Web系統(tǒng)整體安全解決方案

web網(wǎng)絡(luò)安全解決方案（文檔版本號：V1.0）

修訂記錄Fl期修訂版本描述作2019-4-2V1.0初稿生成II目錄TOC\o"1-5"\h\z一、前言1二、如何確保web的安全應(yīng)用三、常見部署模式3四、需求說明9五、網(wǎng)絡(luò)拓?fù)?1六、總結(jié)11前言一、應(yīng)用處在一個(gè)相對開放的壞境中，它在為公眾提供便利服務(wù)Web黑客們已將注意力從以往的同時(shí)，也極易成為不法分子的攻擊目標(biāo)，信息當(dāng)前，應(yīng)用的攻擊上。對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用而非網(wǎng)絡(luò)層面上。75%都是發(fā)生在Web安全攻擊約有系統(tǒng)軟件的Web攻擊者針對Web應(yīng)用程序的可能漏洞、Web協(xié)議本身薄弱之處，通過發(fā)送一系列含有特定企http不當(dāng)配置以及攻擊的應(yīng)用進(jìn)行偵測和攻擊，站點(diǎn)特別是Web圖的請求數(shù)據(jù)，對Web目的包括：非法獲得站點(diǎn)信息、篡改數(shù)據(jù)庫和網(wǎng)頁、繞過身份認(rèn)證和假冒用戶、竊取用戶資料和數(shù)據(jù)、控制被攻擊的服務(wù)器等。攻擊者不需要對網(wǎng)絡(luò)協(xié)議利用網(wǎng)上隨處可見的攻擊軟件，目前，網(wǎng)站主頁、盜取管理員密碼、破Web有深厚理解，即可完成諸如更換和壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，正常數(shù)據(jù)沒有什么區(qū)別。web的安全應(yīng)用二、如何確保為系統(tǒng)的各個(gè)層面,都會使用不同的技術(shù)來確保安全性：在Web為了保證用戶數(shù)用戶會安裝防病毒軟件；了保護(hù)客戶端機(jī)器的安全，技術(shù)加密數(shù)SSLWeb服務(wù)器的傳輸安全，通信層通常會使用據(jù)傳輸?shù)接脩魰褂镁W(wǎng)絡(luò)防據(jù)；為了阻止對不必要暴露的端口和非法的訪問,IDS/IPS來保證僅允許特定的訪問。火墻和端口是一和443Web服務(wù)端口即80但是，對于Web應(yīng)用而言，端口執(zhí)行各種惡意的操作，惡意的用戶正是利用這些Web定要開放的，應(yīng)用中的重要信息。而傳統(tǒng)安全Web或者偷竊、或者操控、或者破壞更無法結(jié)合并不能精確理解應(yīng)用層數(shù)據(jù)，設(shè)備僅僅工作在網(wǎng)絡(luò)層上，系統(tǒng)對請求進(jìn)行深入分析,針對應(yīng)用層面的攻擊可以輕松的突破Web保護(hù)的網(wǎng)站。傳統(tǒng)網(wǎng)絡(luò)防火墻和IDS/IP需要采用專門的應(yīng)用中，Web網(wǎng)站和Web因此，在大量而廣泛的ApplicationWebWAF（Web安全防護(hù)系統(tǒng)來保護(hù)Web應(yīng)用層面的安全，應(yīng)用防火墻）產(chǎn)品開始流行起來。，WEBFirewall產(chǎn)品按照形態(tài)劃分可以分為三種，硬件、軟件及云服務(wù)。軟WAFWAFWAF由于功能及性能方面的缺陷，已經(jīng)逐漸被市場所淘汰。云件近兩年才剛剛興起，產(chǎn)品及市場也都還未成熟。與前兩種形態(tài)相比，也是目前市經(jīng)過多年的應(yīng)用，在各方面都相對成熟及完善，硬件WAFWAF產(chǎn)品的主流形態(tài)。場中是一個(gè)必須要考慮的網(wǎng)絡(luò)部署對于用戶來說，既然是硬件產(chǎn)品，通常一個(gè)產(chǎn)品會支持多種部署模產(chǎn)品，問題?？v觀國內(nèi)外的硬件WAFWAF式。這也給用戶在購買或部署產(chǎn)品時(shí)帶來了困惑。以下將對硬件幾種常見的部署模式做一個(gè)介紹。常見部署模式三、部署位置1.WAF區(qū)域或者放DMZ通常情況下，WAF放在企業(yè)對外提供網(wǎng)站服務(wù)的等網(wǎng)關(guān)設(shè)備串聯(lián)在IPS在數(shù)據(jù)中心服務(wù)區(qū)域，也可以與防火墻或服務(wù)WEBWAF部署位置的是一起（這種情況較少）?？傊?，決定所保護(hù)的對象。部署時(shí)當(dāng)然要WAFWEB服務(wù)器是器的位置。因?yàn)閃EB盡量靠近服務(wù)器。使WAFWAP部署模式分類2.工作方式及原理不同可以分為四種工作模式：透明代理根據(jù)WAF模式、反向代理模式、路由代理模式及端口鏡像模式。前三種模服務(wù)器串行部署在WEB式也被統(tǒng)稱為在線模式，通常需要將WAF端口鏡像模式也稱為離線模式，用于檢測并阻斷異常流量。前端，服務(wù)器上游的交換WEB部署也相對簡單，只需要將WAF旁路接在機(jī)上，用于只檢測異常流量。:WAF部署模式分類圖1WAF幾種部署模式的技術(shù)原理3.匚作模式技術(shù)原理

