1、 AUTOTEXT 第 X 頁(yè) 共 Y 頁(yè) * MERGEFORMAT 第 PAGE 30 頁(yè) 共 NUMPAGES 31 頁(yè)網(wǎng)站系統(tǒng)安安全防護(hù)體體系建設(shè)方方案 目錄TOC o 1-3 h z u HYPERLINK l _Toc253386518 一、需求說(shuō)說(shuō)明 PAGEREF _Toc253386518 h 2 HYPERLINK l _Toc253386519 二、網(wǎng)頁(yè)防防篡改解決決方案 PAGEREF _Toc253386519 h 4 HYPERLINK l _Toc253386520 2.1 技技術(shù)原理 PAGEREF _Toc253386520 h 4 HYPERLINK l _

2、Toc253386521 2.2 部部署結(jié)構(gòu) PAGEREF _Toc253386521 h 5 HYPERLINK l _Toc253386522 2.3 系系統(tǒng)組成 PAGEREF _Toc253386522 h 6 HYPERLINK l _Toc253386523 2.4 集集群與允余余部署 PAGEREF _Toc253386523 h 8 HYPERLINK l _Toc253386524 2.5 方方案特點(diǎn) PAGEREF _Toc253386524 h 9 HYPERLINK l _Toc253386525 2.5.11 篡改檢檢測(cè)和恢復(fù)復(fù) PAGEREF _Toc253386

3、525 h 9 HYPERLINK l _Toc253386526 2.5.22 自動(dòng)發(fā)發(fā)布和同步步 PAGEREF _Toc253386526 h 9 HYPERLINK l _Toc253386527 三、WEBB應(yīng)用防護(hù)護(hù)解決方案案 PAGEREF _Toc253386527 h 11 HYPERLINK l _Toc253386528 3.1 當(dāng)當(dāng)前安全風(fēng)風(fēng)險(xiǎn)分析 PAGEREF _Toc253386528 h 11 HYPERLINK l _Toc253386529 3.2 防防護(hù)計(jì)劃 PAGEREF _Toc253386529 h 12 HYPERLINK l _Toc253386

4、530 3.2.11 開發(fā)流流程中加入入安全性驗(yàn)驗(yàn)證項(xiàng)目 PAGEREF _Toc253386530 h 12 HYPERLINK l _Toc253386531 3.2.22 對(duì)網(wǎng)站站程序的源源代碼進(jìn)行行弱點(diǎn)檢測(cè)測(cè) PAGEREF _Toc253386531 h 13 HYPERLINK l _Toc253386532 3.2.33 導(dǎo)入網(wǎng)網(wǎng)頁(yè)應(yīng)用程程序漏洞列列表作為審審計(jì)項(xiàng)目 PAGEREF _Toc253386532 h 13 HYPERLINK l _Toc253386533 3.2.44 部署WWeb應(yīng)用用防火墻進(jìn)進(jìn)行防御 PAGEREF _Toc253386533 h 14 HYP

5、ERLINK l _Toc253386534 3.3WWEB應(yīng)用用防火墻功功能 PAGEREF _Toc253386534 h 15 HYPERLINK l _Toc253386535 3.3.11 集中管管控功能 PAGEREF _Toc253386535 h 15 HYPERLINK l _Toc253386536 3.3.22 防護(hù)功功能 PAGEREF _Toc253386536 h 15 HYPERLINK l _Toc253386537 3.4 預(yù)預(yù)期效益 PAGEREF _Toc253386537 h 16 HYPERLINK l _Toc253386538 四、內(nèi)容分分發(fā)網(wǎng)絡(luò)解

6、解決方案 PAGEREF _Toc253386538 h 18 HYPERLINK l _Toc253386539 4.1 內(nèi)內(nèi)容分發(fā)網(wǎng)網(wǎng)絡(luò)簡(jiǎn)介 PAGEREF _Toc253386539 h 18 HYPERLINK l _Toc253386540 4.2 CDN服服務(wù)功能 PAGEREF _Toc253386540 h 18 HYPERLINK l _Toc253386541 4.3CCDN服務(wù)務(wù)特點(diǎn) PAGEREF _Toc253386541 h 20 HYPERLINK l _Toc253386542 五、負(fù)載均均衡解決方方案 PAGEREF _Toc253386542 h 21 HY

7、PERLINK l _Toc253386543 5.2 廣廣域負(fù)載均均衡 PAGEREF _Toc253386543 h 23 HYPERLINK l _Toc253386544 5.3 關(guān)關(guān)鍵功能和和特點(diǎn) PAGEREF _Toc253386544 h 24 HYPERLINK l _Toc253386545 六、應(yīng)急響響應(yīng)服務(wù)體體系 PAGEREF _Toc253386545 h 26 HYPERLINK l _Toc253386546 6.1 事事件分類與與分級(jí) PAGEREF _Toc253386546 h 26 HYPERLINK l _Toc253386547 6.1.11 事件分

8、分類 PAGEREF _Toc253386547 h 26 HYPERLINK l _Toc253386548 6.1.22 事件分分級(jí) PAGEREF _Toc253386548 h 26 HYPERLINK l _Toc253386549 6.1.33 預(yù)警服服務(wù)事件嚴(yán)嚴(yán)重等級(jí) PAGEREF _Toc253386549 h 27 HYPERLINK l _Toc253386550 6.2 應(yīng)應(yīng)急響應(yīng)服服務(wù)體系 PAGEREF _Toc253386550 h 28一、需求說(shuō)說(shuō)明針對(duì)Webb應(yīng)用防護(hù)護(hù)安全需能能實(shí)現(xiàn)以下下功能：一、針對(duì)網(wǎng)網(wǎng)站主頁(yè)惡惡意篡改的的監(jiān)控，防防護(hù)和快速速恢復(fù)：（1）支

9、持持多種保護(hù)護(hù)模式，防防止靜態(tài)和和動(dòng)態(tài)網(wǎng)頁(yè)頁(yè)內(nèi)容被非非法篡改。（2）能夠夠防止主頁(yè)頁(yè)防護(hù)功能能被惡意攻攻擊者非法法終止。（3）具備備核心內(nèi)嵌嵌技術(shù)，能能實(shí)現(xiàn)高效效快速實(shí)現(xiàn)現(xiàn)大規(guī)模的的網(wǎng)頁(yè)攻擊擊防護(hù)。（4）支持持實(shí)時(shí)檢測(cè)測(cè)和快速恢恢復(fù)功能。（5）支持持多服務(wù)器器、多站點(diǎn)的的主頁(yè)防護(hù)護(hù)（6）支持持對(duì)常見(jiàn)的的多種網(wǎng)頁(yè)頁(yè)文件類型型的保護(hù)。（7）支持持網(wǎng)頁(yè)快照照功能，根根據(jù)需要即即時(shí)提供快快照頁(yè)面，以以滿足客戶戶端的訪問(wèn)問(wèn)。二、 對(duì)WWeb網(wǎng)站進(jìn)進(jìn)行多層次次檢測(cè)分析析與應(yīng)用防防護(hù)：（1）有效效保護(hù)網(wǎng)站站靜動(dòng)態(tài)網(wǎng)網(wǎng)頁(yè)以及后后臺(tái)DB信息，實(shí)實(shí)現(xiàn)多方位位攻擊防護(hù)護(hù)。（2）靈靈活的策略略設(shè)置，能能夠針對(duì)各各個(gè)W

10、EBB應(yīng)用的特特點(diǎn)，設(shè)置置個(gè)性化的的防護(hù)策略略。（3）不反反射保護(hù)網(wǎng)網(wǎng)站（或WWEB應(yīng)用用）程序代代碼防止受受到各種已已知攻擊（如SQL注入，跨站腳本，釣魚攻擊等）和未知攻擊；并能限制未授權(quán)用戶透過(guò)網(wǎng)站訪問(wèn)數(shù)據(jù)中心，防止入侵者的通信流程。（4）能夠夠根據(jù)操作作系統(tǒng)、應(yīng)應(yīng)用平臺(tái)及及評(píng)估滲透透工具等特特征，形成成完備的特特征庫(kù)。綜綜合并發(fā)連連接、并發(fā)發(fā)請(qǐng)求及流流量限制，阻阻斷攻擊探探測(cè)或掃描描； 同時(shí)時(shí)能夠?qū)υL訪問(wèn)數(shù)據(jù)流流進(jìn)行協(xié)議議檢查，防防止對(duì)WEEB應(yīng)用的的惡意信息息獲取和特特征收集。三、行為審審計(jì)：（1）能夠夠記錄和有有效統(tǒng)計(jì)用用戶對(duì)WEEB應(yīng)用資資源的訪問(wèn)問(wèn)，包括頁(yè)頁(yè)面點(diǎn)擊率率、 客戶戶對(duì)

11、端地址址、客戶端類類型、訪問(wèn)流量量、訪問(wèn)時(shí)間間及搜索引擎擎關(guān)鍵字信信息；并實(shí)現(xiàn)有有效的用戶戶行為訪問(wèn)問(wèn)統(tǒng)計(jì)分析析，如基于于區(qū)域的訪訪問(wèn)統(tǒng)計(jì)，便便于識(shí)別WWEB應(yīng)用用的訪問(wèn)群群體是否符符合預(yù)期，為為應(yīng)用優(yōu)化化提供依據(jù)據(jù)。（2）對(duì)攻攻擊來(lái)源和和攻擊行為為支持分類類記錄探測(cè)測(cè)，數(shù)據(jù)處理理結(jié)果形成成詳細(xì)的統(tǒng)統(tǒng)計(jì)及排序序，支持依依據(jù)威脅的的級(jí)別生成成防護(hù)策略略。（3）提供供多種審計(jì)計(jì)報(bào)表，為為系統(tǒng)的安安全審計(jì)提提供詳細(xì)的的數(shù)據(jù)并作作為可靠的的決策依據(jù)據(jù)。四、支持多多種WEBB 應(yīng)用加加速技術(shù)，減減輕服務(wù)器器負(fù)載：（1）支持持URL 級(jí)別的流流量管理和和負(fù)載均衡衡，提供對(duì)對(duì)頁(yè)面訪問(wèn)問(wèn)的并發(fā)連連接與速率進(jìn)行

