Web系统整体安全解决方案

web网络安全解决方案（文档版本号：V1.0）

修订记录Fl期修订版本描述作2019-4-2V1.0初稿生成II目录TOC\o"1-5"\h\z一、前言1二、如何确保web的安全应用三、常见部署模式3四、需求说明9五、网络拓扑11六、总结11前言一、应用处在一个相对开放的坏境中，它在为公众提供便利服务Web黑客们已将注意力从以往的同时，也极易成为不法分子的攻击目标，信息当前，应用的攻击上。对网络服务器的攻击逐步转移到了对Web应用而非网络层面上。75%都是发生在Web安全攻击约有系统软件的Web攻击者针对Web应用程序的可能漏洞、Web协议本身薄弱之处，通过发送一系列含有特定企http不当配置以及攻击的应用进行侦测和攻击，站点特别是Web图的请求数据，对Web目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。攻击者不需要对网络协议利用网上随处可见的攻击软件，目前，网站主页、盗取管理员密码、破Web有深厚理解，即可完成诸如更换和坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，正常数据没有什么区别。web的安全应用二、如何确保为系统的各个层面,都会使用不同的技术来确保安全性：在Web为了保证用户数用户会安装防病毒软件；了保护客户端机器的安全，技术加密数SSLWeb服务器的传输安全，通信层通常会使用据传输到用户会使用网络防据；为了阻止对不必要暴露的端口和非法的访问,IDS/IPS来保证仅允许特定的访问。火墙和端口是一和443Web服务端口即80但是，对于Web应用而言，端口执行各种恶意的操作，恶意的用户正是利用这些Web定要开放的，应用中的重要信息。而传统安全Web或者偷窃、或者操控、或者破坏更无法结合并不能精确理解应用层数据，设备仅仅工作在网络层上，系统对请求进行深入分析,针对应用层面的攻击可以轻松的突破Web保护的网站。传统网络防火墙和IDS/IP需要采用专门的应用中，Web网站和Web因此，在大量而广泛的ApplicationWebWAF（Web安全防护系统来保护Web应用层面的安全，应用防火墙）产品开始流行起来。，WEBFirewall产品按照形态划分可以分为三种，硬件、软件及云服务。软WAFWAFWAF由于功能及性能方面的缺陷，已经逐渐被市场所淘汰。云件近两年才刚刚兴起，产品及市场也都还未成熟。与前两种形态相比，也是目前市经过多年的应用，在各方面都相对成熟及完善，硬件WAFWAF产品的主流形态。场中是一个必须要考虑的网络部署对于用户来说，既然是硬件产品，通常一个产品会支持多种部署模产品，问题。纵观国内外的硬件WAFWAF式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件几种常见的部署模式做一个介绍。常见部署模式三、部署位置1.WAF区域或者放DMZ通常情况下，WAF放在企业对外提供网站服务的等网关设备串联在IPS在数据中心服务区域，也可以与防火墙或服务WEBWAF部署位置的是一起（这种情况较少）。总之，决定所保护的对象。部署时当然要WAFWEB服务器是器的位置。因为WEB尽量靠近服务器。使WAFWAP部署模式分类2.工作方式及原理不同可以分为四种工作模式：透明代理根据WAF模式、反向代理模式、路由代理模式及端口镜像模式。前三种模服务器串行部署在WEB式也被统称为在线模式，通常需要将WAF端口镜像模式也称为离线模式，用于检测并阻断异常流量。前端，服务器上游的交换WEB部署也相对简单，只需要将WAF旁路接在机上，用于只检测异常流量。:WAF部署模式分类图1WAF几种部署模式的技术原理3.匚作模式技术原理

透明代理模式（也称网桥代理模式）客户端对服务器WEB透明代理模式的工作原理是，当WAFWAF截取和监控。有连接请求时，TCP连接请求被客户端和服务器之间的会话，将会偷偷的代理了WEB客户话分成了两段，并基于桥模式进行转发。从WEB客户端仍然是直接访问服务器，感端的角度看，WEB工作转发原理看和透明网WAF知不到WAF的存在；从桥转发一样，因而称之为透明代理模式，又称之为透明桥模式。

