Web應(yīng)鄭州大學(xué)西亞斯國(guó)際學(xué)院20138月

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案目錄一、需求概述..................................................................................................................................41.11。21.3

背景介紹....................................................................................................................需求分析....................................................................................................................網(wǎng)絡(luò)安全防護(hù)策略....................................................................................................1.3。1“長(zhǎng)鞭效應(yīng)（bullwhipeffect）..................................................................71。3.2

網(wǎng)絡(luò)安全的“防、切、控(DCC）”原............................................................8二、

解決方案............................................................................................................................92。1Web應(yīng)用防護(hù)系統(tǒng)解決方案........................................................................................92。1.1黑客攻擊防護(hù)............................................................................................................92。1。2BOT防護(hù)................................................................................................................102.1.3應(yīng)用層洪水CC攻擊及DDOS防御...........................................................................112.1。4網(wǎng)頁(yè)防篡改..............................................................................................................122.1.5自定義規(guī)則及白名單................................................................................................2.1。6關(guān)鍵字過濾..............................................................................................................132.1.7日志功能....................................................................................................................2。1.8統(tǒng)計(jì)功能..................................................................................................................162。1。9報(bào)表........................................................................................................................2。1.10智能阻斷................................................................................................................182。2設(shè)備選型及介紹..........................................................................................................192。3設(shè)備部署......................................................................................................................三、方案優(yōu)點(diǎn)及給客戶帶來的價(jià)值............................................................................................243。1解決了傳統(tǒng)防火墻、IPS不能解決的應(yīng)用層攻擊問題..........................................3。2合規(guī)性建設(shè).................................................................................................................243.3減少因不安全造成的損失...........................................................................................3。4便于維護(hù)......................................................................................................................3。5使用狀況......................................................................................................................2

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案3。5.1系統(tǒng)狀態(tài)...................................................................................................................3。5.2入侵記錄示...........................................................................................................25。站統(tǒng)計(jì)示...........................................................................................................26四、Web應(yīng)用防護(hù)系統(tǒng)主要技術(shù)優(yōu)勢(shì).........................................................................................274.1千兆高并發(fā)與請(qǐng)求速率處理技術(shù)...............................................................................274.2攻擊碎片重組技術(shù).......................................................................................................274.3多種編碼還原與抗混淆技術(shù)........................................................................................4.4SQL語(yǔ)句識(shí)別技術(shù)........................................................................................................274。5多種部署方式.............................................................................................................274.6軟硬件BYPASS功能.....................................................................................................27五、展望........................................................................................................................................283

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案學(xué)校WEB應(yīng)用安全防護(hù)Web應(yīng)用防護(hù)安全解決方案一、求概述1.1背介隨著學(xué)校對(duì)信息化的不斷建設(shè),已經(jīng)具有完備的校園網(wǎng)絡(luò)，學(xué)校部署了大量信息系統(tǒng)和網(wǎng)站，包括OA系統(tǒng)、WEB服務(wù)器、教務(wù)管理系統(tǒng)、郵件服務(wù)器等多臺(tái)服務(wù)器和100多個(gè)業(yè)務(wù)系統(tǒng)和網(wǎng)站，各業(yè)務(wù)應(yīng)用系統(tǒng)都通過互聯(lián)網(wǎng)平臺(tái)得到整體應(yīng)用校園網(wǎng)出口已經(jīng)部署了專用防火墻、流控等網(wǎng)絡(luò)安全設(shè)備。所有應(yīng)用是向公眾開放，特別是學(xué)校的門戶網(wǎng)站，由于招生與社會(huì)影響,要求在系統(tǒng)Web保護(hù)方面十分重要。1.2需分很多人認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測(cè)系統(tǒng)（），入侵防御系統(tǒng)（IPS）等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件仍然不斷發(fā)生其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范尤其是對(duì)Web系統(tǒng)的攻擊防范作用十分有限.目前的大多防火墻都是工作在網(wǎng)絡(luò)層通過對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于TCP/IP報(bào)文頭部的ACL）實(shí)現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層,而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無(wú)法檢測(cè)出來的。IDS,IPS通過使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫(kù)進(jìn)行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊,達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來才會(huì)出現(xiàn)的攻擊，以及通過靈活編碼和報(bào)文分割來實(shí)現(xiàn)的應(yīng)用層攻擊IDS和IPS同樣不能有效的防護(hù).總體說來，容易導(dǎo)致學(xué)校Web服務(wù)器被攻擊的主要攻擊手段有以下幾種4

