购物网站安全防护方案设计与实现

文档编号项目编号保密级别商密XXXXXX网站安全防护方案版权声明本文档为XXXXXX网站安全防护方案，其相关版权归上海天泰网络技术有限公司所有，未经公司许可，其他任何企业和个人均不得对本文档的任何内容进行修改、翻印。文档名称XXXXXX网站安全防护方案作 者类 别网站安全防护方案子 类 别产品类摘 要 修订历史 (REVISION HISTORY)版本号日期修改人审阅人摘 要目 录一. 前言1二. XXXXXX网站安全状况分析22.1 XXXXXX网站系统拓扑22.2 XXXXXX网站系统分析32.2.1 缺乏有效的应用安全防护32.2.2 需要详尽的日志审计4三. XXXXXX网站安全防护设计方案53.1 网站安全防护方案设计依据及原则53.1.1 网站安全防护设计依据53.1.2 网站安全防护设备选择原则53.2 网站安全防护设备选择63.3 WEB安全网关产品部署分析83.3.1 设备部署方式83.3.2 部署方式分析93.4 WEB安全网关实现的功能103.4.1 保护系统安全103.4.2 加强系统审计103.4.3 提升系统性能11四. WEB安全网关产品介绍124.1 天泰WEB安全网关产品功能124.2 天泰WEB安全网关参数15五. 网站安全防护建设所需设备17六. 附件 上海天泰网络技术有限公司简介18 河南XXXXXX网站安全防护方案一. 前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，如越来越多的政府、单位组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现等正深刻影响人类生活、工作的方式。与此同时，信息安全的重要性也在不断提升。目前中国互联网发展态势良好。来自中国互联网络信息中心的数据表明，截至2007年年底，国内网民数已达到2.1亿；中国域名总数是1193万个，年增长率达到190.4%； 中国网站数量已有150万；中国网页总数已经有84.7亿个，年增长率达到89.4%。2008年年初，投行Morgan Stanley预测，未来几个月中国网民数将超过美国，成为全球第一。欣喜之余，我们发现：Web应用越来越为丰富的同时，Web 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。来自网络世界（Network World）的报导，2008年5月13日，在中国大陆、香港及台湾地区有数万个网站遭遇新一轮 SQL注入攻击，并引发大规模挂马。在过去的 4个月中，之前已有 3次大规模攻击，受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国际机构网站在内的多家互联网网站，感染页面数最多超过10，000页面/天。2007年，国家计算机网络应急技术处理协调中心（简称CNCERT/CC）监测到中国大陆被篡改网站总数累积达61228个，比去年增加了1.5倍。其中，中国大陆政府网站被篡改各月累计达4234个。Google最新数据 表明，过去10个月中，Google通过对互联网上几十亿URL进行抓取分析，发现有300多万个恶意URL。其中，中国的恶意站点占到了总数的67%。2008年全年，国内被入侵的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在被入侵的网站中，政府网站成了重灾区。政府网站的比例大于20%，对电子政务构成严重威胁。二. XXXXXX网站安全状况分析XXXXXX 单位情况介绍。（介绍该单位的性质等信息）网站已成为XXXXXX利用互联网发布政务信息和提供在线服务的综合平台。