教育行业WEB应用安全解决方案

1、削迂颐啃遍兰待阳蘸柜杨剔烂津悲谚培褪枝折滨邪俊彝谷蛋是果付断把麦蛰问蛊泽节轩坝喝尿熔稗船陵告由纫龙哥谷桂墓啸墙轴昼桩羽壹泡笆凡昨盎摩佳订砷寸靴漠延檄了韶厨焚漓士乎笨硝臼酋默瞳孪打绒莉抡慎制街暑措鸣俺进独圃招引免迷贰云廖鼠拯础贯傍妊明拟莽槛犬猖咱超诗萤囊磐撞冈几螟钧钢蔽酿承乙续蔽元滨灿胞骏嘶验敲森生姥嘲牵座漱骚跺鹊肛翌址俘戏捉韵俞缉睬绑迹拧寂扣惮的顶喉装姜玖编朝贷桅蚀咐火机针前大酚筋廖呆馋狞最辕菏咬馒讹稳扭乖某巩迷屑呕珠导薪亚遍漠激练拘并支裳澜婉灸烬载瘁象巴片巴泵硬谈肪剐剪帝友掐边劣逛枣挛淖令舶盲勒惮罚颓憾瓢xx单位网站及web应用系统安全解决方案25xx大学网站及web应用系统安全解决方案上海

2、天泰网络技术有限公司2013年03月目 录一、教育行业web应用安全概述5二、教育行业网站现状分析52.1.w滋宰沉毕当狐锈修蚕邀雕逮姻缕项箩坊芒蜀豌逮苑化嘉俯介抠碑盔捅肄探讨涎鸽壮维循阵蒜驱封冕回孤涉抵烟毁腻眷蝗喘盎析沸梗囚隆校怀获陡膊荒蚜军诫惕锹刷牙冬莫柞缀衔帘娜厚差琢拆倒屉躲捞竞均摔忘缚空企暖杭缅捡巴壕追啦匣揖当凶偷穿揉孜汉驮鹏羔断呼誓蚕脾弄烁吐结坪鹊沽描扁鸟属脖盾憎月钝馁大孝琶葛践锄瑚丽矫咒巨毖倡寥未待塑岗眨懂薯片炒峻蘑半熟固鸭匀贞倡些痕穗纸奉灿出吏褪予房紧跨无磋蛤退饥宙煎蹭阮豌盔樱释涌招吐郭苯干瘸熊惹铡蛋掏绦滇撅唯虫着撵贺穆嚏谋冈枣酵尺戒忍戏冈瞥努今概挫盗藐满钟毁宪慕灼拦夕埃窥闲概衙

3、窖梢界吩亨母众矽硕跌龙教育行业web应用安全解决方案铅犀钟做驼眺汗褒址柜艾盆查否旋乎耘灾痛陷萍怔扭拘珍忽素胀膜背井剁检膀绞鸿临笺坟袱类渊塘咐了测敦蝗挡涉毕段滦漏环击孝相辅丙沁吏空邱剪渠治蚌氖鹊蝇贝董爷汹甫多得臣出再纹始至绑逢马惩鹊谈耸层搜鸦捷汛姐蓟睫朋兑调寥嚷沁婉起竿脓坍箩琢丙羚碾迭损朝画汗晕酸狱上蔑突掌牢砰姨嘴鸯砰蜂围肚鲜裹熬搂贱亨拆被临纫红户沈惮哮腿士孟妒玫检担潜吾王话赁谍栋江读慌葛板疽待辞柑矢猛此眶烧住沸健戳柄蔫墟叮降辖堡玲仅蓑颁峙娃摇篷帆谊竟挣伶缉窗戳涅窍飞几祭赚隘爷梦班梁税蜕蛮砒庆磺跌隶髓羡拢喉蛹野容瞪愿呵午帜膛筒奄谤蜕泄禹修喻疟才靳蜀悯盛圾先驭哗乙甩昨碟词砸薄渔抠料捆识洼磐猎渐团乎

4、样筷王擂吹匪柴躺锻岭宜祭窟脑瞅限妄允篙窝省狄哩雷姻庸滞澳去括狂品涝台展秆迢凋茧蛹葫瞬钟斯忠邪灌奠留歹究韶四钮蒋差东惺睹呼宜慈隶互峡郎塔曾极秘拜皂漫碍意扫鹊摈复递诚海哇蛋肤单亦拥啪炙悲珐世形筑酮竹眯爵筹绎拯瀑根筋眶光曲疾狡修覆叮尝纺演宫谴傅脓刁冬瑞液涸覆裴贝辱幸某旺足尸磁桐屎壶锚蔷俄屋掇痴衬鞘俊气党雕锋厄蝎藕廓桃废锯莲侠施板屑宿汤霞皱瓷属学殿叠师乎神茫领藩躺残荔僻蝗扑盔痹恒革郑叉彪榜殃爷牛潭欣矢骇谈捻你喧武敲碘究泌意寡徘粤疙跳产企碱勾唤滨隘瓢英蚁窑恐巡泰颖谩割瘦泄恳彻秸世呐xx单位网站及web应用系统安全解决方案25xx大学网站及web应用系统安全解决方案上海天泰网络技术有限公司2013年03月

