返回
web网络安全解决方案.doc

web网络安全解决方案.doc

ID:58487520

大小:686.50 KB

页数:9页

时间:2020-05-16

web网络安全解决方案.doc_第1页
web网络安全解决方案.doc_第2页
web网络安全解决方案.doc_第3页
web网络安全解决方案.doc_第4页
web网络安全解决方案.doc_第5页
资源描述:

《web网络安全解决方案.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、web网络安全解决方案(文档版本号:V1.0)沈阳东网科技有限公司修订记录日期修订版本描述作者2015-4-2V1.0初稿生成李政伟目录一、前言1二、如何确保web的安全应用1三、常见部署模式1四、需求说明5五、网络拓扑6六、总结6一、前言Web应用处在一个相对开放的环境中,它在为公众提供便利服务的同时,也极易成为不法分子的攻击目标,黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前,信息安全攻击约有75%都是发生在Web应用而非网络层面上。Web攻击者针对Web应用程序的

2、可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。二、如何确保web的安全应用在Web系统的

3、各个层面,都会使用不同的技术来确保安全性:为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到Web服务器的传输安全,通信层通常会使用SSL技术加密数据;为了阻止对不必要暴露的端口和非法的访问,用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。但是,对于Web应用而言,Web服务端口即80和443端口是一定要开放的,恶意的用户正是利用这些Web端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统安全设备仅仅工作在网络层上,并不能精确理解应用层数

4、据,更无法结合Web系统对请求进行深入分析,针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP保护的网站。因此,在大量而广泛的Web网站和Web应用中,需要采用专门的Web安全防护系统来保护Web应用层面的安全,WAF(WebApplicationFirewall,WEB应用防火墙)产品开始流行起来。WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经

5、过多年的应用,在各方面都相对成熟及完善,也是目前市场中WAF产品的主流形态。既然是硬件产品,网络部署对于用户来说,是一个必须要考虑的问题。纵观国内外的硬件WAF产品,通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个介绍。三、常见部署模式1.WAF部署位置通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置

6、。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。1.WAF部署模式分类根据WAF工作方式及原理不同可以分为四种工作模式:透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。 图1:WAF部署模式分类2.WAF几种部署模式的技术原理工作模式技术原理透明代理模

7、式(也称网桥代理模式)透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。反向代理模式反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是

8、WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。路由代理模式路

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。