反向代理模反向代理模式是指将真实服务器的地址映射到反向式代理服务器上。此时代理服务器对外就表现为一个真WAF实服务器。由于客户端访问的就是WAF,因此在无需像其它模式（如透明和路由代理模式）一样需要采用特殊处理去劫持客户端与服务器的会话然后为的请求报文其做透明代理。当代理服务器收到HTTP后，将该请求转发给其对应的真实服务器。后台服务设设备，由WAF器接收到请求后将响应先发送给WAF备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似，唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器，所映射关IP以透明代理工作方式不需要在WAF上配置系。路由代理模路由代理模式，它与网桥透明代理的唯一区别就是式该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为地址以及路由。WAF的转发接口配置IP端口镜像模流量进行监控和WAF只对HTTP端口镜像模式工作式时，报警，不进行拦截阻断。该模式需要使用交换

机的端流量镜HTTP口镜像功能，也就是将交换机端口上的WAF像一份给WAF。对于而言，流量只进不出。4.WAF几种部署模式的典型拓扑3=典型拓扑3=L/V式透明代理模式wwmwwm■务■耳■务■WATE?-H«™^—Q|:]—謂«A9■■ZB€冃・N冃・N称网桥代理模式）VAF1111110/31<E_teiKiwi,—q:|氏俎VAF1111110/31<E_teiKiwi,—q:|氏俎IPS反向代模VAF刍——J_Q|：|1^|1111110/XIPSIPS路代理模式WE8■鼻•端口镜像模式WAF几种部署模式的优缺点5.

匚作模式优缺点透明代理模式（也称网桥代理模式）这种部署模式对网络的改动最小，可以实现零配置部功能在设备出现故障Bypass署。另外通过WAF的硬件自身功只是或者掉电时可以不影响原有网络流量，WAF）都HTTP和非HTTP能失效。缺点是网络的所有流量（采用该工作模对WAF的处理性能有一定要求，经过WAF式无法实现服务器负载均衡功能。反向代理模式这种部署模式需要对网络进行改动，配置相对复杂，除WAFWAF设备自身的地址和路由外，还需要在了要配置服务器的地址和虚地址的映射关上配置后台真实WEB系。另外如果原来服务器地址就是全局地址的话（没经地IPNAT过转换）那么通常还需要改变原有服务器的采用该模式的解析地址。址以及改变原有服务器的DNS上同时实现负载均衡。优点是可以在WAF路由代理模式路由代理模式动，地址以及对应的路由。工作在路IP内网口和外网口的服务器的网关，但是由代理模式时，可以直接作为WEB存在单点故障问题，同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。端口镜像模式但是它仅对流量这种部署模式不需要对网络进行改动，并不会对恶意的流量进行拦截和进行分析和告警记录，时，用于收集和了解服务阻断，适合于刚开始部署WAF为后续在线部署提供优化配器被访问和被攻击的信息，置参考。这种部署工作模式，对原有网络不会有任何影响。需求说明公司现有主营云托管，租用业务，本着高性能、高效率、高可用性、高经济性原则。提出如下需求：很好的解决了并发连接数高，大吞吐量，1.设备本身的高性能，平均在线人数众多,连接不正常的问题。保障网络带宽的高性能的负载均衡功能，支持多种均衡算法，2.稳定。多台设备的双机热备功能。3.防止敏感信息、网页防盗链，4.网页防护功能实时检测页面篡改，应用信息泄WEB服务器信息的泄露，阻断攻击探测，有效防止露、篡改，恶意截取。、表单类HTTP流量，基于URL5.智能应用感知，自动分析双向型、参数类型等信息应用访问知识库，防止未知攻击。访问服务的保护。支持https6.攻击。httpflood保护，全面的协议分析，支持Cookie防范7•漏洞扫描，支持主动扫描，及时发现并弥补系统漏洞,减WEB8.少被攻击的可能。转吸引攻击者注意力，暴露攻击者行踪，WEB9.内置诱捕系统，记录攻击支持第三方蜜罐系统，采集攻击行为，移应用风险，手法，完善网络防御体系。全面的应用控制，控制不同区域用户对敏感资源的访问时间，10•针对不同资源保护等级的要求，进行安全认证。减少安全风险，基于用户访问的行为分析与审计，对攻击来源、数据、时间、11・处理结果提供灵活查询和过滤。支持万兆光纤接口12.五、网络拓扑

■K«MF设备祁署网络拓扑图炉X■场<r»ai——CM倂■，什"■4uG；»m咬第工■K«MF设备祁署网络拓扑图炉X■场<r»ai——CM倂■，什"■4uG；»m咬第工•»VK<-«e.'m</ARKIWWkUrL*L[L；；,p~；'）娶].f总结六、/r/