WEB应用安全防护系统建设方案

目录

一、需求概述 (4)

1.1背景介绍 (4)

1.2需求分析 (4)

1.3网络安全防护策略 (7)

1.3.1“长鞭效应（bullwhip effect）” (7)

1.3.2网络安全的“防、切、控(DCC)”原则 (8)

二、解决方案 (9)

2.1 Web应用防护系统解决方案 (9)

2.1.1黑客攻击防护 (9)

2.1.2 BOT防护 (10)

2.1.3 应用层洪水CC攻击及DDOS防御 (11)

2.1.4网页防篡改 (12)

2.1.5自定义规则及白名单 (13)

2.1.6关键字过滤 (13)

2.1.7日志功能 (14)

2.1.8统计功能 (16)

2.1.9报表 (18)

2.1.10智能阻断 (19)

2.2设备选型及介绍 (19)

2.3设备部署 (22)

三、方案优点及给客户带来的价值 (24)

3.1解决了传统防火墙、IPS不能解决的应用层攻击问题 (24)

3.2 合规性建设 (25)

3.3 减少因不安全造成的损失 (25)

3.4便于维护 (25)

3.5使用状况 (25)

3.5.1系统状态 (26)

3.5.2入侵记录示例 (26)

3.5.3网站统计示例 (26)

四、Web应用防护系统主要技术优势 (27)

4.1 千兆高并发与请求速率处理技术 (27)

4.2 攻击碎片重组技术 (28)

4.3多种编码还原与抗混淆技术 (28)

4.4 SQL语句识别技术 (28)

4.5 多种部署方式 (28)

4.6 软硬件BYPASS功能 (28)

五、展望 (28)

学校WEB应用安全防护

Web应用防护安全解决方案

一、需求概述

1.1背景介绍

随着学校对信息化的不断建设，已经具有完备的校园网络，学校部署了大量信息系统和网站，包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站，各业务应用系统都通过互联网平台得到整体应用，校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放，特别是学校的门户网站，由于招生与社会影响，要求在系统Web保护方面十分重要。

1.2需求分析

很多人认为，在网络中不断部署防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于 TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS 和IPS同样不能有效的防护。

总体说来，容易导致学校Web服务器被攻击的主要攻击手段有以下几种：

缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令

SQL注入——构造SQL代码让服务器执行，获取敏感数据

跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息

拒绝服务攻击——构造大量的非法请求，使Web服务器不能相应正常用户的访问认证逃避——攻击者利用不安全的证书和身份管理

非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据

强制访问——访问未授权的网页

隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序

Cookie假冒——精心修改cookie数据进行用户假冒

学校WEB应用安全防护具体需求分析

学校对WEB应用安全防护非常重视，在内网部署有高端防火墙，同时内网部署有众多应用服务器，网络示意图如下：

通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，作为整体安全中不可缺少的重要模块，局限于自身产品定位和防护深度，不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法，就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为，对其进行有效的检测、防护。

通过对学校内部网络目前在WEB应用存在的问题，我们看到学校在Web服务器安全防护时需要解决以下几个问题：

跨站脚本攻击

跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户，常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。

SQL注入攻击

由于代码编写不可能做到完美，因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据，造成用户资料的丢失、泄露和服务器权限的丢失。

缓冲区溢出攻击

由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，获得系统管理员权限。

CC攻击

CC攻击目前是最新出现针对Web系统的特殊攻击方式，通过构造特殊的攻击报文，以到达消耗应用平台的服务器计算资源为目的（其中以消耗CPU资源最为常见），最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给学校形象造成不可估量的损失。

拒绝服务攻击

通过DOS攻击请求，以到达消耗应用平台的网络资源为目的，最终造成应用平台的拒绝服务，正常用户无法访问Web服务器，给政府形象造成不可估量的损失。

Cookies/Seesion劫持

Cookies/Seesion通常用户用户身份认证，别且可能携带用户敏感的登录信息。攻击者可能被修改Cookies/Seesion提高访问权限，或者伪装他人的身份登录。

1.3网络安全防护策略

1.3.1“长鞭效应（bullwhip effect）”

网络安全的防护同管理学的“长鞭效应（bullwhip effect）”具有相似的特性，就是要注重防患于未然。因此，针对我们单位的特点，更要注重主动防护，在安全事件发生之前进行防范，减少网络安全事件发生的机会，达到：“少发生、不发生”的目标。