""
WEB防護(hù)方案 您當(dāng)前的位置:首頁 » 解決方案 » WEB防護(hù)方案
應(yīng)用防火墻與網(wǎng)頁防篡改系統(tǒng)的聯(lián)動(dòng)
第1章 需求分析
1.1. 面臨現(xiàn)狀
隨著互聯(lián)網(wǎng)應(yīng)用的普及,信息的獲取越來越依賴于網(wǎng)絡(luò),從而進(jìn)一步推動(dòng)了互聯(lián)網(wǎng)應(yīng)用和網(wǎng)站建設(shè)。但是,隨著網(wǎng)站建設(shè)的規(guī)?;?,網(wǎng)站安全問題迅速嚴(yán)峻。這一點(diǎn)從國慶60周年公安部安全大檢查的報(bào)告可以看出。
為了保障網(wǎng)站安全及互聯(lián)網(wǎng)信息的正確可信,公安部早在2005年12月1號(hào)正式頒布了《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》,即公安部第82號(hào)令,并要求于2006年3月1號(hào)起開始實(shí)施。該規(guī)定在第九條第三款中明確指出:“開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的,能夠防范網(wǎng)站、網(wǎng)頁被篡改,被篡改后能夠自動(dòng)恢復(fù)”。
CNCERT/CC相關(guān)人員表示,網(wǎng)絡(luò)攻擊者們目標(biāo)明確,篡改政府網(wǎng)站主要是為了泄憤,而利用網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接等對(duì)金融機(jī)構(gòu)、網(wǎng)上交易等站點(diǎn)進(jìn)行網(wǎng)絡(luò)仿冒主要是為了盜用用戶個(gè)人信息謀取利益。為了達(dá)到更好的攻擊效果,網(wǎng)絡(luò)黑客也在不斷更新自己的技術(shù)手段,木馬程序已經(jīng)成為其中最主要的手段之一,應(yīng)用也最為廣泛。更為可怕的是,由于網(wǎng)絡(luò)木馬、病毒背后巨大的經(jīng)濟(jì)利益催生了病毒產(chǎn)業(yè)化的進(jìn)程,制造、傳播、交易一條龍,嚴(yán)重威脅到國家和個(gè)人的財(cái)產(chǎn)安全。
簡而言之,我國網(wǎng)絡(luò)與信息安全形勢異常嚴(yán)峻,加強(qiáng)安全建設(shè)刻不容緩。
1.2. 解決思路
目前,網(wǎng)站安全建設(shè)主要是由防火墻、入侵檢測構(gòu)成的兩層防護(hù)體系。出現(xiàn)如此嚴(yán)峻的網(wǎng)站安全問題,充分說明了該體系對(duì)于網(wǎng)站篡改攻擊防范的局限性,以下從技術(shù)方面進(jìn)行闡述:
1. 從設(shè)計(jì)思想的角度分析,防火墻、入侵檢測等安全類產(chǎn)品都需要依賴于特定的規(guī)則庫來識(shí)別威脅,由于規(guī)則的形成或升級(jí)必然落后于攻擊手段的變更,這在一定程度上為網(wǎng)站攻擊提供了時(shí)間的空隙,從目前發(fā)生的大多數(shù)網(wǎng)站/網(wǎng)頁被篡改的案例分析,主要是借助這個(gè)時(shí)間差進(jìn)行的。因此,基于特征庫的進(jìn)行安全防范的產(chǎn)品或系統(tǒng)是無法確保網(wǎng)站內(nèi)容安全的。
2. 從防護(hù)的方法來說,網(wǎng)頁防篡改產(chǎn)品著眼點(diǎn)在于“事后恢復(fù)”,可防止篡改的危害擴(kuò)大。但是它不能防止攻擊發(fā)生;并且他只有在攻擊發(fā)生對(duì)網(wǎng)頁篡改的行為時(shí)才能產(chǎn)生作用,而事實(shí)上多數(shù)類型的攻擊并不篡改網(wǎng)頁,如DDoS攻擊、CC攻擊、溢出攻擊、cookie竊取、密碼攔截、數(shù)據(jù)竊取等;還有很多攻擊有可能產(chǎn)生篡改行為,但多數(shù)情況并不會(huì)篡改網(wǎng)頁,如SQL注入、目錄穿越等;即使是“事后恢復(fù)”,網(wǎng)頁防篡改產(chǎn)品也存在工作原理漏洞、服務(wù)負(fù)載增加、檢測機(jī)制繞開、連續(xù)篡改等安全問題。而應(yīng)用防火墻能在應(yīng)用層理解分析HTTP會(huì)話,因此能有效的防止各類應(yīng)用層攻擊,所在在解決方案中我們提倡采用“動(dòng)靜”結(jié)合的安全布署方式,同時(shí)如果應(yīng)用防火墻和網(wǎng)頁防篡改產(chǎn)品采用同一品牌可實(shí)現(xiàn)應(yīng)用防火墻、網(wǎng)頁防篡改和服務(wù)器聯(lián)動(dòng),實(shí)現(xiàn)統(tǒng)一管理、事前防御的目的,提供整個(gè)IT設(shè)施的安全性。