12、行控制，提提高應(yīng)用系系統(tǒng)在資源源緊張時(shí)的的可用性。（2）具備備訪問(wèn)過(guò)載載保護(hù)能力力，緩解WWEB 服服務(wù)因訪問(wèn)問(wèn)量過(guò)大而而造成的拒拒絕服務(wù)攻攻擊， 提提高系統(tǒng)承承受應(yīng)用層層DOS攻攻擊的服務(wù)務(wù)能力。（3）及時(shí)時(shí)發(fā)現(xiàn)WEEB 應(yīng)用用狀態(tài)異常常，迅速反反饋應(yīng)用服服務(wù)活動(dòng)狀狀態(tài)，并選選擇最優(yōu)秀秀服務(wù)連接接。（4）支持持輪詢、最最小負(fù)載、請(qǐng)求URRL 及加加權(quán)等多種種均衡策略略，滿足各各種應(yīng)用環(huán)環(huán)境下的均均衡要求。（5）網(wǎng)站站主頁(yè)和WWEB應(yīng)用用防護(hù)系統(tǒng)統(tǒng)，需能分分別以獨(dú)立立方式及互互備方式部部署在不同同機(jī)房。二、網(wǎng)頁(yè)防防篡改解決方方案Web網(wǎng)站站和Webb應(yīng)用系統(tǒng)統(tǒng)除了采用用常見(jiàn)的網(wǎng)網(wǎng)絡(luò)安全設(shè)設(shè)備進(jìn)

13、行防防護(hù)外，需需要更有效的網(wǎng)網(wǎng)頁(yè)防篡改改系統(tǒng)來(lái)專專門對(duì)頁(yè)面面內(nèi)容進(jìn)行行保護(hù)，防防止來(lái)自外外部或內(nèi)部部的非授權(quán)權(quán)人員對(duì)頁(yè)頁(yè)面和內(nèi)容容進(jìn)行篡改改和非法添添加。2.1 技技術(shù)原理防篡改體系系除了Weeb服務(wù)器器外，另外外需部署發(fā)布服務(wù)務(wù)器：發(fā)布服務(wù)器器：位于內(nèi)內(nèi)網(wǎng)中，本本身處在相相對(duì)安全的的環(huán)境中，其其上部署發(fā)發(fā)布服務(wù)器器軟件。所所有網(wǎng)頁(yè)的的合法變更更（包括增增加、修改改、刪除、重命名）都都在發(fā)布服服務(wù)器上進(jìn)進(jìn)行。發(fā)布布服務(wù)器上上具有與WWeb服務(wù)務(wù)器上的網(wǎng)網(wǎng)頁(yè)文件完完全相同的的目錄結(jié)構(gòu)構(gòu)，發(fā)布服服務(wù)器上的的任何文件件/目錄的的變化都會(huì)會(huì)自動(dòng)和立立即地反映映到Webb服務(wù)器的的相應(yīng)位置置上，文件件/

14、目錄變變更的方法法可以是任任意方式的的（例如：FTP、SFTPP、RCPP、NFSS、文件共共享等）。網(wǎng)頁(yè)變更更后，“發(fā)布服務(wù)務(wù)器軟件”將其同步步到Webb服務(wù)器上上。Web服務(wù)務(wù)器：位于于Inteernett/DMZZ中，本身身處在不安安全的環(huán)境境中，其上上部署Weeb服務(wù)器器端防篡改改模塊及內(nèi)內(nèi)容同步軟件模塊。防篡改系統(tǒng)統(tǒng)的運(yùn)行原理：防篡改對(duì)所有網(wǎng)頁(yè)頁(yè)元素（包包括靜態(tài)頁(yè)頁(yè)面、動(dòng)態(tài)態(tài)腳本、圖圖像文件、多媒體文文件以及所所有能以UURL形式式訪問(wèn)的實(shí)實(shí)體）在發(fā)發(fā)布時(shí)進(jìn)行行128位位密鑰的HHMAC-MD5（RRFC21104）計(jì)計(jì)算，生成成唯一的、不可逆轉(zhuǎn)轉(zhuǎn)的和不可可偽造的數(shù)數(shù)字水印。瀏覽者請(qǐng)

15、求求訪問(wèn)任一一網(wǎng)頁(yè)元素素時(shí)，篡改改檢測(cè)模塊塊（作為WWeb服務(wù)務(wù)器軟件的的一部分）讀讀出網(wǎng)頁(yè)元元素的內(nèi)容容重新計(jì)算算數(shù)字水印印，并與之之前存儲(chǔ)的的數(shù)字水印印進(jìn)行比對(duì)對(duì)，網(wǎng)頁(yè)元元素的任何何篡改都能能夠被可靠靠地計(jì)算出出來(lái)。防竊聽(tīng)任何通信實(shí)實(shí)體（包括括發(fā)布服務(wù)務(wù)器和Weeb服務(wù)器器和控制臺(tái)）之之間采用工工業(yè)標(biāo)準(zhǔn)的的SSL33.0/TTLS1.0安全通通訊協(xié)議（RRFC22246），確確保網(wǎng)頁(yè)元元素文件和和數(shù)字水印印數(shù)據(jù)流在在通信過(guò)程程中不被黑黑客竊取和和分析。身份鑒別通信實(shí)體間間進(jìn)行強(qiáng)身身份鑒別。首先，WWeb服務(wù)務(wù)器要確保保上傳文件件的發(fā)布服服務(wù)器的身身份真實(shí)性性，不能接接受偽造的的發(fā)布服務(wù)務(wù)器

16、上傳的的文件；其其次，發(fā)布布服務(wù)器要要確保是在在與Webb服務(wù)器通通信，確保保發(fā)送的文文件能夠到到Web服服務(wù)器上。因此，雙雙方彼此都都進(jìn)了身份份鑒別。亦亦即：發(fā)布布服務(wù)器采采用客戶端端數(shù)字證書書與Webb服務(wù)器通通訊，同時(shí)時(shí)也驗(yàn)證WWeb服務(wù)務(wù)器數(shù)字證證書的真實(shí)實(shí)性。2.2 部部署結(jié)構(gòu)目前，大部部分網(wǎng)站都都使用內(nèi)容容管理系統(tǒng)統(tǒng)（CMSS）來(lái)管理理網(wǎng)頁(yè)產(chǎn)生生的全過(guò)程程，包括網(wǎng)網(wǎng)頁(yè)的編輯輯、審核、簽發(fā)和合合成等。在在網(wǎng)站的網(wǎng)網(wǎng)絡(luò)拓?fù)渲兄?，發(fā)布服服務(wù)器部署署在原有的的內(nèi)容管理理系統(tǒng)和WWeb服務(wù)務(wù)器之間，下下圖表明三三者之間的的關(guān)系。發(fā)布服務(wù)器器上具有與與Web服服務(wù)器上的的網(wǎng)站文件件完全相同同的

17、目錄結(jié)結(jié)構(gòu)，任何何文件/目目錄的變化化都會(huì)自動(dòng)動(dòng)映射到WWeb服務(wù)務(wù)器的相應(yīng)應(yīng)位置上。網(wǎng)頁(yè)的合法法變更（包包括增加、修改、刪刪除、重命命名）都在在發(fā)布服務(wù)務(wù)器上進(jìn)行行，變更的的手段可以以是任意方方式的（例例如：FTTP、SFFTP、RRCP、NNFS、文文件共享等等）。網(wǎng)頁(yè)頁(yè)變更后，發(fā)發(fā)布服務(wù)器器將其同步步到Webb服務(wù)器上上。無(wú)論什什么情況下下，不允許許直接變更更Web服服務(wù)器上的的頁(yè)面文件件。下圖為防篡篡改系統(tǒng)的的邏輯部署署圖。若無(wú)無(wú)多余服務(wù)務(wù)器可供使使用，則發(fā)發(fā)布服務(wù)器器可與內(nèi)容容管理服務(wù)務(wù)器建構(gòu)在在同一服務(wù)務(wù)器上：2.3 系系統(tǒng)組成從邏輯上，防防篡改系統(tǒng)統(tǒng)由頁(yè)面保保護(hù)子系統(tǒng)統(tǒng)、自動(dòng)發(fā)布

18、布子系統(tǒng)和和監(jiān)控管理理子系統(tǒng)組組成，三部部分的關(guān)系系如下圖所所示。發(fā)布服務(wù)器自動(dòng)發(fā)布子系統(tǒng)（自動(dòng)發(fā)布程序）管理和監(jiān)控子系統(tǒng)內(nèi)容管理系統(tǒng)（第三方軟件）Web服務(wù)器Web服務(wù)器軟件（第三方軟件）頁(yè)面保護(hù)子系統(tǒng)（應(yīng)用防護(hù)/篡改檢測(cè)）自動(dòng)發(fā)布子系統(tǒng)（同步服務(wù)器）頁(yè)面保護(hù)子子系統(tǒng)頁(yè)面保護(hù)子子系統(tǒng)是系系統(tǒng)的核心心，內(nèi)嵌在在Web服服務(wù)器軟件件里（即前前述的核心心內(nèi)嵌模塊塊），包含含應(yīng)用防護(hù)護(hù)模塊和篡篡改檢測(cè)模模塊。應(yīng)用防護(hù)模模塊對(duì)每個(gè)個(gè)用戶的請(qǐng)請(qǐng)求進(jìn)行安安全性檢查查：如果正正常則發(fā)送送給Webb服務(wù)器軟軟件；如果果發(fā)現(xiàn)有攻攻擊特征碼碼，即刻中中止此次請(qǐng)請(qǐng)求并進(jìn)行行報(bào)警。篡改檢測(cè)模模塊對(duì)每個(gè)個(gè)發(fā)送的網(wǎng)網(wǎng)頁(yè)進(jìn)