建设好XXXXXX网站，是推进XXXXXX管理方式创新，建设服务型政府的重要举措，对促进政务公开，改进公共服务，提高行政效率，便于公众知情、参与和监督，具有重要意义。阐述XXXXXX网站的重要性2.1 XXXXXX网站系统拓扑XXXXXX网站系统由前端防火墙经交换机与WEB服务器相连，通过防火墙的映射功能对互联网用户提供服务。2.2 XXXXXX网站系统分析自从我国重视政务公开以来，各政府单位的网站安全体系建设受了高度重视，网站的安全被提高到战略高度对待。政府部门或从技术手段出发，采用各类信息安全技术来保障电子政务安全，或是辅之以信息安全的制度保障，从技术加管理的角度来落实安全措施。 但由于对网站的安全缺乏系统的认识，许多政府网站的安全体系建设都十分脆弱，其应急响应能力也很薄弱。面对漏洞信息的分析、处理缺乏必要的认识和判别，无异于将重要信息暴露于外。这正如很多业内专家所指出的那样：网页频遭入侵暴露出了政府网站重形式、轻安全的问题。目前的网站安全事件还主要局限于篡改网页和直接攻击，当然也不排除更大更严重的安全威胁，如利用网站漏洞侵入后台窃取信息；散播病毒进入系统，使系统瘫痪；干扰政府网站的正常服务等。如黑客通过网页隐蔽地传播木马程序、间谍软件或控制僵尸网络活动。这类攻击行为与传统的病毒、蠕虫攻击相比，更像一个威力强大的“看不见的敌人”，可以暗中控制攻击系统进行很多破坏活动，而且这种攻击将越来越专业化。 经过多方验证，通过建立良好的应用安全防范机制，做到技术和管理的良好配合，是实现WEB网站安全风险防范长期有效的重要途径。通过对XXXXXXWEB应用系统的初步了解，发现XXXXXXWEB应用系统主要存在如下几个方面的问题：2.2.1 缺乏有效的应用安全防护XXXXXX的网站建设如系统拓扑所示，网站服务器和互联网之间只有一台网络防火墙进行隔离，没有必要的应用安全防护措施。目前普通的网站系统通常具有如下所列的多个症状，还有一些是表中还未涉及的。要解决其中任何一个症状都需要配置专用设备。症状解决方法Web 应用低性能负载均衡器和/或内容缓存服务器的不良扩展性TCP优化WAN 连接低性能内容压缩Web系统被攻击Web应用防火墙目前XXXXXX的WEB应用系统缺少对服务器信息屏蔽功能，如果访问该网站的用户具有一定的攻击性，将会利用已知的漏洞尝试攻击。2.2.2 需要详尽的日志审计对网站的访问进行详尽的日志记录和审计，是一个网站正常运行的关键。通过对网站进行详尽的日志审计可以：l 了解网站被盗链的情况如果有第三方网站调用我们网站的图片、视频或者网页文件，将会浪费我们的服务器资源，通过对日志的研究，可以很快发现这种问题。l 可初步分析网站是否被黑客植入程序如果黑客利用网站程序的一些BUG，通过植入代码的进行进行攻击破解的话，通过日志分析就有可能找到这种痕迹。l 可分析是否有程序在大量抓取数据搜索引擎或者第三方网站如果使用采集程序，大量反复采集我方网站数据，既会对服务器性能造成严重影响，而且会让我们的资料流转到其它网站上。通过分析日志数据，可以让我们发现这种采集现象。我们通过对网站进行持续访问日志分析，就可以帮助我们在网站出现问题的短时间内了解到问题出在什么地方，并尽快找到解决方案。XXXXXX的网站目前缺乏详尽的日志记录审计设备，对于网站的数据统计较难实施。三. XXXXXX网站安全防护设计方案3.1 网站安全防护方案设计依据及原则3.1.1 网站安全防护设计依据为有效保障国家电子政务网信息安全，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确提出包括实行信息安全等级保护在内的9项要求，要求“建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。