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案緩沖區(qū)溢出—-攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)跨站腳本攻擊-—提交非法腳本，其他用戶瀏覽時(shí)盜取用戶帳號(hào)等信息拒絕服務(wù)攻擊——構(gòu)造大量的非法請(qǐng)求,使服務(wù)器不能相應(yīng)正常用戶的訪問認(rèn)證逃避--攻擊者利用不安全的證書和身份管理非法輸入--在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)強(qiáng)制訪問—-訪問未授權(quán)的網(wǎng)頁(yè)隱藏變量篡改——對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒5

西亞斯學(xué)校應(yīng)用全防護(hù)體需求析

Web應(yīng)防護(hù)系統(tǒng)解決方案學(xué)校對(duì)WEB應(yīng)用安全防護(hù)非常重視，在內(nèi)網(wǎng)部署有高端防火墻，同時(shí)內(nèi)網(wǎng)部署有眾多應(yīng)用服務(wù)器，網(wǎng)絡(luò)示意圖如下：通過以上機(jī)構(gòu)的內(nèi)網(wǎng)拓?fù)浜?jiǎn)圖可見，機(jī)構(gòu)內(nèi)部眾多用戶和各種應(yīng)用系統(tǒng)，通過位于外網(wǎng)接口的防火墻進(jìn)行了防護(hù)和保障,對(duì)于來自外網(wǎng)的安全風(fēng)險(xiǎn)和威脅提供了一定的防御能力，作為整體安全中不可缺少的重要模塊，局限于自身產(chǎn)品定位和防護(hù)深度，不同有效的提供針對(duì)Web應(yīng)用攻擊的防御能力。對(duì)于來自外網(wǎng)的各種各樣的攻擊方法，就必須采用一種專用的機(jī)制來阻止黑客對(duì)Web服務(wù)器的攻擊行為，對(duì)其進(jìn)行有效的檢測(cè)、防護(hù)通過對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)目前在WEB應(yīng)用存在的問題，我們看到學(xué)校在服務(wù)器安全防護(hù)時(shí)需要解決以下幾個(gè)問題:跨腳攻擊跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問學(xué)校服務(wù)器的用戶，常見的目的是竊取Web服務(wù)器訪問者相關(guān)的用戶登錄和認(rèn)證信息.注攻6

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案由于代碼編寫不可能做到完美，因此攻擊者可以通過輸入一段數(shù)據(jù)庫(kù)查詢代碼竊取或者修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，造成用戶資料的丟失、泄露和服務(wù)器權(quán)限的丟失。緩區(qū)出攻擊由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻擊者通過向程序緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其他的指令，獲得系統(tǒng)管理員權(quán)限。CC擊CC攻擊目前是最新出現(xiàn)針對(duì)Web系統(tǒng)的特殊攻擊方式，通過構(gòu)造特殊的攻擊報(bào)文，以到達(dá)消耗應(yīng)用平臺(tái)的服務(wù)器計(jì)算資源為目的(其中以消耗資源最為常見），最終造成應(yīng)用平臺(tái)的拒絕服務(wù),正常用戶無(wú)法訪問Web服務(wù)器，給學(xué)校形象造成不可估量的損失拒服攻擊通過DOS攻擊請(qǐng)求，以到達(dá)消耗應(yīng)用平臺(tái)的網(wǎng)絡(luò)資源為目的，最終造成應(yīng)用平臺(tái)的拒絕服務(wù),正常用戶無(wú)法訪問Web服務(wù)器，給政府形象造成不可估量的損失。Cookies/Seesion持Cookies/Seesion通常用戶用戶身份認(rèn)證，別且可能攜帶用戶敏感的登錄信息。攻擊者可能被修改Cookies/Seesion提高訪問權(quán)限，或者偽裝他人的身份登錄1.3網(wǎng)安防策1.3.1長(zhǎng)鞭效（bullwhip）”網(wǎng)絡(luò)安全的防護(hù)同管理學(xué)的“長(zhǎng)鞭效應(yīng)(bullwhipeffect)"具有相似的特性，就是要注重防患于未然。因此,針對(duì)我們單位的特點(diǎn)，更要注重主動(dòng)防護(hù)，在安全事件發(fā)生之前進(jìn)行防范，減少網(wǎng)絡(luò)安全事件發(fā)生的機(jī)會(huì)，達(dá)到“少發(fā)生、不發(fā)生”的目標(biāo)。7

