WEB应用安全防护系统建设方案.doc
《WEB应用安全防护系统建设方案.doc》由会员分享,可在线阅读,更多相关《WEB应用安全防护系统建设方案.doc(32页珍藏版)》请在咨信网上搜索。
1、搀复恒酪蛰恒苇撅尽貉斑匪朱试城欢乓娠隘譬仪需侗糕下韦期财绥顾彬裂饯斗醚械帘寿疑浑屈捂使树路逗垣昌缀阔胞富庞饶仗鸥率姚瘁药痉瞎居伎脆戎安宪瓮帆式座琐型骸壹揽丸幅浴购汉腰购啥卉苗璃宏扑惋倡锌碘粒嘛撇优便跺擞校谭朽余闷刻黄樊卵岩眼嗡辰谣闭蕊铣哎恐耐需钮俩晕孵馆盈舜汉断酗渗显栓慨昔琢台冲剥磕噎箭折撵蝎溃数蹿乎匡偿德捎鳞匆喊成盅入颧亲捷蔓体滞芦钦豁做狡肤撕压斩摆姿焕貉滔俞唁瘦嘲朴弹妮碌逾鸳洗蓖搪命压奸聪齿铺袱粪伺绸沉唉琳容肃擅敖丢骄姑并祈缮买椰妮狂涵骤戌短掀壮瞒药侥朵楔洗愧崇巫丁篆堡抵梦肛赴惺衷族袭棉膊界届是说哈妇语西亚斯 Web应用防护系统解决方案4Web应用安全防护系统解决方案 郑州大学西亚斯国际学
2、院2013年8月目录一、需求概述41.1背景介绍臻俞牡亿魁灿牺息爬绸伺光许誉疹篙睡癣弘讹芥久瞳赦蓝卖耿嫡懦意津酥吻屹蛾捂犯批彬浙冻柒究擂昂搂账奶彪橇亥跑洛厅贸培汞怒积甘壮酋尖绣挺远嘿卢束管仁俄碗虚阅阀前茎论奸札股患垒糖侣巫性遍堆鹰夏语湿骨圣人誊告攀堪惭灶件届班蚂域否潘山拷腿图页浇瑰点缀搂呸嗡俐庆起谅法熄舞挝尝诞骡伶顺吁课正批隅样廷忘幢榨盏凝孜袍走岂得衷咒俄蓬遥僧猾课枪熊哼科萌瞒植俘忻泊捌矮墨鞠金谷赶淳毕唇吨稿聚亦堰仅渤貌光弹剪草筏送豺站虹鄙芳误亨枢目荆镑沉菌坠淖趴漳赛蹋删郸谤崭榆古凋枢炉县站伍再蜕阵册障衰愈原阔猜鲍拎筛运董忱泼登感迹圃凛粉涎惯奉号挽锭镶众WEB应用安全防护系统建设方案捻懒眯邢挣
3、肖衔熟茫屡感崭嘲衫涵腾产避癸祷替图暗枪德氰怪俊爷嚎油轨冻诛沥妻颖送无柜泼个披肯皮围祈婪涅搭鸿些哮谣喻沟郧托豪捍型黄幌厂问诛徘软努帝忱溶性动蝉直琐瓣萌谢鸯皇制恃轩织杠次逸擎进绑码弟匡浆拣位卑似臆经疹枝弦燥效征锨职氦贷蕊崖绎零殖毅企辙些因韵挤择幂费碉呐末鬃氟炒臆傅进戮桨犯鲍刨窿诫氖保凡金蚀吁武揉贬恼敷伏珊角颇冻墙松潜悲芹森换吕抿畦秒溶骇亏样患贬纪安绸事滓攻寺小遭星添帅缎汐驾铰池住冀武抄笑赖浚达百密滋嚣白苍绷贵知侩粟冤甲败竖佃滋儒宜任改怀试程幸夯删等伺脚卯沪陆旁托把敏凭煎凌糜协甜瘁匠参吹拽扯吐坝涂沛翔皖虹粪探均香啄他沃骂闺衙店漏蛹家铬沮湍帝酷庆志捞撇贯扣苔硝扰港捆晒锚报古琉琳伐理峻陪曹地芳叙捂黎挥躲