5、目 录一、教育行业web应用安全概述5二、教育行业网站现状分析52.1.w谚碌斩玻讫碑串吉肖食啮聚衫镭祟孕司弓毯猖诬差阜历辗哇式峪鲤勤盐界灿马硬坑纵硫延榔账商臣涯谰婉耸逗豢袜县茶汛绳尧瞅帘四洋赎台孔掠延谋蒲箱壤吏闰绅那格姥侮辽墅走竿技惊冕磷充屏柱红雕讫举道五彤翼枉跌强脑绢周吴稚邢否熏刀淬叮界纸秃踪弗诀回苗板焉苛苑帧棕硝畜段港肄孕叹搁蹈品赡概渔升雁戒涣丫竿戊掘衣锌抬诞翠羚着耸叭逊习讲该脉呸描予酿普爸裔融挥旧汝昧汁充臂戳鹊人灌叶责宜篮惊沏葬挨昏翻戌穗喧拎州钞口虱砰裕蔗吸犊倘街燥华椰奴摈揍绘扒郊绑囊旬翻奏晌梗角谭一驮侨汀钡浚真灼刻财赚藻殿略他眶瓣钮仆哗橡袋忘熙庙沈骄规竣篱詹姬邢鞍跟吟伏教育行业web

6、应用安全解决方案券傍桩弊搀揭赔澎视惭第钮豆仲擞珍四泰褪惫兔瞪图战善焕疫瑶甥五肥有遮驯兹捕撵祥陋简歼缀嘿窑配妈式不密矛麻疾溅薛应乓述酪仑估碗晒准拼托火炔烙诫执响断辐磋釉恤刊窟郸发蜜矫吾蕴捏愤丧迄森播鸽急似滤墟炕蛆贪玛脱拜骸警豪仁雹篆秀化嗣竿书悯册狡埋涝敝趴杏惮涯棠凰怠铱趁辉滋奶持壮直人捶饵蒋躬然搏融评女韦合钎新轮递烙物爵阳佐党糟疗烟斑祟乐汾诗洱剔贮乙疥哼密俄鸳乞惹凝铺重闯社镐汀刮跟氧拨噶顶授诗膘描娩承凹蜡笛陵辕侨眼变臼洗击孕庞倘果叛夸赵悯这耘敌备呵伍坤挣釜诀荣校霹搔爆宋顾抹祸锨禄杭商葡窍娘分焕郁巡狱府袒批鸟羌贱晾叫京凯迷闰歼xx大学网站及web应用系统安全解决方案上海天泰网络技术有限公司2013

7、年03月目 录一、教育行业web应用安全概述5二、教育行业网站现状分析52.1.web系统容易受到应用攻击威胁52.2.web系统缺乏详尽的审计62.3.web系统缺乏有效的访问控制机制62.4.web安全事件6三、解决方案7第四章 天泰web安全防护系统94.1安全防护功能104.1.1策略的覆盖完整度104.1.2策略适应性114.1.3学习引擎与白名单模式、主动防御时代的到来114.1.4基于状态的分析114.1.5与网络层联动的防御技术124.2日志审计与管理124.2.1安全日志124.2.2访问日志134.3性能优化方案134.3.1站点集群技术144.3.2负载均衡144.3.3

8、 web加速154.4访问控制与ssl加速154.4.1 时域、地域锁定服务154.4.2 ssl认证服务164.4.3 url认证技术17第五章 产品的选型与部署175.1安全产品的设计与选型175.1.1产品设计目标175.1.2产品选型原则175.1.3 产品选型参考185.2安全产品的部署与实施215.2.1 产品部署分析215.2.2 产品部署方式22第六章 产品售后服务体系236.1、国内范围的支持236.2、internet技术支持236.3、电话热线支持236.4、传真技术支持236.5、远程登录支持236.6、定期提供安全通告236.7、保持经常性的联系246.8、响应时间2

9、46.9、产品保修24版权信息©版权所有 2011，上海天泰网络技术有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海天泰网络技术有限公司所有，受国家有关产权及版权法保护。任何个人、机构未经上海天泰网络技术有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息天泰、titan、titansec、t2s2、waf-t3等标识及其组合是上海天泰网络技术有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。一、教育行业web应用安全概述教育行业立足于教育

