1、XX大學網(wǎng)站及WEB應(yīng)用系統(tǒng)安全解決方案上海天泰網(wǎng)絡(luò)技術(shù)有限公司2013年03月目 錄一、教育行業(yè)WEB應(yīng)用安全概述5二、教育行業(yè)網(wǎng)站現(xiàn)狀分析52.1.WEB系統(tǒng)容易受到應(yīng)用攻擊威脅52.2.WEB系統(tǒng)缺乏詳盡的審計62.3.WEB系統(tǒng)缺乏有效的訪問控制機制62.4.WEB安全事件6三、解決方案7第四章 天泰WEB安全防護系統(tǒng)94.1安全防護功能104.1.1策略的覆蓋完整度104.1.2策略適應(yīng)性114.1.3學習引擎與白名單模式、主動防御時代的到來114.1.4基于狀態(tài)的分析114.1.5與網(wǎng)絡(luò)層聯(lián)動的防御技術(shù)124.2日志審計與管理124.2.1安全日志124.2.2訪問日志134.3性

2、能優(yōu)化方案134.3.1站點集群技術(shù)144.3.2負載均衡144.3.3 WEB加速154.4訪問控制與SSL加速154.4.1 時域、地域鎖定服務(wù)154.4.2 SSL認證服務(wù)164.4.3 URL認證技術(shù)17第五章 產(chǎn)品的選型與部署175.1安全產(chǎn)品的設(shè)計與選型175.1.1產(chǎn)品設(shè)計目標175.1.2產(chǎn)品選型原則175.1.3 產(chǎn)品選型參考185.2安全產(chǎn)品的部署與實施215.2.1 產(chǎn)品部署分析215.2.2 產(chǎn)品部署方式22第六章 產(chǎn)品售后服務(wù)體系236.1、國內(nèi)范圍的支持236.2、Internet技術(shù)支持236.3、電話熱線支持236.4、傳真技術(shù)支持236.5、遠程登錄支持236

3、.6、定期提供安全通告236.7、保持經(jīng)常性的聯(lián)系246.8、響應(yīng)時間246.9、產(chǎn)品保修24版權(quán)信息版權(quán)所有 2011，上海天泰網(wǎng)絡(luò)技術(shù)有限公司本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬上海天泰網(wǎng)絡(luò)技術(shù)有限公司所有，受國家有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)上海天泰網(wǎng)絡(luò)技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標信息天泰、TiTan、TiTansec、T2S2、WAF-T3等標識及其組合是上海天泰網(wǎng)絡(luò)技術(shù)有限公司擁有的商標，受商標法和有關(guān)國際公約的保護。第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標，屬于各自公司

4、或組織所有。一、教育行業(yè)WEB應(yīng)用安全概述教育行業(yè)立足于教育信息、資源的有效開發(fā)和權(quán)威整合，向社會大眾提供有關(guān)教育政策法規(guī)，權(quán)威數(shù)據(jù)查詢，招生考試動態(tài)，職業(yè)技能培訓，就業(yè)招聘，出國留學，教育大典，教育招標，教育博客等內(nèi)容。隨著教育行業(yè)越來越多的應(yīng)用系統(tǒng)以WEB的方式被部署，也給惡意用戶或黑客提供了攻擊途徑，這些系統(tǒng)的敏感數(shù)據(jù)被黑客盜竊和篡改的潛在風險也越來越高?；仡櫘斀癯晒Φ南到y(tǒng)攻擊，很多都是利用了WEB應(yīng)用漏洞。WEB應(yīng)用的安全防護措施依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻、IPS、IDS等對其進行安全防護并不能有效的保證WEB系統(tǒng)的安全，由于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備只能解決WEB應(yīng)用安全的一個方面，而WEB應(yīng)用系

5、統(tǒng)的安全保障需要一個全面的安全防護和性能保障措施才能使之安全、高效、持續(xù)地對外提供服務(wù)。Web應(yīng)用防火墻 (WAF) 代表了一種新的信息安全技術(shù)，WEB應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。用于保護Web站點（或者說Web應(yīng)用程序），使其在受攻擊的情況下表現(xiàn)出更強的抵抗力。在抵御Web攻擊方面，WAF 提供了防火墻和IDS、IPS等常規(guī)信息安全產(chǎn)品所不具備的能力。二、 教育行業(yè)網(wǎng)站現(xiàn)狀分析2.1. WEB系統(tǒng)容易受到應(yīng)用攻擊威脅WEB技術(shù)與應(yīng)用已經(jīng)深入到教育行業(yè)的各個層面，WEB服務(wù)作為教育行業(yè)的信息門戶和業(yè)務(wù)平臺，以其方便

