欢迎来到天天文库
浏览记录
ID:47287703
大小:4.19 MB
页数:32页
时间:2020-01-09
《WEB应用安全防护系统建设方案1》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Web应用安全防护系统解决方案郑州大学西亚斯国际学院2013年8月目录一、需求概述41.1背景介绍41.2需求分析41.3网络安全防护策略71.3.1“长鞭效应(bullwhipeffect)”71.3.2网络安全的“防、切、控(DCC)”原则8二、解决方案92.1Web应用防护系统解决方案92.1.1黑客攻击防护92.1.2BOT防护102.1.3应用层洪水CC攻击及DDOS防御112.1.4网页防篡改122.1.5自定义规则及白名单132.1.6关键字过滤132.1.7日志功能142.1.8统计功能162.1.9报表182.
2、1.10智能阻断182.2设备选型及介绍192.3设备部署21三、方案优点及给客户带来的价值243.1解决了传统防火墙、IPS不能解决的应用层攻击问题243.2合规性建设243.3减少因不安全造成的损失243.4便于维护243.5使用状况253.5.1系统状态253.5.2入侵记录示例253.5.3网站统计示例26四、Web应用防护系统主要技术优势274.1千兆高并发与请求速率处理技术274.2攻击碎片重组技术274.3多种编码还原与抗混淆技术274.4SQL语句识别技术274.5多种部署方式274.6软硬件BYPASS功能27
3、五、展望28学校WEB应用安全防护Web应用防护安全解决方案一、需求概述1.1背景介绍随着学校对信息化的不断建设,已经具有完备的校园网络,学校部署了大量信息系统和网站,包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站,各业务应用系统都通过互联网平台得到整体应用,校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放,特别是学校的门户网站,由于招生与社会影响,要求在系统Web保护方面十分重要。1.2需求分析很多人认为,在网络中不断部署防火墙,入侵检测系统(IDS
4、),入侵防御系统(IPS)等设备,可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络
5、攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。总体说来,容易导致学校Web服务器被攻击的主要攻击手段有以下几种:l缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令lSQL注入——构造SQL代码让服务器执行,获取敏感数据l跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息l拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用户的访问l认证逃避——攻击者利用不安
6、全的证书和身份管理l非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据l强制访问——访问未授权的网页l隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序lCookie假冒——精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析学校对WEB应用安全防护非常重视,在内网部署有高端防火墙,同时内网部署有众多应用服务器,网络示意图如下:通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,作为整
7、体安全中不可缺少的重要模块,局限于自身产品定位和防护深度,不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法,就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为,对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题,我们看到学校在Web服务器安全防护时需要解决以下几个问题:跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户,常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不可能做到完美,因此攻击者可以通过输入一段数据库查
8、询代码窃取或者修改数据库中的数据,造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,获得系统管理员权限。CC攻击C
此文档下载收益归作者所有