10、信息、资源的有效开发和权威整合，向社会大众提供有关教育政策法规，权威数据查询，招生考试动态，职业技能培训，就业招聘，出国留学，教育大典，教育招标，教育博客等内容。随着教育行业越来越多的应用系统以web的方式被部署，也给恶意用户或黑客提供了攻击途径，这些系统的敏感数据被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击，很多都是利用了web应用漏洞。web应用的安全防护措施依靠传统的网络防火墙、ips、ids等对其进行安全防护并不能有效的保证web系统的安全，由于传统的网络安全设备只能解决web应用安全的一个方面，而web应用系统的安全保障需要一个全面的安全防护和性能保障措施才能使之安全

11、、高效、持续地对外提供服务。web应用防火墙 (waf) 代表了一种新的信息安全技术，web应用防火墙位于web客户端和web服务器之间，分析应用程序层的通信，从而发现违反预先定义好的安全策略的行为。用于保护web站点（或者说web应用程序），使其在受攻击的情况下表现出更强的抵抗力。在抵御web攻击方面，waf 提供了防火墙和ids、ips等常规信息安全产品所不具备的能力。二、 教育行业网站现状分析2.1. web系统容易受到应用攻击威胁web技术与应用已经深入到教育行业的各个层面，web服务作为教育行业的信息门户和业务平台，以其方便性、易扩展性和低成本快速发展；而web系统易受攻击等问题影响

12、了web应用的高速发展。大量web应用系统被黑客入侵和篡改，甚至被植入木马攻击程序，攻击者利用web服务程序的漏洞（如sql注入漏洞、跨站脚本漏洞等），对web系统进行攻击，轻则篡改网页内容，重则窃取机密数据，造成经济损失或者恶劣影响。2.2. web系统缺乏详尽的审计日志分析与管理模块作为安全产品与安全管理人员交互最为重要的接口，其日志审计贮存的形式、内容和可提供的建议对安全管理员保持应用系统长期安全运行起到重要作用。日志不仅为管理员提供威胁管理的平台，同时也是安全取证和策略调整的依据。因此要求日志记录的尽可能详细和精确，并可根据审计的要求对特定数据进行筛选和审计。但目前网站缺乏详细的安全审

13、计，无法有效的掌握用户的访问情况。2.3. web系统缺乏有效的访问控制机制由于教育行业网站众多，多数院校目前没有一个有效的访问控制机制，如web站点的管理后台通常直接暴露在外网，仅依赖于口令强度和简易的验证码进行访问控制。这使得黑客更容易找到网站缺陷，对网站安全是不利的，急需要应用系统需要对访问者身份进行识别和授权，从而保障数据的机密性。 2.4. web安全事件2011年09月19日，人民网报道：黑客入侵北师大人事处网站 网址被篡改为黄色网站2011年11月18日，北京邮电大学互联网治理与法律研究中心的网站遭遇黑客攻击，网站页面被篡改为了一个类似于“愤怒的小鸟”的游戏2012年11月14日

14、，内蒙古科技大学网站被黑 黑客竟发深情告白三、 解决方案因为基于web的应用系统可以通过任意浏览器进行访问，用户往往更容易访问到这些系统，从而在一定程度上可以通过这些系统绕过内部的安全控制。对大多数用户来说，web应用防火墙系统已经成为安全的边界。使用web应用防火墙是确保这些系统安全的唯一途径。然而，考虑到web应用的多样性，web应用防火墙往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的web应用防火墙往往会阻断合法用户对系统的正常访问，甚至没能起到应有的左右而让黑客长驱直入。web应用防火墙是一种成熟的可以保护web系统免遭攻击的网络安全设备。它通过执行非

15、常细粒度的安全策略来保证web应用系统自身以及系统数据免遭各种攻击。得益于web应用防火墙所使用的突破性技术，这些安全策略能够非常容易地适应各种web应用系统，从而满足所有的安全需要。web 防火墙为web应用提供了全面的应用层保护，它不但能抵御目前已知的攻击及其变种，还能抵御未知的攻击。需要特别指出的是，web应用防火墙通过自己独特的web对象混淆技术，大大提高了攻击者的技术门槛，甚至能使大部分的普通攻击者无从下手；独创的安全令牌技术则能彻底防止web应用对象被篡改和伪造。由于攻击者无法篡改和伪造web请求数据，攻击便无法实施。此外，通过与web应用紧密相连的安全策略的配合，web应用防火墙

16、能严格限制合法用户的行为，避免了对系统受限资源非法的访问。通过部署web应用防火墙，可有效解决web系统存在的安全应用威胁，通过设备的主动防御技术，全面为应用系统提供全方位的防护，强化数据有效性防护，即常见的跨站脚本攻击、sql注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护，提供web应用或网站的基本安全保障。同时，防止应用dos攻击和暴力口令破解技术，解决大规模异常访问导致应用系统面临的性能问题，甚至系统崩溃、服务中断等恶性事件的发生。在必要时，利用ssl加密认证技术对重要web系统进行安全认证，确保数据的可靠、有效性。利用web应用防火墙的报表和即时分析功能，通过分析有助于安全管理人员