为此，公安部、国家保密局、国家密码局、国信办联合发布信息安全等级保护管理办法（公通字2007 43号），要求“根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定”。各级公安网监部门把调查信息系统的定级对象、确定系统的安全保护等级作为重要工作，对网站系统安全按照1到3级标准，在网页防篡改、防止DDOS攻击等方面提出了具体的要求，规范了政府、企事业单位网站的安全建设。3.1.2 网站安全防护设备选择原则先进性原则阐述XXXXXX网站的作用，因此，考虑到适度超前的原则，我们在设备选型上将会满足至少满足未来三年的安全防护需求。实用、经济性原则对于投资的保护，是每个用户都关心的问题。对WEB安全网关设备进行严格的选型，在满足设计原则的功能前提下，提供最具性价比的设备配置方案。成功的网络投资者注重的是投入收益比，而很好的投入产出比要求网络的高性能价格比和强兼容性。对不同技术和设备的兼容在很大程度上保护了用户的投资。“用最少的投入获得最高的网络性能，同时保证投入最长的生命期”是投资保护的最重要的原则。可靠性原则针对安全网关设备的可靠性部署要求，我们考虑在后期的实施中可以采取分布式部署的方式来满足服务器集群的安全防护。3.2 网站安全防护设备选择防火墙作为安全防护设备，很好的解决了网络二到四层的攻击和威胁问题，但近两年来，企业网络受到的内外威胁，尤其是导致网络和应用系统瘫痪的恶性事件，大部分来自于应用层的攻击，例如病毒、蠕虫和黑客攻击。据CSI/FBI的信息安全研究报告表明遭受攻击的公司中，虽然98%部署了网络防火墙等传统防护手段，但仍然有52%来自外部的攻击成功。成功的攻击包括系统被入侵、Web系统被滥用、站点被篡改、关键信息被窃取以及拒绝服务。IDC的报告表明，传统的网络防火墙在应用层保护方面的能力非常薄弱，需要新型的应用安全防护设备与之互补。传统防火墙的厂商宣传通过使用IDS和IPS来保证应用层安全，但是这样的解决方案已经被证明效果是非常差的。最主要的原因有：l 它们基于攻击特征值和特征码来检测用户的不正常行为。这往往使系统不能免受新型的攻击或者经过伪装的攻击。更重要的是，因为缺乏攻击特征码，它们对针对某种具体应用的漏洞的攻击完全无效。l 它们工作在网络层而不是在应用层。那些防火墙厂商自己就曾宣称，许多网络安全产品因为无法获取到足够的必要信息而存在与生俱来的缺陷。防火墙和IPS只是在网络层检查数据包而不是在应用层检查应用请求，因此它们缺乏足够的应用层的逻辑信息来判断一个应用请求是合法的还是非法的。比如，任何传统网络防火墙都对经过SSL加密保护的应用完全无能为力，从而无法检测针对这种引用的任何攻击。此外一些工具如应用扫描器也可以查找系统中那些明显的漏洞 ，但是扫描整个系统并且给有漏洞的系统打补丁是件非常费时费力的工作。更大的问题是，扫描器无法扫描到所有的系统漏洞，因为一个应用系统需要检查的方面往往非常多，并且系统状态的可能性也非常多。虽然开发人员可以给系统打上成百上千的补丁，但是只要发现一个可利用的漏洞，黑客就能够渗入到系统并造成非常巨大的危害。因此，理想的解决方案应该是把安全防护功能转移到安全设备中。通过赋于这些新的设备更多的应用层知识，使其能够过滤掉恶意的应用请求。这种设备的工作方式与防火墙类似，但不是基于网络数据包而是基于应用逻辑的。由于具备了足够的信息和知识，这种设备能够根据应用规范有效的识别正常的应用请求，并且能区分并过滤任何非法的服务请求。这种根据新的防护需求而出现的设备就是应用防火墙。因为应用系统的多样性，不同的应用系统需要具备相应功能的防火墙。专门保护Web应用系统的设备就叫Web安全网关。Web安全网关的出现，将会使目前日益恶化的Web应用安全得到良好的改善。