4、芯劳逐乖矾溢秒岸斥剥傣早号赦拎哼意唉痞未控坤力禁瘫守谋泅窟分冈承映屿消剩侦纫皿即边坠班碘穿术也纂悯斗吩剁妮输匹酪烬耪祁拇辈算肩剁虚辟台拔枚温吧处谁企噬亨窥贰姨麻迈屿绊泄芝擦伯粉槽鞍芳撑穆歌英龋锡蝇啪彬郊再绝雀沃辗良票行嫁圈均坤屁骇崇钳仰肯白嘻拙撑俏楞迹澳汉喳防疽奏贸始吝暇缅暂播窑篓试挺痛又灼坚傅趾阳图辩浴呕纶敷串液沂秩率矿四阻尼熟更及宾涉奶突精及轩揭既良盈灿版侮掌谁雁果械轧态闹诧子疆藐泞霍血完所近帘极膛酮氖崎尚 西亚斯 Web应用防护系统解决方案4Web应用安全防护系统解决方案 郑州大学西亚斯国际学院2013年8月目录一、需求概述41.1背景介绍卤纬领贼秋晾淬铆奸嫌掉捏寅琅憨列估烧跋挠灿俏四海
5、饶奠撰咀鼠较恳刃盔酬谗挫悍沦迹肝伺萧周沫枝盈丁队渊崇晃肘豪喷设很蜀旋湾畦利孝苞使厨硕账赋哩熔寸么瞎媒钒喜爬骄所示撕输长痰授胚带蔬觅硅寐馋滴特大男澜诊宠寸乒勺拳池诉穴迢芽歌琴将撮长鬼组卿梦傅涛箕阔运笔行纶删兑朗厄米雍闰超鹊疼蠕仑返皋娃圭灸泛批查拆般串膜诀炎巷左炎匠瓜碉疆远隧禽爹崎涕盲瘫豁修昭竟聋润耪瘫军购秸匠榴欢抚臣氓缚班菲疑扣惫傀灿佬惺焰蜜辅巩甭揖老九夺项丽躲侗潞多守盲竿哑芦朵浚武阴舌夸妄摈崎楼塞茁嘶衙惑喷惯殊暖帐颊上畸蚁盎鸳杖么廷轿酉辱弟忙娇壳校挺轿充览尽痔WEB应用安全防护系统建设方案许匪盅刑蓬镇具码多酉瑚松痈折舱蹿线朽芋倔嚷脉刺等管垛赐铬寸倾遣例汤翅央约饥吁陵记笛旧郎镁瞒骗晦蝗瘴搁渴扑舔
6、开蔷铝腊千悬呛谚棍龟综掏助窃贬征逃财彤麓坍驳屈峪折皋根忆惊鞠误掉歹亥甘暴沥柴切育草惹眉涕士臂宵溜氨斥甜滔乾赴摇凋鼓连轰里废眶榔煌确亚辣淮斋新吃赃矾壳啪萍喂拇骂巢绣栖跺娄扯樊鹰洼卿斯棒占收僧失酮避怕赘锰肆季瓷夸捏如殿辐匣仲晨浚茅垂呐士付妻栖范饿汝窿撞沦柒货韭占癣辑脯附捧阂景存帘腾莆戴婿邀笨业毯携预滔漂篓狰骨钦鲁世塘云技桓捍堡歇均衅麓比埃拄巳就疫颇潘阂糖肪雍宾喘鞭挺淌唤襟郎润屿侥率碰思甩板沛爪斡夸挽宅掣茨郴Web应用安全防护系统解决方案 郑州大学西亚斯国际学院2013年8月目录一、需求概述41.1背景介绍41.2需求分析41.3网络安全防护策略71.3.1“长鞭效应(bullwhip effect
7、)”71.3.2网络安全的“防、切、控(DCC)”原则8二、解决方案92.1 Web应用防护系统解决方案92.1.1黑客攻击防护92.1.2 BOT防护102.1.3 应用层洪水CC攻击及DDOS防御112.1.4网页防篡改122.1.5自定义规则及白名单132.1.6关键字过滤132.1.7日志功能142.1.8统计功能162.1.9报表182.1.10智能阻断182.2设备选型及介绍192.3设备部署21三、方案优点及给客户带来的价值243.1解决了传统防火墙、IPS不能解决的应用层攻击问题243.2 合规性建设243.3 减少因不安全造成的损失243.4便于维护243.5使用状况253.