3. 從技術(shù)實(shí)現(xiàn)的角度分析,防火墻、入侵檢測等安全類產(chǎn)品主要是針對(duì)鏈路層、網(wǎng)絡(luò)層信息進(jìn)行威脅識(shí)別,然而,從近幾年網(wǎng)站篡改的大量案例來看,攻擊過程所包含的信息內(nèi)容在鏈路層、網(wǎng)絡(luò)層都是合法的,問題其實(shí)主要出現(xiàn)在應(yīng)用層面,因此傳統(tǒng)的安全防護(hù)體系對(duì)此類攻擊的防范效果不甚理想。
第2章 產(chǎn)品介紹
當(dāng)前的網(wǎng)站安全建設(shè)主要是由防火墻、入侵檢測構(gòu)成的兩層防護(hù)體系。然而,根據(jù)權(quán)威機(jī)構(gòu)的統(tǒng)計(jì),75%的信息安全攻擊都是來自web應(yīng)用的層次上的。
根據(jù)市場的需求,目前市場上各安全廠商研發(fā)了針對(duì)web內(nèi)容安全的一系列產(chǎn)品及網(wǎng)站安全評(píng)估及加固服務(wù),已形成網(wǎng)站內(nèi)容安全領(lǐng)域最具技術(shù)領(lǐng)導(dǎo)力的產(chǎn)品家族—Web應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)。
2.1. WEB應(yīng)用防火墻
Web應(yīng)用防火墻,面向金融、政府、企業(yè)、電子商務(wù)等所有涉及Web應(yīng)用的行業(yè),保護(hù)WEB 網(wǎng)站及服務(wù)器免受各種惡意攻擊,優(yōu)化業(yè)務(wù)資源,保障Web應(yīng)用的可用性和可靠性。 Web應(yīng)用防火墻工作在應(yīng)用層,對(duì)HTTP(S)進(jìn)行雙向深層次檢測:對(duì)于來自Internet的安全威脅進(jìn)行實(shí)時(shí)防御,避免入侵者利用應(yīng)用層漏洞非法獲取或破壞網(wǎng)站數(shù)據(jù),可以有效地抵御黑客的各種攻擊,如SQL注入攻擊、命令注入攻擊、跨站腳本攻擊、跨站偽造、緩沖區(qū)溢出、惡意編碼、應(yīng)用層 DOS/DDOS攻擊等;同時(shí),對(duì)WEB服務(wù)器側(cè)響應(yīng)的出錯(cuò)信息、惡意內(nèi)容及不合規(guī)內(nèi)容進(jìn)行實(shí)時(shí)過濾,避免敏感信息泄露,確保網(wǎng)站信息的可靠性。 Web應(yīng)用防火墻還提供網(wǎng)絡(luò)訪問和流量的實(shí)時(shí)監(jiān)控,幫助用戶直觀的了解網(wǎng)站工作狀態(tài);借助SSL加速功能,可以顯著提高網(wǎng)站的訪問速度與并發(fā)量。
2.2. 網(wǎng)頁防篡改
網(wǎng)頁防篡改系統(tǒng)解決了傳統(tǒng)的兩層防護(hù)體系中存在的安全漏洞,采用“容災(zāi)為主、預(yù)防為輔”的設(shè)計(jì)思想,從應(yīng)用層面解決網(wǎng)站內(nèi)容安全的問題。
1. 該系統(tǒng)主要的防護(hù)功能不依賴于特征庫,采用“強(qiáng)認(rèn)證”機(jī)制確保內(nèi)容正確性。因此,該系統(tǒng)不受網(wǎng)站攻擊手段變化帶來的負(fù)面影響,是一款充分體現(xiàn)“以不變應(yīng)萬變”設(shè)計(jì)思想的安全類軟件。
2. 該系統(tǒng)在技術(shù)實(shí)現(xiàn)方面也完全不同于防火墻、入侵檢測等產(chǎn)品,其主要關(guān)注應(yīng)用層信息的合法性。該系統(tǒng)以嵌入式過濾技術(shù)為核心,輔以實(shí)時(shí)阻斷、事件觸發(fā)等多種預(yù)防性保護(hù)技術(shù),從而形成針對(duì)網(wǎng)站文件的多層次縱深防御體系。