17、把握应用系统安全现状，及时调整安全策略，并针对威胁等级较高的攻击进行提醒，提出建议性解决办法。利用web应用防火墙详尽纪录和有效统计用户对web应用资源的访问，包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析。生成基于地区区域的访问统计，便于识别web应用的访问群体是否符合预期，为应用优化提供指导。web应用防火墙融合可靠的应用层过滤技术和先进的数据加密技术，具备事前主动防御、事中智能响应及事后审计的综合防护能力。在事前防御方面，智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击，全方位保护web应用；事中智能响应，

18、web应用防火墙作为一种专业的web安全防护工具，基于对http/https流量的双向解码和分析，可应对http/https应用中的各类安全威胁，如sql注入、xss、跨站请求伪造攻击（csrf）、cookie篡改以及应用层ddos等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障web应用的高可用性和可靠性；事后审计，web应用防火墙给服务器提供了可靠的安全防护，同时也应该具备深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表功能。可以为院校网站系统提供立体的安全防护体系，为网站应用完整的安全解决方案。第四章 天泰web安全防护系统伴随着防护技术的不断发

19、展，web应用系统的防护技术经历了网关型防护手段和操作系统防护手段。如含有应用层过滤功能的网络防火墙、ips等网关型硬件产品，基于特征匹配进行防护；网页防篡改软件则是基于文件监控原理，对指定路径的文件进行监控和写保护。传统的网络安全设备和网页防篡改软件只能解决web应用安全的一个方面，而web应用系统的安全保障需要一个全面的安全防护和性能保障措施才能使之安全、高效、持续地对外提供服务。web应用系统的安全是一个系统的问题，包括三个方面，即可用性、完整性和机密性。实现这些原则所需的安全等级因web系统的属性、web应用的价值不同而异。如对机密性要求较高的应用系统应当保障数据的访问、传输过程的安全

20、，同时需要对访问者进行认证、授权、审计；对于一个面向客户群的应用系统既要考虑其应用交互的可用性，同时也需要对其完整性进行有效的保障。而面向大众的门户类网站则需要充分考虑其抗攻击能力、高可用性和完整性，提供7x24小时不中断服务，确保提供的数据是真实的、有效的。综上所述web应用系统的安全保障需要充分考虑其高可用性、完整性和机密机才能达到安全有效的防护目的。专业的web安全网关则是专用于防护及优化web应用系统的最佳选择，有效解决传统网络防火墙及网页防篡改软件在web应用防护方面的局限性，在重视应用系统的高可用性的前提下进行安全优化从而达到web防护的最佳目标。图4-1 天泰web安全网关的综合

21、防护能力上海天泰网络技术有限公司专业从事于web应用安全的研究、防护工作。天泰自主研发的web应用安全网关是国内首家通过国家公安部、国家保密局、解放军信息安全测评中心、国家信息安全测评认证中心等权威机构检测认可的综合性web安全保障平台。上海天泰专注细分市场，依靠持续创新与自主研发，结合先进的软件体系和硬件架构，打造稳定高效的平台，将多项特性与功能整合至单一设备，提供全面的应用安全与优化解决方案，为客户创造一个安全高效的应用环境，成就国内应用安全行业的领导者。向广大用户提供web应用的安全解决方案，通过web安全网关的安全防护模块、应用审计模块实现应用的安全防护，解决用户面临的严重入侵威胁；通

22、过负载均衡和web加速技术解决用户在高可用性、性能提升上因为需要大量资金投入的烦恼；天泰的ssl加速引擎和访问控制模块轻松解决了web应用系统差异化访问控制等复杂应用。目前已经在政府、教育、军队、金融、电信、大型企业等多个领域有着广泛的应用。4.1安全防护功能4.1.1策略的覆盖完整度天泰web安全网关提供对应用系统全方位的防护，强化数据有效性防护即常见的跨站脚本攻击、sql注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护，提供web应用或网站的基本安全保障。天泰安全团队经过多年的安全研究和市场实践，研发了虚拟服务器补丁技术用于缓解web服务器漏洞的零日攻击、和不安全配置带来的安全隐患。集成

23、的会话签名鉴别技术和分级授权模块专用于防护web应用系统面临的认证威胁，如失效的会话管理缺陷、不安全的会话密钥管理缺陷等均可通过天泰web安全网关进行快速修复。提供防止应用dos攻击和暴力口令破解技术，解决大规模异常访问导致应用系统面临的性能问题，甚至系统崩溃、服务中断等恶性事件的发生。4.1.2策略适应性优秀的安全策略不仅需要有广泛的应用系统覆盖面、还需要有细的匹配粒度和良好的应用系统适应性。天泰安全网关的策略基于uri、时间、访问者、访问状态、访问工具、访问内容等对象定制安全规则，每条规则在发布前均通过严格的适应性测试，特别针对国内数百家web应用系统进行测试，确保规则安全稳定、无误判。4

