XXX省科学技术协会WEB应用安全解决方案

TITLEXXX省科学技术协会WEB应用安全解决方案■文档编号■密级限制分发■版本编号Ver1.0■日期©DATE\@"yyyy"2013绿盟科技

■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。■版本变更记录时间版本说明修改人■适用性声明本文档适用于XXX省科学技术协会WEB应用安全防护使用。 -绿盟科技 密级：限制分发应用目的响应国家《中华人民共和国政府信息公开条例》号召，各地党政部门积极深入发展电子政务建设，推行政府信息公开，提高政府工作的透明度，充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。政务网站是各地电子政务建设的重要组成部分，作为当地政府与组织面向社会的窗口，是公众与政府互动的重要渠道。近年来，网站安全的问题越来越复杂，Web服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。针对网站的各类安全威胁也在飞速增长。2007年，CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个，比2006年增加了1.5倍。Google最新数据表明，过去10个月中，Google通过对互联网上几十亿URL进行抓取分析，发现有300多万个恶意URL。其中，中国的恶意站点占到了总数的67%。在这种形势下就急需有效的安全防护手段来保护WEB应用的安全。然而传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力。因此，政府网站有必要采用专业的安全防护系统，有效防护各类攻击、降低网站安全风险。WEB应用防护系统功能黑客攻击技术是不断发展的，安全产品面对的是充满“智慧”的攻击者，Web安全的攻防是持续变化的过程。此外，我们还需要考虑降低安全风险中各类组织需付出的合理代价。“代价”不仅仅意味着购买安全产品产生的直接支出，还需要考虑该产品的部署是否影响网站的正常业务流程、是否给维护人员带来较大的管理开销、是否影响Web业务的性能等。我们推荐使用绿盟科技冰之眼Web应用防火墙（又名冰之眼Web应用防护系统，以下简称ICEYEWAF）来进行政府网站的防护工作。ICEYEWAF，是绿盟科技自主知识产权的新一代安全产品，作为网关设备，主要防护对象为Web服务器。ICEYEWAF针对安全事件发生时序进行NPRS（NSFOCUSProactiveandReactiveSecurity）安全建模（如图1.1所示），分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。NPRS安全建模根据一次完整的安全攻防的顺序，绿盟科技提供从事前事后的全程全面防护，事前，ICEYEWAF提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护，保证了业务系统的正常应用。事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊断功能，降低安全风险，维护网站的公信度。其主要优势及功能如下：无缝集成Web漏洞扫描很多Web应用安全问题，究其根本原因，是因为互联网网站开发人员在开发页面时，没有遵循安全代码开发的要求所引起的。基于绿盟科技在安全漏洞研究领域的多年积累，ICEYEWAF提供Web应用扫描功能，检测诸如SQL注入、跨站脚本（XSS）等安全漏洞，对可能的漏洞利用攻击手段提供事前预防，从而增强了Web应用自身的安全性。全面Web应用防护ICEYEWAF应用了先进的多层防护体系，对Web应用攻击进行了广泛且深入的研究，固化了一套针对Web应用防护的专用特征规则库，针对当前国内主要的Web应用攻击手段建立了有效的防护机制来应对传统的黑客攻击方式（如缓冲区溢出、CGI扫描、遍历目录攻击等）、蠕虫攻击以及新兴的攻击（SQL注入和跨站脚本攻击）等。对于蠕虫的变形，ICEYEWAF基于关联分析技术进行有效识别和阻断告警。对于混合型攻击，ICEYEWAF提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率，同时也有效避免告警误报率高为用户带来的告警风暴。