WEB安全网关是集WEB应用防火墙(WAF)、WEB威胁管理、负载均衡于一体的网关型WEB整体安全防护设备。为了有效的对XXXXXX的网站提供全方位的安全防护，并结合XXXXXX的网络环境，使用的安全产品或技术需要覆盖一下范围或实现以下目标：n 对常见的WEB攻击进行安全防护例如：SQL注入攻击，跨站脚本攻击，应用层DDoS防护，已知的蠕虫攻击,以及系统漏洞和系统溢出攻击防护等；n 对敏感资源和数据的非法访问进行阻断；n 提供多种技术的网站加速功能；n 灵活多变的伪装技术使系统避免探测和攻击；n 提供全面的Web流量管理，包括基于网站的流量控制，基于URL的流量控制，基于规则的URL流量控制，最大并发访问数,每秒最大并发访问，URL最大消费带宽等；n 提供强大的Web资源访问审计，高效的日志处理引擎，实时Web资源访问统计，海量日志处理，丰富的统计报表，详细的访问日志，访问者/访问时间统计报表，客户端操作系统/浏览器统计报表，被访问文件统计报表等。n 设备提供负载均衡功能，能够对目前存在的两台web服务器进行负载均衡，实现网站无间断运行。针对XXXXXX的网站情况，我们推荐选用天泰WEB安全网关对网站进行安全防护，防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝DDoS攻击，保障系统服务的持续性。3.3 WEB安全网关产品部署分析Web安全网关主要是对XXXXXX的web应用系统（网站）的服务器进行web应用防护。在确定保护对象后，要根据应用和产品适应网络的情况不同，采用相应的接入方式部署。天泰web安全网关主要接入方式有：透明方式、路由方式和单臂方式等。3.3.1 设备部署方式透明或路由方式部署透明方式和路由方式的部署位置极为相似，均需要串联接入网络中，所有访问web服务器的数据都需要通过web安全网关设备，web安全网关除了需要分析http应用的数据以外还需要处理非http协议的数据流，对设备的性能要求较高。其网络结构为：路由方式： 设备接口分别设置为不同网段的地址，具有基本路由功能； 能够进行源地址转换和目标地址转换功能； 支持软件安全防护BYPASS功能； 需要防火墙将原来影射到web服务器地址的信息更改为影射到web安全网关的外部地址。透明方式： 设备接口在同一个网段，接入方便，不需要更改网络配置； 支持软硬件BYPASS功能； 不支持路由转发和地址转换功能。单臂方式部署单臂方式的部署如同普通服务器一样，只需要接入设备一个接口即可。该接入方法能够只对http协议的数据流进行分析和防护，对设备性能要求较路由和透明方式低。单臂方式的网络结构为：备注：需要防火墙将原来映射到web服务器地址的http服务信息更改为映射到web安全网关的地址；支持软件安全BYPASS功能；不支持路由和地址转换功能。3.3.2 部署方式分析根据我们对XXXXXX网站的研究，以尽可能不改变目前网络和故障恢复便利为设计原则，最大的提高网络安全性为要求，我们推荐使用透明方式进行接入。以下具体说明。透明方式接入就是web安全网关安装后，用户在使用时意识不到该设备的存在，在用户无所察觉的情况下提高网络的整体安全。在网络设备出现人为或自然的破坏以后将影响到网络链路的畅通，采用透明式安装方式可以非常方便的恢复网络链路的畅通性，只需关闭web安全网关即可。虽然暂时失去对web服务器的保护，但降低了由于网络链路故障导致网站不能正常打开所带来的损失。所以，根据我们研究，推荐使用透明方式部署。将WEB安全网关部署于服务器的前端，不需要更改任何网络层的配置，仅需分配给WEB安全网关一个可路由的IP地址即可。3.4 WEB安全网关实现的功能天泰Web安全网关率先引入了应用基础设施新概念，在架构中整合了性能、安全性、可用性，并节省了成本，而这些正是现代企业在网络中放心地部署关键应用的过程中所必须的。