Web安全解决方案

Web安全解决方案目录Web安全 1解决方案 1第一章 需求概述 41.1 项目背景 41.2 网络安全建设现状分析 41.3 Web业务面临的安全风险 4第二章 Web安全解决方案设计 72.1 方案概述 72.2 方案价值 8第三章 XXX下一代防火墙NGAF解决方案 83.1 XXXNGAF产品设计理念 83.2 XXXNGAF解决方案 103.2.1 四种部署模式支持 103.2.2 多种拦截方式支持 123.2.3 安全风险评估与策略联动 123.2.4 典型的Web攻击防护 123.2.5 网关型网页防篡改 183.2.6 可定义的敏感信息防泄漏 203.2.7 基于应用的深度入侵防御 213.2.8 高效精确的病毒检测能力 233.2.9 智能的DOS攻击防护 243.2.10 智能的防护模块联动 253.2.11 完整的防火墙功能 253.2.12 其他安全功能 253.2.13 产品容错能力 29

需求概述项目背景 （请根据客户实际情况自行添加）网络安全建设现状分析 （请根据客户实际情况自行添加） XX拟建立Web业务对外发布系统，该对外发布系统由多台服务器组成，承载的有OA应用、集团内部门户网站、集团内门户网站群等多个WEB应用。 目前，XXweb应用边界使用传统防火墙进行数据包过滤进行安全防护，现运行许多WEB应用系统。Web业务对外发布数据中心是XXIT建设数据大集中的产物，作为Web业务集中化部署、发布、存储的区域，该对外发布数据中心承载着XXWeb业务的核心数据以及机密信息。对于恶意攻击者而言，Web业务对外发布数据中心是最具吸引力的目标。而之前，的安全建设以各区域安全隔离为主，隔离来自internet、intranet、extrane等区域的安全风险，实现网络级的访问控制。而安全隐患迁移到了应用层，UAP云平台资源池数据中心面临的应用层安全威胁是基于L3-L4层的传统防火墙完全无法理解的。 1、利用业务开发时期没有对代码的安全进行评估，使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题 2、利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题 3、来自其他安全域的病毒、木马、蠕虫的交叉感染，使得数据中心成为“养马场“ 4、由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题 5、利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题Web业务面临的安全风险 Web业务已经成为当前的主要的业务，大量的在线应用业务都依托于Web服务进行。由于大量的web业务不断更新，大量web应用快速上线，而由于Web业务资金、进度、意识方面的影响，这些web应用系统没有进行充分的安全评估而导致大量的可利用漏洞。 根据Gartner的调查，信息安全攻击有75%都是发生在Web应用层，2/3的Web站点都相当脆弱，易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。 近年来，Web安全事件不断攀升，电子商务、金融成为了主要目标，国家互联网应急中心（CNCERT/CC）《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%，较2010年大幅上升，排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底，CSDN、天涯等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益和互联网安全。” Web业务对外发布数据中心包含Web服务器、存储服务器、数据库服务器、内网系统等多种业务系统，向internet、intranet等多个区域提供服务，Web数据中心要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。Web业务对外发布数据中心急需解决应用层安全防护的问题。 部分多功能防火墙或者是UTM虽然具备了部分应用层安全防护的能力，但由于其实现方式、缺乏应用层协议的理解能力。在应用层攻击防护上存在严重不足，比如针对数据中心的十大web攻击： SQL注入、XSS、CSRF等攻击是包含在http正常请求中的web攻击，可以通过80端口渗透传统防火墙与多功能网关，造成正对数据中心数据库服务器、web服务器、存储服务器的攻击，可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是业务中断。 SQL注入等web攻击逃逸攻击，由于传统的多功能网关或者IPS实现应用层攻击仅仅通过DPI数据包的深度检测进行攻击特征分析，攻击行为一旦采用了逃逸手段，传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测，一旦攻击被利用重新编码、分片、乱序等逃逸处理方式，传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析，理解协议本身，还原其真实的攻击行为才能够进行有效的阻断。 