.2違反策略防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的內(nèi)容識(shí)別與控制主要包括以下幾個(gè)方面：非法HTTP協(xié)議URL-ACL匹配盜鏈行為2.1.2BOT防護(hù) Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的應(yīng)用訪問控制主要包括以下幾個(gè)方面：爬蟲蜘蛛行為Web漏洞掃描器行為2.1.3應(yīng)用層洪水CC攻擊及DDOS防御Web應(yīng)用防護(hù)系統(tǒng)的互聯(lián)網(wǎng)應(yīng)用流量控制主要包括以下幾個(gè)方面：UDPFloodICMPFloodSYNFloodACKFloodRSTFloodCC攻擊DDOS攻擊方案價(jià)值：Web應(yīng)用防護(hù)系統(tǒng)全方位的封堵，節(jié)省帶寬資源利用率，保證組織的業(yè)務(wù)相關(guān)應(yīng)用得到極以流暢的進(jìn)行。2.1.4網(wǎng)頁(yè)防篡改本設(shè)備的網(wǎng)頁(yè)防篡改功能，對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對(duì)網(wǎng)頁(yè)進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí)，立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志。

支持的操作系統(tǒng):Windows、Linux(CentOS、Debian、Ubuntu)、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系統(tǒng)。、2.1.5自定義規(guī)則及白名單自定義規(guī)則設(shè)備不僅具有完善的內(nèi)置規(guī)則，并且還支持用戶根據(jù)自身需要自行定義規(guī)劃，支持自符串快速查找與PCRE正則查找。白名單根據(jù)需要設(shè)定某些網(wǎng)站、URL針對(duì)防護(hù)設(shè)備直接放行。2.1.6關(guān)鍵字過濾本設(shè)備支持針對(duì)網(wǎng)頁(yè)訪問進(jìn)行單向或雙方關(guān)鍵字進(jìn)行檢測(cè)與過濾。2.1.7日志功能Web應(yīng)用防護(hù)系統(tǒng)不但提供強(qiáng)大的防護(hù)功能，且提供了十分詳細(xì)的日志和報(bào)表功能，能夠讓管理人員更加全面、快捷地了解整個(gè)設(shè)備運(yùn)行及防護(hù)情況。入侵報(bào)警日志系統(tǒng)提供詳細(xì)的安全防護(hù)日志：包括攻擊時(shí)間、方式、來源IP、目的URL、物理地址、頁(yè)面訪問統(tǒng)計(jì)等。日志查詢?cè)O(shè)備提供基于時(shí)間、IP、端口、協(xié)議、動(dòng)作、規(guī)則集、危害等級(jí)等多種查詢方式。支持日志的導(dǎo)出及按時(shí)間進(jìn)行日志自動(dòng)的清理。審計(jì)日志對(duì)設(shè)備每次操作進(jìn)行詳細(xì)的記錄系統(tǒng)日志可以記錄設(shè)備的運(yùn)行狀況2.1.8統(tǒng)計(jì)功能網(wǎng)絡(luò)入侵統(tǒng)計(jì)該設(shè)備頁(yè)面以柱狀圖的形式顯示指定月份所發(fā)生的所有入侵情況，以便快速掌握不同時(shí)期遭受網(wǎng)絡(luò)攻擊狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢(shì)。網(wǎng)絡(luò)流量統(tǒng)計(jì)統(tǒng)計(jì)該頁(yè)面統(tǒng)計(jì)各接口的流量情況，可以按天或月以折線圖的形式顯示出來。了解本設(shè)備在該段時(shí)間內(nèi)的網(wǎng)絡(luò)流量情況。瀏覽頁(yè)面統(tǒng)計(jì)該頁(yè)面可以詳細(xì)清楚地統(tǒng)計(jì)并顯示每個(gè)web頁(yè)面的訪問次數(shù)，最后訪問時(shí)間、瀏覽器情況，并可以分時(shí)間斷來進(jìn)行分析頁(yè)面訪問情況。