NSFPRODWAFV56政府行业WEB应用安全解决方案Word文档下载推荐.docx
- 文档编号:22702808
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:8
- 大小:377.56KB
NSFPRODWAFV56政府行业WEB应用安全解决方案Word文档下载推荐.docx
《NSFPRODWAFV56政府行业WEB应用安全解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《NSFPRODWAFV56政府行业WEB应用安全解决方案Word文档下载推荐.docx(8页珍藏版)》请在冰豆网上搜索。
2021绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录
时间
版本
说明
修改人
赵旭
■适用性声明
本模板用于撰写绿盟科技内外各种正式文件,包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
插图索引
一.应用目的
响应国家《中华人民共和国政府信息公开条例》号召,各地党政部门积极深入发展电子政务建设,推行政府信息公开,提高政府工作的透明度,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。
政务网站()是各地电子政务建设的重要组成部分,作为当地政府面向社会的窗口,是公众与政府互动的重要渠道。
当前国际、国内的政治形势和经济形势比较特殊,又正值我国改革开放三十年和北京奥运会。
期间必须有利保障政府网站稳定运行。
近年来,网站安全问题越来越复杂,Web服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。
针对网站,各类安全威胁正在飞速增长。
2007年,CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。
Google最新数据表明,过去10个月中,Google通过对互联网上几十亿URL进行抓取分析,发现有300多万个恶意URL。
其中,中国的恶意站点占到了总数的67%。
传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对Web应用攻击完善的防御能力。
因此,政府网站有必要采用专业的安全防护系统,有效防护各类攻击、降低网站安全风险。
二.WEB应用防护系统功能
黑客攻击技术是不断发展的,安全产品面对的是充满“智慧”的攻击者,Web安全攻防是持续变化的过程。
此外,我们还需要考虑降低安全风险各类组织需付出的合理代价。
“代价”不仅仅意味着购买安全产品产生的直接支出,还需要考虑该产品的部署是否影响网站的正常业务流程、是否给维护人员带来较大的管理开销、是否影响Web业务的性能。
推荐使用绿盟科技冰之眼Web应用防火墙(又名冰之眼Web应用防护系统,以下简称ICEYEWAF)来进行政府网站的防护工作。
ICEYEWAF,是绿盟科技自主知识产权的新一代安全产品,作为网关设备,防护对象为Web服务器。
ICEYEWAF针对安全事件发生时序进行NPRS(NSFOCUSProactiveandReactiveSecurity)安全建模(如图1.1所示),分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。
图二.1NPRS安全建模
事前,ICEYEWAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。
事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。
事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。
其主要优势及功能如下:
◆无缝集成Web漏洞扫描
很多Web应用安全问题,究其根本原因,是因为互联网网站开发人员在开发页面时,没有遵循安全代码开发的要求所引起的。
基于绿盟在安全漏洞研究领域的多年积累,ICEYEWAF提供Web应用扫描功能,检测诸如SQL注入、跨站脚本(XSS)等安全漏洞,对可能的漏洞利用攻击手段提供事前预防,从而增强Web应用自身的安全。
◆全面Web应用防护
ICEYEWAF应用了先进的多层防护体系,对Web应用攻击进行了广泛且深入的研究,固化了一套针对Web应用防护的专用特征规则库,对当前国内主要的Web应用攻击手段实现了有效的防护机制,应对黑客传统攻击(缓冲区溢出、CGI扫描、遍历目录攻击等)、蠕虫攻击以及新兴攻击(SQL注入和跨站脚本攻击)等手段。
对于蠕虫变形,ICEYEWAF基于关联分析技术进行有效识别和阻断告警。