其他攻击还包括：信息泄露攻击、目录遍历、系统命令注入、webshell等多种传统基于DPI技术的多功能网关无法防御的攻击，如： 信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。 目录遍历漏洞攻击就是通过浏览器向web服务器任意目录附加“../”，或者是附加“../”的一些变形，编码，访问web服务器根目录或者之外的目录。 系统命令注入是攻击者提交的特殊字符或者操作系统命令，web程序没有进行检测或者绕过web应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。 …… 总的来说，由于该类攻击可导致Web业务面临的主要安全威胁如下： 1、网页篡改问题 网页篡改是指攻击者利用Web应用程序漏洞将正常的Web网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响，但对于UAP平台重要的Web业务，需要与用户通过Web业务进行沟通的应用而言，就意味着UAP平台Web业务将被迫停止服务，对中国移动湛江分公司的经济利益、企业形象及信誉会造成严重的损害。 2、网页挂马问题 网页挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者，成为攻击者的帮凶或者造成自身的经济损失。这种问题出现在Web业务中也严重影响中国移动湛江分公司UAP数据中心的正常运作并影响到公司的公信度。 3、敏感信息泄漏问题 这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于承载多种Web业务的UAP数据中心平台而言是致命的打击，可产生巨大的经济损失。 4、无法响应正常服务的问题 黑客通过DOS/DDOS拒绝服务攻击使UAP平台无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致Web业务无法响应正常的服务请求。对于中国移动湛江分公司UAP平台Web业务而言是巨大的威胁。Web安全解决方案设计方案概述 XXX为XX提供针对Web业务对外发布数据中心完整的安全解决方案。 通过在核心交换前双机部署两台XXX下一代应用防火墙NGAF，可实现业务服务器的业务逻辑隔离，核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。 NGAF应用防火墙的部署可以从从攻击源头上防护导致Web业务各类网络/应用层安全威胁；同时XXX下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。 1、XXX应用防火墙AF-8020双机部署于核心交换前可实现整体安全防护； 2、NGAF通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题； 3、NGAF通过服务器防护功能模块的开启，可实现对各个区域（尤其是DMZ区）的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题； 4、NGAF通过风险评估模块对服务器进行安全体检，通过一键策略部署的功能开启IPS、WAF模块的对应策略，可帮助管理员的实现针对性的策略配置； 5、利用NGAF入侵防御模块可实现对各类服务器操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题； 6、NGAF防病毒网关的模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染； 7、NGAFDDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题。（拓扑图）方案价值 XXXWeb安全解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足： 事前，快速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略； 事中，有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击； 事后，对服务器外发内容进行安全检测，防止攻击绕过安全防护体系，对Web业务产生的网站篡改、数据泄漏问题。 同时该方案从简化组网、方便运维、最优投资的用户角度出发，可为Web业务对外发布数据中心打造L2-L7层的安全防护体系构架，实现完整的安全防护，同时在可用性、可靠性上采用了XXX特有的先进技术保证Web业务的正常稳定运行，打造一个“安全”、“可靠”、“高效”的Web业务对外发布数据中心。XXX下一代防火墙NGAF解决方案XXXNGAF产品设计理念 XXXNGAF提供对Web业务系统的三维立体防护解决方案，深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发，提供全面的安全防护手段，保护web业务系统不受来自各方的侵害。 基于事件周期的设计 攻击的防护不可能实现百分百的安全。Web系统的安全建设必须贯穿到整个Web安全事件周期中，设立事前、事中、事后三道安全防线分阶段进行防护。 