防篡改產(chǎn)品一般由三個(gè)相互獨(dú)立的子系統(tǒng)構(gòu)成,分別是監(jiān)控代理Monitor Agent(簡稱MA)、同步代理Synchronization Agent(簡稱SA)和管理中心Management Center(簡稱MC)。
·監(jiān)控代理MA——部署于網(wǎng)站服務(wù)器,負(fù)責(zé)實(shí)時(shí)監(jiān)控保護(hù)網(wǎng)站文件,發(fā)現(xiàn)篡改企圖或篡改操作實(shí)時(shí)發(fā)送恢復(fù)請求,并及時(shí)提交告警信息。
·同步代理SA——部署于同步服務(wù)器,負(fù)責(zé)實(shí)時(shí)監(jiān)控備份文件變更,以及監(jiān)控代理提交的恢復(fù)請求,并根據(jù)請求執(zhí)行向網(wǎng)站服務(wù)器的文件同步。注:同步服務(wù)器通常情況下指CMS 服務(wù)器或FTP服務(wù)器。
管理中心MC——邏輯上部署于管理服務(wù)器,作為用戶與系統(tǒng)之間的接口,負(fù)責(zé)將操作指令傳達(dá)給監(jiān)控代理和同步代理;同時(shí),負(fù)責(zé)實(shí)時(shí)接收來自代理端的各種告警信息并及時(shí)通知用戶。
第3章 解決方案
目前大多數(shù)政府對(duì)外服務(wù)門戶網(wǎng)站,以及各大金融能源等重要民生單位網(wǎng)站作為對(duì)外服務(wù)窗口,展示單位形象及實(shí)時(shí)發(fā)布最新的環(huán)境監(jiān)控信息;為了保證網(wǎng)站內(nèi)容的安全,門戶網(wǎng)站WEB應(yīng)用安全策略需要對(duì)WEB訪問請求的前期、中期進(jìn)行全方位的考慮,建立立體化的防御體系,提供事前阻斷和事中防御。
總的來講,門戶網(wǎng)站其對(duì)于網(wǎng)站應(yīng)用安全的關(guān)注點(diǎn)主要可以歸納為如下幾點(diǎn):
·用戶的訪問請求能夠進(jìn)行分類篩選,從而區(qū)分出惡意的訪問請求,并能夠根據(jù)一定的規(guī)則進(jìn)行有效的阻斷;
·防止篡改網(wǎng)站信息,實(shí)時(shí)監(jiān)控網(wǎng)站和即時(shí)復(fù)原正確的網(wǎng)站內(nèi)容,確保網(wǎng)站安全、可靠和穩(wěn)定運(yùn)行,任何惡意篡改痕跡將被實(shí)時(shí)保留,并能夠主動(dòng)及時(shí)地通知管理人員;
·實(shí)現(xiàn)動(dòng)態(tài)防護(hù)和靜態(tài)防護(hù)的結(jié)合,對(duì)網(wǎng)站應(yīng)用安全設(shè)備進(jìn)行統(tǒng)一監(jiān)控、統(tǒng)一布署,實(shí)現(xiàn)應(yīng)用安全設(shè)備與網(wǎng)站的相互聯(lián)動(dòng);
針對(duì)用戶的需求和解決思路,結(jié)合目前web內(nèi)容方面的安全產(chǎn)品技術(shù)特點(diǎn)及服務(wù),可以為用戶提供一個(gè)完善的解決方案。
3.1. 方案架構(gòu)
基于目前應(yīng)用安全產(chǎn)品構(gòu)建的客戶的Web應(yīng)用安全平臺(tái)如上圖所示,平臺(tái)通過應(yīng)用防火墻系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)為門戶網(wǎng)站應(yīng)用構(gòu)筑了“事前阻斷+事中防御”的縱深防御體系。
3.2. 主要功能
3.2.1. 事前阻斷
作為網(wǎng)站安全的事前過濾與阻斷系統(tǒng),其首先必須要具備完備并且及時(shí)的規(guī)則庫與方便的管理功能,可以將功能劃分為如下四個(gè)方面:
·攻擊檢測阻斷
防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信息或攻擊數(shù)據(jù)庫。采用正則表達(dá)式描述規(guī)則,提高規(guī)則的可擴(kuò)展性和可維護(hù)性。防止黑客通過注入腳本漏洞方式在網(wǎng)站中植入跨站攻擊腳本、進(jìn)而攻擊訪問者等等。
