网站安全防护方案

网站安全防护方案内容摘要：

逻辑信息来判断一个应用请求是合法的还是非法的。 比如，任何传统网络防火墙都对经过 SSL 加密保护的应用完全无能为力，从而无法检测针对这种引用的任何攻击。 此外一些工具如应用扫描器也可以查找系统中那些明显的漏洞 ，但是扫描 整个 系统并 河南 XXXXXX 网 站 安全防护 方案 第 6 页 且给有漏洞的系统打补丁是件非常费时费力的工作。 更大的问题是，扫描器无法扫描到所有的系统漏洞，因为一 个应用系统需要检查的方面往往非常多，并且系统状态的可能性也非常多。 虽然开发人员可以给系统打上成百上千的补丁，但是只要发现一个可利用的漏洞，黑客就能够渗入到系统并造成非常巨大的危害。 因此，理想的解决方案应该是把安全防护功能转移到 安全 设备中。 通过赋于这些新的设备更多的应用层知识，使其能够过滤掉恶意的应用请求。 这种设备的工作方式与防火墙类似，但不是基于网络数据包而是基于应用逻辑的。 由于具备了足够的信息和知识，这种设备 能够根据应用规范有效的识别 正常的应用请求， 并且能区分并过滤任何非法的服务请求。 这种 根据 新的防护需 求而出现的设备就是应用防火墙。 因为应用系统的多样性，不同的应用系统需要具备相应功能的防火墙。 专门保护 Web 应用系统的设备就叫 Web 安全网关。 Web 安全网关的出现，将会使目前日益恶化的 Web 应用安全得到良好的改善。 WEB 安全网关是集 WEB 应用防火墙 (WAF)、 WEB 威胁管理、负载均衡于一体的网关型 WEB 整体安全防护设备。 为了有效的对 XXXXXX 的网站提供全方位的安全防护，并结合 XXXXXX 的网络环境，使用的安全产品或技术需要覆盖一下范围或实现以下目标：  对常见的 WEB 攻击进行安全防护 例如： SQL 注入攻击 ，跨站脚本攻击，应用层 DDoS 防护，已知的蠕虫攻击 ,以及系统漏洞和系统溢出攻击防护等；  对敏感资源和数据的非法访问进行阻断；  提供多种技术的网站加速功能；  灵活多变的伪装技术使系统避免探测和攻击；  提供全面的 Web 流量管理，包括基于网站的流量控制，基于 URL 的流量控制，基于规则的 URL 流量控制，最大并发访问数 ,每秒最大并发访问， URL 最大消费带宽等；  提供强大的 Web 资源访问审计，高效的日志处理引擎，实时 Web 资源访问统计，海量日志处理，丰富的统计报表，详细的访问日志，访问者 /访问时间统计报表，客户端操作系 统 /浏览器统计报表，被访问文件统计报表等。  设备提供负载均衡功能，能够对目前存在的两台 web 服务器进行负载均衡，实现网站无间断运行。 针对 XXXXXX 的网站情况，我们推荐选用天泰 WEB 安全网关对网站进行安全防护，防止 河南 XXXXXX 网 站 安全防护 方案 第 7 页 网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝 DDoS 攻击，保障系统服务的持续性。 WEB安全网关产品部署分析 Web 安全网关主要是对 XXXXXX 的 web 应用系统（网站）的服务器进行 web 应用防护。 在确定保护对象后，要根据应用和产品适应网络的情况不同，采用相应的接入方式部署。 天泰 web 安全网关主要接入方式有：透明方式、路由方式和单臂方式等。 设备部署方式 透明或路由方式部署 透明方式和路由方式的部署位置极为相似，均需要串联接入网络中，所有访问 web 服务器的数据都需要通过 web 安全网关设备， web 安全网关除了需要分析 应用的数据以外还需要处理非 协议的数据流，对设备的性能要求较高。 