金融网站Web安全产品部署方案.doc

此文档收集于网络，如有侵权，请联系网站删除网站Web安全产品部署方案一、 产品概况1 iGuard网页防篡改系统iGuard网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。iGuard网页防篡改系统（以下简称iGuard）采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。iGuard的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。iGuard以国家863项目技术为基础，全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。iGuard支持所有主流的操作系统，包括：Windows、Linux、FreeBSD、Unix（Solaris、HP-UX、AIX）；支持常用的Web服务器软件，包括：IIS、Apache、SunONE、Weblogic、WebSphere、Tomcat等；保护所有常用的数据库系统，包括：SQL Server、Oracle、MySQL、Access等。2 iWall应用防火墙iWall应用防火墙（Web应用防护系统）是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。iWall应用防火墙实现了对Web站点特别是Web应用的保护。它内置于Web服务器软件中，通过分析应用层的用户请求数据（如URL、参数、链接、Cookie等），区分正常用户访问Web和攻击者的恶意行为，对攻击行为进行实时阻断和报警。这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命令攻击等，黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全的目的。iWall应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。iWall应用防火墙为软件实现，适用于所有的操作系统和Web服务器软件，并且完全对Web应用系统透明。应用防火墙是现代网络安全架构的一个重要组成部分，它着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面和有效的安全防护体系。二、 “”网站部署方案1 系统现状1） 拓扑图“”网站目前的网络拓扑图如图示1所示。CMS服务器（Web界面）主站点交互系统管理员交易站点FTP/SocketFTP图示 1 系统现状拓扑图2） 要点n 的Web服务器数量为2台，为动静结合内容。n 的发布方式为：网站编辑通过Web方式访问CMS系统，CMS系统合成好网页文件，然后本地生成在各自的Web服务器上。n 的Web服务器数量为3台，为动态内容应用。n 的发布方式为：交易站点管理员（应用程序员）在本地做好网页和脚本后，通过FTP传输到Web服务器上。3） 安全隐患目前这个系统在Web应用安全方面存在如下安全隐患：n Web服务器的网页篡改：没有网页防篡改机制，静态网页和应用脚本一旦被黑客篡改，没有检查、报警和自动恢复机制。n Web服务器的应用防护：没有应用防护机制，无论是Web系统还是应用系统的漏洞，都很容易给黑客以包括注入式攻击、跨站攻击等各种Web层面攻击的机会。2 部署Web应用安全产品1） 拓扑图“”网站部署天存Web应用安全产品的网络拓扑图如图示2所示。主站点交易站点FTPCMS服务器上部署iGuard发布服务器软件网站内容编辑CMS系统管理员交互系统管理员iGuard标准版+iWall标准版iGuard标准版+ iWall标准版图示 2 天存应用安全产品部署拓扑图2） 要点n 增加（硬件）：新增一台PC服务器，其上部署iGuard发布服务器软件。n 增加（软件）：在和Web服务器（共计5台）上部署iGuard网页防篡改系统标准版的Web端软件，即同步服务器、防篡改模块。n 增加（软件）：在和的Web服务器上（共计5台）上部署iWall应用防火墙标准版的Web端软件，即应用防护模块。n 变更：将2个上的2个CMS内容管理系统迁移到新增的PC服务器上，它们的目标发布地址由各Web服务器改为iGuard的发布服务器。n 删除：关闭Web服务器上FTP等不安全的端口。3） 主站点网页发布流程1) 网站内容编辑使用CMS系统以Web方式进行内容编辑。2) CMS合成好静态网页后发布到两台iGuard发布服务器上。3) iGuard发布服务器检测到文件变化，生成数字水印，将这些文件和数字水印发布到相应的Web服务器上。4) Web服务器接收到这些文件，并将水印存放在安全数据库中。4） 主站点/交易站点/CMS系统代码（脚本）维护流程1) 程序员/维护人员修改了代码后，上传到iGuard发布服务器上。2) iGuard发布服务器检测到文件变化，生成数字水印，将这些文件和数字水印发布到相应的Web服务器。3) Web服务器接收到这些文件，并将水印存放在安全数据库中。5） 防篡改流程1) 公众浏览网页。2) Web服务器取得网页或脚本内容后，交给防篡改模块进行检测。3) 防篡改模块计算出这个网页或脚本的数字水印，并与安全数据库中的数字水印相比对。4) 如果水印比对失败即表明当前网页已被篡改，系统通知发布服务器重新发布网页到Web服务器（自动恢复），同时向监管者报警。6） 应用防护流程1) 公众浏览网页和提交数据。2) 防篡改模块对提交内容进行检查，如果包含Web攻击的内容（如注入式攻击、跨站攻击、缓冲区溢出攻击等），则请求不交给Web应用处理，直接返回错误，保护应用的安全。7） 安全增强n 网页防篡改：任何Web服务器上的非法网页和脚本篡改将在网页浏览或企图执行脚本时被检测出来，并得到实时报警和恢复。n