WEB应用安全防护系统建设方案.doc

Web应用安全防护系统解决方案郑州大学西亚斯国际学院2013年8月目录一、需求概述 背景介绍 需求分析 网络安全防护策略 “长鞭效应(bullwhipeffect)” 网络安全的“防、切、控(DCC)”原则 8二、 解决方案 21三、方案优点及给客户带来的价值 、IPS不能解决的应用层攻击问题 26四、Web应用防护系统主要技术优势 27五、展望 28学校WEB应用安全防护Web应用防护安全解决方案一、,已经具有完备的校园网络,学校部署了大量信息系统和网站,包括OA系统、WEB服务器、教务管理系统、邮件服务器等50多台服务器和100多个业务系统和网站,各业务应用系统都通过互联网平台得到整体应用,校园网出口已经部署了专用防火墙、流控等网络安全设备。所有Web应用是向公众开放,特别是学校的门户网站,由于招生与社会影响,要求在系统Web保护方面十分重要。,在网络中不断部署防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,尤其是对Web系统的攻击防范作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。总体说来,容易导致学校Web服务器被攻击的主要攻击手段有以下几种:缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令SQL注入——构造SQL代码让服务器执行,获取敏感数据跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用户的访问认证逃避——攻击者利用不安全的证书和身份管理非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据强制访问——访问未授权的网页隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序Cookie假冒——精心修改cookie数据进行用户假冒学校WEB应用安全防护具体需求分析学校对WEB应用安全防护非常重视,在内网部署有高端防火墙,同时内网部署有众多应用服务器,网络示意图如下:通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,作为整体安全中不可缺少的重要模块,局限于自身产品定位和防护深度,不同有效的提供针对Web应用攻击的防御能力。对于来自外网的各种各样的攻击方法,就必须采用一种专用的机制来阻止黑客对Web服务器的攻击行为,对其进行有效的检测、防护。通过对学校内部网络目前在WEB应用存在的问题,我们看到学校在Web服务器安全防护时需要解决以下几个问题:跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问学校Web服务器的用户,常见的目的是窃取Web服务器访问者相关的用户登录和认证信息。SQL注入攻击由于代码编写不可能做到完美,因此攻击者可以通过输入一段数据库查询代码窃取或者修改数据库中的数据,造成用户资料的丢失、泄露和服务器权限的丢失。缓冲区溢出攻击由于缺乏数据输入的边界条件限制,