西亞斯1.3.2絡(luò)安全“防、、控(DCC）”原則

Web應(yīng)防護(hù)系統(tǒng)解決方案基于“長(zhǎng)鞭效應(yīng)”,我們的網(wǎng)絡(luò)安全防護(hù)要從源頭做起，采用“防、切、控（”的原則：防：主防護(hù)，護(hù)我們服務(wù)器到攻者的主攻擊外部敵對(duì)、利益驅(qū)動(dòng)的攻擊者，會(huì)對(duì)我們的網(wǎng)站、服務(wù)器進(jìn)行各種主動(dòng)攻擊。而這些主動(dòng)攻擊往往帶有非常強(qiáng)的目的性和針對(duì)性，因此我們當(dāng)前如何防范惡意攻擊者的主動(dòng)攻擊成為首要解決的問題，主要有:防止Web務(wù)器受到來自外部的攻擊、非法控制、篡改；防止主、備mail服務(wù)器受到攻擊、非法控制。切：切來自外危險(xiǎn)網(wǎng)的木馬病毒播：在網(wǎng)絡(luò)中部分的Web服務(wù)器已經(jīng)被黑客控制的情況下，應(yīng)用防護(hù)系統(tǒng)可以有效的防止已經(jīng)植入Web服務(wù)器的木馬的運(yùn)行，防止服務(wù)器被黑客繼續(xù)滲透。因此，如何切斷被黑客攻擊以至于被控制的網(wǎng)站的木馬傳播成為當(dāng)前的第二個(gè)主要解決問題控：控?zé)o意識(shí)信息泄：對(duì)于第三個(gè)要解決的問題是防止內(nèi)部人員無(wú)意識(shí)的內(nèi)部信息泄露，要保證接入網(wǎng)絡(luò)的機(jī)器、設(shè)備是具有一定的安全防護(hù)標(biāo)準(zhǔn)，防止不符合要求的機(jī)器和設(shè)備接入網(wǎng)絡(luò)，嚴(yán)格控制潛在的安全風(fēng)險(xiǎn)。8

西亞斯二、解決方案2Web應(yīng)用防系解方

Web應(yīng)防護(hù)系統(tǒng)解決方案Web應(yīng)用安全防護(hù)系統(tǒng)可以為學(xué)校Web服務(wù)器提供全方位的服務(wù)主要保護(hù)功能包括以下幾方面：2黑客攻防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)黑客攻擊防護(hù)功能，主要阻止常見的攻擊行為,包括以下方面：黑客已留后門發(fā)現(xiàn)，黑客控制行為阻止SQL注入攻擊(包括URL、POST、Cookie等方式的注入）XSS攻擊Web常規(guī)攻擊(包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)唷⑦h(yuǎn)程數(shù)據(jù)寫入等命令執(zhí)行（執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令緩沖區(qū)溢出攻擊惡意代碼解決辦:通過在Web服務(wù)器的前端部署Web應(yīng)用防護(hù)系統(tǒng)，可以有效過濾攻擊。同時(shí)，正常的訪問流量可以順利通過。Web應(yīng)用防護(hù)系統(tǒng),通過內(nèi)置可升級(jí)、擴(kuò)展的策略，可以有效的防止、控制攻擊發(fā)生。9