天泰Web安全网关不但融合了传统网络防火墙和流量管理器系统的所有特点，而且还具备了新型的Web应用防火墙的功能，因此系统具备先进的应用功能。3.4.1 保护系统安全天泰Web安全网关具备全面的攻击防御系统，可保证系统不受网络蠕虫/病毒和应用专用漏洞的攻击,最大可能地缓解DoS/DDoS攻击对应用的影响。安全网关系统的核心是WebSwitch引擎, 该引擎提供了独特的、高性能的第7层功能组合。通过对应用请求进行检查，辨别恶意内容并阻止其进入应用服务器。天泰Web安全网关的安全功能包括： 网络攻击防护通过在恶意蠕虫和病毒进入应用服务器前进行识别并拒绝，保护应用服务器不受侵袭。天泰Web安全网关的NetShield引擎独特的包检测和过滤功能（包括对加密流量进行检测）可支持管理员制定策略来保护系统不受这些攻击。 DoS/DDoS攻击保护识别网络层和应用层DoS/DDoS攻击，最大可能地地缓解攻击对网络和系统造成的危害。 Web应用防火墙能够完美地保护客户免遭传统安全措施所无法阻挡的应用威胁的侵害，并且无需单独部署应用安全防护设备。天泰WebShield Web应用安全引擎不仅可以帮助客户阻止会损害系统的应用层攻击，还能帮助企业满足法规要求，如支付卡行业(PCI)的数据安全标准。3.4.2 加强系统审计天泰Web安全网关能够采集和统计用户对各个Web应用资源的访问、页面点击率、用户IP、搜索引擎关键字等信息，从而实现有效的用户行为跟踪和访问统计分析。天泰Web安全网关提供的丰富的统计报表不但为系统的安全审计提供了详细的数据，还降低了应用系统的管理维护难度。3.4.3 提升系统性能天泰Web安全网关使用多种技术提高应用性能。在应用数据发送到客户端之前，天泰WebCompress引擎对Web应用数据进行压缩，改善了终端用户性能，降低了带宽消耗；天泰WebCache引擎实现了对静态和动态生成的HTTP应用内容的速内高速缓存，因此加快了到用户端的数据传输。另外，天泰Web安全网关还提供多种TCP优化手段来改善网络和服务器基础设施的性能。TCP连接复用将上千客户端短连接减少为少量持久的服务器连接。该TCP优化和其它TCP优化功能可减少服务器负载，改善服务器性能，加速应用响应时间。天泰安全网关的TCP优化对客户端和服务器是完全透明的。通过天泰web安全网关的UTM模块对WEB服务进行事前有效的安全防护，提高访问速度，实现不间断服务。四. WEB安全网关产品介绍上海天泰公司在大量应用新技术的条件下，推出了“新一代”Web安全网关。在占领WEB安全技术的制高点上，天泰公司走到了Web安全的最前沿。对于用户普遍关心的Web安全防御中的性能损耗问题，上海天泰Web安全网关通过采用缓存、压缩、快照等技术提升了WEB系统性能，在最近教育系统的网上查分系统上，使用天泰Web安全网关提高访问速度近30倍。另外，对于Web内容的深度检测也受到用户重视。当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。网站内容的可变性决定了只有进行经常性的检查才能得到最新的结果。天泰Web安全网关采取静默扫描加策略动态更新的设计理念，解决了应用层安全设备对高性能和时效性的依赖和需求。4.1 天泰WEB安全网关产品功能1、主动防御，提供WEB应用全面防护天泰WEB安全网关独有的WebUTM引擎，统一防范针对WEB应用的各种威胁。天泰WEB安全网关设计充分研究国内等级保护相关规定和国际电子支付行业PCI-DSS条款中对WEB应用安全的要求，满足行业规范评测和部署要求。天泰WEB安全网关根据操作系统、应用平台、评估渗透工具等特征，形成完备的特征库，结合并发连接、并发请求、流量限制，阻断攻击探测，防止对WEB服务器和应用的恶意信息获取和特征收集。