19、行即即時(shí)的完整整性檢查：如果網(wǎng)頁(yè)頁(yè)正常則對(duì)對(duì)外發(fā)送；如果被篡篡改則阻斷斷對(duì)外發(fā)送送，并依照照一定策略略進(jìn)行報(bào)警警和恢復(fù)。對(duì)于Winndowss系統(tǒng)，頁(yè)頁(yè)面保護(hù)子子系統(tǒng)還包包括一個(gè)增增強(qiáng)型事件件觸發(fā)式檢檢測(cè)模塊，該該模塊駐留留于操作系系統(tǒng)內(nèi)核，阻阻止大部分分常規(guī)篡改改手段。自動(dòng)發(fā)布子子系統(tǒng)自動(dòng)發(fā)布子子系統(tǒng)負(fù)責(zé)責(zé)頁(yè)面的自自動(dòng)發(fā)布，由由發(fā)送端和和接收端組組成：發(fā)送送端位于發(fā)發(fā)布服務(wù)器器上，稱之之為自動(dòng)發(fā)發(fā)布程序，它它監(jiān)測(cè)到文文件系統(tǒng)變變化即進(jìn)行行計(jì)算該文文件水印，并并進(jìn)行SSSL發(fā)送；接收端位位于Webb服務(wù)器上上，稱之為為同步服務(wù)務(wù)器，它接接收到網(wǎng)頁(yè)頁(yè)和水印后后，將網(wǎng)頁(yè)頁(yè)存放在文文件系統(tǒng)中中，將水

20、印印存放在安安全數(shù)據(jù)庫(kù)庫(kù)里。所有有合法網(wǎng)頁(yè)頁(yè)的增加、修改和刪刪除都通過(guò)過(guò)自動(dòng)發(fā)布布子系統(tǒng)進(jìn)進(jìn)行。監(jiān)控管理子子系統(tǒng)負(fù)責(zé)篡改后后自動(dòng)恢復(fù)復(fù)，也提供供系統(tǒng)管理理員的使用用界面。其其功能包括括：手工上上傳、查看看警告、檢檢測(cè)系統(tǒng)運(yùn)運(yùn)行情況、修改配置置、查看和和處理日志志等。日志記錄所所有系統(tǒng)、發(fā)布、篡篡改檢測(cè)和和自動(dòng)恢復(fù)復(fù)等信息，可可以分類分分日期查看看，并根據(jù)據(jù)管理員的的要求實(shí)現(xiàn)現(xiàn)轉(zhuǎn)儲(chǔ)。日日志記錄還還支持syyslogg，以實(shí)現(xiàn)現(xiàn)與安全管管理平臺(tái)的的接口。2.4 集集群與允余余部署Web站點(diǎn)點(diǎn)運(yùn)行的穩(wěn)穩(wěn)定性是最最關(guān)鍵的，防防篡改系統(tǒng)統(tǒng)支持所有有部件的多多機(jī)工作和和熱備，可可以有多臺(tái)臺(tái)安裝了防防篡改模

21、塊塊和同步服服務(wù)軟件的的Web服服務(wù)器，也也可以有兩兩發(fā)布服務(wù)務(wù)器，避免免單點(diǎn)失效效問(wèn)題，如如下圖所示。Web服務(wù)務(wù)器多機(jī)和和集群發(fā)布服務(wù)器器支持1對(duì)對(duì)多達(dá)644臺(tái)Webb服務(wù)器的的內(nèi)容同步步，這些WWeb服務(wù)務(wù)器的操作作系統(tǒng)、WWeb服務(wù)務(wù)器系統(tǒng)軟軟件、應(yīng)用用腳本及網(wǎng)網(wǎng)頁(yè)內(nèi)容既既可以相同同也可以不不同。本案案提供的解解決方案將將可實(shí)現(xiàn)異異種系統(tǒng)架架構(gòu)下對(duì)不不同內(nèi)容的的統(tǒng)一管理理。發(fā)布服務(wù)器器雙機(jī)支持發(fā)布服服務(wù)器雙機(jī)機(jī)協(xié)同工作作，即一臺(tái)臺(tái)主發(fā)布服服務(wù)器和一一臺(tái)熱備發(fā)發(fā)布服務(wù)器器。在這種種部署情形形下，內(nèi)容容管理系統(tǒng)統(tǒng)（CMSS）需要將將內(nèi)容同時(shí)時(shí)發(fā)布到兩兩臺(tái)發(fā)布服服務(wù)器上。正常狀態(tài)態(tài)下，主發(fā)發(fā)

22、布服務(wù)器器工作時(shí)，由它對(duì)對(duì)所有Weeb服務(wù)器器進(jìn)行內(nèi)容容同步。如如果熱備發(fā)發(fā)布服務(wù)器器運(yùn)行失效（不影影響網(wǎng)站系系統(tǒng)運(yùn)行），一旦在它修復(fù)后可以從主發(fā)布服務(wù)器恢復(fù)數(shù)據(jù)，進(jìn)入正常熱備狀態(tài)。主發(fā)布服務(wù)器如果失效（即不發(fā)心跳信號(hào)），熱備發(fā)布服務(wù)器會(huì)接管工作，由熱備服務(wù)器對(duì)所有Web服務(wù)器進(jìn)行內(nèi)容同步。當(dāng)主發(fā)布服務(wù)器修復(fù)后，兩機(jī)同時(shí)工作，經(jīng)過(guò)一段時(shí)間的數(shù)據(jù)交接時(shí)間，熱備發(fā)布服務(wù)器重新進(jìn)入熱備狀態(tài)。2.5 方方案特點(diǎn)2.5.11 篡改檢測(cè)測(cè)和恢復(fù)支持安全散散列檢測(cè)方方法；可檢測(cè)靜態(tài)態(tài)頁(yè)面/動(dòng)動(dòng)態(tài)腳本/二進(jìn)制實(shí)實(shí)體；支持對(duì)注入入式攻擊的的防護(hù)；網(wǎng)頁(yè)發(fā)布同同時(shí)自動(dòng)更更新水印值值；網(wǎng)頁(yè)發(fā)送時(shí)時(shí)比較網(wǎng)頁(yè)頁(yè)和水印值值

23、；支持?jǐn)嗑€/連線狀態(tài)態(tài)下篡改檢檢測(cè)；支持連線狀狀態(tài)下網(wǎng)頁(yè)頁(yè)恢復(fù)；網(wǎng)頁(yè)篡改時(shí)時(shí)多種方式式報(bào)警；網(wǎng)頁(yè)篡改時(shí)時(shí)可執(zhí)行外外部程序或或命令；可以按不同同容器選擇擇待檢測(cè)的的網(wǎng)頁(yè)；支持增強(qiáng)型型事件觸發(fā)發(fā)檢測(cè)技術(shù)術(shù)；加密存放水水印值數(shù)據(jù)據(jù)庫(kù)；支持各種私私鑰的硬件件存儲(chǔ)；支持使用外外接安全密密碼算法。2.5.22 自動(dòng)發(fā)布布和同步自動(dòng)檢測(cè)發(fā)發(fā)布服務(wù)器器上文件系系統(tǒng)任何變變化；文件變化自自動(dòng)同步到到多個(gè)Weeb服務(wù)器器；支持文件/目錄的增增加/刪除除/修改/更名；支持任何內(nèi)內(nèi)容管理系系統(tǒng)；支持虛擬目目錄/虛擬擬主機(jī)；支持頁(yè)面包包含文件；支持雙機(jī)方方式的冗余余部署；斷線后自動(dòng)動(dòng)重聯(lián)；上傳失敗后后自動(dòng)重試試；使用S

24、SLL安全協(xié)議議進(jìn)行通信信；保證通信過(guò)過(guò)程不被篡篡改和不被被竊聽(tīng)；通信實(shí)體使使用數(shù)字證證書進(jìn)行身身份鑒別；所有過(guò)程有有詳細(xì)的審審計(jì)。三、WEBB應(yīng)用防護(hù)護(hù)解決方案案從網(wǎng)頁(yè)應(yīng)用用程序?qū)用婷孢M(jìn)行安全全防護(hù)機(jī)制制：第一項(xiàng)計(jì)劃劃是，通過(guò)過(guò)網(wǎng)頁(yè)程序序代碼的安安全檢測(cè)，找找出潛在應(yīng)應(yīng)用程序的的編寫漏洞洞，提供開開發(fā)團(tuán)隊(duì)修修補(bǔ)建議，并并據(jù)以改寫寫修補(bǔ)。同同時(shí)為網(wǎng)頁(yè)頁(yè)應(yīng)用層防防火墻提供供防護(hù)規(guī)則則，做到內(nèi)內(nèi)外共同防防護(hù)；第二項(xiàng)計(jì)劃劃是，通過(guò)過(guò)網(wǎng)頁(yè)應(yīng)用用層防火墻墻軟件的部部署，與網(wǎng)網(wǎng)頁(yè)程序代代碼的安全全檢測(cè)互相聯(lián)動(dòng)，為為在線運(yùn)營(yíng)營(yíng)的網(wǎng)站立立即建立防防護(hù)，針對(duì)對(duì)各種應(yīng)用用層的攻擊擊進(jìn)行阻擋擋，建立起起網(wǎng)站從內(nèi)內(nèi)而