NGAF提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防护。事前策略自检：在配置完安全策略后，NGAF可以自动进行扫描和探测，查看系统还存在哪些安全策略漏洞和隐患；事中攻击防护：2-7层完整的安全防护，包括：Web攻击防护、漏洞防护、病毒防护等；事后网页篡改响应：可以针对被篡改的静态网页进行告警、替换、还原等功能。基于攻击过程的安全防护 传统的web安全防护采用的是防火墙+IPS+WAF割裂式的安全防护体系，针对各类的攻击总是被动的增补相应功能的安全设备。而对于Web安全防护不是单一攻击手段的防护，而需要对黑客攻击动机与时机进行分析，基于黑客的攻击过程的每一个环节进行统一防护。 NGAF的设计是基于黑客攻击过程的完整Web系统安全防护，针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护：扫描过程：提供防端口/服务扫描、防弱口令暴力破解、关键URL防护、应用信息隐藏等攻击过程：提供强化的Web攻击防护（防SQL注入、OS命令注入、XSS攻击、CSRF攻击）、多对象漏洞利用防护等破坏过程：提供抗应用层DOS攻击、可执行程序上传过滤、上行病毒木马清洗等多维对象的全面防护 安全的漏洞就像木桶的短板，任何可以被黑客利用的机会都可能导致所有的防护措施形同虚设。对众多用户网络安全现状分析后，发现安全问题是多角度、多方面的，在Web安全规划中，一味强调Web服务器的防护是远远不够的。面对防护全面的Web应用服务器，黑客往往以退为进采用“跳板式攻击”，先突破漏洞较多的内网终端，通过内网终端窃取密码后堂而皇之的入侵Web服务器。 NGAF不仅提供强化的服务器安全防护，针对网内存在巨大安全风险，很有可能成为“肉鸡”被黑客利用的终端也采取了严格的防护措施。基于终端漏洞防护终端的病毒防护恶意插件、脚本过滤 NGAF是充分考虑安全事件周期性，基于黑客攻击行为的过程，提供多维对象防护的完整Web安全解决方案。 除此之外，NGAF涵盖了L2-L7全面的安全功能，可以替代FW、IPS、WAF，节省投资。同时，简化了组网，统一了管理，极大地提升运维工作效率。XXXNGAF解决方案四种部署模式支持 NGAF支持网关模式部署、网桥模式部署、混杂模式部署以及旁路模式部署等四种模式部署，可支持多进多出，单进多出、多进单出等多种方式接入，可适用于各种复杂环境下的部署环境。网关模式：支持网关模式，支持NAT、路由转发、应用层防护等全部功能部署在网络边界，类似于一个路由器，提供静态路由和策略路由，又是一台防火墙，实现NAT地址转换和流量管理，提供网络层安全防护，还是一台网络入侵防护系统，实现应用层和内容层的安全防御；网桥模式：支持网桥模式，以透明方式串接在网络中，支持除IPECVPN以外的所有功能1、类似二层交换机一样，采用一进多出或多进多出的方式，同时与不同网段相连接，进行数据交换；2、可实时监测各网段之间的各种流量，提供从网络层、应用层到内容层的深度安全防护。混杂模式：支持同时开启支持网关和网桥模式，支持功能视各线路情况而定；1、在总部互联网出入口处在线部署NGAF，实现路由防护，提供互联网的从网络层、应用层到内容层的深度安全防护；2、在总部内部网段之间以及与分支机构网络之间在线部署NGAF，提供透明接入的、独立多路NGAF一进一出的、交换式NGAF多进多出的全方位、立体式的安全防护体系，实现内网的安全区域划分和控制；3、在企业服务器区旁路部署NGAF，保护服务器安全；旁路模式：支持旁路模式部署，不改变原有网络架构。该模式下只支持入侵防御、WEB防护和敏感信息防泄漏功能多种拦截方式支持 NGAF可实现对HTTP/HTTPS协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于HTTP协议的内容分析，很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS，仅仅是基于简单的特征检测技术，存在大量的漏报误报的信息。 NGAF作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，NGAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。安全风险评估与策略联动 NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。典型的Web攻击防护 XXX下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。 SQL注入攻击 攻击者通过设计上的安全漏洞，把SQL代码黏贴在网页形式的输入框内，获取网络资源或改变数据。NGAF设备可以检测在http协议中Get参数、Post表单以及cooke中隐藏的攻击威胁，并通过协议中断阻止此类攻击行为的发生。