6、性、易擴展性和低成本快速發(fā)展；而WEB系統(tǒng)易受攻擊等問題影響了WEB應(yīng)用的高速發(fā)展。大量WEB應(yīng)用系統(tǒng)被黑客入侵和篡改，甚至被植入木馬攻擊程序，攻擊者利用WEB服務(wù)程序的漏洞（如SQL注入漏洞、跨站腳本漏洞等），對WEB系統(tǒng)進行攻擊，輕則篡改網(wǎng)頁內(nèi)容，重則竊取機密數(shù)據(jù)，造成經(jīng)濟損失或者惡劣影響。2.2. WEB系統(tǒng)缺乏詳盡的審計日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計貯存的形式、內(nèi)容和可提供的建議對安全管理員保持應(yīng)用系統(tǒng)長期安全運行起到重要作用。日志不僅為管理員提供威脅管理的平臺，同時也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細和精確，并可根據(jù)審

7、計的要求對特定數(shù)據(jù)進行篩選和審計。但目前網(wǎng)站缺乏詳細的安全審計，無法有效的掌握用戶的訪問情況。2.3. WEB系統(tǒng)缺乏有效的訪問控制機制由于教育行業(yè)網(wǎng)站眾多，多數(shù)院校目前沒有一個有效的訪問控制機制，如WEB站點的管理后臺通常直接暴露在外網(wǎng)，僅依賴于口令強度和簡易的驗證碼進行訪問控制。這使得黑客更容易找到網(wǎng)站缺陷，對網(wǎng)站安全是不利的，急需要應(yīng)用系統(tǒng)需要對訪問者身份進行識別和授權(quán)，從而保障數(shù)據(jù)的機密性。 2.4. WEB安全事件2011年09月19日，人民網(wǎng)報道：黑客入侵北師大人事處網(wǎng)站 網(wǎng)址被篡改為黃色網(wǎng)站2011年11月18日，北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心的網(wǎng)站遭遇黑客攻擊，網(wǎng)站頁面被

8、篡改為了一個類似于“憤怒的小鳥”的游戲2012年11月14日，內(nèi)蒙古科技大學網(wǎng)站被黑 黑客竟發(fā)深情告白三、 解決方案因為基于WEB的應(yīng)用系統(tǒng)可以通過任意瀏覽器進行訪問，用戶往往更容易訪問到這些系統(tǒng)，從而在一定程度上可以通過這些系統(tǒng)繞過內(nèi)部的安全控制。對大多數(shù)用戶來說，WEB應(yīng)用防火墻系統(tǒng)已經(jīng)成為安全的邊界。使用WEB應(yīng)用防火墻是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到WEB應(yīng)用的多樣性，WEB應(yīng)用防火墻往往只有在針對具體的應(yīng)用精心配置后才能有效地承擔起應(yīng)用保護的角色。沒有正確部署的WEB應(yīng)用防火墻往往會阻斷合法用戶對系統(tǒng)的正常訪問，甚至沒能起到應(yīng)有的左右而讓黑客長驅(qū)直入。WEB應(yīng)用防火墻是一種

9、成熟的可以保護WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)安全設(shè)備。它通過執(zhí)行非常細粒度的安全策略來保證WEB應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于WEB應(yīng)用防火墻所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應(yīng)各種WEB應(yīng)用系統(tǒng)，從而滿足所有的安全需要。WEB 防火墻為WEB應(yīng)用提供了全面的應(yīng)用層保護，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。需要特別指出的是，WEB應(yīng)用防火墻通過自己獨特的WEB對象混淆技術(shù)，大大提高了攻擊者的技術(shù)門檻，甚至能使大部分的普通攻擊者無從下手；獨創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應(yīng)用對象被篡改和偽造。由于攻擊者無法篡改和偽造WEB請求數(shù)據(jù)，攻擊便無法實施。此外

10、，通過與WEB應(yīng)用緊密相連的安全策略的配合，WEB應(yīng)用防火墻能嚴格限制合法用戶的行為，避免了對系統(tǒng)受限資源非法的訪問。通過部署WEB應(yīng)用防火墻，可有效解決WEB系統(tǒng)存在的安全應(yīng)用威脅，通過設(shè)備的主動防御技術(shù)，全面為應(yīng)用系統(tǒng)提供全方位的防護，強化數(shù)據(jù)有效性防護，即常見的跨站腳本攻擊、SQL注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護，提供WEB應(yīng)用或網(wǎng)站的基本安全保障。同時，防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。在必要時，利用SSL加密認證技術(shù)對重要WEB系統(tǒng)進行安全認證，確保數(shù)據(jù)的可靠、有效性。利用WE

11、B應(yīng)用防火墻的報表和即時分析功能，通過分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時調(diào)整安全策略，并針對威脅等級較高的攻擊進行提醒，提出建議性解決辦法。利用WEB應(yīng)用防火墻詳盡紀錄和有效統(tǒng)計用戶對Web應(yīng)用資源的訪問，包括頁面點擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜索引擎關(guān)鍵字等信息，實現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計，便于識別WEB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。WEB應(yīng)用防火墻融合可靠的應(yīng)用層過濾技術(shù)和先進的數(shù)據(jù)加密技術(shù)，具備事前主動防御、事中智能響應(yīng)及事后審計的綜合防護能力。在事前防御方面，智能分析應(yīng)用缺陷、屏蔽惡意請求、防范