天泰WEB安全网关高效的内容解析引擎对访问数据流进行协议检查，智能屏蔽服务器指纹探测、阻断扫描，屏蔽服务器敏感信息泄露如服务器报错信息、源代码泄露等。天泰WEB安全网关被动防御模型，依据HTTP和WEB应用相关协议规范，对WEB应用的访问请求和应答进行深入和细粒度检查，阻止SQL注入、跨站脚本等常见的攻击。天泰WEB安全网关主动防御模型，智能学习和分析应用业务流程和用户访问流程，根据知识库对正常行为规范建模，杜绝未知攻击及合法用户的非法操作。天泰WEB安全网关集成SSL加密功能，应用内容在传输过程中受加密保护，使管理员能保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜在威胁。通过分担服务器复杂的密码运算压力从而将应用处理能力发挥到了极致。 天泰WEB安全网关采用静默扫描机制，将扫描特征嵌入到正常的访问数据流，高效的评估应用系统安全级别。2、行为审计，呈现WEB应用直观访问天泰WEB安全网关详尽纪录和有效统计用户对Web应用资源的访问，包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析。生成基于地区区域的访问统计，便于识别WEB应用的访问群体是否符合预期，为应用优化提供指导。 天泰WEB安全网关分类纪录探测和攻击行为，对攻击来源、数据、时间、处理结果形成详细的统计及TOP 10攻击列表。基于统计学原理的统一威胁分析，对攻击行为进行建模，依据威胁的级别自动生成防护策略，指导主动防御的深层配置。天泰WEB安全网关提供丰富的审计报表，为系统的安全审计提供详细的数据，为管理提供称可靠的决策依据，降低应用系统的管理维护复杂度。 天泰WEB安全网关支持独立的集中管理中心和标准第三方SYSLOG日志服务器，支持集中审计数据挖掘和报表生成。3、应用加速，优化WEB应用访问体验天泰WEB安全网关使用多种WEB应用加速技术，有效提高网络带宽的利用率。天泰WebCompress引擎对Web应用数据进行实时智能压缩，改善终端用户性能，降低带宽消耗。天泰WebCache引擎对静态应用内容的高速缓存，显著减少服务器负载。天泰Web安全网关使用多种应用优化手段来改善网络和服务器基础设施的性能。双向TCP连接池和高效复用算法将上千短连接优化为少量持久的服务器连接，减轻服务器压力，改善服务器性能，提高应用响应速度，降低服务延迟。 天泰专用SSLAccel引擎，分担应用服务器SSL运算压力，使服务器专注于业务处理，有效提升应用容量和服务能力。4、应用控制，促使WEB应用稳定可靠天泰WEB安全网关是一个功能强大的WEB应用优化系统，精细的应用控制能力，为WEB应用保驾护航。URL级别的流量管理，提供对页面访问的并发连接、速率进行控制，提高应用系统在资源紧张时的可用性，最大限度的防范WEB服务器因访问量过大而造成的拒绝服务攻击。细粒度的URL权限管理，防止攻击者绕过应用程序认证访问敏感资源，实现敏感网页的安全授权访问。精确的应用DoS识别技术针对不同的访问资源定制相应的访问阀值，保障系统承受DoS攻击的防御能力。天泰WEB安全网关具有高效的访问过载保护能力。当应用系统访问量突然超过预期极限值的情况下，WEB安全网关会自动保护已经建立的连接，将后续的连接放入连接队列，保障服务器不会因访问量过大而拒绝服务，缓冲后续访问者因无法建立连接而不断刷新导致的雪崩效应。天泰WEB安全网关对应用服务进行准确的监控，及时发现WEB应用状态异常。5、负载均衡，支持WEB应用平滑扩展天泰WEB安全网关强大的WEB负载均衡，搭建应用扩展的集群平台。WebSwitch引擎的第七层内容交换技术，高效分发WEB请求。