对于混合型攻击,ICEYEWAF提供多重检查机制和智能分析,确保对高安全风险级别攻击事件的准确识别率,同时也有效避免告警误报率高为用户带来的告警风暴。
◆细粒度应用层DDoS攻击防护
ICEYEWAF应用了自主研发的抗拒绝服务攻击算法,可防护各类带宽及资源耗尽型拒绝服务攻击,如对SYNFlood、UDPFlood及ICMPFlood这些常见的攻击行为能够有效识别,并实时对这些攻击流量进行阻断。
系统还能够基于智能关联分析技术对CC及HTTPGetFlood攻击进行检测、防护。
◆软/硬件BYPASS以及双机热备
ICEYEWAF提供基于软、硬件的BYPASS功能,以出色的稳定性,消除了在线产品通常可能成为网络故障点的隐患。
ICEYEWAF支持双机热备,可根据网络情况和用户需求,部署Active/Active或Active/Standby的工作模式,提供Loadbalance或者Failover功能,从而有力保障Web业务的高可用性,也提供了灵活的组网性能。
◆成熟管理功能
充分考虑了国内用户的使用和维护习惯,提供功能强大、易用性好、灵活的管理功能:
提供基于IP、端口、协议类型、时间及域名的灵活访问控制;
基于对象的虚拟防护,为每位用户量身定制安全防护策略,轻松增值;
支持规则的在线升级和离线升级。
三.WEB应用防护系统的应用
四.网页篡改防护
针对目前猖獗的网页篡改问题,ICEYEWAF提供“安全-成本”的最佳平衡点,从“事前、事中以及事后进行综合考虑。
事前提供漏洞扫描,为解决根本问题提供技术依据。
事中,基于智能特征分析技术,对网页篡改所采用的主要攻击手段(如SQL注入、XSS)进行检测并做有效阻断,且依托于绿盟国际一流的安全研究团队,能够及时跟踪、发现互联网上新出现的SQL注入攻击类型,并最优化防护技术,帮助用户对抗最新攻击。
事后WAF对网页篡改能进行检测并做应急保护,有效阻止非法页面发布、为公众浏览,极大降低网页篡改引发重大影响的安全风险。
图四.1ICEYEWAF网页篡改防护解决方案
WAF产品优势体现在:
1.从事前、事中及事后三个时序综合考虑问题,提供最佳安全-成本平衡点,为用户降低安全风险。
2.采用网络串联方式对页面进行实时防护;
支持对动态、静态网页的检测和防护。
3.发生网页篡改的紧急事件时,ICEYEWAF提供专业、谨慎的处理方式:
不擅自做网页自动恢复,而是启动应急机制,对网络流量进行控制,对期间用户请求(HTTPRequest)相应为事先自定义好的合法页面。
另一方面提供短信和邮件告警,第一时间通知网站管理人员。
不改变Web服务器当前的信息,保留好犯罪现场,供事后溯源分析。
杜绝期间页面连续被篡改。
4.网关设备,防护对象不受操作系统、数据库和应用程序限制。
不介入网站正常业务流程,不占用Web服务器资源。
接入网络即插即用,安装方便,配置简单,用户能够远程通过浏览器访问系统,后期的维护工作较少。
5.系统内核经过优化的安全操作系统,自身安全性高。
设备与设备自带安全中心通信协议为SSL。
五.网页挂马主动扫描
网页挂马,可以认为是一种比较隐蔽的网页篡改方式,其最终目的为盗取客户端的敏感信息,如各类帐号密码,甚而可能导致客户端主机沦为攻击者的肉鸡。
Web服务器成为了传播网页木马的“傀儡帮凶”,严重影响到网站的公众信誉度。
最大隐患在于:
多数情况网站实质已被入侵,只是攻击者出于经济利益考虑,未采用直接篡改方式。
针对各类政府网站,建议采用ICEYEWAF网页挂马主动扫描功能,全面检查网站各级页面中是否被植入恶意代码。
避免扫描对正常业务运行造成影响:
ICEYEWAF对网络带宽以及被扫描服务器的资源占用很小。
尽管如此,我们仍然建议网页挂马扫描在非办公时间段进行。
WAF网页挂马扫描任务允许指定执行的时间,管理员可以利用这个功能让扫描在合适的时间自动进行。
六.WEB应用防护系统的部署
七.系统具体部署
通常情况下,建议将ICEYEWAF部署在防火墙DMZ区,用于防护网站服务器。
如图1.3所示,WAF作为串联设备,部署在防火墙和Web服务器群之间,对Web服务器群的出入流量进行有效监控,从而确保Web应用的安全。
对于最为核心的Web服务器,可以考虑部署WAF双机。
双机可采用Loadbalance或者failover的工作模式,提供高性能、高可靠性的Web应用防护。
图七.1WEB应用防火墙部署
八.推荐产品
具体做产品配置时,需要综合考虑实际网络环境中的流量以及并发会话数的峰值。
下表供参考。
产品名称
型号
规格与配置
冰之眼WEB应用防护系统
ICEYE-WAF-600-04-B
1U,提供2路防护,硬件BYPASS。
ICEYE-WAF-600-02-B
1U,提供1路防护,硬件BYPASS。
ICEYE-WAF-200-B
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NSFPRODWAFV56 政府 行业 WEB 应用 安全 解决方案