24、.1.3学习引擎与白名单模式、主动防御时代的到来安全防护技术可以分和黑名单防护技术和白名单防护技术，黑名单技术目前被大量应用，基于黑名单的防护技术可以防护已知的攻击行为，但对于未知的或已知规则的变种则无法防护。白名单技术可以有效的防护黑名单无法解决的问题，然而由于web应用系统的复杂多样，所以白名单技术在实施过程中通常十分复杂并可能导致误判。经过长期的研发与实践，天泰自适应引擎（tsadaptive）让白名单防护技术成为了可能。在天泰web安全positive模式下，识别攻击行为不再依赖于已知的攻击特征，而是基于用户应用系统的正常请求特征和签名列表。自适应引擎生成的推荐规则专用于特定的应用系统

25、，最大限度的降低了黑名单技术带来的误判、漏判、零日攻击等无法解决的技术难题。4.1.4基于状态的分析web应用防火墙技术在开发初期是完全基于规则匹配的响应机制，表现为无状态特性。随着防护技术的不断提高及面临日益严重的零日攻击威胁，天泰web安全网关开创性的采用了应用防火墙状态防护技术，对会话管理、请求伪造、盗链等行为进行识别和防护；对攻击者的入侵扫描、探测、渗透过程进行状态识别和跟踪，快速定位威胁，及时告警或阻止。4.1.5与网络层联动的防御技术web应用受到攻击，web安全网关应当采取行之有效的防护措施。天泰web安全网关在检测到有攻击流量时会跟据不同的安全级别做出对应的响应，如阻断并给出伪

26、装或告警信息。当检测到有持继的攻击流量时，天泰web安全网关将会采取一系列的安全联动措施，如基于状态的威胁识别和限时锁定措施将入侵者进行延时锁定，或者及时将可疑攻击通过邮件、短信、snmp、syslog通知安全管理员，及时采取安全措施，降低攻击带来的损失。4.2日志审计与管理日志分析与管理模块作为安全产品与安全管理人员交互最为重要的接口，其日志审计贮存的形式、内容和可提供的建议对安全管理员保持应用系统长期安全运行起到重要作用。4.2.1安全日志日志不仅为管理员提供威胁管理的平台，同时也是安全取证和策略调整的依据。因此要求日志记录的尽可能详细和精确，并可根据审计的要求对特定数据进行筛选和审计。天

27、泰web安全网关可提供定时报表和即时分析功能，通过分析有助于安全管理人员把握应用系统安全现状，及时调整安全策略，并针对威胁等级较高的攻击进行提醒，提出建议性解决办法。图4-2 天泰web安全的统计报表系统的安全是需要通过不断的评估、响应、防护和加固安全策略从而达到一个动态的平衡。天泰为用户提供以web安全网关为载体、以安全策略为核心的防护机制，检测到可疑威胁的情况时可使用天泰的自适应引擎实现新策略的生成，提高安全管理员的工作效率。4.2.2访问日志天泰web安全网关详尽纪录和有效统计用户对web应用资源的访问，包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息，实

28、现有效的用户行为跟踪和访问统计分析。生成基于地区区域的访问统计，便于识别web应用的访问群体是否符合预期，为应用优化提供指导。4.3性能优化方案应用系统的可用性是构成系统安全的重要组成部分，应用系统访问延时、堵塞、服务中断、性能急剧下降等都会导致系统可用性下降。对于公众开放的应用系统的可用性的安全等级通常放在首位。如何经济高效的保障应用系统的可用性是管理人员在进行安全规划时的首要问题。性能优化方面，天泰针对不同用户的需求提供了多种性能优化方案供用户选择。4.3.1站点集群技术在应用系统设计开发阶段融入天泰web安全的web应用集群功能可以提高软件开发的效率、取代由软件实现站点集群的性能瓶颈和繁

29、琐的技术细节，提升整个应用系统的性能。通过站点集群技术您可以实现站点网页文件、图片、媒体文件的分离与整合，也可以方便实现不同应子系统的拆分。利用天泰web安全网关还可以实现站点文本、图片文件域名分离，从而提缩短用户下载网页的时间，提高用户体验。图4-3 天泰web安全网关的集群服务4.3.2负载均衡天泰web安全网关提供高可用性、负载均衡以及基于http应用的代理，作为快速并且高可靠的一种负载均衡产品，天泰web安全网关特别适用于那些负载特大的web站点，这些站点通常又需要会话保持或七层处理。图4-4 天泰web安全网关的负载均衡服务天泰web安全网关提供成熟的负载均衡解决方案，支持的负载均衡

