精品解决方案电子政务网络安全解决方案

电子政务网络安全方案

一．WEB服务器的专门保护

我们应该针对重要的、最长受到攻击的应用系统实施特别的保

护。Web服务器是一个单位直接面对外界的大门，通常也是最

先在网络伤害行为中受到威胁的环节，同时主页是一个单位的

形象，特别是政府电子政务系统；由于它的社会、政治地位与

影响，对于系统的WEB保护十分重要。对于WEB的安全维护

管理，特别是主页的维护，修改主页是一种典型的网络伤害行

为，所以主页的保护，及时防御此行为的有效打击。同时，需

要对于Web访问、监控/阻塞/报警/、入侵探测、攻击探测、

恶意applets、恶意Email等在内的安全政策进行明确的规划。

二．电子政务应用系统安全风险分析

网内应用系统是日常工作重要的支撑平台，保证其正常运行意

义重大。应用系统存在终端随意登录到应用系统影响ERP系统

的稳定性，操作系统本身不能及时的更新补丁文件，系统服务

器病毒库不能及时更新的弊端。

目前电子政务的应用系统都是基于WEB的。

Web 应用的迅速发展也引起了黑客们的强烈关注，他们将注

意力从以往对传统网络服务器的攻击逐步转移到了对Web 业务的攻击上。黑客利用网站操作系统的漏洞和Web 程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

当前网络上75%的攻击是针对WEB应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到WEB安全问题的重要性，但传统安全设备（防火墙/IPS）解决WEB 应用安全问题存在局限性，而整改网站代码需要付出较高代价从而变得较难实现。

三．需求建议

在交换机上划分VLAN，对各个安全域进行逻辑隔离；

在各个安全域之间部署防火墙，所有的安全域都通过防火墙接入到网络中，各个安全域通过防火墙进行逻辑隔离，安全域之间不能直接访问，在防火墙上通过访问控制策略，对用户进行文件和数据操作权限限制，防范用户的非授权访问。

通过铱迅Web Application Firewall防止来自WEB的黑客攻击，保护重要数据和应用。

四．部署方式

“铱迅Web 应用防火墙”支持多种灵活的部署方式，如透明

网桥模式、单机模式、旁路反向代理模式。其中，“铱迅Web 应用防火墙”的透明网桥模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，“铱迅Web应用防火墙”相当于一根网线串入网络中，对Web攻击进行防御。

在本方案中，WAF的部署方式如下图：

五．防护功能

“铱迅Web应用防火墙”可以给您的Web服务器提供应用层的全方位的保护，功能包括：

1．黑客攻击防护

SQL注入攻击（包括URL、POST、Cookie等方式的注入）

XSS攻击

Web 常规攻击（包括远程包含、数据截断、远程数据写入等）

命令执行（执行Windows、Linux、Unix 关键系统命令）

缓冲区溢出攻击

恶意代码

2．违反策略防护

非法HTTP协议

URL-ACL匹配

盗链行为

3．BOT防护

爬虫（蜘蛛）行为

Web 漏洞扫描器行为4．应用层洪水攻击

SYN Flood

ACK Flood

六．高级功能

1．自定义规则

提供用户编写自己的规则

支持字符串快速查找与PCRE 正则查找

2．白名单

设定某些网站、URL等对于Web应用防火墙直接放行。

3．关键词过滤

双向、单项（可选）替换关键词为****

4．自动通知

在内置存储空间快接近最大容量时发送电子邮件提醒用户。

用户可以手工导出日志或者清空过去的部分日志。

注：若用户不予清理，防火墙将执行自动清理过去的部分日志。

5．防火墙拦截方式设置

阻断------拦截尝试入侵的数据报文，并将入侵者的IP封掉一段时