25、外的安安全防護(hù)體體系。3.1 當(dāng)當(dāng)前安全風(fēng)風(fēng)險(xiǎn)分析越來(lái)越多的的案例表明明，網(wǎng)站的的安全問(wèn)題題隨著各類類網(wǎng)絡(luò)技術(shù)術(shù)手段的不不斷進(jìn)步而而顯現(xiàn)出來(lái)來(lái)。截止到到目前，以以跨站腳本本攻擊、SSQL注入入攻擊為代代表的攻擊擊方式對(duì)傳傳統(tǒng)的防火墻+入侵防護(hù)護(hù)所組成的的網(wǎng)站安全全防線帶來(lái)來(lái)了極大的的沖擊；同同時(shí)由于新新的攻擊方方式的出現(xiàn)現(xiàn)，一旦網(wǎng)網(wǎng)站被入侵侵，輕則網(wǎng)網(wǎng)站被植入入惡意連結(jié)結(jié)或?qū)ο螅瑢?dǎo)導(dǎo)致訪問(wèn)用用戶的個(gè)人人電腦中毒毒或被植入入木馬；嚴(yán)嚴(yán)重的話，通通過(guò)網(wǎng)頁(yè)的的接口導(dǎo)致致客戶的信信息或交易易紀(jì)錄被入入侵，從而而面對(duì)的是是漫長(zhǎng)的調(diào)調(diào)查、賠償償、法律責(zé)責(zé)任、甚至至訴訟。如如果被媒體體披露的話話，更會(huì)嚴(yán)嚴(yán)重

26、影響企企事業(yè)單位位的聲譽(yù)。網(wǎng)站安全風(fēng)風(fēng)險(xiǎn)分析：項(xiàng)次大綱說(shuō)明1沒(méi)有適當(dāng)機(jī)機(jī)制確認(rèn)目目前的網(wǎng)頁(yè)頁(yè)程序存在在哪些漏洞洞目前已在線線執(zhí)行的網(wǎng)網(wǎng)頁(yè)系統(tǒng)，是是幾年來(lái)不不斷開發(fā)與與累積的結(jié)結(jié)果。然而而新興的以以網(wǎng)頁(yè)應(yīng)用用程序?yàn)楣ス裟繕?biāo)的的攻擊模式式不斷被發(fā)發(fā)現(xiàn)，因此此當(dāng)前面臨臨的困難在在于:現(xiàn)有的開發(fā)發(fā)團(tuán)隊(duì)并非非全職的安安全專家，難難以保證編編寫出來(lái)的的程序代碼碼絕對(duì)不會(huì)會(huì)存在漏洞洞。在線的程序序代碼為數(shù)數(shù)眾多，如如果要逐條條人工檢視視，絕對(duì)力力有未逮，且且現(xiàn)有的開開發(fā)能力用用于全力開開發(fā)新的服服務(wù)與流程程改善，無(wú)無(wú)法投入足足夠的資源源用于檢測(cè)測(cè)舊的系統(tǒng)統(tǒng)漏洞。經(jīng)常性的發(fā)發(fā)生信息安安全事件，會(huì)會(huì)讓團(tuán)隊(duì)疲疲

27、于奔命。也花費(fèi)大大量的資源源來(lái)進(jìn)行調(diào)調(diào)查與修復(fù)復(fù)。更不用用說(shuō)后續(xù)延延伸出來(lái)的的商譽(yù)損失失、法律責(zé)責(zé)任、甚至至訴訟與賠賠償事宜。2網(wǎng)站的運(yùn)營(yíng)營(yíng)者往往都都在網(wǎng)站遭遭受入侵與與惡意攻擊擊后通過(guò)外界反反應(yīng)才知道道當(dāng)黑客利用用時(shí)下Weeb APP的攻擊手手法，如CCrosss Sitte Sccriptt或SQL Injeectioon等方式式攻擊網(wǎng)站站，而網(wǎng)站站又剛好有有未知的漏漏洞被利用用，那么不不僅缺乏適適當(dāng)?shù)臋C(jī)制制可以立即即發(fā)現(xiàn)攻擊擊，更無(wú)法法達(dá)到防御御的效果。3法律責(zé)任的的沖擊企事業(yè)單位位有責(zé)任妥妥善保管的的客戶個(gè)人人信息，若若因網(wǎng)站被被入侵而導(dǎo)導(dǎo)致客戶信信息外泄，則則有可能必必須面對(duì)法法律責(zé)

28、任的的問(wèn)題。4敏感信息顯顯示于網(wǎng)頁(yè)頁(yè)接口時(shí)，需需進(jìn)行屏蔽蔽，避免會(huì)會(huì)員信息外外泄針對(duì)如信用用卡卡號(hào)或或身分證字字號(hào)等敏感感信息，如如果需要在在網(wǎng)頁(yè)中顯顯示響應(yīng)給給使用者，則則需要進(jìn)行行屏蔽，將將中間字符符內(nèi)容取代代為x或*等符號(hào)，避避免使用者者的計(jì)算機(jī)機(jī)存在木馬馬或傳輸過(guò)過(guò)程被竊聽(tīng)聽(tīng)，而造成成信息外泄泄。然而現(xiàn)有的的系統(tǒng)已經(jīng)經(jīng)運(yùn)作多年年，需要逐逐一檢視并并且修改，需需花費(fèi)大量量的資源與與時(shí)間。5傳統(tǒng)IDSS/IPSS與防火墻墻，擋不住住也看不懂懂 Webb攻擊原本期望通通過(guò)IDSS/IPSS與防火墻墻來(lái)抵御黑黑客的攻擊擊。然而現(xiàn)現(xiàn)在的黑客客，再硬碰硬的進(jìn)防防火墻、入入侵偵測(cè)系系統(tǒng)或者修修補(bǔ)程序

29、可可以阻擋的的網(wǎng)絡(luò)型型攻擊或或者作業(yè)業(yè)平臺(tái)的攻攻擊。目目前超過(guò) 70% 成功的黑黑客攻擊，是針對(duì) Webb 應(yīng)用程程序的弱弱點(diǎn)而是是操作系統(tǒng)統(tǒng)的弱點(diǎn)，而而且循著合合法身份從從Web 應(yīng)用系統(tǒng)統(tǒng)管道進(jìn)入入，因此原原先的防火火墻與入侵侵偵測(cè)系統(tǒng)統(tǒng)也束手無(wú)無(wú)策。6SSL加密密后的流量量，無(wú)法從從網(wǎng)絡(luò)端實(shí)實(shí)施入侵檢檢查與過(guò)濾濾因?yàn)檫\(yùn)營(yíng)的的是電子商商務(wù)服務(wù)，因因此為避免免使用者進(jìn)進(jìn)行交易的的過(guò)程中信信息被從中中竊聽(tīng)，而而實(shí)施HTTTPS/SSL加加密，保障障傳輸過(guò)程程的安全。然而，這也也造成部署署網(wǎng)頁(yè)防入入侵機(jī)制時(shí)時(shí)的限制與與困擾。因因?yàn)槿绻故褂玫氖咕W(wǎng)網(wǎng)絡(luò)型的WWeb AAppliicatiion F

30、Firewwall機(jī)機(jī)制，SSSL加密后后的流量就就會(huì)無(wú)法進(jìn)進(jìn)行檢查，或或者要改變變現(xiàn)有SSLL加密的處處理流程。3.2 防防護(hù)計(jì)劃3.2.11 開發(fā)流程程中加入安安全性驗(yàn)證證項(xiàng)目在軟件開發(fā)發(fā)流程中，擬擬規(guī)劃一套套系統(tǒng)化的的安全設(shè)計(jì)計(jì)流程，確確保網(wǎng)絡(luò)應(yīng)應(yīng)用程序的的安全。系系統(tǒng)發(fā)展生生命周期(Systtems Deveelopmment Lifee Cyccle,簡(jiǎn)簡(jiǎn)稱SDLLC)是大大部分信息息應(yīng)用系統(tǒng)統(tǒng)設(shè)計(jì)的參參考模型，即即一套應(yīng)用用程序軟件件的發(fā)展需需要?dú)v經(jīng)分析、設(shè)計(jì)、建構(gòu)構(gòu)、測(cè)測(cè)試、系統(tǒng)維護(hù)護(hù)至下一一次的需求求產(chǎn)生，這這一周期就就是系統(tǒng)發(fā)發(fā)展生命周周期。安全全系統(tǒng)發(fā)展展生命周期期(Sec

31、curitty Syystemms Deeveloopmennt Liife CCyclee )便是是泛指在軟軟件開發(fā)生生命周期中中，應(yīng)考慮慮的信息安安全措施及及注意事項(xiàng)項(xiàng)。3.2.22 對(duì)網(wǎng)站程程序的源代代碼進(jìn)行弱弱點(diǎn)檢測(cè)建議導(dǎo)入自自動(dòng)化網(wǎng)頁(yè)頁(yè)應(yīng)用程序序源代碼安安全檢測(cè)體體系。不可否認(rèn)的的，早期所所開發(fā)的應(yīng)應(yīng)用程序，皆皆以功能能性著眼眼，欠缺安全性的安全認(rèn)認(rèn)識(shí)與危機(jī)機(jī)意識(shí)，因因此在程序序編寫中較較少考慮到到安全性性的問(wèn)題題，因此不不小心便導(dǎo)導(dǎo)致所開發(fā)發(fā)的 Weeb 應(yīng)用用系統(tǒng)漏洞洞百出，導(dǎo)導(dǎo)致 SQQL Innjecttion、緩沖區(qū)溢溢出（Buufferr-Oveerfloow）、跨跨網(wǎng)站