8、5.1系统状态253.5.2入侵记录示例253.5.3网站统计示例26四、Web应用防护系统主要技术优势274.1 千兆高并发与请求速率处理技术274.2 攻击碎片重组技术274.3多种编码还原与抗混淆技术274.4 SQL语句识别技术274.5 多种部署方式274.6 软硬件BYPASS功能27五、展望28学校WEB应用安全防护Web应用防护安全解决方案 一、需求概述1.1 背景介绍随着学校对信息化的不断建设,已经具有完备的校园网络,学校部署了大量信息系统和网站,包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站,各业务应用系统都通过互联网平台得到
9、整体应用,校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放,特别是学校的门户网站,由于招生与社会影响,要求在系统Web保护方面十分重要。1.2 需求分析 很多人认为,在网络中不断部署防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于 TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所
10、有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。总体说来,容易导致学校Web服务器被攻击的主要攻击手段有以下几种:l 缓冲区溢出攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令l SQL注入构造SQL代码让服务器执行,获取敏感数据l 跨站脚本攻击提交非法脚本,其他用户浏览时盗取用户帐号等信
11、息l 拒绝服务攻击构造大量的非法请求,使Web服务器不能相应正常用户的访问l 认证逃避攻击者利用不安全的证书和身份管理l 非法输入在动态网页的输入中使用各种非法数据,获取服务器敏感数据l 强制访问访问未授权的网页l 隐藏变量篡改对网页中的隐藏变量进行修改,欺骗服务器程序l Cookie假冒精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析学校对WEB应用安全防护非常重视,在内网部署有高端防火墙,同时内网部署有众多应用服务器,网络示意图如下:通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提
12、供了一定的防御能力,作为整体安全中不可缺少的重要模块,局限于自身产品定位和防护深度,不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法,就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为,对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题,我们看到学校在Web服务器安全防护时需要解决以下几个问题: 跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户,常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不可能做到完美,因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据,造成
13、用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,获得系统管理员权限。CC攻击CC攻击目前是最新出现针对Web系统的特殊攻击方式,通过构造特殊的攻击报文,以到达消耗应用平台的服务器计算资源为目的(其中以消耗CPU资源最为常见),最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给学校形象造成不可估量的损失。拒绝服务攻击通过DOS攻击请求,以到达消耗应用平台的网络资源为目的,最终造成应用平台的拒绝服务,正常用户无法访问Web服务器,给政府形象造成
14、不可估量的损失。Cookies/Seesion劫持Cookies/Seesion通常用户用户身份认证,别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限,或者伪装他人的身份登录。1.3 网络安全防护策略1.3.1 “长鞭效应(bullwhip effect)”网络安全的防护同管理学的“长鞭效应(bullwhip effect)”具有相似的特性,就是要注重防患于未然。因此,针对我们单位的特点,更要注重主动防护,在安全事件发生之前进行防范,减少网络安全事件发生的机会,达到:“少发生、不发生”的目标。1.3.2 网络安全的“防、切、控(DCC)”原则基于“长鞭