NGAF可针对web的主流技术进行防护：ASP+ACCESSASP+MSSQLASP.NET+MSSQLJSP+ORACLEJSP+MYSQLPHP+MYSQL……NGAF可针对攻击的关键步骤进行攻击防护：SQL注入漏洞扫描，踩点防护数据库类型探测防护数据库基本信息探测防护数据表总数探测数据列总数探测数据表名称探测防护数据列名称探测防护数据表记录总数探测防护数据表字段值探测防护数据库字段值增删改防护数据库存储过程执行防护数据库非法授权防护数据库备份防护……SQL注入工具防护NGAF支持黑客常用的SQL注入类工具进行攻击防护，包括如：Domain明小子阿D教主NBSI军火库HDSI穿山甲PangolinCASI二娃ZBSI……SQL注入逃逸攻击防护 一、SQL注入编码逃逸防护 SQL注入绕过WAF的常用方法之一是对注入的语句或参数进行编码，因为基本于特征匹配的算法通常无法匹配编码后的关键字，这样就可以成功地绕过WAF攻击用户的服务器；如：UTF-7、UTF-8、UTF-16、Base64…… NGAF可实现对http协议的语义还原，防止通过语句或参数编码等多种形式的SQL注入逃逸攻击。包括： 二、SQL注入采用注释逃逸；如：//,-,/**/,#,-+,---,;%00,/!*UNIION/等； 三、SQL注入采用大小写转换进行逃逸的攻击；如：UnIoN/**/SeLEcT等； 四、注入攻击缓冲区；如：UNION(select0xAAAAAAAAA...AAA...)； 五、针对SQL中的功能语句增、删、改、查进行可能的注入点。 六、SQL注入TCP/IP分片进行逃逸攻击：类似fragrouter分片工具把数据分片，对于没有基于包重组检测的引擎，这类攻击都可以成功地绕过WAF的SQL注入防护，NGAF支持TCP/IP分片进行SQL注入逃逸的攻击防护，防止黑客通过TCP/IP分片逃逸实施攻击。 七、其他如：or1=1签名绕过等逃逸方式 ……XSS跨站脚本攻击 跨站脚本攻击，XSS是一种经常出现在WEB应用中的计算机安全漏洞。它允许代码植入到提供给其他用户使用的页面中。例如HTML代码和客户端脚本，攻击者利用XSS漏洞绕过访问控制，获取数据，例如盗取账号等。NGAF可以实现对http协议的解析，通过页面代码对用户输入进行过滤，检查并替换常见的XSS使用字符。NGAF可实现包括： 1、基于标签事件的XSS防护 2、基于标签style的XSS防护 3、基于标签javascript伪协议的XSS防护 4、基于IE支持的expression的防护 ……WEBSHELL WEBSHELL是WEB入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后面木马，在入侵一个网站后，常常将这些木马放置在服务器WEB目录中，也正常网页混在一起。通过WEHSHELL，长期操纵和控制受害者网站。NGAF设备不仅可以防止黑客通过webshell获得权限。 如比较流行的一句话木马：把一句话<%executerequest(“value”)%>添加到数据库中，然后打开客户端，填上加入了一句话的asp文件，或者是asp网页，便可实施入侵。 1、NGAF可对常见的文件格式内容进行解析；主要是分析一下各种文件格式的通用格式，然后提取特征，作为上传的检测机制.包括:PE/ELF/PHPwebshell/LinuxShell/PowerShell/Javashell/AspShell/PerlShell/Pythonshell/AIXshell/solarisshell/cgi/ssi/OracleAppServer/等； 2、NGAF可提取常见的Webshell的特征，阻止上传到服务器； 3、NGAF优化文件类型判断,不再简单以扩展名为依据，解决Webshell伪装问题；例如可以把可执行的脚本嵌入到图片中。NGAF还可以支持包括多种类型的webshell后台木马，如：ASP海洋顶端木马砍客木马蓝屏木马站长助手木马冰狐浪子木马超级隐藏免杀木马阿江探针Asp一句话小马……PHPPHPShell灵魂PHP木马采飞扬PHP木马C99Shell木马浪点PHP探针……JSP修改文件时间木马执行CMD木马JshellJfolderJbrowser……ASPX.NET安全浮云木马WebAdmin木马ASPXSPY木马……应用信息隐藏 NGAF可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等FTP应用信息隐藏： 客户端登录FTP服务器的时候，服务器会返回客户端FTP服务器的版本等信息。攻击者可以利用相应版本的漏洞发起攻击。该功能是隐藏FTP服务器返回的这些信息，避免被攻击者利用。HTTP应用信息隐藏： 当客户端访问WEB网站的时候，服务器会通过HTTP报文头部返回客户端很多字段信息，例如Server、Via等，Via可能会泄露代理服务器的版本信息，攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。跨站请求伪造攻击（CSRF） CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的双向内容检测技术，结合数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。网页木马 网页木马实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个木马。NGAF设备可以检测到此类攻击行为。网站扫描 网站扫描是对WEB站点扫描，对WEB站点的结构、漏洞进行扫描。