12、網(wǎng)頁篡改、阻斷應(yīng)用攻擊，全方位保護WEB應(yīng)用；事中智能響應(yīng)，WEB應(yīng)用防火墻作為一種專業(yè)的Web安全防護工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性；事后審計，WEB應(yīng)用防火墻給服務(wù)器提供了可靠的安全防護，同時也應(yīng)該具備深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價值，為評估安全狀況提供詳盡報表功能?？梢詾樵盒＞W(wǎng)站系統(tǒng)提供立體的安全防護體系，為網(wǎng)站應(yīng)用完整的安全解

13、決方案。第四章 天泰WEB安全防護系統(tǒng)伴隨著防護技術(shù)的不斷發(fā)展，WEB應(yīng)用系統(tǒng)的防護技術(shù)經(jīng)歷了網(wǎng)關(guān)型防護手段和操作系統(tǒng)防護手段。如含有應(yīng)用層過濾功能的網(wǎng)絡(luò)防火墻、IPS等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進行防護；網(wǎng)頁防篡改軟件則是基于文件監(jiān)控原理，對指定路徑的文件進行監(jiān)控和寫保護。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)頁防篡改軟件只能解決WEB應(yīng)用安全的一個方面，而WEB應(yīng)用系統(tǒng)的安全保障需要一個全面的安全防護和性能保障措施才能使之安全、高效、持續(xù)地對外提供服務(wù)。WEB應(yīng)用系統(tǒng)的安全是一個系統(tǒng)的問題，包括三個方面，即可用性、完整性和機密性。實現(xiàn)這些原則所需的安全等級因WEB系統(tǒng)的屬性、WEB應(yīng)用的價值不同而異。如

14、對機密性要求較高的應(yīng)用系統(tǒng)應(yīng)當保障數(shù)據(jù)的訪問、傳輸過程的安全，同時需要對訪問者進行認證、授權(quán)、審計；對于一個面向客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性，同時也需要對其完整性進行有效的保障。而面向大眾的門戶類網(wǎng)站則需要充分考慮其抗攻擊能力、高可用性和完整性，提供7X24小時不中斷服務(wù)，確保提供的數(shù)據(jù)是真實的、有效的。綜上所述WEB應(yīng)用系統(tǒng)的安全保障需要充分考慮其高可用性、完整性和機密機才能達到安全有效的防護目的。專業(yè)的WEB安全網(wǎng)關(guān)則是專用于防護及優(yōu)化WEB應(yīng)用系統(tǒng)的最佳選擇，有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁防篡改軟件在WEB應(yīng)用防護方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進行安全優(yōu)化從而

15、達到WEB防護的最佳目標。圖4-1 天泰WEB安全網(wǎng)關(guān)的綜合防護能力上海天泰網(wǎng)絡(luò)技術(shù)有限公司專業(yè)從事于WEB應(yīng)用安全的研究、防護工作。天泰自主研發(fā)的WEB應(yīng)用安全網(wǎng)關(guān)是國內(nèi)首家通過國家公安部、國家保密局、解放軍信息安全測評中心、國家信息安全測評認證中心等權(quán)威機構(gòu)檢測認可的綜合性WEB安全保障平臺。上海天泰專注細分市場，依靠持續(xù)創(chuàng)新與自主研發(fā)，結(jié)合先進的軟件體系和硬件架構(gòu)，打造穩(wěn)定高效的平臺，將多項特性與功能整合至單一設(shè)備，提供全面的應(yīng)用安全與優(yōu)化解決方案，為客戶創(chuàng)造一個安全高效的應(yīng)用環(huán)境，成就國內(nèi)應(yīng)用安全行業(yè)的領(lǐng)導(dǎo)者。向廣大用戶提供WEB應(yīng)用的安全解決方案，通過WEB安全網(wǎng)關(guān)的安全防護模塊、應(yīng)

16、用審計模塊實現(xiàn)應(yīng)用的安全防護，解決用戶面臨的嚴重入侵威脅；通過負載均衡和WEB加速技術(shù)解決用戶在高可用性、性能提升上因為需要大量資金投入的煩惱；天泰的SSL加速引擎和訪問控制模塊輕松解決了WEB應(yīng)用系統(tǒng)差異化訪問控制等復(fù)雜應(yīng)用。目前已經(jīng)在政府、教育、軍隊、金融、電信、大型企業(yè)等多個領(lǐng)域有著廣泛的應(yīng)用。4.1安全防護功能4.1.1策略的覆蓋完整度天泰WEB安全網(wǎng)關(guān)提供對應(yīng)用系統(tǒng)全方位的防護，強化數(shù)據(jù)有效性防護即常見的跨站腳本攻擊、SQL注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護，提供WEB應(yīng)用或網(wǎng)站的基本安全保障。天泰安全團隊經(jīng)過多年的安全研究和市場實踐，研發(fā)了虛擬服務(wù)器補丁技術(shù)用于緩解