·規(guī)則定義擴(kuò)展
用戶可針對(duì)網(wǎng)站的特性,可以自定義一些規(guī)則,來防止非法信息的提交與顯示。同時(shí),系統(tǒng)自動(dòng)遠(yuǎn)程升級(jí)通用過濾規(guī)則,從而具備針對(duì)最新發(fā)現(xiàn)/發(fā)布Web漏洞的防御能力。
·告警與審計(jì)
實(shí)時(shí)的報(bào)警能力,針對(duì)網(wǎng)站進(jìn)行的攻擊入侵操作,系統(tǒng)提供實(shí)時(shí)的報(bào)警處理,將相關(guān)詳細(xì)信息以告警的方式提交給網(wǎng)站管理人員。詳細(xì)的日志信息不僅可用于遭受攻擊責(zé)任的追究和落實(shí),同時(shí)也為管理人員全面了解網(wǎng)站安全和系統(tǒng)運(yùn)行狀況提供了必須的資料。
w ·用戶管理
為提高網(wǎng)站管理的安全性,系統(tǒng)提供多級(jí)用戶管理機(jī)制,不同用戶的權(quán)限(資源配屬)可根據(jù)實(shí)際需求進(jìn)行控制。
3.2.2. 事中防御
到了網(wǎng)站內(nèi)容安全事中防御階段,首先必須要具備完善的保護(hù)機(jī)制,保護(hù)對(duì)象包括靜態(tài)/動(dòng)態(tài)頁面、數(shù)據(jù)庫、圖片、文檔等各類文件,其次還要具備相應(yīng)的輔助功能,以便于用戶的各種管理性工作。根據(jù)該系統(tǒng)的特點(diǎn),可以將功能劃分為如下五個(gè)方面:
w ·監(jiān)控與恢復(fù)
針對(duì)網(wǎng)站文件安全的保障機(jī)制,實(shí)時(shí)監(jiān)控網(wǎng)站文件的變更,有效降低篡改發(fā)生的概率,并且一旦發(fā)生篡改,可以自動(dòng)實(shí)時(shí)地進(jìn)行文件恢復(fù)。此外,對(duì)所有互聯(lián)網(wǎng)訪問進(jìn)行內(nèi)容過濾,以確保發(fā)布內(nèi)容的正確性、權(quán)威性。
·同步與備份
與各類網(wǎng)站發(fā)布方式(如ftp、CMS等)無縫集成,確保網(wǎng)站內(nèi)容正常更新維護(hù)的自動(dòng)化、實(shí)時(shí)性。同時(shí),提供網(wǎng)站備份的能力,以便保障系統(tǒng)實(shí)施過程中的初始化可以在不借助第三方軟件的情況下順利進(jìn)行。
·告警與審計(jì)
實(shí)時(shí)的報(bào)警能力,針對(duì)網(wǎng)站進(jìn)行的各類篡改企圖或篡改操作,系統(tǒng)提供實(shí)時(shí)地報(bào)警處理,將相關(guān)詳細(xì)信息以告警的方式提交給網(wǎng)站管理人員。詳細(xì)的日志信息不僅可以用于篡改責(zé)任的追究和落實(shí),同時(shí)也為管理人員全面了解網(wǎng)站安全和系統(tǒng)運(yùn)行狀況提供了必須的資料。
·防SQL注入
防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信息或攻擊數(shù)據(jù)庫。采用正則表達(dá)式描述規(guī)則,提高規(guī)則的可擴(kuò)展性和可維護(hù)性。
·用戶管理
為提高網(wǎng)站管理的安全性,系統(tǒng)提供多級(jí)用戶管理機(jī)制,不同用戶的權(quán)限(資源配屬)可根據(jù)實(shí)際需求進(jìn)行控制。
3.3. 部署方案
根據(jù)門戶網(wǎng)站的安全需求,以應(yīng)用安全產(chǎn)品家族中的應(yīng)用防火墻、網(wǎng)頁防篡改為基礎(chǔ)的門戶網(wǎng)站安全解決方案部署示意圖如下所示:
1、在網(wǎng)站服務(wù)器前端部署應(yīng)用防火墻系統(tǒng)(硬件)1臺(tái),對(duì)WEB業(yè)務(wù)進(jìn)行動(dòng)態(tài)攻擊防護(hù),依據(jù)一定的規(guī)則對(duì)訪問請求進(jìn)行過濾,對(duì)攻擊性的請求實(shí)施阻斷,有效抵御黑客的攻擊手段,使web站點(diǎn)擁有更強(qiáng)的健壯性和安全性;