2.1.9報(bào)表設(shè)備提供詳細(xì)的基于圖文的安全報(bào)表（按攻擊類別、流量、主機(jī)、來源IP、目的URL攻擊方式、地位位置、webshell分析、頁(yè)面訪問次數(shù)等）并可以按事件攻擊類型、周期、統(tǒng)計(jì)目標(biāo)進(jìn)行統(tǒng)計(jì)。支持Html、Word、Pdf格式的輸出。定時(shí)去發(fā)送攻擊報(bào)表等功能。2.1.10智能阻斷該設(shè)備可以智能識(shí)別外來的攻擊行為，根據(jù)自定義單位時(shí)間內(nèi)觸發(fā)安全規(guī)則次數(shù)的方式，自動(dòng)阻斷攻擊源。阻斷的時(shí)間及次數(shù)均可自行定義。2.2設(shè)備選型及介紹根據(jù)對(duì)學(xué)校WEB應(yīng)用安全防護(hù)需求的分析，采用WAF產(chǎn)品系列的Web防火墻管理設(shè)備，以下是要求的設(shè)備基本性能參數(shù)：項(xiàng)目技術(shù)要求體系結(jié)構(gòu)1U，采用多核硬件架構(gòu)配置≥8個(gè)電口，配置2對(duì)電口Bypass性能單向HTTP吞吐量≥1000Mbps最大并發(fā)會(huì)話數(shù)≥100萬（內(nèi)置規(guī)則全開，防護(hù)狀態(tài)）HTTP請(qǐng)求速率≥1,0000（內(nèi)置規(guī)則全開，防護(hù)狀態(tài)）網(wǎng)絡(luò)延遲≤0.05毫秒（內(nèi)置規(guī)則全開，防護(hù)狀態(tài)）防護(hù)網(wǎng)站不限IP攔截方式至少包含4種方式：攔截、檢測(cè)、放行、攔截并阻斷；阻斷方式下，可設(shè)置阻斷時(shí)間，可手工解除阻斷入侵者記錄能夠記錄入侵攻擊詳細(xì)數(shù)據(jù)，至少包含：序號(hào)、攻擊時(shí)間、攔截原因、規(guī)則集名稱、危害等級(jí)、源IP地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、HTTP請(qǐng)求、URL等防御功能雙向檢測(cè)功能，能夠?qū)α魅肓鞒鰯?shù)據(jù)進(jìn)行檢測(cè)；具有默認(rèn)的防護(hù)端口，并可指定防護(hù)端口；系統(tǒng)內(nèi)置防護(hù)規(guī)則、并支持用戶自定義防護(hù)規(guī)則；白名單功能:能夠?qū)μ囟ǖ腎P、域名、域名+URL設(shè)置白名單；HTTP請(qǐng)求類型允許與禁止：可對(duì)常用的HTTP請(qǐng)求設(shè)置允許或禁止通過Web攻擊防護(hù)SQL注入攻擊（包括URL、POST、Cookie等方式的注入）：攻擊者通過輸入數(shù)據(jù)庫(kù)查詢代碼竊取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)、XSS攻擊、遠(yuǎn)程、本地文件包含攻擊CSRF跨站請(qǐng)求、Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)唷⑦h(yuǎn)程數(shù)據(jù)寫入等）、惡意掃描：攻擊者利用pangolin、Wvs等專業(yè)掃描攻擊工具對(duì)服務(wù)器進(jìn)行掃描和攻擊、命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令）、緩沖區(qū)溢出攻擊、關(guān)鍵文件下載、搜索引擎爬蟲（spider）、惡意代碼、信息偽裝、“零日”攻擊、本馬上傳：攻擊者利用黑客工具上傳Webshell以達(dá)到控制服務(wù)器的目的、WebShell檢測(cè)與攔截等負(fù)載均衡支持應(yīng)用層負(fù)載均衡功能，并支持動(dòng)態(tài)網(wǎng)站、流量分配防CC攻擊（選配）支持對(duì)CC攻擊的防護(hù)功能防DOS攻擊（選配）支持對(duì)DOS攻擊防護(hù)功能網(wǎng)頁(yè)防篡改（選配）支持對(duì)網(wǎng)頁(yè)的篡改并進(jìn)行自動(dòng)恢復(fù)，支持主流的Windows、Linux、Unix、Solaris、AIX等操作系統(tǒng)漏洞掃描（選配）針對(duì)web服務(wù)器的SQL、XSS等漏洞進(jìn)行掃描，并生成報(bào)告。數(shù)據(jù)庫(kù)防篡改（選配）數(shù)據(jù)庫(kù)防篡改：支持MSSQL、SQLSERVER等數(shù)據(jù)庫(kù)防篡改。