《迪普科技WAF解决方案Web应用防护.docx》由会员分享,可在线阅读,更多相关《迪普科技WAF解决方案Web应用防护.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、迪普科技 WEB 应用防护系统WAF 安全解决方案杭州迪普科技DPTECH WEB 应用防护系统 WAF 安全解决方案2023 年 2 月 29 日名目1. WEB 应用安全需求31.1 针对 WEB 的攻击31.2 WEB 安全防护41.3 WEB 漏洞51.4 信息安全三级保护要求52. WEB 应用防护系统功能63. WEB 应用防护系统的应用93.1 网页篡改防护93.2 网页挂马主动扫描104. WEB 应用防护系统的部署114.1 系统具体部署114.2 与现有 WEBSHIELD网页防篡改软硬结合部署 错误!未定义书签。101. Web 应用安全需求1.1 针对 WEB 的攻击现
2、代的信息系统,无论是建立对外的信息公布和数据交换平台,还是建立内部的业务应用系统,都离不开Web 应用。Web 应用不仅给用户供给一个便利和易用的交互手段,也给信息和效劳供给者构建一个标准技术开发和应用平台。网络的进展历史也可以说是攻击与防护不断交织进展的过程。目前,全球网络用户已近 20 亿,用户利用互联网进展购物、银行转账支付和各种软件下载, 企业用户更是依靠于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。然而,随着黑客们将留意力从以往对网络效劳器的攻击逐步转移到了对 Web 应用的攻击上,他们针对 Web 网站和应用的攻击愈演愈烈,频频得手。依据Gartner 的最
3、调查,信息安全攻击有75%都是发生在Web 应用而非网络层面上。同时,数据也显示,三分之二的 Web 站点都相当脆弱,易受攻击。另外,据美国计算机安全协会CSI/美国联邦调查局FBI的争论说明, 在承受调查的公司中,2023 年有 62%的公司的信息系统患病过外部攻击包括系统入侵、滥用 Web 应用系统、网页置换、盗取私人信息及拒绝效劳等等,这些攻击给 369 家受访公司带来的经济损失超过 2.41 亿美元,但事实上他们之中有98%的公司都装有防火墙。早在 2023 年,IDC 就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,由于为了确保通信,网络防火墙内的Web 端口都必需处
4、于开放状态。”目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解, 即可完成诸如更换 Web 网站主页、盗取治理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区分。1.2 WEB 安全防护防火墙IDS/IPSWeb 应用注入式攻击DoS 攻击 Web效劳器漏洞跨站脚本端口扫描网络层模式攻击恶意执行应用效劳器网页篡改W eb 效劳器数据库效劳器在Web 应用的各个层面,都会使用不同的技术来确保安全性,如图示 1 所示。为了保证用户数据传输到企业 Web 效劳器的传输安全,通信层通常会使用 SSL 技术加密数据;企业会使用防火墙和 IDS/I
5、PS 来保证仅允许特定的访问,全部不必要暴露的端口和非法的访问,在这里都会被阻挡。图 1 Web 应用的安全防护但是,即便有防火墙和 IDS/IPS,企业仍旧不得不允许一局部的通讯经过防火墙,到底 Web 应用的目的是为用户供给效劳,保护措施可以关闭不必要暴露的端口,但是Web 应用必需的 80 和 443 端口,是肯定要开放的。端口可以顺当通过的这局部通讯,这些数据通讯可能是善意的,也可能是恶意的,很难区分。而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏 Web 应用中的重要信息。然而我们看到的现实确是,绝大多数企业将大量的投资花费在网络和效劳器的安全上,没
6、有从真正意义上保证 Web 应用本身的安全,给黑客以可乘之机。如图示 2 所示,在目前安全投资中,只有 10花在了如何防护应用安全漏洞, 而这却是 75的攻击来源。正是这种投资的错位也是造成当前 Web 站点频频被攻陷的一个重要因素。安全风险安全投资10%Web 应用75%90%25%网络效劳器图 2 安全风险和投资1.3 WEB 漏洞Web 应用系统有着其固有的开发特点:常常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致 Web 应用消灭了很多的漏洞。另外,治理员对 Web 效劳器的配置不当也会造成很多漏洞。目前常用的针对 Web 效劳器和 Web 应用漏洞的攻击已经多达几百
