Web安全解决方案.docx

《Web安全解决方案.docx》由会员分享，可在线阅读，更多相关《Web安全解决方案.docx（26页珍藏版）》请在第一文库网上搜索。

1、%b安全薜决方案目录Web安全1解决方案1第一章需求概述41.1 项目背景41.2 网络安全建设现状分析41.3 Web业务面临的安全风险4第二章Web安全解决方案设计72.1 方案概述72.2 方案价值8第三章XXX下一代防火墙NGAF解决方案83.1 XXXNGAF产品设计理念83.2 XXXNGAF解决方案103.2.1 四种部署模式支持103.2.2 多种拦截方式支持123.2.3 安全风险评估与策略联动123.2.4 典型的Web攻击防护123.2.5 网关型网页防篡改183.2.6 可定义的敏感信息防泄漏203.2.7 基于应用的深度入侵防御213.2.8 高效精确的病毒检测能力2

2、33.2.9 智能的DOS攻击防护243.2.10 智能的防护模块联动253.2.11 完整的防火墙功能253.2.12 其他安全功能253.2.13 产品容错能力29第一章需求概述1.1 项目背景（请根据客户实际情况自行添加）1.2 网络安全建设现状分析（请根据客户实际情况自行添加）XX拟建立Web业务对外发布系统，该对外发布系统由多台服务器组成，承载的有OA应用、集团内部门户网站、集团内门户网站群等多个WEB应用。目前，XXweb应用边界使用传统防火墙进行数据包过滤进行安全防护，现运行许多WEB应用系统。Web业务对外发布数据中心是XX1T建设数据大集中的产物，作为Web业务集中化部署、发

3、布、存储的区域，该对外发布数据中心承载着XXWeb业务的核心数据以及机密信息。对于恶意攻击者而言，Web业务对外发布数据中心是最具吸引力的目标。而之前，的安全建设以各区域安全隔离为主，隔离来自internetintranetextrane等区域的安全风险，实现网络级的访问控制。而安全隐患迁移到了应用层，UAP云平台资源池数据中心面临的应用层安全威胁是基于13-14层的传统防火墙完全无法理解的。1、利用业务开发时期没有对代码的安全进行评估，使得系统可轻易通过Web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题2、利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等

4、应用层攻击，获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题3、来自其他安全域的病毒、木马、蠕虫的交叉感染，使得数据中心成为“养马场”4、由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题5、利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题1.3 Web业务面临的安全风险Web业务已经成为当前的主要的业务，大量的在线应用业务都依托于Web服务进行。由于大量的Web业务不断更新，大量Web应用快速上线，而由于Web业务资金、进度、意识方面的影响，这些Web应用系统没有进行充分的安全评估而导致大量的可利用漏洞。根据Gartner的调查，

5、信息安全攻击有75%都是发生在Web应用层，2/3的Web站点都相当脆弱，易受攻击。而针对Web的攻击往往隐藏在大量的正常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。近年来，Web安全事件不断攀升，电子商务、金融成为了主要目标，国家互联网应急中心(CNCERT/CC)2011年我国互联网网络安全态势综述显示“网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发

6、网站用户信息和数据的安全问题。2011年底，CSDN,天涯等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益和互联网安全JWeb业务对外发布数据中心包含Web服务器、存储服务器、数据库服务器、内网系统等多种业务系统，向internet、intranet等多个区域提供服务，Web数据中心要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过v1an.AC1访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造

7、成众多泄露事件的原因之一。Web业务对外发布数据中心急需解决应用层安全防护的问题。部分多功能防火墙或者是UTM虽然具备了部分应用层安全防护的能力，但由于其实现方式、缺乏应用层协议的理解能力。在应用层攻击防护上存在严重不足，比如针对数据中心的十大web攻击：SQ1注入、XSSsCSRF等攻击是包含在http正常请求中的Web攻击，可以通过80端M渗透传统防火墙与多功能网关，造成正对数据中心数据库服务器、Web服务器、存储服务器的攻击，可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是业务中断。SQ1注入等web攻击逃逸攻击，由于传统的多功能网关或者IPS实现应用层攻击仅仅通过D