高級(jí)訪問控制支持對(duì)內(nèi)、外IP地址的精確控制，設(shè)置不同的防御方式（阻斷、過濾、檢測(cè)、放行）可靠性電口、光口硬件BYPASS、軟件BYPASS、可擴(kuò)展支持端口匯聚、多機(jī)熱備；平均無故障時(shí)間≥100000h；支持日志自動(dòng)清理功能：可在達(dá)到日志上限時(shí)通知管理員進(jìn)行日志清理，如手動(dòng)清理未實(shí)施，系統(tǒng)實(shí)行自動(dòng)清理；部署方式支持即插即用，部署方式具有透明方式、反向代理方式、透明/反向代理混合方式、路由方式、虛擬化部署等報(bào)表功能提供詳細(xì)的基于圖文的安全報(bào)表（入侵統(tǒng)計(jì)、按入侵類別統(tǒng)計(jì)、被攻擊主機(jī)、攻擊來源IP和地理位置、頁(yè)面訪問次數(shù)、網(wǎng)絡(luò)接口流量趨勢(shì)等）并可以按事件攻擊類型、周期、統(tǒng)計(jì)目標(biāo)進(jìn)行統(tǒng)計(jì)管理特性支持通過HTTPS初始化、設(shè)置、管理設(shè)備實(shí)時(shí)流量查看、入侵告警查看流量統(tǒng)計(jì)、入侵統(tǒng)計(jì)自定義規(guī)則查看管理支持入侵記錄、系統(tǒng)日志、審計(jì)日志導(dǎo)出功能、系統(tǒng)配置安全導(dǎo)入、導(dǎo)出功能支持內(nèi)置規(guī)則升級(jí)、固件升級(jí)允許用戶自由定制規(guī)則，提供友好的定制模板報(bào)表系統(tǒng)、系統(tǒng)日志、審計(jì)日志產(chǎn)品資質(zhì)獲得國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心頒發(fā)的符合國(guó)家保密標(biāo)準(zhǔn)BMB13－2004《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技術(shù)要求》的千兆《涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書》獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的符合CNCA/CTS0050-2007《信息技術(shù)信息安全網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范》增強(qiáng)級(jí)認(rèn)證《中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書》公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》國(guó)家漏洞中心提交漏洞證明文件2.3設(shè)備部署根據(jù)學(xué)校WEB應(yīng)用安全防護(hù)Web服務(wù)器部署情況，我們建議通過透明網(wǎng)橋的部署模式來達(dá)到對(duì)Web服務(wù)器保護(hù)的目的。集中/集群式Web服務(wù)器部署集群式/集中式Web服務(wù)：集群式Web服務(wù)采用多臺(tái)Web服務(wù)器負(fù)荷分擔(dān)提供同一Web服務(wù)；集中式Web服務(wù)主要體現(xiàn)在不同的Web服務(wù)器放置在同一網(wǎng)段或者相鄰的網(wǎng)段內(nèi)，但不同的Web服務(wù)器可能提供多樣的Web服務(wù)。這種情況多數(shù)應(yīng)用于中大型企業(yè)的Web服務(wù)器模式，或者是IDC。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，可直接將“Web應(yīng)用防火墻”串接在Web服務(wù)器群所在子網(wǎng)交換機(jī)前端，如下圖顯示：部署方式：WAF的WAN口與廣域網(wǎng)的接入線路相連，一般是光纖、ADSL線路或者是路由器，WAF的LAN口（DMZ口）同局域網(wǎng)的交換機(jī)相連，所有對(duì)WEB服務(wù)器的訪問請(qǐng)求都必須通過WAF設(shè)備。