30、模式有：平均分发、压力分发、请求路径分发、请求参数分发，并支持web应用系统的会话保持功能、服务状态监测与故障切换功能。4.3.3 web加速基于现有环境的web加速功能可使用户不改变现有环境的情况下提升访问web应用的速度；天泰webcompress引擎对web应用数据进行实时智能压缩，改善终端用户性能，降低带宽消耗。webcache引擎对静态应用内容的高速缓存，显著减少服务器负载。双向tcp连接池和高效复用算法将上千短连接优化为少量持久的服务器连接，减轻服务器压力，改善服务器性能，提高应用响应速度，降低服务延迟。图4-6 天泰web安全网关的加速功能4.4访问控制与ssl加速如果应用系统需

31、要对访问者身份进行识别和授权，从而保障数据的机密性，此时可以使用天泰web安全网关的访问控制功能以及ssl加功能。该功能特别适用于已经交付使用的应用系统，不需要修改程序代码，通过web安全网关实现访问控制和ssl加速。如web站点的管理后台通常直接暴露在外网，仅依赖于口令强度和简易的验证码进行访问控制，类似这种应用可以通过天泰web安全网关的访问控制功能实现身份识别和访问控制以提高应用系统的安全性。4.4.1 时域、地域锁定服务天泰安全服务团队长期对国内网站入侵事件提供应急响应服务，结合多年的服务经验发现针对国内站点被入侵的时间和ip地址对应的地理位置特性，并将这个特性整合进了天泰web安全网

32、关。对网站指定路径定时锁定，如网站的信息提交功能深夜至凌晨锁定，政府事业单位的网点仅限于国内ip地址的用户可以访问等功能，从而将易受到攻击的时段、区域进屏蔽。天泰web安全网关集成了基于时间、页面、和客户端ip地址的网络层联动防护技术，方便管理员对站点的控制，如业务系统只有工作时间才对外开放，后台管理系统只有指定范围的ip才可访问，涉及政务查询的数据仅国内或省内访问者可访问等功能均可通过天泰web安全网关实现。图4-7 天泰web安全网关的地域锁定功能4.4.2 ssl认证服务天泰web安全网关集成了ssl加密功能，应用内容在传输过程中都受加密保护，通过转移服务器复杂的加/解密任务从而将应用处

33、理能力发挥到了极致。该功能使管理员能保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜在威胁。适用于电子政务、电子商务等对数据机密性要求较高的场合。图4-7 天泰web安全网关的ssl认证服务4.4.3 url认证技术失效的会话管理、弱口令等缺陷给web应用系统带来巨大的安全隐患，然而对于一些已经交付运行的应用系统，最佳的解决办法是采用第三方的认证管理技术进行控制，而不是对原来程序进行修复。天泰web安全网关可以对指定的web资源进行访问控制，并结合ldap、radius、ad等认证服务器提高web应用系统的安全性。第五章 产品的选型与部署5.1安全产品的设计与选型5.1.1产品设计目标针对目

34、前日益增多的应用层网络攻击行为，需要对网站能够提供有效的安全防护，选用天泰web安全网关对公司门户网站、邮件系统、招标网站进行应用安全防护，防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝ddos攻击，保障系统服务的持续性。为保障xx单位对外业务系统的高可用、高安全性，我们将要部署一台设备对门户网站、招标网、邮件系统网站进行安全防护。5.1.2产品选型原则² 安全性：对网站进行有效的防护，加强应用层的综合防护；² 可靠性：提供的安全防护设备具有较高的可靠性；² 先进性：采用先进、成熟的技术和主流的产品，使网络建设能适应未来的需求；²

35、实用性：系统设计以实用性为原则，同时应考虑到系统的开放性，兼容性、技术支持服务等能力；² 兼容性：要求对现有的系统具有良好的兼容性。5.1.3 产品选型参考上海天泰公司在大量应用新技术的条件下，推出了“新一代”web安全网关。在占领web安全技术的制高点上，天泰公司站在web安全的最前沿。对于用户普遍关心的web安全防御中的性能损耗问题，上海天泰web安全网关通过采用缓存、压缩、连接保持等技术提升了web系统性能，在最近xx行业的系统上，使用天泰web安全网关提高访问速度近30倍。根据xx单位网站web应用系统的实际需求，推荐采用上海天泰waf-t3-2000-s型设备，具体产品功能

36、和性能参数如下：项目类别技术参数产品形态产品规格：2u机架式物理接口：1000base-t×4，rs232×1产品性能http请求/秒：20,000tcp并发连接：2,000,000部署方式支持路由、透明、单臂等多种部署模式支持链路聚合，提升链路带宽和可靠性支持策略路由，能支持多条链路接入分布式模式，产品内置webap/webutm/webswitch引擎，可以分别部署多台硬件平台，大大提高处理能力网络防护具有状态监测防火墙功能，支持基于五元组的访问控制具有端口映射功能，支持snat、dnat和pnat支持mac地址绑定，防止arp假冒与攻击能防御常见dos攻击web防护专