7、种,常见的攻击手段包括:注入式攻击、跨站脚本攻击、上传假冒文件、担忧全本地存储、非法执行脚本和系统命令、源代码泄漏、URL 访问限制失效等。攻击目的包括: 非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚根源程序、窃取系统信息、窃取用户信息等。1.4 信息安全三级保护要求国家信息等级安全保护三级保护要应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威逼源发起的恶意攻击、较为严峻的自然灾难,以及其他相当危害程度的威逼所造成的主要资源损害,能偶觉察安全漏洞和安全大事,在系统早到损害后,能够较快的恢复绝大局部功能。2. WEB 应用防护系统功能
8、黑客攻击技术是不断进展的,安全产品面对的是布满“才智”的攻击者,Web 安全攻防是持续变化的过程。此外,我们还需要考虑降低安全风险各类组织需付出的合理代价。“代价”不仅仅意味着购置安全产品产生的直接支出,还需要考虑该产品的部署是否影响网站的正常业务流程、是否给维护人员带来较大的治理开销、是否影响 Web 业务的性能。为解决上述难题,推举使用迪普科技一代 Web 应用防火墙又名 Web 应用防护系统,以下简称 DPTECH WAF。迪普科技推出基于全多核处理器硬件架构的 DPtech WAF3000 系列 Web 应用防火墙产品。WAF3000 系列产品是迪普科技面对企业、政府、运营商等各行业用
9、户开发的一代网络安全防护设备,能够有效抵挡包括 SQL 注入、跨站脚本攻击、会话劫持、应用层 DDoS、网页篡改在内的各种高危害性 Web 攻击。同时,WAF3000 产品还具有强大的 Web 流量优化和负载均衡等功能,可对大型效劳器进展流量整形、Web 加速、SSL 卸载等功能,是集Web 攻击防范、协议加固、流量优化于一体的全面 Web 网络安全防护设备。Web 攻击手段层出不穷,因此 Web 应用防火墙需要具备准时防范和升级的力量,DPtech WAF3000 产品可通过持续不断地更,使用户在最快的时间内获得最的特征库,确保为用户供给最安全准时的 Web 应用防护。DPTECH WAF
10、针对安全大事发生时序进展 NPRSNSFOCUS Proactive and Reactive Security安全建模如图 3 所示,分别针对安全漏洞、攻击手段及最终攻击结果进展扫描、防护及诊断,供给综合 Web 应用安全解决方案。图 3NPRS 安全建模事前,DPTECH WAF 供给 Web 应用漏洞扫描功能,检测 Web 应用程序是否存在 SQL 注入、跨站脚本漏洞。事中,对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻击、DDoS 攻击进展有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,供给诊断功能,降低安全风险,维护网站的公信度。WAF 主要优势
11、及功能如下:u 无缝集成 Web 漏洞扫描很多 Web 应用安全问题,究其根本缘由,是由于互联网网站开发人员在开发页面时,没有遵循安全代码开发的要求所引起的。基于迪普拥有专业的安全漏洞团队,在安全漏洞争论领域的多年积存,是国家漏洞库的提交厂商之一,DPTECH WAF 供给 Web 应用扫描功能,检测诸如 SQL 注入、跨站脚本XSS等安全漏洞, 对可能的漏洞利用攻击手段供给事前预防,从而增加 Web 应用自身的安全。u 全面 Web 应用防护DPTECH WAF 应用了先进的多层防护体系,对 Web 应用攻击进展了广泛且深入的争论,固化了一套针对 Web 应用防护的专用特征规章库,对当前国内
12、主要的Web 应用攻击手段实现了有效的防护机制,应对黑客传统攻击缓冲区溢出、CGI 扫描、遍历名目攻击等、蠕虫攻击以及兴攻击SQL 注入和跨站脚本攻击 等手段。对于蠕虫变形,DPTECH WAF 基于关联分析技术进展有效识别和阻断告警。对于混合型攻击,DPTECH WAF 供给多重检查机制和智能分析,确保对高安全风险级别攻击大事的准确识别率,同时也有效避开告警误报率高为用户带来的告警风暴。u 细粒度应用层 DDoS 攻击防护DPTECH WAF 应用了自主研发的抗拒绝效劳攻击算法,可防护各类带宽及资源耗尽型拒绝效劳攻击,如对 SYN Flood、UDP Flood 及 ICMP Flood 这