17、WEB服務(wù)器漏洞的零日攻擊、和不安全配置帶來的安全隱患。集成的會話簽名鑒別技術(shù)和分級授權(quán)模塊專用于防護WEB應(yīng)用系統(tǒng)面臨的認證威脅，如失效的會話管理缺陷、不安全的會話密鑰管理缺陷等均可通過天泰WEB安全網(wǎng)關(guān)進行快速修復(fù)。提供防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。4.1.2策略適應(yīng)性優(yōu)秀的安全策略不僅需要有廣泛的應(yīng)用系統(tǒng)覆蓋面、還需要有細的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。天泰安全網(wǎng)關(guān)的策略基于URI、時間、訪問者、訪問狀態(tài)、訪問工具、訪問內(nèi)容等對象定制安全規(guī)則，每條規(guī)則在發(fā)布前均通過嚴格的適應(yīng)性測試，特別針對國

18、內(nèi)數(shù)百家WEB應(yīng)用系統(tǒng)進行測試，確保規(guī)則安全穩(wěn)定、無誤判。4.1.3學習引擎與白名單模式、主動防御時代的到來安全防護技術(shù)可以分和黑名單防護技術(shù)和白名單防護技術(shù)，黑名單技術(shù)目前被大量應(yīng)用，基于黑名單的防護技術(shù)可以防護已知的攻擊行為，但對于未知的或已知規(guī)則的變種則無法防護。白名單技術(shù)可以有效的防護黑名單無法解決的問題，然而由于WEB應(yīng)用系統(tǒng)的復(fù)雜多樣，所以白名單技術(shù)在實施過程中通常十分復(fù)雜并可能導(dǎo)致誤判。經(jīng)過長期的研發(fā)與實踐，天泰自適應(yīng)引擎（TSAdaptive）讓白名單防護技術(shù)成為了可能。在天泰WEB安全Positive模式下，識別攻擊行為不再依賴于已知的攻擊特征，而是基于用戶應(yīng)用系統(tǒng)的正常請求

19、特征和簽名列表。自適應(yīng)引擎生成的推薦規(guī)則專用于特定的應(yīng)用系統(tǒng)，最大限度的降低了黑名單技術(shù)帶來的誤判、漏判、零日攻擊等無法解決的技術(shù)難題。4.1.4基于狀態(tài)的分析WEB應(yīng)用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)則匹配的響應(yīng)機制，表現(xiàn)為無狀態(tài)特性。隨著防護技術(shù)的不斷提高及面臨日益嚴重的零日攻擊威脅，天泰WEB安全網(wǎng)關(guān)開創(chuàng)性的采用了應(yīng)用防火墻狀態(tài)防護技術(shù)，對會話管理、請求偽造、盜鏈等行為進行識別和防護；對攻擊者的入侵掃描、探測、滲透過程進行狀態(tài)識別和跟蹤，快速定位威脅，及時告警或阻止。4.1.5與網(wǎng)絡(luò)層聯(lián)動的防御技術(shù)WEB應(yīng)用受到攻擊，WEB安全網(wǎng)關(guān)應(yīng)當采取行之有效的防護措施。天泰WEB安全網(wǎng)關(guān)在檢測到有

20、攻擊流量時會跟據(jù)不同的安全級別做出對應(yīng)的響應(yīng)，如阻斷并給出偽裝或告警信息。當檢測到有持繼的攻擊流量時，天泰WEB安全網(wǎng)關(guān)將會采取一系列的安全聯(lián)動措施，如基于狀態(tài)的威脅識別和限時鎖定措施將入侵者進行延時鎖定，或者及時將可疑攻擊通過郵件、短信、SNMP、Syslog通知安全管理員，及時采取安全措施，降低攻擊帶來的損失。4.2日志審計與管理日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計貯存的形式、內(nèi)容和可提供的建議對安全管理員保持應(yīng)用系統(tǒng)長期安全運行起到重要作用。4.2.1安全日志日志不僅為管理員提供威脅管理的平臺，同時也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可

