一. 项目简介

　　1. 用户背景

　　秀洲--位于浙江省杭嘉湖平原，东邻上海，西靠杭州，南濒杭洲湾，北接苏州，是上海经济区的黄金腹地，也是浦东开发区的理想延伸地，极具开发潜力。是国务院确定为先行规划、先行发展的重点沿海开放地区之一。区域经济极富成长性和开放性，经济增势强劲。GDP、财政收入、居民人均收入等主要经济指标增幅高于“长三角”16个城市平均水平。近年来，秀洲区的经济增长率一直保持在 15%以上，2005年人均GDP达4745美元，三资企业总投资年均增长100%以上，外贸出口年均增长50%以上，外资投资企业达180多家。服务业发展迅速、市场体系日趋完善。

　　当今企业通过门户网站将企业信息、最新动态等公布于众，通过Web这个平台展现自身的发展情况，树立良好的企业形象。嘉兴秀州区政府通过使用两台Web服务器作为自己的门户网站，对外开放相关信息，与市民取得互动。

　　然而，当今对于Web服务器的攻击威胁越来越普遍，手法也越来越多样化。攻击将造成严重的后果，轻者将使Web服务器无法工作，市民无法正常浏览网站;重者将直接篡改网站内容，严重损害政府形象。因此，保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。

　　2. 用户需求

　　根据秀洲区政府额要求，Web服务器应该受到严密的保护，避免遭受任何针对Web服务器发起的攻击，这些攻击包括：

　　1. 跨站脚本攻击

　　2. SQL注入攻击

　　3. 网页篡改

　　4. cookie中毒

　　5. 缓冲区溢出

　　6. 参数篡改

　　7. 错误返回信息截取等

　　二. 梭子鱼应用防火墙解决方案

　　1. 秀洲区政府梭子鱼应用防火墙解决方案

　　根据秀州区政府的网络环境和需求，梭子鱼为秀洲区政府提供梭子鱼应用防火墙，部署在两台Web服务器之前，实现反向代理，达到保护Web服务器的目的。

　　秀州区政府服务器网络原始拓扑图如下所示：

　　由图可知，外部的请求通过网络防火墙直接访问到两台Web服务器，由于网络防火墙无法检查HTTP协议的内容，所以恶意的攻击很容易渗入网络内部。这样的网络无法为Web服务器提供安全防护，其实质就等于将Web服务器暴露于公网。

　　通过在Web服务器前部署一台梭子鱼应用防火墙来达到保护门户网站目的。加固后网络拓扑如下图所示：

　　由图可知，来自外部的请求将首先经过梭子鱼应用防火墙，经过严格的扫描后再发送给后台服务器，大大提高了网站的安全性。

　　梭子鱼通过终止、安全(扫描)和加速来实现安全和优化的双重效果。如下图所示：

　　2. 梭子鱼WEB应用防火墙简介

　　梭子鱼应用防火墙的原理：

　　梭子鱼应用防火墙通过代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层，同时还能应用在HTTP应用层上，确保内部服务器操作系统和TCP堆栈不直接暴露在Internet，保障web应用的安全。

　梭子鱼web应用防火墙功能：

　　终止：梭子鱼web应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼web应用防火墙将对应用流量(向内和向外)进行全面的检查，并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时，应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP 内容，解释和建立规则。

　　安全：一旦某个会话被梭子鱼web应用防火墙终止并被控制，将会对向内或向外的流量进行多种检查，以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。

　　加速：除了WEB应用的安全性，数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池，缓存，GZIP压缩)和可用性功能(负载均衡，内容交换，健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构，以此来降低成本。

　　法律合规性

　　由于当今Web攻击日益严重，加上与它们相关的攻击与日俱增，因此研发一种测试产品安全性的标准来全面保护应用显得至关重要。

　　两个站在定义应用安全前线的组织机构是：

　　· 开放Web应用安全项目 (OWASP),这是一个致力于寻找和攻克危险软件的组织。OWASP所规定的前十项要求提供了最低标准的应用安全。梭子鱼web应用防火墙能够轻松解决前十项最普遍的WEB安全漏洞问题。请浏览OWASP官方网站：www.owasp.org.