透明代理模式（也稱網(wǎng)橋代理模式）客戶端對服務(wù)器WEB透明代理模式的工作原理是，當(dāng)WAFWAF截取和監(jiān)控。有連接請求時(shí)，TCP連接請求被客戶端和服務(wù)器之間的會話，將會偷偷的代理了WEB客戶話分成了兩段，并基于橋模式進(jìn)行轉(zhuǎn)發(fā)。從WEB客戶端仍然是直接訪問服務(wù)器，感端的角度看，WEB工作轉(zhuǎn)發(fā)原理看和透明網(wǎng)WAF知不到WAF的存在；從橋轉(zhuǎn)發(fā)一樣，因而稱之為透明代理模式，又稱之為透明橋模式。

反向代理模反向代理模式是指將真實(shí)服務(wù)器的地址映射到反向式代理服務(wù)器上。此時(shí)代理服務(wù)器對外就表現(xiàn)為一個(gè)真WAF實(shí)服務(wù)器。由于客戶端訪問的就是WAF,因此在無需像其它模式（如透明和路由代理模式）一樣需要采用特殊處理去劫持客戶端與服務(wù)器的會話然后為的請求報(bào)文其做透明代理。當(dāng)代理服務(wù)器收到HTTP后，將該請求轉(zhuǎn)發(fā)給其對應(yīng)的真實(shí)服務(wù)器。后臺服務(wù)設(shè)設(shè)備，由WAF器接收到請求后將響應(yīng)先發(fā)送給WAF備再將應(yīng)答發(fā)送給客戶端。這個(gè)過程和前面介紹的透明代理其工作原理類似，唯一區(qū)別就是透明代理客戶端發(fā)出的請求的目的地址就直接是后臺的服務(wù)器，所映射關(guān)IP以透明代理工作方式不需要在WAF上配置系。路由代理模路由代理模式，它與網(wǎng)橋透明代理的唯一區(qū)別就是式該代理工作在路由轉(zhuǎn)發(fā)模式而非網(wǎng)橋模式，其它工作原理都一樣。由于工作在路由（網(wǎng)關(guān)）模式因此需要為地址以及路由。WAF的轉(zhuǎn)發(fā)接口配置IP端口鏡像模流量進(jìn)行監(jiān)控和WAF只對HTTP端口鏡像模式工作式時(shí)，報(bào)警，不進(jìn)行攔截阻斷。該模式需要使用交換

機(jī)的端流量鏡HTTP口鏡像功能，也就是將交換機(jī)端口上的WAF像一份給WAF。對于而言，流量只進(jìn)不出。4.WAF幾種部署模式的典型拓?fù)?=典型拓?fù)?=L/V式透明代理模式wwmwwm■務(wù)■耳■務(wù)■WATE?-H??^—Q|:]—謂?A9■■ZB€冃?N冃?N稱網(wǎng)橋代理模式）VAF1111110/31<E_teiKiwi,—q:|氏俎VAF1111110/31<E_teiKiwi,—q:|氏俎IPS反向代模VAF芻——J_Q|：|1^|1111110/XIPSIPS路代理模式WE8■鼻?端口鏡像模式WAF幾種部署模式的優(yōu)缺點(diǎn)5.

