web网络安全解决方案

web网络平安解决方案（文档版本号：V1.0）沈阳东网科技有限公司修订记录日期修订版本描述作者2015-4-2V1.0初稿生成李政伟目录一、 前言 1二、 如何确保web的平安应用 1三、 常见部署模式 1四、 需求说明 5五、 网络拓扑 6六、 总结 6前言Web应用处在一个相对开放的环境中，它在为公众供应便利服务的同时，也极易成为不法分子的攻击目标，黑客们已将留意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前，信息平安攻击约有75%都是发生在Web应用而非网络层面上。Web攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及协议本身薄弱之处，通过发送一系列含有特定企图的恳求数据，对Web站点特殊是Web应用进行侦测和攻击，攻击的目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、限制被攻击的服务器等。目前，利用网上随处可见的攻击软件，攻击者不须要对网络协议有深厚理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区分。如何确保web的平安应用在Web系统的各个层面，都会运用不同的技术来确保平安性：为了爱护客户端机器的平安，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输平安，通信层通常会运用SSL技术加密数据；为了阻挡对不必要暴露的端口和非法的访问，用户会运用网络防火墙和IDS/IPS来保证仅允许特定的访问。但是，对于Web应用而言，Web服务端口即80和443端口是肯定要开放的，恶意的用户正是利用这些Web端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统平安设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合Web系统对恳求进行深化分析，针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP爱护的网站。因此，在大量而广泛的Web网站和Web应用中，须要采纳特地的Web平安防护系统来爱护Web应用层面的平安，WAF（WebApplicationFirewall，WEB应用防火墙）产品起先流行起来。WAF产品依据形态划分可以分为三种，硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷，已经渐渐被市场所淘汰。云WAF近两年才刚刚兴起，产品及市场也都还未成熟。与前两种形态相比，硬件WAF经过多年的应用，在各方面都相对成熟及完善，也是目前市场中WAF产品的主流形态。既然是硬件产品，网络部署对于用户来说，是一个必须要考虑的问题。纵观国内外的硬件WAF产品，通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个介绍。常见部署模式WAF部署位置

通常状况下，WAF放在企业对外供应网站服务的DMZ区域或者放在数据中心服务区域，也可以与防火墙或IPS等网关设备串联在一起（这种状况较少）。总之，确定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所爱护的对象。部署时当然要使WAF尽量靠近WEB服务器。WAF部署模式分类

依据WAF工作方式及原理不同可以分为四种工作模式：透亮代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，通常须要将WAF串行部署在WEB服务器前端，用于检测并阻断异样流量。端口镜像模式也称为离线模式，部署也相对简洁，只须要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异样流量。

图1：WAF部署模式分类WAF几种部署模式的技术原理工作模式技术原理透亮代理模式（也称网桥代理模式）透亮代理模式的工作原理是，当WEB客户端对服务器有连接恳求时，TCP连接恳求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。从WEB客户端的角度看，WEB客户端仍旧是干脆访问服务器，感知不到WAF的存在；从WAF工作转发原理看和透亮网桥转发一样，因而称之为透亮代理模式，又称之为透亮桥模式。反向代理模式反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF，因此在WAF无需像其它模式（如透亮和路由代理模式）一样须要采纳特殊处理去劫持客户端与服务器的会话然后为其做透亮代理。当代理服务器收到的恳求报文后，将该恳求转发给其对应的真实服务器。后台服务器接收到恳求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。这个过程和前面介绍的透亮代理其工作原理类似，唯一区分就是透亮代理客户端发出的恳求的目的地址就干脆是后台的服务器，所以透亮代理工作方式不须要在WAF上配置IP映射关系。路由代理模式路由代理模式，它与网桥透亮代理的唯一区分就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此须要为WAF的转发接口配置IP地址以及路由。端口镜像模式端口镜像模式工作时，WAF只对流量进行监控和报警，不进行拦截阻断。该模式须要运用交换机的端口镜像功能，也就是将交换机端口上的流量镜像一份给WAF。对于WAF而言，流量只进不出。WAF几种部署模式的典型拓扑工作模式典型拓扑透亮代理模式（也称网桥代理模式）反向代理模式路由代理模式端口镜像模式WAF几种部署模式的优缺点工作模式优缺点透亮代理模式（也称网桥代理模式）这种部署模式对网络的改动最小，可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效。缺点是网络的全部流量（和非）都经过WAF对WAF的处理性能有肯定要求，采纳该工作模式无法实现服务器负载均衡功能。反向代理模式这种部署模式须要对网络进行改动，配置相对困难，除了要配置WAF设备自身的地址和路由外，还须要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外假如原来服务器地址就是全局地址的话（没经过NAT转换）那么通常还须要变更原有服务器的IP地址以及变更原有服务器的DNS解析地址。采纳该模式的优点是可以在WAF上同时实现负载均衡。路由代理模式这种部署模式须要对网络进行简洁改动，要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时，可以干脆作为WEB服务器的网关，但是存在单点故障问题，同时也要负责转发全部的流量。该种工作模式也不支持服务器负载均衡功能。端口镜像模式这种部署模式不须要对网络进行改动，但是它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断，适合于刚起先部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署供应优化配置参考。这种部署工作模式，对原有网络不会有任何影响。需求说明公司现有主营云托管，租用业务，本着高性能、高效率、高可用性、高经济性原则。提出如下需求：设备本身的高性能，并发连接数高，大吞吐量，很好的解决了平均在线人数众多，连接不正常的问题。

高性能的负载均衡功能，支持多种均衡算法，保障网络带宽的稳定。

多台设备的双机热备功能。网页防护功能实时检测页面篡改，网页防盗链，防止敏感信息、服务器信息的泄露，阻断攻击探测，有效防止WEB应用信息泄露、篡改，恶意截取。

智能应用感知，自动分析双向流量，基于URL、表单类型、参数类型等信息应用访问学问库，防止未知攻击。

支持s访问服务的爱护。全面的协议分析，支持Cookie爱护，防范

flood攻击。WEB漏洞扫描，支持主动扫描，刚好发觉并弥补系统漏洞，削减被攻击的可能。

内置WEB诱捕系统，吸引攻击者留意力，暴露攻击者行踪，转移应用风险，支持第三方蜜罐系统，采集攻击行为，记录攻击手法，完善网络防卫体系。

全面的应用限制，限制不同区域用户对敏感资源的访问时间，削减平安风险，针对不同资源爱护等级的要求，进行平安认证。基于用户访问的行为分析与审计，对攻击来源、数据、时间、处理结果供应敏捷查询和过滤。支持万兆光纤接口网络拓扑总结依据目前网络拓扑结构选用