13、些常见的攻击行为能够有效识别,并实时对这些攻击流量进展阻断。系统还能够基于智能关联分析技术对 CC 及 Get Flood 攻击进展检测、防护。u 软/硬件 BYPASS 以及双机热备DPTECH WAF 供给基于软、硬件的 BYPASS 功能,以精彩的稳定性,消退了在线产品通常可能成为网络故障点的隐患。DPTECH WAF 支持双机热备,可依据网络状况和用户需求,部署 Active/Active 或 Active/Standby 的工作模式,从而有力保障 Web 业务的高可用性,也供给了敏捷的组网性能。u 流量优化负载均衡、WEB 加速、SSL 卸载u 成熟治理功能充分考虑了国内用户的使用和
14、维护习惯,供给功能强大、易用性好、敏捷的治理功能:n 供给基于 IP、端口、协议类型、时间及域名的敏捷访问掌握;n 基于对象的虚拟防护,为每位用户量身定制安全防护策略,轻松增值;n 支持规章的在线升级和离线升级。n 便利易学的友好中文 WEB 界面操作、治理。n 支持多个设备的统一安全治理。3. WEB 应用防护系统的应用3.1 网页篡改防护事前:网页漏洞扫描SQL 注入、XSS事中:检测、阻断主要攻击手段事后:检测及应急处理、恢复针对目前猖獗的网页篡改问题,DPTECH WAF 供给“安全-本钱”的最正确平衡点,从“事前、事中以及事后进展综合考虑。事前供给漏洞扫描,为解决根本问题供给技术依据
15、。事中,基于智能特征分析技术,对网页篡改所承受的主要攻击手段如 SQL 注入、XSS进展检测并做有效阻断,且依托于迪普国际一流的安全争论团队,能够准时跟踪、觉察互联网上消灭的 SQL 注入攻击类型,并最优化防护技术,帮助用户对抗最攻击。事后 WAF 对网页篡改能进展检测并做应急保护,有效阻挡非法页面公布、为公众扫瞄,极大降低网页篡改引发重大影响的安全风险。图 4DPTECH WAF 网页篡改防护解决方案WAF3000 产品优势表达在:1. 从事前、事中及事后三个时序综合考虑问题,供给最正确安全-本钱平衡点, 为用户降低安全风险。2. 承受网络串联方式对页面进展实时防护;支持对动态、静态网页的检
16、测和防护。3. 发生网页篡改的紧急大事时,DPTECH WAF 供给专业、慎重的处理方式:不擅自做网页自动恢复,而是启动应急机制,对网络流量进展掌握,对期间用户恳求 Request相应为事先自定义好的合法页面。4. 网关设备,防护对象不受操作系统、数据库和应用程序限制。不介入网站正常业务流程,不占用Web 效劳器资源。接入网络即插即用,安装便利,配置简洁,用户能够远程通过扫瞄器访问系统,后期的维护工作较少。5. 系统内核经过优化的安全操作系统,自身安全性高。6. 支持效劳器安康检查,随时把握各个效劳器安康状况。7. 支持网络流量分析、业务流量统计分析、TOP 统计分析,并形成直观报表。8. 设
17、备接口丰富,可满足多路防护和以及后期多台效劳器的扩容接入。9. 设备高性能,串联在网络中,不会使其成为网络的瓶颈。3.2 网页挂马主动扫描网页挂马,可以认为是一种比较隐蔽的网页篡改方式,其最终目的为盗取客户端的敏感信息,如各类帐号密码,甚而可能导致客户端主机沦为攻击者的肉鸡。Web 效劳器成为了传播网页木马的“傀儡帮凶”,严峻影响到网站的公众信誉度。最大隐患在于:多数状况网站实质已被入侵,只是攻击者出于经济利益考虑,未承受直接篡改方式。针对各类政府网站,建议承受 DPTECH WAF 网页挂马主动扫描功能,全面检查网站各级页面中是否被植入恶意代码。避开扫描对正常业务运行造成影响:DPTECH
18、WAF 对网络带宽以及被扫描效劳器的资源占用很小。尽管如此,我们仍旧建议网页挂马扫描在非办公时间段进展。WAF 网页挂马扫描任务允许指定执行的时间,治理员可以利用这个功能让扫描在适宜的时间自动进展。4. WEB 应用防护系统的部署4.1 系统具体部署通常状况下,建议将 DPTECH WAF3000 部署在防火墙 DMZ 区,用于防护网站效劳器。如图 5 所示,WAF 作为串联设备,部署在防火墙和 Web 效劳器群之间, 对 Web 效劳器群的出入流量进展有效监控,从而确保 Web 应用的安全。对于最为核心的 Web 效劳器,可以考虑部署 WAF 双机。承受双机热备模式,供给高性能、高牢靠性的 Web 应用防护。图 5 WEB 应用防火墙部署