半分散式WEB服務(wù)部署模式半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在不同的子網(wǎng)中；比如：公司有整體的Web服務(wù)集群，同時(shí)，各個(gè)部門還有各自的Web服務(wù)器，而這些服務(wù)器分布在不同的子網(wǎng)中，如果想對(duì)這些Web服務(wù)器進(jìn)行保護(hù)，需要將“Web應(yīng)用防火墻”部署在這些Web服務(wù)器所在網(wǎng)絡(luò)的邊緣，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口（DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處于內(nèi)網(wǎng)不同網(wǎng)段的多個(gè)Web服務(wù)器。全分散式Web服務(wù)部署模式半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的Web應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在幾乎全部的子網(wǎng)中；比較常見的案例：IDC機(jī)房，這時(shí)，需要將“Web應(yīng)用防火墻”部署在局域網(wǎng)邊緣，一般部署在主交換機(jī)同主路由器之間，如下圖顯示：部署方式：WAF的WAN口同廣域網(wǎng)接入線路相連，LAN口（DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處于內(nèi)網(wǎng)的所有Web服務(wù)器及DB服務(wù)器。三、方案優(yōu)點(diǎn)及給客戶帶來的價(jià)值通過Web應(yīng)用防護(hù)系統(tǒng)在學(xué)校WEB應(yīng)用安全防護(hù)的具體實(shí)施給客戶帶來以下價(jià)值：3.1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備，工作在OSI1-4層，基于IP報(bào)文進(jìn)行狀態(tài)檢測(cè)、地址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問控制等，對(duì)報(bào)文中的具體內(nèi)容不具備檢測(cè)能力。因此，對(duì)Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護(hù)，對(duì)各類WEB應(yīng)用攻擊缺乏防御能力。Web應(yīng)用防護(hù)系統(tǒng)主要致力于提供應(yīng)用層保護(hù)，通過對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測(cè)分析，識(shí)別及阻斷各類傳統(tǒng)防火墻無法識(shí)別的WEB應(yīng)用攻擊。只要有網(wǎng)絡(luò)的地方就會(huì)有防火墻，但傳統(tǒng)的防火墻只是針對(duì)一些底層(網(wǎng)絡(luò)層、傳輸層)的信息進(jìn)行阻斷，而WAF則深入到應(yīng)用層，對(duì)所有應(yīng)用信息進(jìn)行過濾，這是二者的本質(zhì)區(qū)別。WAF的運(yùn)行基礎(chǔ)是應(yīng)用層訪問控制列表。整個(gè)應(yīng)用層的訪問控制列表所面對(duì)的對(duì)象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個(gè)網(wǎng)站互動(dòng)過程中所提交的一些內(nèi)容，包括HTTP協(xié)議報(bào)文內(nèi)容，由于WAF對(duì)HTTP協(xié)議完全認(rèn)知，通過內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會(huì)做完全、深層次的掃描。3.2合規(guī)性建設(shè)學(xué)校WEB應(yīng)用安全防護(hù)網(wǎng)站由于其社會(huì)地位和政治地位的特殊性，在公安部《計(jì)算機(jī)信息安全等級(jí)保護(hù)基本要求》中明確要求必須對(duì)所有外部網(wǎng)絡(luò)訪問行為進(jìn)行入侵防范，訪問行為有相應(yīng)的日志審計(jì)行為。Web應(yīng)用防護(hù)系統(tǒng)不僅能完全防范非法用戶的入侵行為，更能提供完整的統(tǒng)計(jì)表報(bào)。3.3減少因不安全造成的損失Web應(yīng)用防護(hù)系統(tǒng)可以防止黑