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案方案價(jià)：通過署Web應(yīng)用防護(hù)統(tǒng)可以效的防黑客對(duì)網(wǎng)站應(yīng)層的擊，保障務(wù)器的全降低料被竊、網(wǎng)站篡改事的發(fā)。2.1違反策略防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的內(nèi)容識(shí)別與控制主要包括以下幾個(gè)方面：非法HTTP協(xié)議URL-ACL匹配盜鏈行為2BOT防護(hù)Web應(yīng)用防護(hù)系統(tǒng)對(duì)互聯(lián)網(wǎng)的應(yīng)用訪問控制主要包括以下幾個(gè)方面：爬蟲蜘蛛行為10

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案Web漏洞掃描器行為2.1應(yīng)用層洪水CC攻擊及DDOS防御Web應(yīng)用防護(hù)系統(tǒng)的互聯(lián)網(wǎng)應(yīng)用流量控制主要包括以下幾個(gè)方面1.UDPFlood2.ICMPFlood3.SYNFlood4.ACKFlood5.RSTFlood6.CC攻擊7.DDOS攻擊11

西亞斯

Web應(yīng)護(hù)系統(tǒng)解決方案方案價(jià)值：Web應(yīng)用防護(hù)系統(tǒng)全方位的封堵,省帶寬資源利用率，保證組織的業(yè)務(wù)相關(guān)應(yīng)用得到極以流暢的進(jìn)行。2頁(yè)防篡本設(shè)備的網(wǎng)頁(yè)防篡改功能，對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對(duì)網(wǎng)頁(yè)進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí),立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志。支持的操作系統(tǒng):Windows、Linux(CentOS、Debian、Ubuntu）、Solaris、AIX、IRIX、HP、SunONE、iPanet等操作系統(tǒng)。、12

西亞斯2自定義則及白單

Web應(yīng)防護(hù)系統(tǒng)解決方案自定義則設(shè)備不僅具有完善的內(nèi)置規(guī)則，并且還支持用戶根據(jù)自身需要自行定義規(guī)劃，支持自符串快速查找與PCRE正則查找。白名單根據(jù)需要設(shè)定某些網(wǎng)站、URL針對(duì)防護(hù)設(shè)備直接放行。2.1.6鍵字過濾本設(shè)備支持針對(duì)網(wǎng)頁(yè)訪問進(jìn)行單向或雙方關(guān)鍵字進(jìn)行檢測(cè)與過濾13

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案2.1日志功Web應(yīng)用防護(hù)系統(tǒng)不但提供強(qiáng)大的防護(hù)功能，且提供了十分詳細(xì)的日志和報(bào)表功能能夠讓管理人員更加全面、快捷地了解整個(gè)設(shè)備運(yùn)行及防護(hù)情況。入侵報(bào)日志系統(tǒng)提供詳細(xì)的安全防護(hù)日志：包括攻擊時(shí)間、方式、來源、目的URL、物理地址、頁(yè)面訪問統(tǒng)計(jì)等。14

西亞斯日志查

Web應(yīng)防護(hù)系統(tǒng)解決方案設(shè)備提供基于時(shí)間、IP、端口、協(xié)議、動(dòng)作、規(guī)則集、危害等級(jí)等多種查詢方式支持日志的導(dǎo)出及按時(shí)間進(jìn)行日志自動(dòng)的清理。審計(jì)日對(duì)設(shè)備每次操作進(jìn)行詳細(xì)的記錄系統(tǒng)日可以記錄設(shè)備的運(yùn)行狀況15

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案2統(tǒng)計(jì)功網(wǎng)絡(luò)入統(tǒng)計(jì)該設(shè)備頁(yè)面以柱狀圖的形式顯示指定月份所發(fā)生的所有入侵情況，以便快速掌握不同時(shí)期遭受網(wǎng)絡(luò)攻擊狀況，判斷網(wǎng)絡(luò)攻擊變化趨勢(shì)。16

西亞斯網(wǎng)絡(luò)流統(tǒng)計(jì)

Web應(yīng)防護(hù)系統(tǒng)解決方案統(tǒng)計(jì)該頁(yè)面統(tǒng)計(jì)各接口的流量情況，可以按天或月以折線圖的形式顯示出來。了解本設(shè)備在該段時(shí)間內(nèi)的網(wǎng)絡(luò)流量情況.瀏覽頁(yè)統(tǒng)計(jì)該頁(yè)面可以詳細(xì)清楚地統(tǒng)計(jì)并顯示每個(gè)web頁(yè)面的訪問次數(shù)，最后訪問時(shí)間、瀏覽器情況,并可以分時(shí)間斷來進(jìn)行分析頁(yè)面訪問情況。17