21、能詳細和精確，并可根據(jù)審計的要求對特定數(shù)據(jù)進行篩選和審計。天泰WEB安全網(wǎng)關(guān)可提供定時報表和即時分析功能，通過分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時調(diào)整安全策略，并針對威脅等級較高的攻擊進行提醒，提出建議性解決辦法。圖4-2 天泰WEB安全的統(tǒng)計報表系統(tǒng)的安全是需要通過不斷的評估、響應(yīng)、防護和加固安全策略從而達到一個動態(tài)的平衡。天泰為用戶提供以WEB安全網(wǎng)關(guān)為載體、以安全策略為核心的防護機制，檢測到可疑威脅的情況時可使用天泰的自適應(yīng)引擎實現(xiàn)新策略的生成，提高安全管理員的工作效率。4.2.2訪問日志天泰WEB安全網(wǎng)關(guān)詳盡紀錄和有效統(tǒng)計用戶對Web應(yīng)用資源的訪問，包括頁面點擊率、客戶端地

22、址、客戶端類型、訪問流量、訪問時間、搜索引擎關(guān)鍵字等信息，實現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計，便于識別WEB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。4.3性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)安全的重要組成部分，應(yīng)用系統(tǒng)訪問延時、堵塞、服務(wù)中斷、性能急劇下降等都會導(dǎo)致系統(tǒng)可用性下降。對于公眾開放的應(yīng)用系統(tǒng)的可用性的安全等級通常放在首位。如何經(jīng)濟高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進行安全規(guī)劃時的首要問題。性能優(yōu)化方面，天泰針對不同用戶的需求提供了多種性能優(yōu)化方案供用戶選擇。4.3.1站點集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計開發(fā)階段融入天泰WEB安全的WEB應(yīng)用集群功能

23、可以提高軟件開發(fā)的效率、取代由軟件實現(xiàn)站點集群的性能瓶頸和繁瑣的技術(shù)細節(jié)，提升整個應(yīng)用系統(tǒng)的性能。通過站點集群技術(shù)您可以實現(xiàn)站點網(wǎng)頁文件、圖片、媒體文件的分離與整合，也可以方便實現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用天泰WEB安全網(wǎng)關(guān)還可以實現(xiàn)站點文本、圖片文件域名分離，從而提縮短用戶下載網(wǎng)頁的時間，提高用戶體驗。圖4-3 天泰WEB安全網(wǎng)關(guān)的集群服務(wù)4.3.2負載均衡天泰WEB安全網(wǎng)關(guān)提供高可用性、負載均衡以及基于HTTP應(yīng)用的代理，作為快速并且高可靠的一種負載均衡產(chǎn)品，天泰WEB安全網(wǎng)關(guān)特別適用于那些負載特大的WEB站點，這些站點通常又需要會話保持或七層處理。圖4-4 天泰WEB安全網(wǎng)關(guān)的負載均衡服務(wù)

24、天泰WEB安全網(wǎng)關(guān)提供成熟的負載均衡解決方案，支持的負載均衡模式有：平均分發(fā)、壓力分發(fā)、請求路徑分發(fā)、請求參數(shù)分發(fā)，并支持WEB應(yīng)用系統(tǒng)的會話保持功能、服務(wù)狀態(tài)監(jiān)測與故障切換功能。4.3.3 WEB加速基于現(xiàn)有環(huán)境的WEB加速功能可使用戶不改變現(xiàn)有環(huán)境的情況下提升訪問WEB應(yīng)用的速度；天泰WebCompress引擎對Web應(yīng)用數(shù)據(jù)進行實時智能壓縮，改善終端用戶性能，降低帶寬消耗。WebCache引擎對靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著減少服務(wù)器負載。雙向TCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。圖4-6 天泰WE

25、B安全網(wǎng)關(guān)的加速功能4.4訪問控制與SSL加速如果應(yīng)用系統(tǒng)需要對訪問者身份進行識別和授權(quán)，從而保障數(shù)據(jù)的機密性，此時可以使用天泰WEB安全網(wǎng)關(guān)的訪問控制功能以及SSL加功能。該功能特別適用于已經(jīng)交付使用的應(yīng)用系統(tǒng)，不需要修改程序代碼，通過WEB安全網(wǎng)關(guān)實現(xiàn)訪問控制和SSL加速。如WEB站點的管理后臺通常直接暴露在外網(wǎng)，僅依賴于口令強度和簡易的驗證碼進行訪問控制，類似這種應(yīng)用可以通過天泰WEB安全網(wǎng)關(guān)的訪問控制功能實現(xiàn)身份識別和訪問控制以提高應(yīng)用系統(tǒng)的安全性。4.4.1 時域、地域鎖定服務(wù)天泰安全服務(wù)團隊長期對國內(nèi)網(wǎng)站入侵事件提供應(yīng)急響應(yīng)服務(wù)，結(jié)合多年的服務(wù)經(jīng)驗發(fā)現(xiàn)針對國內(nèi)站點被入侵的時間和IP

