web网络安全解决方案

web网络安全解决方案（文档版本号：V1.0）沈阳东网科技有限公司修订记录日期修订版本描述作者2015-4-2V1.0初稿生成李政伟I目录一、前言...................................................................................................................................1二、如何确保web的安全应用...............................................................................................1三、常见部署模式...................................................................................................................1四、需求说明...........................................................................................................................5五、网络拓扑...........................................................................................................................6六、总结...................................................................................................................................6©2015Neunn.Allrightsreserved一、前言Web应用处在一个相对开放的环境中，它在为公众提供便利服务的同时，也极易成为不法分子的攻击目标，黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前，信息安全攻击约有75%都是发生在Web应用而非网络层面上。Web攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。二、如何确保web的安全应用在Web系统的各个层面，都会使用不同的技术来确保安全性：为了保护客户端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输安全，通信层通常会使用SSL技术加密数据；为了阻止对不必要暴露的端口和非法的访问，用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。但是，对于Web应用而言，Web服务端口即80和443端口是一定要开放的，恶意的用户正是利用这些Web端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统安全设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合Web系统对请求进行深入分析，针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP保护的网站。因此，在大量而广泛的Web网站和Web应用中，需要采用专门的Web安全防护系统来保护Web应用层面的安全，WAF（WebApplicationFirewall，WEB应用防火墙）产品开始流行起来。WAF产品按照形态划分可以分为三种，硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷，已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起，产品及市场也都还未成熟。与前两种形态相比，硬件WAF经过多年的应用，在各方面都相对成熟及完善，也是目前市场中WAF产品的主流形态。既然是硬件产品，网络部署对于用户来说，是一个必须要考虑的问题。纵观国内外的硬件WAF产品，通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个介绍。三、常见部署模式1.WAF部署位置©2015Neunn.Allrightsreserved通常情况下，WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域，也可以与防火墙或IPS等网关设备串联在一起（这种情况较少）。总之，决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。2.WAF部署模式分类根据WAF工作方式及原理不同可以分为四种工作模式：透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。图1：WAF部署模式分类3.WAF几种部署模式的技术原理工作模式技术原理透明代理模式（也称网桥代理模式）透明代理模式的工作原理是，当WEB客户端对服务器有连接请求时，TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在；从WAF工作转发原理看和透明网桥转发一样，因而称之为透明代理模式，又称之为透明桥模式。反向代理模式反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF，因此在WAF无需像其它模式（如透明和路由代理模式）一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发©2015Neunn.Allrightsreserved出的请求的目的地址就直接是后台的服务器，所以透明代理工作方式不需要在WAF上配置IP映射关系。路由代理模式路由代理模式，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。端口镜像模式端口镜像模式工作时，WAF只对HTTP流量进行监控和报警，不进行拦截阻断。该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言，流量只进不出。4.WAF几种部署模式的典型拓扑工作模式典型拓扑透明代理模式（也称网桥代理模式）反向代理模式©2015Neunn.Allrightsreserved几种部署模式的优缺点工作模式优缺点透明代理模式（也称网桥代理模式）这种部署模式对网络的改动最小，可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效。缺点是网络的所有流量（HTTP和非HTTP）都经过WAF对WAF的处理性能有一定要求，采用该工作模式无法实现服务器负载均衡功能。反向代理模式这种部署模式需要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话（没经过NAT转换）那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。路由代理模式这种部署模式需要对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时，可以直接作为©2015Neunn.Allrightsreserved服务器的网关，但是存在单点故障问题，同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。端口镜像模式这种部署模式不需要对网络进行改动，但是它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断，适合于刚开始部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署提供优化配置参考。这种部署工作模式，对原有网络不会有任何影响。四、需求说明公司现有主营云托管，租用业务，本着高性能、高效率、高可用性、高经济性原则。提出如下需求：1.设备本身的高性能，并发连接数高，大吞吐量，很好的解决了平均在线人数众多，连接不正常的问题。2.高性能的负载均衡功能，支持多种均衡算法，保障网络带宽的稳定。3.多台设备的双机热备功能。4.网页防护功能实时检测页面篡改，网页防盗链，防止敏感信息、服务器信息的泄露，阻断攻击探测，有效防止WEB应用信息泄露、篡改，恶意截取。5.智能应用感知，自动分析双向HTTP流量，基于URL、表单类型、参数类型等信息应用访问知识库，防止未知攻击。6.支持https访问服务的保护。7.全面的协议分析，支持Cookie保护，防范httpflood攻击。8.WEB漏洞扫描，支持主动扫描，及时发现并弥补系统漏洞，减少被攻击的可能。9.内置WEB诱捕系统，吸引攻击者注意力，暴露攻击者行踪，转移应用风险，支持第三方蜜罐系统，采集攻击行为，记录攻击手法，完善网络防御体系。10.全面的应用控制，控制不同区域用户对敏感资源的访问时间，减少安全风险，针对不同资源保护等级的要求，进行安全认证。11.基于用户访问的行为分析与审计，对攻击来源、数据、时间、处理结果提供灵活查询和过滤。12.支持万兆光纤接口©2015Neunn.Allrightsreserved五、网络拓扑六、总结根据目前网络拓扑结构选用带有反向代理模式或者路由模式的wpf设备。反向代理模式提供外网和内网隔离web防护功能，所有web流量经过waf设备再转发到内网服务器上。提供内外网隔离和安全防护，设备本身可以提供负载均衡、CDN、双机热备功能。路由模式由外网防火墙USG6680指向目标路由指向到waf设备，waf设备防护后转发到服务器上。这种形式部署透明，web防护开关切换比较灵活适合与云平台联动后实现云平台安全防护功能。