匚作模式優(yōu)缺點(diǎn)透明代理模式（也稱網(wǎng)橋代理模式）這種部署模式對網(wǎng)絡(luò)的改動最小，可以實(shí)現(xiàn)零配置部功能在設(shè)備出現(xiàn)故障Bypass署。另外通過WAF的硬件自身功只是或者掉電時(shí)可以不影響原有網(wǎng)絡(luò)流量，WAF）都HTTP和非HTTP能失效。缺點(diǎn)是網(wǎng)絡(luò)的所有流量（采用該工作模對WAF的處理性能有一定要求，經(jīng)過WAF式無法實(shí)現(xiàn)服務(wù)器負(fù)載均衡功能。反向代理模式這種部署模式需要對網(wǎng)絡(luò)進(jìn)行改動，配置相對復(fù)雜，除WAFWAF設(shè)備自身的地址和路由外，還需要在了要配置服務(wù)器的地址和虛地址的映射關(guān)上配置后臺真實(shí)WEB系。另外如果原來服務(wù)器地址就是全局地址的話（沒經(jīng)地IPNAT過轉(zhuǎn)換）那么通常還需要改變原有服務(wù)器的采用該模式的解析地址。址以及改變原有服務(wù)器的DNS上同時(shí)實(shí)現(xiàn)負(fù)載均衡。優(yōu)點(diǎn)是可以在WAF路由代理模式路由代理模式動，地址以及對應(yīng)的路由。工作在路IP內(nèi)網(wǎng)口和外網(wǎng)口的服務(wù)器的網(wǎng)關(guān)，但是由代理模式時(shí)，可以直接作為WEB存在單點(diǎn)故障問題，同時(shí)也要負(fù)責(zé)轉(zhuǎn)發(fā)所有的流量。該種工作模式也不支持服務(wù)器負(fù)載均衡功能。端口鏡像模式但是它僅對流量這種部署模式不需要對網(wǎng)絡(luò)進(jìn)行改動，并不會對惡意的流量進(jìn)行攔截和進(jìn)行分析和告警記錄，時(shí)，用于收集和了解服務(wù)阻斷，適合于剛開始部署WAF為后續(xù)在線部署提供優(yōu)化配器被訪問和被攻擊的信息，置參考。這種部署工作模式，對原有網(wǎng)絡(luò)不會有任何影響。需求說明公司現(xiàn)有主營云托管，租用業(yè)務(wù)，本著高性能、高效率、高可用性、高經(jīng)濟(jì)性原則。提出如下需求：很好的解決了并發(fā)連接數(shù)高，大吞吐量，1.設(shè)備本身的高性能，平均在線人數(shù)眾多,連接不正常的問題。保障網(wǎng)絡(luò)帶寬的高性能的負(fù)載均衡功能，支持多種均衡算法，2.穩(wěn)定。多臺設(shè)備的雙機(jī)熱備功能。3.防止敏感信息、網(wǎng)頁防盜鏈，4.網(wǎng)頁防護(hù)功能實(shí)時(shí)檢測頁面篡改，應(yīng)用信息泄WEB服務(wù)器信息的泄露，阻斷攻擊探測，有效防止露、篡改，惡意截取。、表單類HTTP流量，基于URL5.智能應(yīng)用感知，自動分析雙向型、參數(shù)類型等信息應(yīng)用訪問知識庫，防止未知攻擊。訪問服務(wù)的保護(hù)。支持https6.攻擊。httpflood保護(hù)，全面的協(xié)議分析，支持Cookie防范7?漏洞掃描，支持主動掃描，及時(shí)發(fā)現(xiàn)并彌補(bǔ)系統(tǒng)漏洞,減WEB8.少被攻擊的可能。轉(zhuǎn)吸引攻擊者注意力，暴露攻擊者行蹤，WEB9.內(nèi)置誘捕系統(tǒng)，記錄攻擊支持第三方蜜罐系統(tǒng)，采集攻擊行為，移應(yīng)用風(fēng)險(xiǎn)，手法，完善網(wǎng)絡(luò)防御體系。全面的應(yīng)用控制，控制不同區(qū)域用戶對敏感資源的訪問時(shí)間，10?針對不同資源保護(hù)等級的要求，進(jìn)行安全認(rèn)證。減少安全風(fēng)險(xiǎn)，基于用戶訪問的行為分析與審計(jì)，對攻擊來源、數(shù)據(jù)、時(shí)間、11?處理結(jié)果提供靈活查詢和過濾。支持萬兆光纖接口12.五、網(wǎng)絡(luò)拓?fù)?/p>

■K?MF設(shè)備祁署網(wǎng)絡(luò)拓?fù)鋱D爐X■場<r?ai——CM倂■，什"■4uG；?m咬第工■K?MF設(shè)備祁署網(wǎng)絡(luò)拓?fù)鋱D爐X■場<r?ai——CM倂■，什"■4uG；?m咬第工??VK<-?e.'m</ARKIWWkUrL*L[L；；,p~；'）娶].f總結(jié)六、/r/