8、P1数据包的深度检测进行攻击特征分析，攻击行为一旦采用了逃逸手段，传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测，一旦攻击被利用重新编码、分片、乱序等逃逸处理方式，传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析，理解协议本身，还原其真实的攻击行为才能够进行有效的阻断。其他攻击还包括：信息泄露攻击、目录遍历、系统命令注入、WebShe11等多种传统基于DP1技术的多功能网关无法防御的攻击，如:信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露Web服务器的一些敏感信息，如用

9、户名、密码、源代码、服务器信息、配置信息等。目录遍历漏洞攻击就是通过浏览器向web服务器任意目录附加或者是附加的一些变形，编码，访问Web服务器根目录或者之外的目录。系统命令注入是攻击者提交的特殊字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。总的来说，由于该类攻击可导致Web业务面临的主要安全威胁如下：1、网页篡改问题网页篡改是指攻击者利用Web应用程序漏洞将正常的Web网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响，但对于UAP平台重要的Web业务，需要与用户

10、通过Web业务进行沟通的应用而言，就意味着UAP平台Web业务将被迫停止服务，对中国移动湛江分公司的经济利益、企业形象及信誉会造成严重的损害。2、网页挂马问题网页挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者，成为攻击者的帮凶或者造成自身的经济损失。这种问题出现在Web业务中也严重影响中国移动湛江分公司UAP数据中心的正常运作并影响到公司的公信度。3、敏感信息泄漏问题这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、账户信息

11、、信用卡信息、联系方式等敏感信息被攻击者获取。这对于承载多种Web业务的UAP数据中心平台而言是致命的打击，可产生巨大的经济损失。4、无法响应正常服务的问题黑客通过DOS/DDOS拒绝服务攻击使UAP平台无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致Web业务无法响应正常的服务请求。对于中国移动湛江分公司UAP平台Web业务而言是巨大的威胁。第二章Web安全解决方案设计2.1方案概述XXX为XX提供针对Web业务对外发布数据中心完整的安全解决方案。通过在核心交换前双机部署两台XXX下一代应用防火墙NGAF,可实现业务服务器的业务逻辑隔离，核心业

12、务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。NGAF应用防火墙的部署可以从从攻击源头上防护导致Web业务各类网络/应用层安全威胁；同时XXX下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。1、XXX应用防火墙AF-8020双机部署于核心交换前可实现整体安全防护；2、NGAF通过访问控制策略AC1可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题；3、NGAF通过服务器防护功能

13、模块的开启，可实现对各个区域（尤其是DMZ区）的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题：4、NGAF通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能开启IPS、WAF模块的对应策略，可帮助管理员的实现针对性的策略配置；5、利用NGAF入侵防御模块可实现对各类服务器操作系统漏洞（:winserver20031inuuni等）、应用程序漏洞（IIS服务器、Apache服务器、中间件web1ogic数据库orac1e、MSSQ1.MySQ1等）

14、的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题；6、NGAF防病毒网关的模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染；7、NGAFDDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题。（拓扑图）2.2方案价值XXXWeb安全解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足：事前，快

15、速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略；事中，有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的Web攻击、漏洞攻击、系统扫描等攻击；事后，对服务器外发内容进行安全检测，防止攻击绕过安全防护体系，对Web业务产生的网站篡改、数据泄漏问题。同时该方案从简化组网、方便运维、最优投资的用户角度出发，可为Web业务对外发布数据中心打造12-17层的安全防护体系构架，实现完整的安全防护，同时在可用性、可靠性上采用了XXX特有的先进技术保证Web业务的正常稳定运行,打造一个“安全”、“可靠”、“高效”的Web业务对外发布数据中心。第三章XXX下一代防火墙NGAF解决方案3.1 XXXNGAF产品设计理念XXXNGAF提供对Web业务系统的三维立体防护解决方案，深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象个维度出发，提供全面的安全防护手段，保护web业务系统不受来自各方的侵害。攻击过程扫描过程攻击过程破坏过程基于事件周期的设计攻击的防护不可能实现百分百的安全。Web系统的安全建设必须贯穿到整个Web安全事件周期中，设立事前、事中、事后三道安全防线分阶段进行防护。NGAF提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防护。 事前策略自检：在