2、 選擇網(wǎng)頁防篡改系統(tǒng)【1套】,在網(wǎng)站服務(wù)器分別部署網(wǎng)頁防篡改系統(tǒng)的監(jiān)控代理,負(fù)責(zé)實(shí)時(shí)監(jiān)控保護(hù)網(wǎng)站文件,發(fā)現(xiàn)篡改企圖或篡改操作實(shí)時(shí)發(fā)送恢復(fù)請求,并及時(shí)提交告警信息;
另外新添加1臺(tái)服務(wù)器,部署網(wǎng)頁防篡改系統(tǒng)兩個(gè)子系統(tǒng)備份服務(wù)和統(tǒng)一監(jiān)管平臺(tái)。該服務(wù)器備份Web服務(wù)器上的網(wǎng)站內(nèi)容,以及作為今后網(wǎng)站發(fā)布更新的同步服務(wù)器負(fù)責(zé)實(shí)時(shí)監(jiān)控備份文件變更,以及監(jiān)控代理提交的恢復(fù)請求,并根據(jù)請求執(zhí)行向網(wǎng)站服務(wù)器的文件同步。統(tǒng)一監(jiān)管平臺(tái)作為用戶與系統(tǒng)之間的接口,負(fù)責(zé)將操作指令傳達(dá)給監(jiān)控代理和同步代理;同時(shí),負(fù)責(zé)實(shí)時(shí)接收來自代理端的各種告警信息并及時(shí)通知用戶,更重要的是通過統(tǒng)一監(jiān)管平臺(tái)統(tǒng)一布署應(yīng)用安全防護(hù)策略,實(shí)現(xiàn)應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)的聯(lián)動(dòng)。
3.4. 方案特點(diǎn)
3.4.1. 縱深防御,整體聯(lián)動(dòng),立體調(diào)控
根據(jù)黑客攻擊特點(diǎn)的不同,為系統(tǒng)各網(wǎng)站應(yīng)用部署應(yīng)用防火墻、網(wǎng)頁防篡改系統(tǒng),同時(shí)選擇同一廠商的應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)可以提供安全可靠的統(tǒng)一監(jiān)管理平臺(tái),可以實(shí)現(xiàn)應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)的聯(lián)動(dòng),同時(shí)提供“事前+事中”二位一體的縱深防御體系。目前主流的安全廠商都支持應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)的聯(lián)動(dòng),同時(shí)在防火墻和IPS等設(shè)備上進(jìn)行異構(gòu),達(dá)到立體調(diào)控的效果。
3.4.2. 環(huán)境普適,全面支持
隨著網(wǎng)站應(yīng)用的深入,業(yè)務(wù)的擴(kuò)展,基于安全性、穩(wěn)定性等方面的考慮,昆明市環(huán)境監(jiān)控中心門戶網(wǎng)站應(yīng)用在原有Linux環(huán)境的基礎(chǔ)上,新系統(tǒng)可能向Unix平臺(tái)遷移。在這種情況下,產(chǎn)品的環(huán)境兼容性就顯得格外重要,產(chǎn)品家族需要是支持環(huán)境最全面、兼容性最完善的產(chǎn)品,目前主流的應(yīng)用安全廠商如啟明、中創(chuàng)、天存都有較高的安全性和穩(wěn)定性,也有較多的用戶安例。
·支持所有主流操作系統(tǒng),包括windows、linux、unix等;
·支持所有主流數(shù)據(jù)庫,包括oracle、Sqlserver、sybase、mysql等。
3.4.3. 安全性高,可用性強(qiáng)
整個(gè)應(yīng)用安全防護(hù)系統(tǒng)的數(shù)據(jù)和自身安全性得到保障。
·信息傳輸?shù)陌踩?
系統(tǒng)以作為基本網(wǎng)絡(luò)運(yùn)行環(huán)境,從以下兩個(gè)方面提供信息的安全傳輸:
·完整性:完整性保護(hù)可以防止對(duì)消息的非法但又難以察覺的篡改,以及確保消息能以正確順序到達(dá),且無增加或減少。
·機(jī)密性:保證消息在傳輸中無法被竊聽。
·系統(tǒng)自身的安全性
系統(tǒng)提供進(jìn)程級(jí)的守護(hù)能力,保障核心業(yè)務(wù)進(jìn)程的故障恢復(fù)和安全性。