搜索
华城应用防火墙解决方案“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。——国际标准化组织(ISO)随着web应用的日益增多,如电子商务,交流论坛,公司网站等等都使用web作为应用的平台,如何保证web应用的安全性也成为当前日益重要、必须解决的问题。由于Web架构在成本与应用能力方面的优势,使得越来越多的企业和机构将应用迁移到基于Web的基础架构。Web服务器与Web应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。现在,Web服务器与应用除了可以创建动态页面和启动应用程序外,还可以同数据库进行通信以生成对用户有用的内容。大多数Web服务器平台都将应用程序与服务器捆绑在一起,这些都为攻击提供了机会。要构建安全的Web应用平台,Web设计人员必须在Web应用的每个层面精心设计安全性。运行Web应用的服务器也必须不断更新。但是,许多企业在设计Web应用时,Web设计人员并未全面考虑安全性。更糟的是,有的用户只为Web服务器中可从外部访问的那部分设计了安全性,而忽略了内部访问Web应用的安全性。中国网站安全需求分析网站现状分析目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,到取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。通过统计国外一个黑客站点每天公布出来的黑客链接,平均每天10多个中国政府网站被攻破。很多用户认为,在网络中不断部署防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。主要网站安全问题及其危害常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。常见的针对Web应用的攻击有:缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令Cookie假冒——精心修改cookie数据进行用户假冒认证逃避——攻击者利用不安全的证书和身份管理非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据强制访问——访问未授权的网页隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用户的访问跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息SQL注入——构造SQL代码让服务器执行,获取敏感数据下面列举简单的两个攻击手段进行说明。SQL注入:对于和后台数据库产生交互的网页,如果没有对用户输入数据的合法性进行全面的判断,就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码,使后台应用执行攻击着的SQL代码,攻击者根据程序返回的结果,获得某些他想得知的敏感数据,如管理员密码,保密商业资料等。跨站脚本攻击:由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML标记。如果不可信的内容被引入到动态页面中,则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交,他就可以在网上上提交可以完成攻击的脚本,如JavaScript、VBScript、ActiveX、HTML或Flash等内容,普通用户一旦点击了网页上这些攻击者提交的脚本,那么就会在用户客户机上执行,完成从截获帐户、更改用户设置、窃取和篡改cookie到虚假广告在内的种种攻击行为。随着攻击向应用层发展,传统网络安全设备不能有效的解决目前的安全威胁,网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。应用防火墙客户分析国内目前的单位因为人力和资金上的局限,需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。华城安全方案产品介绍华城应用防火墙是华城瑞安技术有限公司基于多年对网络安全各方面深刻的理解而开发出的一款集应用防御、反病毒、防火墙、VPN、入侵检测技术于一身的AllinOne防御系统。网络威胁是来自多方面的,传统单一的网关设备(如防火墙)所能解决的只是在边界进行数据包的过滤,而不能对所嵌入的恶意内容进行识别,这也是目前病毒,蠕虫,木马、SQL注入、cc攻击肆意泛滥的一个重要原因。华城应用防火墙采用了多种独特的安全概念模型,并通过多项专有技术保证安全理念的实现。通过一体化的新型芯片和支持内容处理的软件架构使得华城应用防火墙防御系统具备概念独创、技术先进、性能优异、健壮稳定等多项特性。该产品能够模块化地设计、部署网络安全解决方案,为用户提供一体化的全面解决方案。并且与客户现有网络基础设施结合起来,提供全面的网络保护:提供高效的投资保护,而不必丢弃现有网络设备模块化部署,可逐步实现深度分层防御与合作伙伴良好的互操作性24x7技术支持易于管理应用方案下面是针对昆山市某政府应用防火墙解决方案,通过华城应用防火墙实现网站的安全隔离。用户特点:目前有4台Web服务器对外提供服务,一段时间后在扩展一台。网络数据吞吐流量比较大。WebServer在DMZ区,并且需要和SQLServer得到数据。方案示意图:信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。外部安全近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。内部安全最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。内外网络之间的连接安全随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。网络安全需求1.中小企业的网络情况分析中小企业由于规模大小、行业差异、工作方式及管理方式的不同有着不同的网络拓扑机构。网络情况有以下几种。集中型:中小企业网络一般只在总部设立完善的网络布局。采取专线接入、ADSL接入或多条线路接入等网络接入方式,一般网络中的终端总数在几十到几百台不等。网络中有的划分了子网,并部署了与核心业务相关的服务器,如数据库、邮件服务器、文档资料库、甚至ERP服务器等。分散型:采取多分支机构办公及移动办公方式,各分支机构均有网络部署,数量不多。大的分支采取专线接入,一般分支采取ADSL接入方式。主要是通过VPN访问公司主机设备及资料库,通过邮件或内部网进行业务沟通交流。综合型:集中型与分散型的综合。2.整体网络安全系统架构随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合中小企业的网络特征,我们建议采用以SunGate公司为代表的SunGateUTM(统一威胁管理)整体安全网络架构方案。这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。网络安全建议方案1.SunGateUTM整体网络安全方案SunGate®UTM统一安全网关能完全满足本方案的全部安全需求。SunGate®UTM安全网关是在专用安全平台上集成了防火墙、VPN、入侵检测、网络行为监控、防病毒网关、垃圾邮件过滤、带宽管理、无线安全接入等功能于一身的新一代全面安全防护系统。网络安全平台的设计由以下部分构成:防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。内部网络监控系统:可以对内部网络的PC进行点对点的监控,包括PC端的允许进程,流量和屏幕监控等。VPN系统:对远程办公人员及分支机构提供方便的IPSecVPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。网络行为监控系统:对网络内的上网行为进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。垃圾邮件过滤系统:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。移动用户管理系统:对内部笔记本电脑在外出后,接入内部网进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。带宽控制系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。2.SunGate产品优势提供完整的网络保护。提供内部网络的监控。提供高可靠的网络行为监控。保持网络性能的基础下,消除病毒和蠕虫的威胁。基于专用的硬件体系,提供了高性能和高可靠性。用户策略提供了灵活的网络分段和策略控制能力。提供了HA高可用端口,保证零中断服务。强大的系统报表和系统自动警告功能。多种管理方式:SSH、SNMP、WEB。基于WEB(GUI)的配置界面提供了中/英文语言支持。