任子行WAF应用防火墙-柠檬豆-解决方案

pfboy
1 ℃
2020-07-11

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

-I-柠檬豆网站安全等级提升解决方案©2016任子行网络技术股份有限公司-II-目录一.背景......................................................................................................................................................1二、柠檬豆网络现状..................................................................................................................................2三、柠檬豆企业网站安全建设必要性......................................................................................................2四、任子行SURF-WAF应用防护解决方案..............................................................................................24.1、需求分析.......................................................................................................................................24.1.1针对WEB的攻击......................................................................................................................24.1.2WEB漏洞..................................................................................................................................34.1.3信息安全三级保护要求...........................................................................................................3五、建设原则：..........................................................................................................................................3六、解决方案..............................................................................................................................................46.1附建设后的图.................................................................................................................................46.2网络架构描述.................................................................................................................................56.3SURF-WAF产品介绍.......................................................................................................................66.3.1WEB应用安全面临新的挑战....................................................................................................66.3.2任子行WEB应用防火墙..........................................................................................................76.3.3任子行web应用防火墙全方位防护.......................................................................................76.3.4任子行web应用防火墙产品特色...........................................................................................86.3.5SURF-WAF可防御广泛的应用攻击..........................................................................................96.3.6任子行web应用防火墙灵活的部署方式和高效的管理.....................................................10-1-©2020任子行任子行surf-waf解决方案一.背景目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换Web网站主页，盗取管理员密码，数据库注入和破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别以下是国家计算机网络应急技术处理协调中心（CNCERT/CC）统计的2014年4月份我国境内网站被篡改13526个，平均每天多达450多个较08上半年统计数字翻了一倍，数字非常惊人。从上图我们看出，网站被篡改的数目以每年呈上升趋势。在WEB应用非常普及且至关重要的今天，网站的防黑防篡改已成为每一个企业或事业单位网络运维部门的迫在眉急的重大任务。很多用户认为，在网络中部署多层的防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，就可以保障网络的安全性，就能全面立体的防护WEB应用了，但是为何基于WEB应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于-2-©2020任子行任子行surf-waf解决方案TCP/IP报文头部的ACL）实现访问控制的功能；通过防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS、IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出已知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。二、柠檬豆网络现状1．柠檬豆门户站点服务器群部署在北京阿里云IDC机房，租用阿里云一公网IP：182.92.31.137，集群共有7台物理服务器，近期业务系统受黑客到多次攻击。2．青岛内网较为简单，办公营业区域和研发区域各有一条运营商外线接入，内网无安全设备，处于家用级网络架构。三、柠檬豆企业网站安全建设必要性企业网站进行全面信息安全体系设计和建设的必要性：1、网站布局与安全相关的信息泄露安全威胁2、网页内容被篡改安全威胁3、网站数据库内容泄露安全威胁四、任子行SURF-WAF应用防护解决方案4.1、需求分析4.1.1针对WEB的攻击现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立内部的业务应用系统，都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台。-3-©2020任子行任子行surf-waf解决方案网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网络用户已近20亿，用户利用互联网进行购物、银行转账支付和各种软件下载，企业用户更是依赖于网络构建他们的核心业务，对此，Web安全性已经提高一个空前的高度。4.1.2WEB漏洞Web应用系统有着其固有的开发特点：经常更改、设计和代码编写不彻底、没有经过严格的测试等，这些特点导致Web应用出现了很多的漏洞。另外，管理员对Web服务器的配置不当也会造成很多漏洞。目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种，常见的攻击手段包括：注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括：非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。4.1.3信息安全三级保护要求国家信息等级安全保护三级保护要应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能偶发现安全漏洞和安全事件，在系统早到损害后，能够较快的恢复绝大部分功能五、建设原则：先进性和经济性原则采用业界主流的平台，系统具有先进性，并保证系统的可移植性。在采用先进技术的同时也能考虑系统经济实用以及对以往投资设备的使用。可靠性原则软件系统的运行必须具有很高的可靠性，具有良好的容错性。满足在一定的故障、灾难发生时，仍能保证平台的不间断运行。可维护性原则系统必须易于维护。能够方便的监测到系统运行的情况，以及各级系统运行状态等。-4-©2020任子行任子行surf-waf解决方案可扩展性原则网络技术在不断发展，相应安全业务也在不断发展，因此，平台的建设必须满足可扩展性的要求。结构设计模块化，接口标准要统一；在系统建设和开发过程中的每个环节，遵循和参照有关国家主流技术标准。开放性原则系统中每种设备、软件必须具有良好的开放性，所有硬、软件都应遵循业界相关标准，支持开放的标准接口，使整个系统成为一个统一的整体。成熟性原则为保证系统的可靠性，采用被业界广泛采用的软、硬件技术。系统安全性原则系统设计必须从网络、系统和数据等各层次上考虑信息的安全性。系统易用性和友好性原则提供友好的用户操作界面，具备直观易用的人机界面，贴近网监部门的业务流程。六、解决方案6.1规划拓扑图根据以上分析，我们为俊誉公司选择任子行SURF-WAF设备来进行本次WEB防护的建设，系统整体建设部署如下图：-5-©2020任子行任子行surf-waf解决方案阿里云IP：182.92.31.1376.2网络架构描述方案采用两台SURF-WAF产品进行双机热备部署，网络访问服务器时，首先访问在WAF上的虚拟服务器地址，经WAF进行数据检测后，符合要求的访问链接将被重新制定到真实服务器上，为符合要求的访问将被禁止。可以有效地防止各类攻击行为。综合描述：即事前可预防、事中检测防护、事后可及时恢复篡改。6.3部署后效果预期1.精确判定业务服务器安全威胁及其他各种业务服务器入侵行为，阻断对web服务器的恶意访问与非法操作，适应web2.0时代的主动实时监测过滤风险技术，从而做到对web服务器的多重保护。2.确保业务服务器安全的最大化，防止网页内容被篡改，防止网站数据库内容泄露，防止