32、腳本本攻擊（CCrosss-Sitte Sccriptting）等等等 Weeb攻擊。信息安全全的相關(guān)領(lǐng)領(lǐng)域知識(shí)包包含操作作系統(tǒng)、開發(fā)工工具、網(wǎng)站平臺(tái)臺(tái)、程程序邏輯、程序序編譯、程序執(zhí)執(zhí)行以及及種種通訊訊協(xié)議原理理，并非程程序開發(fā)人人員的專業(yè)業(yè)領(lǐng)域，因因此如何快快速有效地地針對(duì)單位位內(nèi)現(xiàn)有與與未來(lái)開發(fā)發(fā)建設(shè)的 Web 應(yīng)用系統(tǒng)統(tǒng)進(jìn)行定期期或者不定定期檢驗(yàn)其其可能的源源代碼弱點(diǎn)點(diǎn)與漏洞，需需要一套有有系統(tǒng)有效效率的WWeb 應(yīng)應(yīng)用系統(tǒng)原原代碼自動(dòng)動(dòng)檢測(cè)系統(tǒng)統(tǒng)，有助助于提早發(fā)發(fā)現(xiàn)并評(píng)估估風(fēng)險(xiǎn)，提提早進(jìn)行源源代碼改寫寫與修補(bǔ)動(dòng)動(dòng)作。Web 應(yīng)應(yīng)用系統(tǒng)原原代碼自動(dòng)動(dòng)檢測(cè)系統(tǒng)統(tǒng)所提供的的服務(wù)特色色為：針

33、對(duì)程序源源代碼檢測(cè)測(cè)結(jié)果與報(bào)報(bào)告，提供供程序源代代碼弱點(diǎn)點(diǎn)深度分析析與弱弱點(diǎn)嚴(yán)重性性分析等等風(fēng)險(xiǎn)高低低評(píng)估計(jì)分分與圖表，協(xié)協(xié)助程序開開發(fā)人員規(guī)規(guī)劃安排程程序源代碼碼弱點(diǎn)安全全問(wèn)題修復(fù)復(fù)的優(yōu)先級(jí)級(jí)。清楚標(biāo)明程程序源代碼碼弱點(diǎn)安全全問(wèn)題的結(jié)結(jié)果與源頭頭，協(xié)助開開發(fā)與項(xiàng)目目管理人員員了解程序序源代碼弱弱點(diǎn)安全問(wèn)問(wèn)題之發(fā)生生程序行數(shù)數(shù)與弱點(diǎn)來(lái)來(lái)源，必須須包含下列列信息：可與本案Web 應(yīng)用系統(tǒng)統(tǒng)安全防火火墻的安安全訪問(wèn)策策略聯(lián)動(dòng)，解解決復(fù)雜的的應(yīng)用防火火墻配置問(wèn)問(wèn)題。3.2.33 導(dǎo)入網(wǎng)頁(yè)頁(yè)應(yīng)用程序序漏洞列表表作為審計(jì)計(jì)項(xiàng)目開放網(wǎng)頁(yè)應(yīng)應(yīng)用程序安安全計(jì)劃(Openn Webb Appplicaation

34、n Seccuritty Prrojecct, 以以下簡(jiǎn)稱OOWASPP)致力協(xié)協(xié)助企業(yè)和和政府機(jī)關(guān)關(guān)(構(gòu))能夠理解解和提高網(wǎng)網(wǎng)頁(yè)應(yīng)用程程序的安全全性，并關(guān)關(guān)注最嚴(yán)重重的漏洞。OWASSP于2010年年最新公布布的十大信信息安全漏漏洞(OWWASP Top 10)是一個(gè)個(gè)需要立刻刻處理的應(yīng)應(yīng)用程序安安全漏洞。這些安全全漏洞包括括：Crosss-Sitte Sccriptting（跨跨站腳本攻攻擊）。網(wǎng)網(wǎng)頁(yè)應(yīng)用程程序直接將將來(lái)自使用用者的執(zhí)行行請(qǐng)求送回回瀏覽器執(zhí)執(zhí)行，使得得攻擊者可可擷取使用用者的Coookiee或Sesssion數(shù)數(shù)據(jù)而能直直接登入成成使用者。Injecctionn Flaaw

35、：網(wǎng)頁(yè)頁(yè)應(yīng)用程序序執(zhí)行來(lái)自自外部包括括數(shù)據(jù)庫(kù)在在內(nèi)的惡意意指令，SSQL注入入,命令注入入等攻擊包包括在內(nèi)。Malicciouss Fille Exxecuttion：網(wǎng)頁(yè)應(yīng)用用程序引入入來(lái)自外部部的惡意檔檔案并執(zhí)行行檔案內(nèi)容容。Inseccure Direect OObjecct Reefereence：攻擊者利利用網(wǎng)頁(yè)應(yīng)應(yīng)用程序本本身的檔案案讀取功能能任意存取取檔案或重重要數(shù)據(jù)，案案例包括hhttp:/exxamplle/reead.pphp?ffile=./././././././c:boott.iniiCrosss-Sitte Reequesst Foorgerry (CCSRF):

36、已登登入網(wǎng)頁(yè)應(yīng)應(yīng)用程序的的合法使用用者執(zhí)行到到惡意的HHTTP指指令，但網(wǎng)網(wǎng)頁(yè)應(yīng)用程程序卻當(dāng)成成合法需求求處理，使使得惡意指指令被正常常執(zhí)行，案案例包括社社交網(wǎng)站分分享的 QQuickkTimee、Flassh影片中中藏有惡意意的HTTTP請(qǐng)求。Inforrmatiion LLeakaage aand IImprooper Erroor Haandliing：網(wǎng)網(wǎng)頁(yè)應(yīng)用程程序的執(zhí)行行錯(cuò)誤訊息息包含敏感感數(shù)據(jù)，案案例包括:系統(tǒng)檔案案路徑Brokeen Auuthennticaationn andd Sesssionn Mannagemment：網(wǎng)頁(yè)應(yīng)用用程序中自自行編寫的的身份驗(yàn)證證相關(guān)功能能有

37、缺陷。Inseccure Crypptogrraphiic Sttoragge：網(wǎng)頁(yè)頁(yè)應(yīng)用程序序沒(méi)有對(duì)敏敏感性數(shù)據(jù)據(jù)使用加密密、使用較較弱的加密密算法或?qū)⒚荑€儲(chǔ)存存在容易被被取得之處處。Inseccure Commmuniccatioon：沒(méi)有有在傳送敏敏感性數(shù)據(jù)據(jù)時(shí)使用HHTTPSS或其它加加密方式。Failuure tto Reestriict UURL AAccesss：某些些網(wǎng)頁(yè)因?yàn)闉闆](méi)有權(quán)限限控制，使使得攻擊者者可通過(guò)網(wǎng)網(wǎng)址直接存存取，案例例包括允許許直接修改改Wikii或Blogg網(wǎng)頁(yè)內(nèi)容容。歸咎這些安安全漏洞的的根本原因因，乃在于于網(wǎng)頁(yè)應(yīng)用用程序本身身存在安全全漏洞，忽忽略應(yīng)該

38、注注意的函數(shù)數(shù)處理與防防范來(lái)自使使用者的惡惡意攻擊。倘若這些些安全漏洞洞在開發(fā)與與部署過(guò)程程沒(méi)有被檢檢測(cè)出來(lái)，則則日后就會(huì)會(huì)發(fā)生信息息安全事件件。利用Web 應(yīng)用系統(tǒng)統(tǒng)原代碼自自動(dòng)檢測(cè)系系統(tǒng)所提供的的檢測(cè)服務(wù)務(wù)可事先發(fā)發(fā)現(xiàn)網(wǎng)站所所潛藏的上上述安全漏漏洞。3.2.44 部署Weeb應(yīng)用防防火墻進(jìn)行行防御導(dǎo)入網(wǎng)頁(yè)應(yīng)應(yīng)用程序防防火墻系統(tǒng)統(tǒng)的好處在在于：網(wǎng)站源代碼碼檢測(cè)階段段：在修補(bǔ)源代代碼中存在在的安全隱隱患之前（可可能因?yàn)殚_開發(fā)團(tuán)隊(duì)變變更、服務(wù)務(wù)無(wú)法暫停停等原因暫暫時(shí)無(wú)法對(duì)對(duì)安全隱患患進(jìn)行修補(bǔ)補(bǔ)），則依依靠網(wǎng)頁(yè)應(yīng)應(yīng)用程序防防火墻系統(tǒng)統(tǒng)提供Weeb應(yīng)用安安全防護(hù)，從從而保證網(wǎng)網(wǎng)站應(yīng)用的的安全性；網(wǎng)站