西亞斯2.1.9表

Web應(yīng)防護(hù)系統(tǒng)解決方案設(shè)備提供詳細(xì)的基于圖文的安全報(bào)表（按攻擊類別、流量、主機(jī)、來源IP、目的URL攻擊方式、地位位置、webshell分析、頁(yè)面訪問次數(shù)等）并可以按事件攻擊類型、周期、統(tǒng)計(jì)目標(biāo)進(jìn)行統(tǒng)計(jì)。支持Html、Word、Pdf式的輸出。定時(shí)去發(fā)送攻擊報(bào)表等功能。2.1智能斷該設(shè)備可以智能識(shí)別外來的攻擊行為,根據(jù)自定義單位時(shí)間內(nèi)觸發(fā)安全規(guī)則次數(shù)的方式，自動(dòng)阻斷攻擊源.阻斷的時(shí)間及次數(shù)均可自行定義。18

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案2.2設(shè)備選型介根據(jù)對(duì)學(xué)校WEB應(yīng)用安全防護(hù)需求的分析，采用產(chǎn)品系列的Web防火墻管理設(shè)備，以下是要求的設(shè)備基本性能參數(shù)：項(xiàng)目體系結(jié)構(gòu)

技術(shù)要1U，采用多核硬件架構(gòu)配置≥8個(gè)電口，配置2對(duì)電口單向HTTP吞吐量≥1000Mbps最大并發(fā)會(huì)話數(shù)≥100（內(nèi)置規(guī)則全開,防護(hù)狀態(tài)）性能HTTP求速率≥1,0000（內(nèi)置規(guī)則全開，防護(hù)狀態(tài)）網(wǎng)絡(luò)延遲≤秒(內(nèi)置規(guī)則全開，防護(hù)狀態(tài))防護(hù)網(wǎng)站不限IP攔截方式入侵者記錄防御功能Web攻擊防護(hù)

至少包含4種方式：攔截、檢測(cè)、放行、攔截并阻斷；阻斷方式下，可設(shè)置阻斷時(shí)間,可手工解除阻斷能夠記錄入侵攻擊詳細(xì)數(shù)據(jù),至少包含：序號(hào)、攻擊時(shí)間、攔截原因、規(guī)則集名稱、危害等級(jí)、源地址、地理位置、目的IP地址、源端口、目的端口、攔截方式、請(qǐng)求、URL等雙向檢測(cè)功能,能夠?qū)α魅肓鞒鰯?shù)據(jù)進(jìn)行檢測(cè)；具有默認(rèn)的防護(hù)端口并可指定防護(hù)端口；系統(tǒng)內(nèi)置防護(hù)規(guī)則、并支持用戶自定義防護(hù)規(guī)則;白名單功能:能夠?qū)μ囟ǖ腎P域名、域名+URL設(shè)置白名單；HTTP請(qǐng)求類型允許與禁止：可對(duì)常用的請(qǐng)求設(shè)置允許或禁止通過SQL注入攻擊（包括URL、POST等方式的注入）:攻擊者通過輸入數(shù)據(jù)庫(kù)查詢代碼竊取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)、XSS攻擊、遠(yuǎn)程、本地文件包含攻擊CSRF跨站請(qǐng)求、Web常規(guī)攻擊（包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)唷⑦h(yuǎn)程數(shù)據(jù)19

西亞斯負(fù)載均衡防CC攻擊（選配）防DOS攻擊（選配）網(wǎng)頁(yè)防篡改(選配）漏洞掃描(選配）數(shù)據(jù)庫(kù)防篡改（選配）高級(jí)訪問控制可靠性部署方式報(bào)表功能