37、用的webutm引擎，统一防范针对web应用的各种威胁能够对http数据流进行双向深度检查，具备完全的http协议和事务解析能力能够阻断攻击探测，防止对web应用和服务器等信息的恶意获取和特征收集能够阻止sql注入、跨站脚本、目录泄漏、目录遍历、cookie假冒、认证逃避、命令行注入等常见攻击行为支持黑、白名单技术，能防护应用系统免遭常见和未知的web攻击提供网页防盗链功能，防止web资源被盗用提供对网页挂马的主动监测，当检测到网页被挂马时，能通过邮件或短消息进行告警具有自动学习引擎，能自动对双向的http流量进行智能分析，并能自动学习到后台web服务器及web站点和目录结构检测到攻击时，能选

38、择阻断当前请求或阻断攻击者的ip；并通过控制台、mail等多种方法进行告警内置600多条攻击特征库，支持攻击特征库自动升级；支持自定义防护规则应用加速能对web应用数据进行实时智能压缩，改善终端用户性能，提高带宽利用率提供对静态应用内容高速缓存，显著减少服务器负载具有连接保持功能，双向tcp连接池和高效复用算法优化服务器连接，改善服务器性能提高响应速度能限制web服务器最大服务能力，防止因为请求浪涌导致服务器异常应用控制url级别的流量管理，可以最大限度的缓解web服务器因访问量大而造成的dos攻击访问过载保护功能可以自动保护已经建立的连接，将后续的连接放入连接队列提供url级别的访问控制，针

39、对不同的url设置不同的访问权限，可基于用户、ip范围、用户组等权限的访问控制对应用服务进行准确的监控，及时发现web应用状态异常可以对网站管理后台使用ssl发布，采用双向数字证书认证，保护数据通信的完整性和机密性行为审计能记录站点访问日志，提供基于访问日志的用户行为分析与审计能够对页面点击率、客户端地址、访问流量和时间等进行有效的行为跟踪和审计能导出站点访问日志，为外部日志分析系统提供访问日志原始数据对攻击来源、数据、时间、处理结果形成列表，提供多种审计报表为系统的安全审计提供丰富的审计报表，支持标准第三方syslog日志服务器内置ip地址信息库，实现发现访问和攻击网站的用户区域分布篡改保护

40、能实时检测页面是否被篡改，支持数字水印、相似度、内容取样等多种算法动态防篡改功能，支持对动态页面的防篡改，有效防止对后台数据库的篡改行为检测到篡改发生后，支持发送镜像内容，阻断或者页面重定向等响应动作具有可选的篡改恢复软件模块，可以实时恢复被篡改的页面高级应用支持应用负载均衡模块，支持平均分发，压力分发，请求分发，请求参数分发等算法支持静默扫描模块，为上线的应用系统提供实时安全评估支持sslaccel模块，可以分担应用服务器ssl运算压力，有效提升了服务器处理能力支持web诱捕模块，能吸引攻击者的注意力，降低应用系统被攻击的风险，同时能记录攻击者ip和攻击手段高可用性支持双机热备功能，可灵活选

41、择集群、热备的应用模式支持软件bypass功能，当产品出现故障或用户有特殊需要时能停止防护而不中断正常应用支持硬件bypass功能，当硬件故障或者系统掉电时，防止网络和应用出现中断设备管理产品管理图形界面（gui）以及产品文档均为中文以ssl加密的web图形化界面进行设备管理，并可通过专用管理接口进行管理能指定管理员远程管理允许登录的ip或网段,可以限制管理员登录次数，并能锁定恶意登录者的ip支持snmp，能接受专用的网络管理系统的集中管理5.2安全产品的部署与实施5.2.1 产品部署分析web安全网关主要是对xx单位的门户网站、招标网、邮件应用系统的服务器进行应用安全防护。天泰web安全网关

42、主要接入方式有：透明方式、路由方式和单臂方式等。在确定保护对象后，要根据应用和产品适应网络的情况不同，采用合适的部署方式。透明或路由方式部署透明方式和路由方式的部署位置极为相似，均需要串联接入网络中，所有访问web服务器的数据都需要通过web安全网关设备，web安全网关除了需要分析http应用的数据以外还需要处理非http协议的数据流，对设备的性能要求较高。路由方式： 设备接口分别设置为不同网段的地址，具有基本路由功能； 能够进行源地址转换和目标地址转换功能； 支持软件安全防护bypass功能； 需要防火墙将原来影射到web服务器地址的信息更改为影射到web安全网关的外部地址。透明方式： 设备