39、安全加加固階段：可以將網(wǎng)頁(yè)頁(yè)應(yīng)用程序序源代碼安安全檢測(cè)系系統(tǒng)檢測(cè)出出的安全問(wèn)問(wèn)題自動(dòng)直直接生成網(wǎng)網(wǎng)頁(yè)應(yīng)用程程序防火墻墻系統(tǒng)所需需使用的安安全防護(hù)規(guī)規(guī)則（Acccesss Pollicy），使使得網(wǎng)頁(yè)應(yīng)應(yīng)用程序源源代碼安全全檢測(cè)系統(tǒng)統(tǒng)與網(wǎng)頁(yè)應(yīng)應(yīng)用程序防防火墻系統(tǒng)統(tǒng)產(chǎn)生互相相聯(lián)動(dòng)，從從而做到網(wǎng)網(wǎng)站應(yīng)用安安全的自動(dòng)動(dòng)化防護(hù)。通過(guò)網(wǎng)頁(yè)應(yīng)應(yīng)用程序防防火墻的部部署，讓訪訪問(wèn)者對(duì)網(wǎng)網(wǎng)站的請(qǐng)求求，以及網(wǎng)網(wǎng)站預(yù)計(jì)響響應(yīng)給訪問(wèn)問(wèn)者的顯示示網(wǎng)頁(yè)，都都經(jīng)過(guò)WWeb 應(yīng)應(yīng)用系統(tǒng)安安全防火墻墻全程檢檢查與檢視視其安全全性、合法性與正確確性，如如有任何非法行為為，自動(dòng)動(dòng)阻斷非非法行為或者重重置合法與與合適的響響應(yīng)，讓讓使用

40、者者與系系統(tǒng)管理者者都可以以繼續(xù)安安心的運(yùn)運(yùn)作。Web 應(yīng)用系統(tǒng)統(tǒng)安全防火火墻部署署架構(gòu)如下下圖：3.3WWEB應(yīng)用用防火墻功功能3.3.11 集中管控控功能同一解決方方案除了提提供硬件式式應(yīng)用防護(hù)護(hù)設(shè)備外，可可依實(shí)際需需求選擇將將軟件式應(yīng)應(yīng)用防火墻墻系統(tǒng)安裝裝于Webb服務(wù)器主主機(jī)上，不不需要調(diào)整整網(wǎng)絡(luò)與系系統(tǒng)架構(gòu)。支持【集中中叢集控管管(Cluusterr Mannagemment)】方式，通通過(guò)統(tǒng)一集集中管理接接口，同時(shí)時(shí)管理與安安全防護(hù)規(guī)規(guī)則部署多多臺(tái)Weeb 應(yīng)用用系統(tǒng)軟件件式防火墻墻系統(tǒng)。支持集群內(nèi)內(nèi)各臺(tái)WWeb 應(yīng)應(yīng)用系統(tǒng)軟軟件式防火火墻系統(tǒng)運(yùn)行狀態(tài)態(tài)，如有異異常，立即即顯示。具

41、備多管理理者、多網(wǎng)網(wǎng)站群組的的權(quán)限管理理能力，提提供讓特定定管理者管管理特定網(wǎng)網(wǎng)站群組安安全防護(hù)規(guī)規(guī)則的能力力內(nèi)建Weeb 應(yīng)用用系統(tǒng)軟件件式防火墻墻系統(tǒng)紀(jì)紀(jì)錄查詢與與查看工具具，方便實(shí)實(shí)時(shí)分析，提提供多重條條件過(guò)濾查查詢功能，無(wú)無(wú)須額外購(gòu)購(gòu)置審計(jì)報(bào)報(bào)表分析工工具。提供符合法法規(guī)遵循角角度需求的的審計(jì)紀(jì)錄錄，詳細(xì)紀(jì)紀(jì)錄系統(tǒng)的的操作與變變更，方便便審計(jì)人員員查驗(yàn)。提供統(tǒng)計(jì)報(bào)報(bào)表能力，提提供多種預(yù)預(yù)設(shè)統(tǒng)計(jì)圖圖表，支持持自定義設(shè)設(shè)定分析范范圍與時(shí)間間區(qū)段，產(chǎn)產(chǎn)生滿足單單位需求與與法規(guī)遵循循要求的報(bào)報(bào)表。提供直接過(guò)過(guò)濾防護(hù) SSL加加密網(wǎng)頁(yè)的的機(jī)制，安安裝部署時(shí)時(shí)，不需要要更改 SSSL 密密鑰存放位

42、位置，避免免密鑰管理理的額外問(wèn)問(wèn)題。3.3.22 防護(hù)功能可防御下列列19大類(含)以上網(wǎng)頁(yè)頁(yè)攻擊型態(tài)態(tài)，超過(guò)110,0000種(含)以上網(wǎng)頁(yè)頁(yè)攻擊方法法。支持下列OOWASPP Topp 10十十大網(wǎng)頁(yè)應(yīng)應(yīng)用程序弱弱點(diǎn)的攻擊擊模式。提供輸入入驗(yàn)證(IInputt Vallidattion)處理機(jī)機(jī)制，提供供黑名單或或者白名單單方式驗(yàn)證證使用者輸輸入內(nèi)容數(shù)數(shù)據(jù)的類型型、范圍、格式與長(zhǎng)長(zhǎng)度。提供客戶戶端瀏覽器器存取權(quán)限限的管理理能力，可可以限制存存取網(wǎng)站的的客戶端IIP地址、使用的瀏瀏覽器版本本、網(wǎng)頁(yè)開開放存取的的時(shí)間范圍圍 以及SSLL加密的強(qiáng)強(qiáng)度等等存存取條件。提供網(wǎng)頁(yè)頁(yè)存取身份份驗(yàn)證(AA

43、utheenticcatioon)處處理機(jī)制，讓讓缺乏賬號(hào)號(hào)密碼等權(quán)權(quán)限管理的的網(wǎng)頁(yè)具備備身份驗(yàn)證證能力。提供網(wǎng)頁(yè)頁(yè)存取安全全會(huì)話(SSecurre Seessioon)處處理機(jī)制，保保護(hù)客戶端端瀏覽器CCookiie的安全全使用，降降低 Coookiee 外泄的的機(jī)率。提供網(wǎng)頁(yè)頁(yè)上傳下載載雙向過(guò)濾濾保護(hù)功功能，通過(guò)過(guò)關(guān)鍵詞過(guò)過(guò)濾網(wǎng)站惡惡意內(nèi)容或或不當(dāng)文字字，或是防防止機(jī)敏數(shù)數(shù)據(jù)外泄。針對(duì)網(wǎng)頁(yè)敏敏感信息，例例如：信用用卡信息、身份證號(hào)號(hào)等隱私數(shù)數(shù)據(jù)，提供供自動(dòng)屏屏蔽(Auuto MMask/XXX)功能機(jī)機(jī)制，避免免單位機(jī)密密數(shù)據(jù)或者者個(gè)人隱私私外泄。提供反釣釣魚(Annti-PPhishhi

44、ng)功能，可可通過(guò)黑、白或灰名名單方式限限制釣魚網(wǎng)網(wǎng)站引用主主網(wǎng)站的內(nèi)內(nèi)容。通過(guò) Reefereence Checckingg 強(qiáng)制網(wǎng)網(wǎng)站的使用用方式，防防止網(wǎng)站內(nèi)內(nèi)容遭受未未經(jīng)合法授授權(quán)的強(qiáng)強(qiáng)迫瀏覽或者盜盜連。內(nèi)建安全全防護(hù)規(guī)則則設(shè)定向向?qū)?，根?jù)據(jù)實(shí)際需求求與環(huán)境提提供彈性與與自定義安安全防護(hù)規(guī)規(guī)則的設(shè)定定功能。提供安全防防護(hù)規(guī)則集集的版本本管理機(jī)機(jī)制，并且且支持版版本回溯(Rolllbackk)功能能。支持人工智智能安全防防護(hù)規(guī)則學(xué)習(xí)模式式，提供供網(wǎng)站系統(tǒng)統(tǒng)安全防護(hù)護(hù)規(guī)則設(shè)定定的建議。支持下列操操作系統(tǒng)：Winddows、Linuux 與 Uniix-Liike 作作業(yè)系統(tǒng)可與Weeb

45、應(yīng)用用系統(tǒng)源代代碼自動(dòng)檢檢測(cè)系統(tǒng)所生成的的安全防護(hù)規(guī)規(guī)則聯(lián)動(dòng)。3.4 預(yù)預(yù)期效益通過(guò)Weeb應(yīng)用系系統(tǒng)安全防防火墻與與網(wǎng)站源源代碼弱點(diǎn)點(diǎn)檢測(cè)的的部署與導(dǎo)導(dǎo)入，預(yù)期期達(dá)到的效效益與目標(biāo)標(biāo)：。對(duì)在線運(yùn)作作的網(wǎng)站應(yīng)應(yīng)用程序進(jìn)進(jìn)行防護(hù)，降降低被黑風(fēng)風(fēng)險(xiǎn)：通過(guò)網(wǎng)頁(yè)應(yīng)應(yīng)用程序防防火墻的部部署，讓使使用者對(duì)網(wǎng)網(wǎng)站的請(qǐng)求求，以及網(wǎng)網(wǎng)站預(yù)計(jì)響響應(yīng)給使用用者的顯示示網(wǎng)頁(yè)，都都經(jīng)過(guò)WWeb 應(yīng)應(yīng)用系統(tǒng)安安全防火墻墻全程檢檢查與檢視視其安全全性、合法性與正確確性，如如有任何非法行為為，自動(dòng)動(dòng)阻斷非非法行為或者重重置合法與與合適的響響應(yīng)，讓讓使用者者與系系統(tǒng)管理者者都可以以繼續(xù)安安心的運(yùn)運(yùn)作。在網(wǎng)站程序序漏洞被黑黑客利