Web應(yīng)防護(hù)系統(tǒng)解決方案寫入等）、惡意掃描：攻擊者利用、Wvs等專業(yè)掃描攻擊工具對(duì)服務(wù)器進(jìn)行掃描和攻擊、命令執(zhí)行（執(zhí)行、Unix關(guān)鍵系統(tǒng)命令）、緩沖區(qū)溢出攻擊、關(guān)鍵文件下載、搜索引擎爬蟲(spider）、惡意代碼、信息偽裝、“零日”攻擊、本馬上傳:攻擊者利用黑客工具上傳Webshell以達(dá)到控制服務(wù)器的目的、WebShell檢測(cè)與攔截等支持應(yīng)用層負(fù)載均衡功能，并支持動(dòng)態(tài)網(wǎng)站、流量分配支持對(duì)CC攻擊的防護(hù)功能支持對(duì)DOS攻擊防護(hù)功能支持對(duì)網(wǎng)頁(yè)的篡改并進(jìn)行自動(dòng)恢復(fù)，支持主流的、Linux、Unix、Solaris、AIX等操作系統(tǒng)針對(duì)web服務(wù)器的SQL、XSS等漏洞進(jìn)行掃描，并生成報(bào)告。數(shù)據(jù)庫(kù)防篡改：支持MSSQL、SQLSERVER數(shù)據(jù)庫(kù)防篡改。支持對(duì)內(nèi)、外IP地址的精確控制，設(shè)置不同的防御方式阻斷、過濾、檢測(cè)、放行）電口、光口硬件BYPASS、軟件、可擴(kuò)展支持端口匯聚、多機(jī)熱備；平均無(wú)故障時(shí)間≥100000h；支持日志自動(dòng)清理功能：可在達(dá)到日志上限時(shí)通知管理員進(jìn)行日志清理如手動(dòng)清理未實(shí)施，系統(tǒng)實(shí)行自動(dòng)清理；支持即插即用，部署方式具有透明方式、反向代理方式、透明反向代理混合方式、路由方式、虛擬化部署等提供詳細(xì)的基于圖文的安全報(bào)表入侵統(tǒng)計(jì)、按入侵類別統(tǒng)計(jì)、被攻擊主機(jī)、攻擊來源IP和地理位置、頁(yè)面訪問次數(shù)、網(wǎng)絡(luò)接口流量趨勢(shì)等）并可以按事件攻擊類型、周期、統(tǒng)計(jì)目標(biāo)進(jìn)行統(tǒng)計(jì)20

術(shù)要求》的千術(shù)要求》的千兆《涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書管理特性產(chǎn)品資質(zhì)2.3設(shè)備部署

Web應(yīng)防護(hù)系統(tǒng)解決方案支持通過HTTPS初始化、設(shè)置、管理設(shè)備實(shí)時(shí)流量查看、入侵告警查看流量統(tǒng)計(jì)、入侵統(tǒng)計(jì)自定義規(guī)則查看管理支持入侵記錄、系統(tǒng)日志、審計(jì)日志導(dǎo)出功能、系統(tǒng)配置安全導(dǎo)入、導(dǎo)出功能支持內(nèi)置規(guī)則升級(jí)、固件升級(jí)允許用戶自由定制規(guī)則，提供友好的定制模板報(bào)表系統(tǒng)、系統(tǒng)日志、審計(jì)日志獲得國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心頒發(fā)的符合國(guó)家保密標(biāo)準(zhǔn)BMB13－2004《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的符合0050-2007《信息技術(shù)信息安全網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范》增強(qiáng)級(jí)認(rèn)證《中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書》公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》國(guó)家漏洞中心提交漏洞證明文件根據(jù)學(xué)校用安全防護(hù)Web服務(wù)器部署情況，我們建議通過透明網(wǎng)橋的部署模式來達(dá)到對(duì)Web服務(wù)器保護(hù)的目的.集中集群式Web務(wù)器部集群式/集中式Web服務(wù):集群式Web服務(wù)采用多臺(tái)服務(wù)器負(fù)荷分擔(dān)提供同一Web服務(wù)；集中式Web服務(wù)主要體現(xiàn)在不同的Web服務(wù)器放置在同一網(wǎng)段或者相鄰的網(wǎng)段內(nèi)，但不同的Web服務(wù)器可能提供多樣的Web服務(wù)。這種情況多數(shù)應(yīng)用于中大型企業(yè)的服務(wù)器模式,或者是IDC。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，可直接將“應(yīng)用防火墻”串接在Web服務(wù)器群所在子網(wǎng)交換機(jī)前端，如下圖顯示：21