26、地址對應(yīng)的地理位置特性，并將這個特性整合進了天泰WEB安全網(wǎng)關(guān)。對網(wǎng)站指定路徑定時鎖定，如網(wǎng)站的信息提交功能深夜至凌晨鎖定，政府事業(yè)單位的網(wǎng)點僅限于國內(nèi)IP地址的用戶可以訪問等功能，從而將易受到攻擊的時段、區(qū)域進屏蔽。天泰WEB安全網(wǎng)關(guān)集成了基于時間、頁面、和客戶端IP地址的網(wǎng)絡(luò)層聯(lián)動防護技術(shù)，方便管理員對站點的控制，如業(yè)務(wù)系統(tǒng)只有工作時間才對外開放，后臺管理系統(tǒng)只有指定范圍的IP才可訪問，涉及政務(wù)查詢的數(shù)據(jù)僅國內(nèi)或省內(nèi)訪問者可訪問等功能均可通過天泰WEB安全網(wǎng)關(guān)實現(xiàn)。圖4-7 天泰WEB安全網(wǎng)關(guān)的地域鎖定功能4.4.2 SSL認證服務(wù)天泰WEB安全網(wǎng)關(guān)集成了SSL加密功能，應(yīng)用內(nèi)容在傳輸過程

27、中都受加密保護，通過轉(zhuǎn)移服務(wù)器復(fù)雜的加/解密任務(wù)從而將應(yīng)用處理能力發(fā)揮到了極致。該功能使管理員能保護敏感應(yīng)用內(nèi)容的安全，使其擺脫被竊取及被濫用的潛在威脅。適用于電子政務(wù)、電子商務(wù)等對數(shù)據(jù)機密性要求較高的場合。圖4-7 天泰WEB安全網(wǎng)關(guān)的SSL認證服務(wù)4.4.3 URL認證技術(shù)失效的會話管理、弱口令等缺陷給WEB應(yīng)用系統(tǒng)帶來巨大的安全隱患，然而對于一些已經(jīng)交付運行的應(yīng)用系統(tǒng)，最佳的解決辦法是采用第三方的認證管理技術(shù)進行控制，而不是對原來程序進行修復(fù)。天泰WEB安全網(wǎng)關(guān)可以對指定的WEB資源進行訪問控制，并結(jié)合LDAP、RADIUS、AD等認證服務(wù)器提高WEB應(yīng)用系統(tǒng)的安全性。第五章 產(chǎn)品的選型

28、與部署5.1安全產(chǎn)品的設(shè)計與選型5.1.1產(chǎn)品設(shè)計目標針對目前日益增多的應(yīng)用層網(wǎng)絡(luò)攻擊行為，需要對網(wǎng)站能夠提供有效的安全防護，選用天泰WEB安全網(wǎng)關(guān)對公司門戶網(wǎng)站、郵件系統(tǒng)、招標網(wǎng)站進行應(yīng)用安全防護，防止網(wǎng)站被入侵、防止系統(tǒng)信息被修改、防止對后臺數(shù)據(jù)庫的惡意訪問、杜絕DDoS攻擊，保障系統(tǒng)服務(wù)的持續(xù)性。為保障XX單位對外業(yè)務(wù)系統(tǒng)的高可用、高安全性，我們將要部署一臺設(shè)備對門戶網(wǎng)站、招標網(wǎng)、郵件系統(tǒng)網(wǎng)站進行安全防護。5.1.2產(chǎn)品選型原則 安全性：對網(wǎng)站進行有效的防護，加強應(yīng)用層的綜合防護； 可靠性：提供的安全防護設(shè)備具有較高的可靠性； 先進性：采用先進、成熟的技術(shù)和主流的產(chǎn)品，使網(wǎng)絡(luò)建設(shè)能適應(yīng)未

29、來的需求； 實用性：系統(tǒng)設(shè)計以實用性為原則，同時應(yīng)考慮到系統(tǒng)的開放性，兼容性、技術(shù)支持服務(wù)等能力； 兼容性：要求對現(xiàn)有的系統(tǒng)具有良好的兼容性。5.1.3 產(chǎn)品選型參考上海天泰公司在大量應(yīng)用新技術(shù)的條件下，推出了“新一代”Web安全網(wǎng)關(guān)。在占領(lǐng)WEB安全技術(shù)的制高點上，天泰公司站在Web安全的最前沿。對于用戶普遍關(guān)心的Web安全防御中的性能損耗問題，上海天泰Web安全網(wǎng)關(guān)通過采用緩存、壓縮、連接保持等技術(shù)提升了WEB系統(tǒng)性能，在最近XX行業(yè)的系統(tǒng)上，使用天泰Web安全網(wǎng)關(guān)提高訪問速度近30倍。根據(jù)XX單位網(wǎng)站W(wǎng)EB應(yīng)用系統(tǒng)的實際需求，推薦采用上海天泰WAF-T3-2000-S型設(shè)備，具體產(chǎn)品功能

