通用 网站安全防护方案.docx

网站安全防护解决方案
杭州迪普科技有限公司
2012年11月
目录
一、需求分析 3
1、Web安全现状 3
2、Web系统安全问题总结 3
3、网站安全建设思路 5
4、Web应用防火墙 6
5、网页防篡改系统 7
二、优化方案 7
1、网络现状 7
2、传统优化方案 8
3、一体化融合部署 9
三、产品介绍 10
1 Web应用防火墙 10
全方位Web防护功能 10
负载均衡功能 13
流量优化功能 18
产品形态 19
部署方式 20
2 WebShield网页防篡改系统 23
系统概述 23
技术原理 28
核心技术解析 31
3 DPX8000深度业务交换网关 33
产品介绍 33
产品定位 34
产品优势 35
设备性能 36
一、需求分析
1、Web安全现状
随着市场需求以及产业的发展,互联网已迈进Web应用时代。如今,Web业务平台已经在电信信息化中得到广泛应用,很多都将应用架设在Web平台上,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。Web业务的迅速发展同时引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。
近几年,国内因为Web安全漏洞引发的安全事件常有发生,从电信网站、到互动社区,都受到来自黑客的攻击,攻击事件造成的经济损失及影响极大。电信在向客户提供通过浏览器访问电信业务信息功能的同时,电信所面临的风险在不断增加。随着Web应用程序的增多和网络技术的发展,Web应用所带来的安全漏洞越来越多,同时,被用来进行攻击的黑客攻击也越来越多,伴随而来的是在经济利益的驱动下,黑客活动主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
2、Web系统安全问题总结
Web系统安全形势堪忧,究其原因,主要是因为存在以下几个方面的问题:
大多数Web系统设计,只关注正常应用,未关注代码安全
一个Web系统设计者更多地考虑满足用户应用,如何实现业务。很少考虑Web系统开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、系统维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑
客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞,有试验表明,通过搜寻1000个网站取样测试,%存在SQL注入漏洞。
黑客入侵后,未及时发现
有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了Web系统的控制权限。可怕的是,通常黑客在获取Web系统的控制权限之后,并不暴露自己,而是持续利用所控制Web系统产生直接利益。如网页挂马就是一种利用网站,给访问者种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。被种植木马的人通常是在不知情的情况下,被黑客窃取了自身的机密信息。这样,网站成了黑客散布木马的一个渠道:Web系统本身虽然能够提供正常服务,但Web系统的访问者却遭受着持续的危害。
Web系统防御措施滞后,甚至没有真正的防御
大多数防御传统访问控制,入侵防御设备,保护Web系统抵御黑客攻击的效果不佳。比如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击,防火墙束手无策,甚至是基于特征匹配技术的检测产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。因此,导致目前有很多黑客将SQL注入,XSS攻击作为入侵Web系统的首选攻击技术。
Web系统防御不佳另一个原因是,有很多系统管理员对Web系统的价值认识仅仅是一台服务器或者是系统的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际Web系统遭受攻击之后,带来的间接损失往往不能用一个服务器或者是Web系统建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多拥有网站的组织和个人,只有在Web系统遭受攻击后,造成的损失远超过Web系统本身造价之后才意识Web系统安全问题的严重性。
目前针对Web攻击的常用防护手段
发现安全问题不能彻底解决
Web系统技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的Web系统