　　Web应用安全联盟 (WASC)是一个包含专家、行业人员、和生产开源应用安全标准的组织代表的国际组织。联盟新的 “Web应用防火墙评测标准” (WAFEC)是一个为提供独立的、与厂家无关的WEB应用防火墙产品的评测标准。符合了这些标准意味着能够确保进入的数据都是安全的。自从标准出台以来，梭子鱼web应用防火墙就着手开始满足WASC-WAFEC评测标准的工作。下表表明了梭子鱼web应用防火墙如何满足这些标准，包括终止，安全，加速和会话控制等功能。

　　三. 秀洲区政府梭子鱼web应用防火墙使用报告

　　1. 物理安装

　　根据秀洲区政府的网络情况，梭子鱼推荐使用双臂透明模式进行部署。在这种部署模式下，梭子鱼物理部署在两台web服务器之前，成为web服务器的安全屏障;在配置上，只需为梭子鱼web应用防火墙分配一个管理IP地址，并且为后台web服务器开启相应的HTTP应用即可。

　　2. 策略调整

　　在完成初步的安装和配置后，观察秀洲区政府的网站运行情况，通过访问秀洲区政府的网站观察网页的打开是否正常，并观察日志对其进行分析。根据分析结果对梭子鱼web应用防火墙进行策略调整。具体步骤如下：

(1) 网站日常访问测试

　　部署完毕后，访问网站正常，但是发现管理员向web服务器上传数据时被梭子鱼阻断，通过观察梭子鱼的日志，发现上传的数据的大小和所带参数已经达到所定义的攻击范围，因此被阻断。具体信息及策略调整说明如下图所示：

　　通过对梭子鱼进行策略调整，保证内部的正常请求和操作被放行，大大降低了误判率。

　　(1) 漏洞扫描

　　使用扫描工具对网站进行漏洞扫描，结果如下：

        下图为整体扫描的数据统计：

　　　　其中红色为严重的漏洞。漏洞详情如下图所示：

点击漏洞中包含的连接，由于找不到相应的内容，网站将显示Web服务器的版本信息等，如下图所示：

          其中版本信息中之处服务器为IBM，Web应用为Apache，版本号1.3.28等重要信息。对用户带来极大的隐患。

　　此时，必须对策略进行相应的修改，才能保证用户的Web应用的安全。

　　(3) 策略调整

　　进入应用的Web Firewall页面，然后进入URL ACLs，添加策略，如下图所示：

　　详细策略信息如下：

　　如图所示，根据扫描出的漏洞所示，将Host Match设为*,表示扫描所有源主机请求，将/WEB-INF/*加入URL Match，*表示所有;Action选为Deny，相应选为Redirect，然后将秀州区政府的主页作为重定向页面，这样所有试图访问这个受限页面的请求将被重定向到主页。如下图所示：

　　在URL中输入这个链接，后面随便添加任何字符，然后回车，页面将被直接重定向到主页，原本的错误信息将不再被显示，达到了隐藏后台信息的目的。

　　一. NC Web firewall Logs 显示

　　通过观察NC的日志信息，可以清晰看到策略的击中情况，如下图所示：

　　点击Details查看详细信息，如下图所示：

　　(4) 深入扫描

　　在上述策略调整后，整个系统已经处于稳定运行的状态，接下来对系统进行深入的扫描和分析。

　　本次扫描使用专业的MatriXay软件进行，扫描结果如下：

　　根据扫描结果得知，系统存在网页篡改的风险，并对其进行验证，如下图所示：

　　由图可知，只需在ULR中添加任何字符，就能在页面上显示，此处添加“jasper”，网页上就会显示“jasper”的字样，如果被黑客非法侵入，那么此处可能就会显示恶意的文字信息，严重危害到政府机关的公众形象。

　　根据这种情况，需要对梭子鱼进行进一步的策略调整，防止任何非法字符。具体设置如下所示：

再次进行测试，非法字符被成功阻断：