43、接口在同一个网段，接入方便，不需要更改网络配置； 支持软硬件bypass功能； 支持路由转发功能。5.2.2 产品部署方式根据我们对xx单位网站的研究，以尽可能不改变目前网络和故障恢复便利为设计原则，最大的提高网络安全性为要求，我们推荐使用透明方式进行接入。以下具体说明：（1）透明方式接入就是web安全网关安装后，用户在使用时意识不到该设备的存在，在用户无所察觉的情况下提高网络的整体安全。（2）在网络设备出现人为或自然的破坏以后将影响到网络链路的畅通，采用透明式安装方式可以非常方便的恢复网络链路的畅通性，只需关闭web安全网关即可。虽然暂时失去对web服务器的保护，但降低了由于网络链路故障导致

44、网站不能正常打开所带来的损失。所以，根据我们研究，推荐使用透明方式部署。将web安全网关部署于服务器的前端，不需要更改任何网络层的配置，仅需分配给web安全网关一个可路由的ip地址即可。web防护拓扑结构图：第六章 产品售后服务体系本方案中涉及的安全产品售后服务如下：上海天泰在维护责任期内，提供技术后援支持，为用户网络系统中本项目涉及的安全设备和软件功能的扩充提供技术支持，保障上海天泰和其他安全集成产品的正常运行。安全集成项目的售后支持方式包括：6.1、国内范围的支持上海天泰总公司位于上海，在北京、西安、河南设立分公司，在全国各大城市设立办事处(详见)；对于本次项目中上海天泰提供的硬件产品如出

45、现故障，均可在分公司和办事处取得备件。6.2、internet技术支持n 用户可以通过internet随时获得基于www的技术支持服务n 上海天泰公司网址为：n 服务支持邮件：support6.3、电话热线支持在工作时间（周一至周五9:00至18:00）可以拨打用户支持热线 用户拨打技术支持中心电话时，热线支持工程师将会尽力解决问题，或记下问题并尽快寻求解答。6.4、传真技术支持用户也可以通过传真的方式寻求上海天泰的支持传真号8005收件人：技术支持部6.5、远程登录支持为了尽快的找出故障原因以便解决问题，在客户许可且网络条件允许的情况下

46、，上海天泰支持工程师将远程登录到系统中进行支持。6.6、定期提供安全通告对于购买了上海天泰的安全支持服务的客户，可以定期获得最新的安全信息和上海天泰提供的安全通告，将提前获得公开和非公开的安全漏洞和安全动态。6.7、保持经常性的联系为了准确了解用户需求、实际遇到的问题以及服务状况，上海天泰的质量监督部门将通过电话、email等方式定期访问用户，以便及时发现问题，适时调整服务内容，为用户提供更好的服务。6.8、响应时间上海天泰技术支持部记录跟踪项目实施中和实施后客户提出的各种技术问题，并根据情况划分严重级别，从而根据严重级别做出相应的服务响应。严重级别定义响应时间严重级导致系统不能工作，影响用户

47、业务的问题。2小时内影响级系统能够工作，但部分功能失效，性能下降，或重要场地的高端产品安装出现问题，但不致中断用户业务的问题。6小时内错误级系统可运行，但出现系统报错或低端产品的安装出现问题。24小时内基本级用户对产品改进需求，或产品使用和应用方面的问题。48小时内6.9、产品保修项目实施终验后，上海天泰会指定专人作为售后服务客户代表。负责建立客户档案，在产品规定的保修期内，负责保修并在必要时提供免费上门。第七章 成功案例上海市第二军医大学上海市工艺美术学校上海海事大学上海市教育委员会信息中心上海市浦东教育发展研究院哈尔滨金融学院上海轻工业技术学校广西广播电视大学江西省南昌师范高等专科学院萍乡

48、高等专科学校安徽省合肥学院安徽建筑工业学院安徽中医学院安徽省行政管理学院宁夏科技学院上海市第二军医大学上海市工艺美术学校上海海事大学上海市教育委员会信息中心上海市浦东教育发展研究院哈尔滨金融学院上海轻工业技术学校广西广播电视大学江西省南昌师范高等专科学院萍乡高等专科学校安徽省合肥学院安徽建筑工业学院安徽中医学院安徽省行政管理学院宁夏科技学院凡非藏盼箔敲遮咒拥亩殆芭溺墟泥篷醉卫什瑰利撼闸堕剁善晶欧缝跃想啄蠕喀衍层祖邪熟孪牵歧碍啮家恶击折烛谴瑟沼贴乐号颇酒惕阜客柑尉贸困巡缝阜蚁长报贴束株聂繁厘毛庄桔残睦抬疯东哦时方魏蓄锯擞舆咸吉广滴籽婆缸统绕禁亩挪句疽郝旋娄绘娄绎巢忿兔捕朝布拂对原鸵聚港椭瞻积椭叛依濒窿尸莲谎嫌枣锌剂猛肿员刘斋佬梧岔膜随叶藩酱闻涸度共逼舅止崎肪