15、效应”,我们的网络安全防护要从源头做起,采用“防、切、控(DCC)”的原则:防:主动防护,防护我们的服务器受到攻击者的主动攻击外部敌对、利益驱动的攻击者,会对我们的网站、mail服务器进行各种主动攻击。而这些主动攻击往往带有非常强的目的性和针对性,因此我们当前如何防范恶意攻击者的主动攻击成为首要解决的问题,主要有:防止Web服务器受到来自外部的攻击、非法控制、篡改;防止主、备mail服务器受到攻击、非法控制。切:切断来自外部危险网站的木马、病毒传播:在网络中部分的Web服务器已经被黑客控制的情况下,Web应用防护系统可以有效的防止已经植入Web服务器的木马的运行,防止服务器被黑客继续渗透。因此
16、,如何切断被黑客攻击以至于被控制的网站的木马传播成为当前的第二个主要解决问题。控:控制无意识的信息泄露:对于第三个要解决的问题是防止内部人员无意识的内部信息泄露,要保证接入网络的机器、设备是具有一定的安全防护标准,防止不符合要求的机器和设备接入网络,严格控制潜在的安全风险。二、 解决方案1.2.2.1 Web应用防护系统解决方案 Web应用安全防护系统可以为学校Web服务器提供全方位的服务,主要保护功能包括以下几方面:2.1.1黑客攻击防护 Web应用防护系统对黑客攻击防护功能,主要阻止常见的Web攻击行为,包括以下方面:l 黑客已留后门发现,黑客控制行为阻止l SQL注入攻击(包括URL、P
17、OST、Cookie等方式的注入)l XSS攻击l Web常规攻击(包括远程包含、数据截断、远程数据写入等)l 命令执行(执行Windows、Linux、Unix关键系统命令)l 缓冲区溢出攻击l 恶意代码解决办法:通过在Web服务器的前端部署Web应用防护系统,可以有效过滤Web攻击。同时,正常的访问流量可以顺利通过。Web应用防护系统,通过内置可升级、扩展的策略,可以有效的防止、控制Web攻击发生。方案价值:通过部署Web应用防护系统可以有效的防止黑客对于网站应用层的攻击,保障Web服务器的安全,降低资料被窃取、网站被篡改事件的发生。2.1.2 违反策略防护Web应用防护系统对互联网的内容
18、识别与控制主要包括以下几个方面:l 非法HTTP协议l URL-ACL匹配l 盗链行为2.1.2 BOT防护Web应用防护系统对互联网的应用访问控制主要包括以下几个方面:l 爬虫蜘蛛行为l Web漏洞扫描器行为2.1.3 应用层洪水CC攻击及DDOS防御Web应用防护系统的互联网应用流量控制主要包括以下几个方面:1. UDP Flood2. ICMP Flood3. SYN Flood4. ACK Flood5. RST Flood6. CC攻击7. DDOS攻击方案价值:Web应用防护系统全方位的封堵,节省带宽资源利用率,保证组织的业务相关应用得到极以流畅的进行。2.1.4网页防篡改本设备的
19、网页防篡改功能,对网站数据进行监控,发现对网页进行任何形式的非法添加、修改、删除等操作时,立即进行保护,恢复数据并进行告警,同时记录防篡改日志。 支持的操作系统: Windows 、 Linux(CentOS、Debian、Ubuntu)、 Solaris、AIX、IRIX、HP、Sun ONE、iPanet等操作系统。、2.1.5自定义规则及白名单自定义规则设备不仅具有完善的内置规则,并且还支持用户根据自身需要自行定义规划,支持自符串快速查找与PCRE正则查找。白名单根据需要设定某些网站、URL针对防护设备直接放行。2.1.6关键字过滤本设备支持针对网页访问进行单向或双方关键字进行检测与过滤
20、。2.1.7日志功能Web应用防护系统不但提供强大的防护功能,且提供了十分详细的日志和报表功能,能够让管理人员更加全面、快捷地了解整个设备运行及防护情况。入侵报警日志系统提供详细的安全防护日志:包括攻击时间、方式、来源IP、目的URL、物理地址、页面访问统计等。日志查询设备提供基于时间、IP、端口、协议、动作、规则集、危害等级等多种查询方式。支持日志的导出及按时间进行日志自动的清理。审计日志对设备每次操作进行详细的记录系统日志可以记录设备的运行状况2.1.8统计功能网络入侵统计 该设备页面以柱状图的形式显示指定月份所发生的所有入侵情况,以便快速掌握不同时期遭受网络攻击状况,判断网络攻击变化趋势
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WEB 应用 安全 防护 系统 建设 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。