WebSwitch引擎实时服务健康检查，迅速反馈应用服务活动状态，选择最优服务器。WebSwitch引擎支持轮询、最小负载、请求URL及参数等多种均衡策略，满足各种应用环境下的均衡需求。WebSwitch引擎的应用会话保持技术，为后台应用服务提供良好的兼容能力。WebSwitch引擎可为应用服务提供集群、热备等多种工作模式。6、篡改监控，阻止WEB网页恶意篡改天泰WEB安全网关动静结合的防篡改机制，能够实时恢复被篡改的网页。防篡改功能由天泰WEB安全网关防篡改模块和安装于应用服务器的防篡改软件联动，提供全面的防篡改能力。防篡改模块使用数字签名技术，保护访问WEB服务行为的正确性和内容的完整性。防篡改软件采用内核级别的检测机制，准确监控文件变化，一旦文件被更改，基于事件的快速恢复机制，确保篡改文件快速还原，即使入侵者绕过WEB安全网关也不能对网站文件进行更改。天泰WEB安全网关独有的网页快照技术建立WEB应用网站镜像，为用户提供应急保障之需。服务器需要重启、断线、维护等操作时，只需要将服务器断开即可。WEB安全网关的网页快照模块会自动检测后台服务器，并根据需要即时提供快照页面，以满足客户端的访问。4.2 天泰WEB安全网关参数在WEB服务器前面部署WEB安全网关，对WEB服务器提供全方位的安全防护，我们推荐上海天泰网络技术有限公司的WEB安全网关WAF T3，其产品描述如下：类别产品描述产品类型2U标准机架式专用千兆硬件架构平台4个千兆网络接口 全中文系统部署模式支持路由、透明、单臂模式部署，适应各种WEB应用和网络环境WEB防护防止网络层和应用层的DoS/DDoS攻击，保证应用服务的有效性保护客户免遭传统安全措施所无法阻挡的应用威胁的侵害，并且无需单独部署应用安全防护设备。WebShield应用安全引擎可以帮助客户阻止会损害系统的应用层攻击具备强大的基于策略的WEB站点防护功能。安全策略包含了需要对一个WEB站点进行保护的所有信息。内置了大量的专业优化的高效率检测规则，覆盖了当前主要的WEB攻击支持WEB虚拟站点和服务，隐藏真实应用信息，对外发布WEB应用，提供应用的统一入口WEB防篡改WEB网页防篡改，为WEB应用提供实时的应急恢复分布式部署与防护，要求在安全网关和WEB服务器端同时部署能独立运行的防护系统，建立动静结合的防护体系WEB加速支持连接池、TCP优化等技术提高WEB访问速度，结合WEB压缩、缓存技术改善应用性能，提升服务器容量支持WebCompress引擎对Web应用数据进行压缩，改善终端用户性能，降低了带宽消耗使用WebCache引擎实现对静态和动态生成的HTTP应用内容的高速缓存，加快到用户端的数据传输WEB流量控制安全网关基于规则的流量管理可以在Web URL级别对流量进行控制, 优化应用系统的网络带宽使用WEB审计采集和统计用户对各个Web 应用资源的访问、页面点击率、用户IP、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析其他功能网络攻击防护：在攻击、恶意蠕虫和病毒进入应用服务器前进行识别并拒绝，保护应用服务器不受侵袭。NetShield引擎独特的包检测和过滤功能（包括对加密流量进行检测）可支持管理员制定策略来保护系统不受这些攻击连接状态检测：对WEB会话进行应用层状态检测，检查协议、状态、时间等有效性虚拟服务：提供多DMZ区域，有效保护不同应用区域安全ARP攻击防护：能够针对WEB服务器和WEB安全网关网络的ARP攻击进行有效的防护SNMP管理：支持SNMP管理服务器，可纳入统一的安全网络管理体系产品资质公安部计算机信息系统安全专用产品销售许可证国家保密局涉密信息系统产品检测证书五. 网站安全防护建设所需设备序号设备型号描述数量1Web安全网关天泰Web安全网关WAF-T3-2000，