web安全解决方案

网络安全建设现状分析：

       拟建立Web业务对外发布系统，该对外发布系统由多台服务器组成，承载的有OA应用、集团内部门户网站、集团内门户网站群等多个WEB应用。

       目前，web应用边界使用传统防火墙进行数据包过滤进行安全防护，现运行许多WEB应用系统。Web业务对外发布数据中心是IT建设数据大集中的产物，作为Web业务集中化部署、发布、存储的区域，该对外发布数据中心承载着 Web业务的核心数据以及机密信息。对于恶意攻击者而言，Web业务对外发布数据中心是最具吸引力的目标。而之前，的安全建设以各区域安全隔离为主，隔离来自internet、intranet、extrane等区域的安全风险，实现网络级的访问控制。而安全隐患迁移到了应用层，UAP云平台资源池数据中心面临的应用层安全威胁是基于L3-L4层的传统防火墙完全无法理解的。

       1、利用业务开发时期没有对代码的安全进行评估，使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题

       2、利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题

       3、来自其他安全域的病毒、木马、蠕虫的交叉感染，使得数据中心成为“养马场“

       4、由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题

       5、利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题

Web业务面临的安全风险：

       Web业务已经成为当前的主要的业务，大量的在线应用业务都依托于Web服务进行。由于大量的web业务不断更新，大量web应用快速上线，而由于Web业务资金、进度、意识方面的影响，这些web应用系统没有进行充分的安全评估而导致大量的可利用漏洞。

       根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层，2/3的 Web 站点都相当脆弱，易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。

       近年来，Web安全事件不断攀升，电子商务、金融成为了主要目标，国家互联网应急中心（CNCERT/CC）《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%，较2010年大幅上升，排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底，CSDN、天涯等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益和互联网安全。”

       Web业务对外发布数据中心包含Web服务器、存储服务器、数据库服务器、内网系统等多种业务系统，向internet、intranet等多个区域提供服务，Web数据中心要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。Web业务对外发布数据中心急需解决应用层安全防护的问题。

       部分多功能防火墙或者是UTM虽然具备了部分应用层安全防护的能力，但由于其实现方式、缺乏应用层协议的理解能力。在应用层攻击防护上存在严重不足，比如针对数据中心的十大web攻击：

       SQL注入、XSS、CSRF等攻击是包含在http正常请求中的web攻击，可以通过80端口渗透传统防火墙与多功能网关，造成正对数据中心数据库服务器、web服务器、存储服务器的攻击，可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是业务中断。

       SQL注入等web攻击逃逸攻击，由于传统的多功能网关或者IPS实现应用层攻击仅仅通过DPI数据包的深度检测进行攻击特征分析，攻击行为一旦采用了逃逸手段，传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测，一旦攻击被利用重新编码、分片、乱序等逃逸处理方式，传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析，理解协议本身，还原其真实的攻击行为才能够进行有效的阻断。

       其他攻击还包括：信息泄露攻击、目录遍历、系统命令注入、webshell等多种传统基于DPI技术的多功能网关无法防御的攻击，如：

       信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。

       目录遍历漏洞攻击就是通过浏览器向web服务器任意目录附加“../”，或者是附加“../”的一些变形，编码，访问web服务器根目录或者之外的目录。

       系统命令注入是攻击者提交的特殊字符或者操作系统命令，web程序没有进行检测或者绕过web应用程序过滤， 把用户提交的请求作为指令进行解析，导致操作系统命令执行。

       总的来说，由于该类攻击可导致Web业务面临的主要安全威胁如下：

l 网页篡改问题

l 网页挂马问题

l 敏感信息泄漏问题

l 无法响应正常服务的问题

解决方案：

通过在核心交换前双机部署两台下一代应用防火墙，可实现业务服务器的业务逻辑隔离，核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。

       应用防火墙的部署可以从从攻击源头上防护导致Web业务各类网络/应用层安全威胁；同时深信服下一代防火墙提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。

       1、应用防火墙双机部署于核心交换前可实现整体安全防护；

       2、通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题；

       3、通过服务器防护功能模块的开启，可实现对各个区域（尤其是DMZ区）的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题；

       4、通过风险评估模块对服务器进行安全体检，通过一键策略部署的功能开启IPS、WAF模块的对应策略，可帮助管理员的实现针对性的策略配置；

       5、利用入侵防御模块可实现对各类服务器操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题；

       6、防病毒网关的模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染；

       7、DDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题。

方案价值:

       Web安全解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足：

       事前，快速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略；

       事中，有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击；

       事后，对服务器外发内容进行安全检测，防止攻击绕过安全防护体系，对Web业务产生的网站篡改、数据泄漏问题。

       同时该方案从简化组网、方便运维、最优投资的用户角度出发，可为Web业务对外发布数据中心打造L2-L7层的安全防护体系构架，实现完整的安全防护，同时在可用性、可靠性上采用了深信服特有的先进技术保证Web业务的正常稳定运行，打造一个“安全”、“可靠”、“高效”的Web业务对外发布数据中心。

 四种部署模式支持：

       支持网关模式部署、网桥模式部署、混杂模式部署以及旁路模式部署等四种模式部署，可支持多进多出，单进多出、多进单出等多种方式接入，可适用于各种复杂环境下的部署环境。

网关模式：支持网关模式，支持NAT、路由转发、应用层防护等全部功能

部署在网络边界，类似于一个路由器，提供静态路由和策略路由，又是一台防火墙，实现NAT地址转换和流量管理，提供网络层安全防护，还是一台网络入侵防护系统，实现应用层和内容层的安全防御；

网桥模式：支持网桥模式，以透明方式串接在网络中，支持除IPEC VPN以外的所有功能

1、类似二层交换机一样，采用一进多出或多进多出的方式，同时与不同网段相连接，进行数据交换；

2、可实时监测各网段之间的各种流量，提供从网络层、应用层到内容层的深度安全防护。

混杂模式：支持同时开启支持网关和网桥模式，支持功能视各线路情况而定；

1、在总部互联网出入口处在线部署，实现路由防护，提供互联网的从网络层、应用层到内容层的深度安全防护；

2、在总部内部网段之间以及与分支机构网络之间在线部署NGAF，提供透明接入的、独立多路一进一出的、交换式多进多出的全方位、立体式的安全防护体系，实现内网的安全区域划分和控制；

3、在企业服务器区旁路部署，保护服务器安全；

旁路模式：支持旁路模式部署，不改变原有网络架构。该模式下只支持入侵防御、WEB防护和敏感信息防泄漏功能

多种拦截方式支持：

       可实现对HTTP/HTTPS协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于HTTP协议的内容分析，很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS，仅仅是基于简单的特征检测技术，存在大量的漏报误报的信息。

       作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，NGAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。