细粒度应用层DDoS攻击防护ICEYEWAF应用了自主研发的抗拒绝服务攻击算法，可防护各类带宽及资源耗尽型拒绝服务攻击，如对SYNFlood、UDPFlood及ICMPFlood这些常见的攻击行为能够有效识别，并实时对这些攻击流量进行阻断。系统还能够基于智能关联分析技术对CC攻击及HTTPGetFlood攻击进行检测、防护。软/硬件BYPASS以及双机热备鉴于ICEYEWAF可采用的方式中包含串联部署方式，故在可能产生单点故障的问题上，ICEYEWAF提供基于软、硬件的BYPASS功能，以出色的稳定性，消除了在线产品通常可能成为网络故障点的隐患。与此同时，ICEYEWAF支持双机热备的部署方式，可根据网络情况和用户需求，部署Active/Active或Active/Standby的工作模式，提供Loadbalance或者Failover功能，从而有力保障Web业务的高可用性，也提供了灵活的组网性能。成熟管理功能充分考虑了国内用户的使用和维护习惯，提供功能强大、易用性好、灵活的管理功能：提供基于IP、端口、协议类型、时间及域名的灵活访问控制；基于对象的虚拟防护，为每位用户量身定制安全防护策略，轻松增值；支持规则的在线升级和离线升级。WEB应用防护系统的应用网页防篡改针对目前猖獗的网页篡改问题，ICEYEWAF提供“安全-成本”的最佳平衡点，从“事前、事中以及事后进行综合考虑。事前提供漏洞扫描，为解决根本问题提供技术依据。事中，基于智能特征分析技术，对网页篡改所采用的主要攻击手段（如SQL注入、XSS）进行检测并做有效阻断，且依托于绿盟国际一流的安全研究团队，能够及时跟踪、发现互联网上新出现的SQL注入攻击类型，并最优化防护技术，帮助用户对抗最新攻击。事后WAF对网页篡改能进行检测并做应急保护，有效阻止非法页面发布、为公众浏览，极大降低网页篡改引发重大影响的安全风险。ICEYEWAF网页篡改防护解决方案WAF产品优势体现在：从事前、事中及事后三个时序综合考虑问题，提供最佳安全-成本平衡点，为用户降低安全风险。采用网络串联方式对页面进行实时防护；支持对动态、静态网页的检测和防护。发生网页篡改的紧急事件时，ICEYEWAF提供专业、谨慎的处理方式：不擅自做网页自动恢复，而是启动应急机制，对网络流量进行控制，对期间用户请求（HTTPRequest）相应为事先自定义好的合法页面。另一方面提供短信和邮件告警，第一时间通知网站管理人员。不改变Web服务器当前的信息，保留好犯罪现场，供事后溯源分析。杜绝期间页面连续被篡改。网关设备，防护对象不受操作系统、数据库和应用程序限制。不介入网站正常业务流程，不占用Web服务器资源。接入网络即插即用，安装方便，配置简单，用户能够远程通过浏览器访问系统，后期的维护工作较少。系统内核经过优化的安全操作系统，自身安全性高。设备与设备自带安全中心通信协议为SSL。网页挂马主动扫描网页挂马，可以认为是一种比较隐蔽的网页篡改方式，其最终目的为盗取客户端的敏感信息，如各类帐号密码，甚而可能导致客户端主机沦为攻击者的肉鸡。Web服务器成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公众信誉度。最大隐患在于：多数情况网站实质已被入侵，只是攻击者出于经济利益考虑，未采用直接篡改方式。针对各类政府网站，建议采用ICEYEWAF网页挂马主动扫描功能，全面检查网站各级页面中是否被植入恶意代码。避免扫描对正常业务运行造成影响：ICEYEWAF对网络带宽以及被扫描服务器的资源占用很小。尽管如此，我们仍然建议网页挂马扫描在非办公时间段进行。WAF网页挂马扫描任务允许指定执行的时间，管理员可以利用这个功能让扫描在合适的时间自动进行。WEB应用防护系统的部署系统具体部署通常情况下，建议将ICEYEWAF部署在防火墙DMZ区，用于防护网站服务器。如图1.3所示，WAF作为串联设备，部署在防火墙和Web服务器群之间，对Web服务器群的出入流量进行有效监控，从而确保Web应用的安全。对于最为核心的Web服务器，可以考虑部署WAF双机。双机可采用Loadbalance或者failover的工作模式，提供高性能、高可靠性的Web