NGAF设备可以检测到如爬虫、扫描软件，如appscan、等多种扫描攻击行为并进行阻断。系统命令注入 攻击者利用服务器操作系统的漏洞，把OS命令利用WEB访问的形式传至服务器，获取其网络资源或者改变数据。NGAF设备可以检测到此类攻击行为。文件包含攻击 文件包含漏洞攻击是针对PHP站点特有的一种恶意攻击。当PHP中变量过滤不严，没有判断参数是本地的还是远程主机上的时，就可以指定远程主机上的文件作为参数来提交给变量指向，而如果提交的这个文件中存在恶意代码甚至干脆就是一个PHP木马的话，文件中的代码或者是PHP木马就会以WEB权限被成功执行。NGAF设备可以检测到此类攻击行为。目录遍历攻击 目录遍历漏洞就是通过浏览器向WEB服务器任意目录附件“.../”，或者是在有特殊意义的目录附加“.../”，或者是附件“.../”的一些变形，编码访问WEB服务器的根目录之外的目录。NGAF设备可以检测到此类攻击行为。信息泄露攻击 信息泄露漏洞是由于WEB服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露WEB服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。NGAF设备可以检测到此类攻击行为。口令暴力破解防护 弱口令被视为众多认证类web应用程序的普遍风险问题，NGAF通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。文件上传过滤 由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。URL防护 Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。网关型网页防篡改 【网站篡改防护】功能是XXX下一代防火墙NGAF-服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。防篡改实现流程及原理 当网页被数据篡改后，用户看到的页面变成了非法页面或者损害企事业单位形象的网页，这种事故往往会给企事业单位造成很严重的影响，甚至造成严重的经济损失。XXX下一代防火墙NGAF【网站篡改防护】功能可有效降低此类风险，当内部网站数据被篡改之后，设备可以重定向到备用网站服务器或者指定的其他页面，并且及时地通过短信或者邮件方式通知管理员。 【网站篡改防护】功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。防篡改实现流程 网站防篡改实现流程如下：管理员预先在控制台设置好需要防护的网站，设置后，NGAF设备会向该网站请求页面并且缓存到设备。当用户访问网站的时候，数据经过NGAF设备，NGAF设备根据预先缓存的页面与用户访问的页面进行比对，如有变动，则判断为篡改，跳转到指定页面并且通知管理员。检测原理 【网站篡改防护】的样本采样模块会将首次获取到的防护页面作为基准页面，通过一定时间反复或者通过手动更新轮询方式更新采集网站的样本，再次之后获取的页面为轮询页面。采样得到的基准页面与轮询页面将通过【网站篡改防护】模块中的检测算法进行轮询的检测与匹配。若经过算法计算的基准页面与轮询页面出现不一致时，则判定网页存在篡改的风险，通过提交管理员审核的方式判定更新内容是合法更新还是非法篡改。匹配方式 【网站篡改防护】功能能实现动态、静态网页的篡改检测，通过两种匹配方式对网页篡改进行检测与匹配。一般情况下纯静态网页，则选择[精确匹配]，全动态页面的网站选择[模糊匹配-灵敏度低]，静/动态网页都有的网站可选择[模糊匹配-灵敏度高]或者[模糊匹配-灵敏度中]。 方式一：精确匹配 精确匹配模式适用于首页或者前几级更新内容较少、用户访问次数最多需要进行严格保障的页面。通过精确匹配的识别方式，网站框架、文字、图片等网站任何一个元素的变化均被判定为被非法篡改。 方式二：模糊匹配 模糊匹配适用于内容更新频发的动态更新的页面，网页中的文字会随着动态发布进行更新，而网站的整体框架不允许被篡改，否则被认定为是一种篡改事件。可识别篡改类型 1、替换整个网页 XXXNGAF可识别黑客对整个网页进行替换的篡改事件。 2、插入新链接 若攻击者篡改页面插入其他网站链接打广告，NGAF则可以通过检测外链的功能进行检验。 3、替换网站图片文件 若攻击者更改了网页中某些图片内容，XXXNGAF可根据图片的特征精确识别图片的更改与否，防止攻击者替换网页中的图片信息。 4、小规模编辑网页（仅精确模式使用） 在精确检测模式下，XXXNGAF可识别小规模的网页编辑，如小部分文字内容的修改实现严格的网页篡改防护要求。 5、因网站运行出错导致结构畸变 XXXNGAF可实现网站更新、访问出错导致的网站结构发生畸变的篡改防护，保证网页不会因为出错使得网站结构与框架发生改变。管理员维护界面 为了方便网站业务维护人员更新网站内容，XXX下一代防火墙NGAF【网站篡改防护】模块为管理员提供了单独维护的管理界面。该界面不同于下一代防火墙的管理界面，用于业务维护人员管理更新网站。实现业务维护人员与安全管理人员的维护的安全分离。通过业务维护界面可实现网站内容更新是否合法的判定，且能够实现通过该维护界面实现合法图片更新的还原。