30、和性能參數(shù)如下：項目類別技術(shù)參數(shù)產(chǎn)品形態(tài)產(chǎn)品規(guī)格：2U機架式物理接口：1000BASE-T4，RS2321產(chǎn)品性能HTTP請求/秒：20,000TCP并發(fā)連接：2,000,000部署方式支持路由、透明、單臂等多種部署模式支持鏈路聚合，提升鏈路帶寬和可靠性支持策略路由，能支持多條鏈路接入分布式模式，產(chǎn)品內(nèi)置WebAP/WebUTM/WebSwitch引擎，可以分別部署多臺硬件平臺，大大提高處理能力網(wǎng)絡(luò)防護具有狀態(tài)監(jiān)測防火墻功能，支持基于五元組的訪問控制具有端口映射功能，支持SNAT、DNAT和PNAT支持MAC地址綁定，防止ARP假冒與攻擊能防御常見DOS攻擊WEB防護專用的WebUTM引擎，統(tǒng)

31、一防范針對WEB應(yīng)用的各種威脅能夠?qū)TTP數(shù)據(jù)流進行雙向深度檢查，具備完全的HTTP協(xié)議和事務(wù)解析能力能夠阻斷攻擊探測，防止對WEB應(yīng)用和服務(wù)器等信息的惡意獲取和特征收集能夠阻止SQL注入、跨站腳本、目錄泄漏、目錄遍歷、COOKIE假冒、認證逃避、命令行注入等常見攻擊行為支持黑、白名單技術(shù)，能防護應(yīng)用系統(tǒng)免遭常見和未知的WEB攻擊提供網(wǎng)頁防盜鏈功能，防止WEB資源被盜用提供對網(wǎng)頁掛馬的主動監(jiān)測，當檢測到網(wǎng)頁被掛馬時，能通過郵件或短消息進行告警具有自動學習引擎，能自動對雙向的HTTP流量進行智能分析，并能自動學習到后臺WEB服務(wù)器及WEB站點和目錄結(jié)構(gòu)檢測到攻擊時，能選擇阻斷當前請求或阻斷攻擊

32、者的IP；并通過控制臺、Mail等多種方法進行告警內(nèi)置600多條攻擊特征庫，支持攻擊特征庫自動升級；支持自定義防護規(guī)則應(yīng)用加速能對Web應(yīng)用數(shù)據(jù)進行實時智能壓縮，改善終端用戶性能，提高帶寬利用率提供對靜態(tài)應(yīng)用內(nèi)容高速緩存，顯著減少服務(wù)器負載具有連接保持功能，雙向TCP連接池和高效復(fù)用算法優(yōu)化服務(wù)器連接，改善服務(wù)器性能提高響應(yīng)速度能限制WEB服務(wù)器最大服務(wù)能力，防止因為請求浪涌導(dǎo)致服務(wù)器異常應(yīng)用控制URL級別的流量管理，可以最大限度的緩解WEB服務(wù)器因訪問量大而造成的DOS攻擊訪問過載保護功能可以自動保護已經(jīng)建立的連接，將后續(xù)的連接放入連接隊列提供URL級別的訪問控制，針對不同的URL設(shè)置不同的

33、訪問權(quán)限，可基于用戶、IP范圍、用戶組等權(quán)限的訪問控制對應(yīng)用服務(wù)進行準確的監(jiān)控，及時發(fā)現(xiàn)WEB應(yīng)用狀態(tài)異?？梢詫W(wǎng)站管理后臺使用SSL發(fā)布，采用雙向數(shù)字證書認證，保護數(shù)據(jù)通信的完整性和機密性行為審計能記錄站點訪問日志，提供基于訪問日志的用戶行為分析與審計能夠?qū)撁纥c擊率、客戶端地址、訪問流量和時間等進行有效的行為跟蹤和審計能導(dǎo)出站點訪問日志，為外部日志分析系統(tǒng)提供訪問日志原始數(shù)據(jù)對攻擊來源、數(shù)據(jù)、時間、處理結(jié)果形成列表，提供多種審計報表為系統(tǒng)的安全審計提供豐富的審計報表，支持標準第三方SYSLOG日志服務(wù)器內(nèi)置IP地址信息庫，實現(xiàn)發(fā)現(xiàn)訪問和攻擊網(wǎng)站的用戶區(qū)域分布篡改保護能實時檢測頁面是否被篡改

34、，支持數(shù)字水印、相似度、內(nèi)容取樣等多種算法動態(tài)防篡改功能，支持對動態(tài)頁面的防篡改，有效防止對后臺數(shù)據(jù)庫的篡改行為檢測到篡改發(fā)生后，支持發(fā)送鏡像內(nèi)容，阻斷或者頁面重定向等響應(yīng)動作具有可選的篡改恢復(fù)軟件模塊，可以實時恢復(fù)被篡改的頁面高級應(yīng)用支持應(yīng)用負載均衡模塊，支持平均分發(fā)，壓力分發(fā)，請求分發(fā)，請求參數(shù)分發(fā)等算法支持靜默掃描模塊，為上線的應(yīng)用系統(tǒng)提供實時安全評估支持SSLAccel模塊，可以分擔應(yīng)用服務(wù)器SSL運算壓力，有效提升了服務(wù)器處理能力支持WEB誘捕模塊，能吸引攻擊者的注意力，降低應(yīng)用系統(tǒng)被攻擊的風險，同時能記錄攻擊者IP和攻擊手段高可用性支持雙機熱備功能，可靈活選擇集群、熱備的應(yīng)用模式支