46、用前前，即可進(jìn)進(jìn)行修補(bǔ)，以以治本方式式根除漏洞洞：利用網(wǎng)站站程序的源源代碼弱點(diǎn)點(diǎn)檢測(cè)系統(tǒng)統(tǒng)，可例例行對(duì)在線線運(yùn)作的網(wǎng)網(wǎng)站程序源源代碼進(jìn)行行掃描與檢檢測(cè)，以清清楚存在哪哪些已知的的弱點(diǎn)與漏漏洞，并計(jì)計(jì)劃性的依依據(jù)嚴(yán)重度度進(jìn)行修補(bǔ)補(bǔ)改寫，以以根除這些些漏洞，提提高網(wǎng)站的的安全性。培養(yǎng)開發(fā)團(tuán)團(tuán)隊(duì)編寫高高安全性的的網(wǎng)頁(yè)程序序代碼與安安全網(wǎng)站能能力：藉由網(wǎng)站源源代碼的掃掃描報(bào)告解解讀與程序序代碼修正正程序。讓讓開發(fā)團(tuán)隊(duì)隊(duì)的程序開開發(fā)人員，熟熟悉高安全全性的網(wǎng)頁(yè)頁(yè)程序的編編寫方法，進(jìn)進(jìn)而養(yǎng)成良良好的編寫寫與測(cè)試習(xí)習(xí)慣。四、內(nèi)容分分發(fā)網(wǎng)絡(luò)解解決方案4.1 內(nèi)內(nèi)容分發(fā)網(wǎng)網(wǎng)絡(luò)簡(jiǎn)介內(nèi)容分發(fā)網(wǎng)網(wǎng)絡(luò)（CDDN, CC

47、onteent DDistrributtion Netwwork）服務(wù)=智能的網(wǎng)站鏡像+頁(yè)面緩存+流量導(dǎo)流。CDN所做做的，就是是為互聯(lián)網(wǎng)網(wǎng)上的內(nèi)容容提供EMMS 服務(wù)務(wù)，在最正正確的時(shí)間間用最正確確的手段，把把最正確的的內(nèi)容，推推送到最正正確的地點(diǎn)點(diǎn)（訪問(wèn)客戶），能能夠幫助用用戶解決分分布式存儲(chǔ)儲(chǔ)、負(fù)載均均衡、網(wǎng)絡(luò)絡(luò)請(qǐng)求的重重定向和網(wǎng)網(wǎng)站內(nèi)容管管理等問(wèn)題題。其目的是是通過(guò)在現(xiàn)現(xiàn)有的Innternnet 中中增加一層層新的網(wǎng)絡(luò)絡(luò)架構(gòu)，將將網(wǎng)站的內(nèi)內(nèi)容發(fā)布到到最接近用用戶的網(wǎng)絡(luò)絡(luò)“邊緣”，使網(wǎng)站訪訪問(wèn)用戶可可以就近取取得所需的的網(wǎng)頁(yè)內(nèi)容，解解決 Innternnet網(wǎng)絡(luò)絡(luò)擁塞狀況況、提高用用戶訪

48、問(wèn)網(wǎng)網(wǎng)站的響應(yīng)應(yīng)速度。從從技術(shù)全面面解決由于于網(wǎng)絡(luò)帶寬寬小、用戶戶訪問(wèn)量大大、網(wǎng)點(diǎn)分分布不均而而產(chǎn)生的用用戶訪問(wèn)網(wǎng)網(wǎng)站響應(yīng)速速度慢的根根本原因。CDN 網(wǎng)網(wǎng)絡(luò)營(yíng)造了了一個(gè)網(wǎng)絡(luò)絡(luò)運(yùn)營(yíng)環(huán)境境，不僅能能夠提供以以網(wǎng)絡(luò)加速速為基礎(chǔ)的的系列服務(wù)務(wù)，包括針針對(duì)網(wǎng)頁(yè)、流媒體、文件傳輸輸、文件播播放等內(nèi)容容提供加速速，還能提提供一些相相關(guān)的增值值服務(wù)以更更有效地滿滿足客戶在在這些應(yīng)用用方面的需需求。4.2 CDN服服務(wù)功能眾所周知，互互聯(lián)網(wǎng)的訪訪問(wèn)速度取取決于眾多多的因素，包包括Intterneet網(wǎng)絡(luò)傳傳輸質(zhì)量、國(guó)內(nèi)南北北互聯(lián)互通問(wèn)題題、網(wǎng)站服服務(wù)器性能能、網(wǎng)站出出口帶寬、網(wǎng)頁(yè)程架架構(gòu)和網(wǎng)頁(yè)頁(yè)內(nèi)容類型型等等

49、。CCDN網(wǎng)頁(yè)頁(yè)加速產(chǎn)品品采用全球球智能域名名解析系統(tǒng)統(tǒng)和高速緩緩存等專業(yè)業(yè)技術(shù)，通通過(guò)遍布全全球的CDDN 網(wǎng)絡(luò)絡(luò)把網(wǎng)頁(yè)內(nèi)內(nèi)容分發(fā)到到離網(wǎng)民最最近的邊緣緣節(jié)點(diǎn)上，繞繞過(guò)國(guó)內(nèi)以以及跨國(guó)的的傳輸擁塞塞影響，突突破源站出出口帶寬和和性能屏障障，訪問(wèn)用用戶可以從從最適合的的節(jié)點(diǎn)上獲獲得所需的的內(nèi)容，從從而提高網(wǎng)網(wǎng)站的訪問(wèn)問(wèn)速度和質(zhì)質(zhì)量。CDN 網(wǎng)頁(yè)加速速產(chǎn)品支持持SSL 加密，網(wǎng)網(wǎng)頁(yè)壓縮，防防盜鏈等功功能：網(wǎng)頁(yè)壓縮功功能：支持網(wǎng)站本本身的壓縮縮功能，同同時(shí)能夠幫幫助未實(shí)現(xiàn)現(xiàn)壓縮功能能的網(wǎng)站提提供壓縮服服務(wù)，通過(guò)過(guò)壓縮數(shù)據(jù)據(jù)大小的改改變，減少少數(shù)據(jù)傳輸輸?shù)臅r(shí)間，節(jié)節(jié)省傳輸?shù)牡膸?，使使?yè)面顯示示速度自

50、然然提高。防盜鏈功能能：基于時(shí)間或或者用戶IIP 對(duì)URL 進(jìn)行加密密和驗(yàn)證，幫幫助網(wǎng)站防防止盜鏈現(xiàn)現(xiàn)象。地域化內(nèi)容容服務(wù)功能能：根據(jù)訪問(wèn)用用戶的地域域不同，將將用戶的訪訪問(wèn)請(qǐng)求分分配到相應(yīng)應(yīng)的CDNN 節(jié)點(diǎn)上上進(jìn)行響應(yīng)應(yīng)，從而為為來(lái)自不同同地域用戶戶提供針對(duì)對(duì)該地域投投放的特色色內(nèi)容，使使得網(wǎng)站內(nèi)內(nèi)容更加有有針對(duì)性，實(shí)實(shí)現(xiàn)個(gè)性化化服務(wù)。4.3CCDN服務(wù)務(wù)特點(diǎn)安全的分發(fā)發(fā)內(nèi)容CDN 節(jié)節(jié)點(diǎn)前端都都有可以抵抵御幾十萬(wàn)萬(wàn)級(jí)別DDDoS 攻擊的的設(shè)備，智智能的全域域負(fù)載均衡衡系統(tǒng)會(huì)根根據(jù)攻擊路路線改變用用戶訪問(wèn)目目的地，保保障用戶訪訪問(wèn)不受攻攻擊影響。在整個(gè)分分發(fā)網(wǎng)絡(luò)中中除了網(wǎng)絡(luò)絡(luò)層有加密密校驗(yàn)機(jī)

51、制制，分發(fā)的的文件會(huì)攜攜帶特定的的加密碼，在在傳送到最最終目的地地后進(jìn)行校校驗(yàn)完畢后后確認(rèn)文件件在傳輸過(guò)過(guò)程中沒(méi)有有缺失和修修改，返回回給中央分分發(fā)服務(wù)系系統(tǒng)安全到到達(dá)的信息息，且服務(wù)務(wù)器采用專專有OS 架構(gòu)，即即使遭到攻攻擊黑客也也無(wú)法篡改改用戶內(nèi)容容，保證分分發(fā)內(nèi)容的的安全性和和完整性。完善的日志志分析完善的日志志分析功能能，可以根根據(jù)用戶個(gè)個(gè)性需求，制制定多重樣樣式的日志志分析報(bào)告告，包括用用戶訪問(wèn)行行為分析、用戶來(lái)源源地分析、網(wǎng)站點(diǎn)擊擊率分析等等。并可以以提供自動(dòng)動(dòng)報(bào)表生成成。網(wǎng)站流量及及時(shí)報(bào)告提供在線的的瀏覽訪問(wèn)問(wèn)量接口，使使用戶隨時(shí)時(shí)了解網(wǎng)站站運(yùn)轉(zhuǎn)狀況況。網(wǎng)站異常告告警當(dāng)網(wǎng)站發(fā)生生

52、非正常訪訪問(wèn)量激增增或網(wǎng)站源源不可達(dá)時(shí)時(shí)，會(huì)及時(shí)時(shí)發(fā)送EMMAIL到到用戶信箱箱告知狀況況并及時(shí)電電話通知，使使得網(wǎng)站安安全可靠。網(wǎng)站鏡像可以提供用用戶網(wǎng)站異異地鏡像功功能，保證證源站發(fā)生生狀況后，可可以借用CCDN節(jié)點(diǎn)點(diǎn)上的網(wǎng)站站為用戶提提供暫時(shí)的的頁(yè)面訪問(wèn)問(wèn)服務(wù)。網(wǎng)站頁(yè)面訪訪問(wèn)性能優(yōu)優(yōu)化降低源站對(duì)對(duì)高帶寬的的需求，并并減低源站站服務(wù)器的的訪問(wèn)壓力力。五、負(fù)載均均衡解決方方案CDN服務(wù)務(wù)為訪問(wèn)用用戶提供更更快的網(wǎng)站站訪問(wèn)速度度，并降低低源站的訪訪問(wèn)壓力。而源站本本地則可以以采用服務(wù)務(wù)器負(fù)載均均衡（SLLB, SServeer Looad BBalannce）技技術(shù)方案進(jìn)進(jìn)一步降低低源站的訪訪