篡改后重定向 XXXNGAF【网站篡改防护】模块提供网站篡改重定向的功能。当检测到篡改发生后，NGAF可阻止用户访问到被篡改的页面，同时能够提供两种重定向的方式，避免用户访问到被篡改的页面。 一、指定网页重定向 检测到篡改事件时，NGAF可将用户的访问重定向引导到预先编辑的显示提示页面。该页面可由管理员预先设定，防止用户访问到被篡改的页面。 二、web服务器重定向 用户可搭建一个备份服务器实现关键页面的实时备份。NGAF检测到篡改事件后，也可将用户的访问请求重定向到备份的web服务器上，保证用户访问业务的永续性，防止用户访问到被篡改的页面。报警方式 XXXNGAF【网站篡改防护】模块检测到篡改发生后，可以通过邮件、短信的方式通知管理员。通过邮件进行实时的篡改界定，若属于正常更新则可通过连接防通更新内容；若更改属于篡改事件，则可通过连接防止篡改内容发布。可定义的敏感信息防泄漏 NGAF提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。XXX敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码…… 通过XXX深度内容检测技术的应用，XXX下一代防火墙具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息，如186、139等有特征的11位的手机号码、18位身份证号，有标准特征的@邮箱等有特征数据进行识别。并通过分离平面设计的软件构架，实现控制平面与内容平面检测联动，通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。基于应用的深度入侵防御 NGAF基于应用的深度入侵防御采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。 XXXNGAF融合多种应用威胁检测方式，提升威胁检测的精度。检测方式主要包含6种检测方式：攻击特征检测特殊攻击检测威胁关联分析异常流量检测协议异常检测深度内容分析 NGAF漏洞防护策略的设计思路是，防御服务器和客户端的各种漏洞，以保护服务器和客户端不受攻击。管理员在配置策略时可根据具体的应用场景，配置针对性的策略，便于维护与管理。如： 1、互联网边界：由于涉及几乎所有的应用对象，建议开启IPS所有的安全特征库，对流量进行最全面检测防护；2、服务器保护：根据保护服务器类型，开启相应服务器的防护规则，如果服务器中包含WEB服务器，建议开启WAF防护规则，同时开启系统类防护规则，包括操作系统、木马软件、后门软件、病毒软件。3、保护客户端网络安全：建议开启应用软件、浏览器、恶意文件、常用ActiveX控件，同时开启系统类防护规则，包括操作系统、木马软件、后门软件、病毒软件。NGAF防护的服务器漏洞包含：协议脆弱性保护DDoS攻击保护DNS服务器保护其他exploit保护finger服务保护ftp服务器保护imap服务器保护mysql服务器保护netbios服务保护nntp服务保护oracle服务器保护Pop2服务器保护Pop3服务器保护RPC服务保护remoteservice保护远程探测防护shellcode防护smtp服务器保护snmp服务器保护SQLserver服务器保护telnet服务保护tftp类服务保护voip防护frontpage扩展安全性保护iis服务器保护X11服务器保护…… 内网终端仍然存在漏洞被利用的问题，多数传统安全设备仅仅提供基于服务器的漏洞防护，对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如：后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护，有效防止了终端漏洞被利用而成为黑客攻击的跳板。NGAF防护的终端漏洞包括：后门程序预防协议脆弱性保护其他exploit保护网络共享服务保护shellcode预防间谍程序预防web应用安全…… NGAF基于应用的入侵防御包含丰富的威胁处理动作，灰度威胁可通过“云”端联动与XXX攻防团队实现互动，帮助用户排查未知威胁。 NGAF可针对各种优先级别的漏洞设置动作，高的默认值为阻断；中等威胁可定义为允许通过并记录日志；威胁等级为低的特征可定义为禁用或者记录日志。 NGAF的统一威胁识别具备2500+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性认证（CVECompatible）。 XXX凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队，作为微软的MAPP（MicrosoftActiveProtectionsProgram）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。高效精确的病毒检测能力 NGAF提供先进的病毒防护功能，可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，也可查杀压缩包（zip，rar，gzip等）中的病毒。同时采用高效的流式扫描技术，可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。 