其网络结构为： 路由方式： ① 设备接口分别设置为不同网段的地址，具有基本路由功能； ② 能够进行源地址转换和目标地址转换功能 ； ③ 支持软件安全防护 BYPASS 功能； ④ 需要防火墙将原来影射到 web服务器地址的信息更改为影射到 web安全网关的外部地址。 透明方式： 河南 XXXXXX 网 站 安全防护 方案 第 8 页 ① 设备接口在同一个网段，接入方便，不需要更改网络配置； ② 支持软硬件 BYPASS 功能； ③ 不支持路由转发和地址转换功能。 单臂方式部署 单臂方式的部署如同普通服务器一样，只需要接入设备一个接口即可。 该接入方法能够只对 协议的数据流进行分析和防护，对设备性能要求较路由和透明方式低。 单臂方式的网络结构为： 备注： ① 需要防火墙将原来映射到 web 服务器地址的 服务信息更改为映射到 web 安全网关的地址； ② 支持软件安全 BYPASS 功能； ③ 不支持路由和地址转换功能。 部署方式分析 根据我们对 XXXXXX 网站的研究，以尽可能不改变目前网络和故障 恢复便利为设计原则，最大的提高网络安全性为要求，我们推荐使用透明方式进行接入。 以下具体说明。 透明方式接入就是 web 安全网关安装后，用户在使用时意识不到该设备的存在，在用户无所察觉的情况下提高网络的整体安全。 在网络设备出现人为或自然的破坏以后将影响到网络链路的畅通，采用透明式安装方式可以非常方便的恢复网络链路的畅通性，只需关闭 web 安全网关即可。 虽然暂时失去对 web服务器的保护，但降低了由于网络链路故障导致网站不能正常打开所带来的损失。 河南 XXXXXX 网 站 安全防护 方案 第 9 页 所以，根据我们研究，推荐使用透明方式部署。 将 WEB 安全网关部署于服务 器的前端，不需要更改任何网络层的配置，仅需分配给 WEB 安全网关一个可路由的 IP 地址即可。 WEB安全网关实现的功能 天泰 Web 安全网关率先引入了应用基础设施新概念，在架构中整合了性能、安全性、可用性，并节省了成本，而这些正是现代企业在网络中放心地部署关键应用的过程中所必须的。 天泰 Web 安全网关 不但融合了传统网络防火墙和流量管理器系统的所有特点，而且还具备了新型的 Web 应用防火墙的功能，因此系统具备先进的应用功能。 保护系统安全 天泰 Web安全网关 具备全面的攻击防御系统，可保证系统不受网络蠕虫 /病毒和应用专用漏洞的攻击 ,最大可能地缓解 DoS/DDoS攻击对应用的影响。 安全网关 系统的核心是WebSwitch™引擎 , 该引擎提供了独特的、高性能的第 7层功能组合。 通过对应用请求进行检查，辨别恶意内容并阻止其进入应用服务器。 天泰 Web安全网关 的安全功能包括：  网络攻击防护 —— 通过在恶意蠕虫和病毒进入应用服务器前进行识别并拒绝，保护应用服务器不受侵袭。 天泰 Web安全网关的 NetShield™引擎独特的包检测和过滤功能（包括对加密流量进行检测）可支持管理员制定策略来保护系统不受这些攻击。  DoS/DDoS攻击 保护 —— 识别网 络层和应用层 DoS/DDoS攻击，最大可能地地缓解攻击对网络和系统造成的危害。  Web应用防火墙 —— 能够完美地保护客户免遭传统安全措施所无法阻挡的应用威胁的侵害，并且无需单独部署应用安全防护设备。 天泰 WebShield™ Web应用安全引擎不仅可以帮助客户阻止会损害系统的应用层攻击，还能帮助企业满足法规要求，如支付卡行业 (PCI)的数据安全标准。 加强系统审计 天泰 Web 安全网关 能够采集和统计用户对各个 Web 应用资源 的访问、页面点击率、用户 IP、搜索引擎关键字等信息，从而实现有效的用。