35、持軟件BYPASS功能，當產(chǎn)品出現(xiàn)故障或用戶有特殊需要時能停止防護而不中斷正常應(yīng)用支持硬件BYPASS功能，當硬件故障或者系統(tǒng)掉電時，防止網(wǎng)絡(luò)和應(yīng)用出現(xiàn)中斷設(shè)備管理產(chǎn)品管理圖形界面（GUI）以及產(chǎn)品文檔均為中文以SSL加密的WEB圖形化界面進行設(shè)備管理，并可通過專用管理接口進行管理能指定管理員遠程管理允許登錄的IP或網(wǎng)段,可以限制管理員登錄次數(shù)，并能鎖定惡意登錄者的IP支持SNMP，能接受專用的網(wǎng)絡(luò)管理系統(tǒng)的集中管理5.2安全產(chǎn)品的部署與實施5.2.1 產(chǎn)品部署分析Web安全網(wǎng)關(guān)主要是對XX單位的門戶網(wǎng)站、招標網(wǎng)、郵件應(yīng)用系統(tǒng)的服務(wù)器進行應(yīng)用安全防護。天泰web安全網(wǎng)關(guān)主要接入方式有：透明方式

36、、路由方式和單臂方式等。在確定保護對象后，要根據(jù)應(yīng)用和產(chǎn)品適應(yīng)網(wǎng)絡(luò)的情況不同，采用合適的部署方式。透明或路由方式部署透明方式和路由方式的部署位置極為相似，均需要串聯(lián)接入網(wǎng)絡(luò)中，所有訪問web服務(wù)器的數(shù)據(jù)都需要通過web安全網(wǎng)關(guān)設(shè)備，web安全網(wǎng)關(guān)除了需要分析http應(yīng)用的數(shù)據(jù)以外還需要處理非http協(xié)議的數(shù)據(jù)流，對設(shè)備的性能要求較高。路由方式： 設(shè)備接口分別設(shè)置為不同網(wǎng)段的地址，具有基本路由功能； 能夠進行源地址轉(zhuǎn)換和目標地址轉(zhuǎn)換功能； 支持軟件安全防護BYPASS功能； 需要防火墻將原來影射到web服務(wù)器地址的信息更改為影射到web安全網(wǎng)關(guān)的外部地址。透明方式： 設(shè)備接口在同一個網(wǎng)段，接入方

37、便，不需要更改網(wǎng)絡(luò)配置； 支持軟硬件BYPASS功能； 支持路由轉(zhuǎn)發(fā)功能。5.2.2 產(chǎn)品部署方式根據(jù)我們對XX單位網(wǎng)站的研究，以盡可能不改變目前網(wǎng)絡(luò)和故障恢復(fù)便利為設(shè)計原則，最大的提高網(wǎng)絡(luò)安全性為要求，我們推薦使用透明方式進行接入。以下具體說明：（1）透明方式接入就是web安全網(wǎng)關(guān)安裝后，用戶在使用時意識不到該設(shè)備的存在，在用戶無所察覺的情況下提高網(wǎng)絡(luò)的整體安全。（2）在網(wǎng)絡(luò)設(shè)備出現(xiàn)人為或自然的破壞以后將影響到網(wǎng)絡(luò)鏈路的暢通，采用透明式安裝方式可以非常方便的恢復(fù)網(wǎng)絡(luò)鏈路的暢通性，只需關(guān)閉web安全網(wǎng)關(guān)即可。雖然暫時失去對web服務(wù)器的保護，但降低了由于網(wǎng)絡(luò)鏈路故障導(dǎo)致網(wǎng)站不能正常打開所帶來的損失。所以，根據(jù)我們研究，推薦使用透明方式部署。將WEB安全網(wǎng)關(guān)部署于服務(wù)器的前端，不需要更改任何網(wǎng)絡(luò)層的配置，僅需分配給WEB安全網(wǎng)關(guān)一個可路由的IP地址即可。WEB防護拓撲結(jié)構(gòu)圖：第六章 產(chǎn)品售后服務(wù)體系本方案中涉及的安全產(chǎn)品售后服務(wù)如下：上海天泰在維護責任期內(nèi)，提供技術(shù)后援支持，為用戶網(wǎng)絡(luò)系統(tǒng)中本項目涉及的