西亞斯

Web應(yīng)防護(hù)系統(tǒng)解決方案部署方式：WAF的WAN口與廣域網(wǎng)的接入線路相連，一般是光纖、路或者是路由器,WAF的LAN口(DMZ口）同局域網(wǎng)的交換機(jī)相連，所有對(duì)服務(wù)器的訪問請(qǐng)求都必須通過WAF設(shè)備。半分散WEB服務(wù)部署模式半分散式Web服務(wù):在局域網(wǎng)中存在各種不同的應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在不同的子網(wǎng)中;比如:公司有整體的Web務(wù)集群，同時(shí)，各個(gè)部門還有各自的Web服務(wù)器,而這些服務(wù)器分布在不同的子網(wǎng)中，如果想對(duì)這些服務(wù)器進(jìn)行保護(hù),需要將“Web應(yīng)用防火墻”部署在這些Web服務(wù)器所在網(wǎng)絡(luò)的邊緣，如下圖顯示：部署方式:WAF的WAN口同廣域網(wǎng)接入線路相連，口(DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處于內(nèi)網(wǎng)不同網(wǎng)段的多個(gè)Web服務(wù)器。22

西亞斯全分散Web服務(wù)部署模式

Web應(yīng)防護(hù)系統(tǒng)解決方案半分散式Web服務(wù)：在局域網(wǎng)中存在各種不同的應(yīng)用服務(wù)，并且這些Web應(yīng)用服務(wù)器分散在幾乎全部的子網(wǎng)中；比較常見的案例IDC機(jī)房，這時(shí)，需要將“Web應(yīng)用防火墻”部署在局域網(wǎng)邊緣，一般部署在主交換機(jī)同主路由器之間，如下圖顯示：部署方式:WAF的WAN口同廣域網(wǎng)接入線路相連，口(DMZ口）同局域網(wǎng)交換機(jī)連接。同時(shí)保護(hù)處于內(nèi)網(wǎng)的所有Web服務(wù)器及DB服務(wù)器23

西亞斯三、案優(yōu)點(diǎn)及客戶帶的價(jià)值

Web應(yīng)防護(hù)系統(tǒng)解決方案通過Web應(yīng)用防護(hù)系統(tǒng)在學(xué)校WEB應(yīng)用安全防護(hù)的具體實(shí)施給客戶帶來以下價(jià)值：3.1解決了傳防墻能決應(yīng)層擊題傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備工作在層，基于IP報(bào)文進(jìn)行狀態(tài)檢測(cè)、地址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問控制等，對(duì)報(bào)文中的具體內(nèi)容不具備檢測(cè)能力因此,對(duì)Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供及端口防護(hù)，對(duì)各類WEB應(yīng)用攻擊缺乏防御能力。Web應(yīng)用防護(hù)系統(tǒng)主要致力于提供應(yīng)用層保護(hù)，通過對(duì)HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測(cè)分析，識(shí)別及阻斷各類傳統(tǒng)防火墻無(wú)法識(shí)別的WEB應(yīng)用攻擊.只要有網(wǎng)絡(luò)的地方就會(huì)有防火墻，但傳統(tǒng)的防火墻只是針對(duì)一些底層（網(wǎng)絡(luò)層、傳輸層）的信息進(jìn)行阻斷，而WAF則深入到應(yīng)用層，對(duì)所有應(yīng)用信息進(jìn)行過濾，這是二者的本質(zhì)區(qū)別。的運(yùn)行基礎(chǔ)是應(yīng)用層訪問控制列表。整個(gè)應(yīng)用層的訪問控制列表所面對(duì)的對(duì)象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個(gè)網(wǎng)站互動(dòng)過程中所提交的一些內(nèi)容，包括協(xié)議報(bào)文內(nèi)容，由于對(duì)HTTP協(xié)議完全認(rèn)知，通過內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊。只是做部分的掃描