NGAF的具有大容量病毒库，能够查杀10万种以上种病毒。为了更有效地过滤网络病毒，除了特征码识别、广谱特征码、启发式扫描技术等几种常见的检测方法以外，XXXNGAF还采用了多种先进的新一代病毒扫描引擎技术，以巧妙而精确的算法保证在检测大量病毒时，仍然保持高速而准确的检测结果，其中包括:病毒脱壳技术:对加壳的病毒先进行脱壳，然后再进行检测。OLE分离技术:宏扫描从Office文件中提取宏，根据已知的宏病毒字符串对宏进行检测，并对宏中的代码行为进行分析，识别宏病毒。压缩格式病毒检测技术:轻松查杀多种压缩格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木马、黑客程序检测技术:针对网络上流行的木马、黑客程序，XXXNGAF扫描引擎采用了独特的特征&行为双重检测技术，可以对其进行有效的阻断。高速的协议分析、还原和内容检测技术:通过精心设计的算法保证了在检测大量病毒时仍然保持高速而准确的检测结果。智能的DOS攻击防护 NGAF采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。智能的防护模块联动 智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。完整的防火墙功能 NGAF涵盖了完整的传统防火墙功能包括访问控制、NAT支持、路由协议、VLAN属性等功能，已便于用户替换传统防火墙后，将原有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效果。访问控制 NGAF内置状态防火墙，支持基于网络接口、源/目的IP地址、协议、时间等元素，自定义访问控制策略。NAT支持 NGAF提供地址转换功能，支持静态NAT（StaticNAT）、动态NAT（PooledNAT）和端口NAT（PAT），支持多对一、多对多和一对一等多种地址转换方式。路由支持 NGAF提供控制力更强，使用更灵活的策略路由功能，能够根据协议类型、应用、IP源地址等策略来选择数据转发路径，而且能够根据报文数据流的发起方向来确定以后的路由，满足各种应用环境的需要。VLAN特性 NGAF支持工业标准的802.1QVLANTrunk封装协议，实现两个交换机同一VLAN间的数据交互，同时具备不同VLAN虚拟接口间的路由功能，极大增强了NGAF对交换式网络的部署适应能力。其他安全功能可视化的应用识别 传统防火墙最主要的用途就是在非信任网络与信任网络通过访问控制实现安全管理。过去一个端口便代表了一个应用，防火墙的问题并没有完全暴露出来。而随着应用程序的不断发展，采用端口跳跃、端口逃逸、多端口、随机端口的应用越来越多，使得传统防火墙五元组的访问控制策略可读性、可视性，可控性受到巨大冲击，传统防火墙在web2.0时代已无法满足精细化访问控制的需求。 NGAF具有卓越的应用可视化功能，通过多种应用识别技术形成国内最大的应用特征识别库，可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口的各类应用，为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。NGAF的应用识别有以下几种方式： 第一，基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议，其端口通常是相对稳定,可以根据端口快速识别应用。 第二，基于应用特征码的识别，深入读取IP包载荷的内容中的OSI七层协议中的应用层信息，将解包后的应用信息与后台特征库进行比较来确定应用类型。 第三，基于流量特征的识别，不同的应用类型体现在会话连接或数据流上的状态各有不同，例如，基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等；NGAF基于这一系列流量的行为特征，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。智能的用户身份识别 NGAF用户识别功能可以与8种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，通过单点登录的方式自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构。 1、映射组织架构 NGAF可以按照组织的行政结构建立树形用户分组，将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，NGAF能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。 此外，NGAF支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，将账户导入，实现快捷的创建用户和分组信息。 2、建立身份认证体系 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 第三方认证：AD、LDAP、Radius、POP3、PROXY等； 双因素认证：USB-Key认证； 单点登