53、問(wèn)中斷風(fēng)風(fēng)險(xiǎn)。更完完善的負(fù)載載均衡方案案是采用廣廣域負(fù)載均均衡（GLLSB, Globbal SServeer Looad BBalannce）技技術(shù)為應(yīng)用用網(wǎng)站提供供不同地域域的主用/備用用站點(diǎn)架構(gòu)，5.1 服服務(wù)器負(fù)載載均衡如上圖示，假假設(shè)在Innternnet 上上提供兩個(gè)個(gè)服務(wù)，分分別為Woorld Widee Webb 服務(wù)(1992.1668.100.1)與與E-coommerrce 服服務(wù)(1992.1668.100.2)，而而今我們?cè)谠诜阑饓εc與交換機(jī)之之間加入了了SLB，此此設(shè)備在OOSI/IISO 七七層架構(gòu)中中屬于三到到七層的設(shè)設(shè)備，因此此可以整合合不同平臺(tái)臺(tái)、新舊不不同

54、的服務(wù)務(wù)器，另外外、服務(wù)器器也由一臺(tái)臺(tái)增加至三三臺(tái)，我們們稱為服務(wù)務(wù)器農(nóng)場(chǎng)(Servver FFarm), 并且且將原本屬屬于服務(wù)器器的IP 地址移到到SLB 設(shè)備上，對(duì)對(duì)使用者而而言依然是是存取此IIP 上的的服務(wù)，沒(méi)沒(méi)有改變。因此，必必須指定另另外一個(gè)網(wǎng)網(wǎng)段的IPP 給原來(lái)來(lái)的服務(wù)器器使用。此此時(shí)，SLLB 設(shè)備備除對(duì)外提提供服務(wù)，對(duì)對(duì)內(nèi)做到下下列的功能能： 網(wǎng)絡(luò)地址轉(zhuǎn)轉(zhuǎn)換(Neetworrk Adddresss Trransllatioon, NNAT)：利用此技術(shù)術(shù)將內(nèi)部的的虛擬IPP 對(duì)應(yīng)到到外部的真真實(shí)IP(視提供的的服務(wù)而定定，在此例例中有二個(gè)個(gè)IP 需做做NAT)，如此一一來(lái)便

55、可以以解決用一一個(gè)IP 來(lái)代替許許多不同的的IP 的問(wèn)問(wèn)題。有效分配負(fù)負(fù)載流量：如何將由IInterrnet 上的流量量分配到后后端的服務(wù)務(wù)器上，其其中包含了了那一臺(tái)服服務(wù)器該負(fù)負(fù)責(zé)較多的的工作，或或是一視同同仁的照次次序分配而而不考慮效效能等因素素，我們稱稱為負(fù)載平平衡模式(Loadd Ballancee Modde)。Healtth chheck 機(jī)制：為了使SLLB 設(shè)備備可以有效效掌控后端端服務(wù)器的的狀況，必必須定期自自動(dòng)檢查服服務(wù)器的運(yùn)運(yùn)作情形，以以免發(fā)生將將使用者數(shù)數(shù)據(jù)請(qǐng)求引引導(dǎo)至發(fā)生生故障或是是過(guò)于忙碌碌的服務(wù)器器上的情形形。Fail-Overr 機(jī)制：一旦SLBB 架構(gòu)建建置完

56、成，SLB 設(shè)備便成為非常重要的一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)。一旦發(fā)生故障，整個(gè)服務(wù)便會(huì)中斷，因此備援是非常重要的課題，理想的備援機(jī)制是在完全不影響使用者的前提下完成取代故障設(shè)備并提供服務(wù)的工作，一般我們也稱之為高可靠度(High Availability)。5.2 廣廣域負(fù)載均均衡廣域負(fù)載均均衡（GSSLB，GGlobaal Seerverr Loaad Baalancce）是一一種將SLLB的概念念擴(kuò)展到廣廣域范圍的的技術(shù)，與與SLB在在一個(gè)單獨(dú)獨(dú)的節(jié)點(diǎn)上上為一組服服務(wù)器提供供負(fù)載均衡衡服務(wù)不同同，GSLLB提供了了一種對(duì)多多個(gè)不同地域的的服務(wù)器群群(多個(gè)節(jié)節(jié)點(diǎn))提供供負(fù)載均衡衡的服務(wù)，在在實(shí)現(xiàn)上可可以分

57、為兩兩個(gè)方面，一一方面是如如何實(shí)現(xiàn)將將用戶的請(qǐng)請(qǐng)求指向到到選定的節(jié)節(jié)點(diǎn)上，一一方面是研研究如何確確定最佳的的站點(diǎn)。GGSLB服服務(wù)可以對(duì)對(duì)分布在不不同地域的的多個(gè)源站站服務(wù)器群群提供廣域域負(fù)載均衡衡服務(wù)，采采用DNSS解析的方方式來(lái)實(shí)現(xiàn)現(xiàn)用戶訪問(wèn)問(wèn)重定向，同同時(shí)采用智智能策略確確定最佳源源站點(diǎn)，提提高了服務(wù)務(wù)的可用性性和系統(tǒng)性性能。原理說(shuō)明：廣域負(fù)載載均衡在DDNS解析析階段實(shí)現(xiàn)現(xiàn)：1）客戶端端針對(duì)一個(gè)個(gè)域名（DDomaiin）發(fā)送送一個(gè)DNNS請(qǐng)求。2）廣域負(fù)負(fù)載均衡由由一系列算算法返回一一個(gè)最優(yōu)ssite的的IP（延延時(shí)最小、距離最近近等）。3）客戶端端向此IPP發(fā)起連接接請(qǐng)求。4）當(dāng)客戶

58、戶端向某IIP發(fā)起訪訪問(wèn)連接請(qǐng)請(qǐng)求時(shí)，執(zhí)執(zhí)行（本地地）服務(wù)器器負(fù)載均衡衡（SLBB），負(fù)載均衡衡設(shè)備根據(jù)據(jù)最優(yōu)算法法選擇服務(wù)務(wù)器和相應(yīng)應(yīng)的服務(wù)轉(zhuǎn)轉(zhuǎn)發(fā)請(qǐng)求，如如上圖所示。5.3 關(guān)關(guān)鍵功能和和特點(diǎn)Web交換換完全支持UURL交換換，根據(jù)UURL和HHTTP信信息分配流流量。每個(gè)個(gè) URLL 都可以以重定向到到某服務(wù)器器，或在多多個(gè)服務(wù)器器之間進(jìn)行行負(fù)載均衡衡，從而提提供優(yōu)化的的Web交換換性能。根根據(jù)URLL文本中包包含的信息息，可以保保持客戶持持續(xù)性，從從而保證內(nèi)內(nèi)容的個(gè)性性化。通過(guò)負(fù)載均均衡優(yōu)化服服務(wù)器資源源支持的負(fù)載載均衡演算算法至少包包含，輪詢 (CCycliic)最少用戶數(shù)數(shù) (Lee

59、ast userrs)最少數(shù)據(jù)包包數(shù) (LLeastt paccketss)最少字節(jié)數(shù)數(shù) (Leeast bytees)最快回應(yīng)時(shí)時(shí)間 (FFasteed Reesponnse TTime) SNMP定定制 (SSNMP custtomizzed)健康狀況檢檢查可以監(jiān)視服服務(wù)器在IIP、TCCP、UDDP、應(yīng)用用和內(nèi)容等等所有協(xié)議議層上的工工作狀態(tài)。如果發(fā)現(xiàn)現(xiàn)故障，訪訪問(wèn)用戶即即被透明地地重定向到到正常工作作的服務(wù)器器上。完全的容錯(cuò)錯(cuò)與冗余雙機(jī)備援架架構(gòu)方式提提供設(shè)備間間的完全容容錯(cuò)，以確確保網(wǎng)絡(luò)最最大的可用用性。兩個(gè)個(gè)設(shè)備通過(guò)過(guò)網(wǎng)絡(luò)相互互檢查各自自的工作狀狀態(tài)，為其其所管理的的應(yīng)用保障障完全

60、的網(wǎng)網(wǎng)絡(luò)可用性性。它們可可工作于主用-備備用模式或主用-主主用模式，在在主用-主主用模式下，因因?yàn)閮蓚€(gè)設(shè)設(shè)備都處于于工作狀態(tài)態(tài)，從而最最大限度地地保護(hù)了投投資。并且且所有的訪訪問(wèn)會(huì)話信信息都可在在設(shè)備間進(jìn)進(jìn)行鏡像，從從而提供透透明的冗余余和完全的的容錯(cuò)，確確保在任何何時(shí)候用戶戶都可以獲獲得網(wǎng)站訪訪問(wèn)的最佳佳服務(wù)。通過(guò)正常退退出服務(wù)保保證穩(wěn)定運(yùn)運(yùn)行當(dāng)需要進(jìn)行行服務(wù)器升升級(jí)或系統(tǒng)統(tǒng)維護(hù)時(shí)，負(fù)載均衡設(shè)備可保證穩(wěn)定的服務(wù)器退出服務(wù)以避免網(wǎng)站訪問(wèn)中斷。當(dāng)選定某臺(tái)服務(wù)器要退出負(fù)載均衡服務(wù)后，新的訪問(wèn)連接將不會(huì)被指向該服務(wù)器。應(yīng)用安全DDoS保保護(hù)：識(shí)別和保保護(hù)應(yīng)用基基礎(chǔ)架構(gòu)不不受DoSS/DDooS攻擊。