用户背景
秀洲--位于浙江省杭嘉湖平原,东邻上海,西靠杭州,南濒杭洲湾,北接苏州,是上海经济区的黄金腹地,也是浦东开发区的理想延伸地,极具开发潜力。是国务院确定为先行规划、先行发展的重点沿海开放地区之一。区域经济极富成长性和开放性,经济增势强劲。GDP、财政收入、居民人均收入等主要经济指标增幅高于“长三角”16个城市平均水平。近年来,秀洲区的经济增长率一直保持在 15%以上,2005年人均GDP达4745美元,三资企业总投资年均增长100%以上,外贸出口年均增长50%以上,外资投资企业达180多家。服务业发展迅速、市场体系日趋完善。
当今企业通过门户网站将企业信息、最新动态等公布于众,通过Web这个平台展现自身的发展情况,树立良好的企业形象。嘉兴秀州区政府通过使用两台Web服务器作为自己的门户网站,对外开放相关信息,与市民取得互动。
然而,当今对于Web服务器的攻击威胁越来越普遍,手法也越来越多样化。攻击将造成严重的后果,轻者将使Web服务器无法工作,市民无法正常浏览网站;重者将直接篡改网站内容,严重损害政府形象。因此,保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。
用户需求
根据秀洲区政府额要求,Web服务器应该受到严密的保护,避免遭受任何针对Web服务器发起的攻击,这些攻击包括:
1. 跨站脚本攻击
2. SQL注入攻击
3. 网页篡改
4. cookie中毒
5. 缓冲区溢出
6. 参数篡改
7. 错误返回信息截取等
梭子鱼应用防火墙解决方案
1.秀洲区政府梭子鱼应用防火墙解决方案
根据秀州区政府的网络环境和需求,梭子鱼为秀洲区政府提供梭子鱼应用防火墙,部署在两台Web服务器之前,实现反向代理,达到保护Web服务器的目的。
秀州区政府服务器网络原始拓扑图如下所示:
由图可知,外部的请求通过网络防火墙直接访问到两台Web服务器,由于网络防火墙无法检查HTTP协议的内容,所以恶意的攻击很容易渗入网络内部。这样的网络无法为Web服务器提供安全防护,其实质就等于将Web服务器暴露于公网。
通过在Web服务器前部署一台梭子鱼应用防火墙来达到保护门户网站目的。加固后网络拓扑如下图所示:
由图可知,来自外部的请求将首先经过梭子鱼应用防火墙,经过严格的扫描后再发送给后台服务器,大大提高了网站的安全性。
梭子鱼通过终止、安全(扫描)和加速来实现安全和优化的双重效果。如下图所示:
2.梭子鱼WEB应用防火墙简介
梭子鱼应用防火墙的原理:
梭子鱼应用防火墙通过代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在HTTP应用层上,确保内部服务器操作系统和TCP堆栈不直接暴露在Internet,保障web应用的安全。
▲图二 Web应用防火墙的原理
梭子鱼WEB应用防火墙功能:
终止:梭子鱼WEB应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼WEB应用防火墙将对应用流量(向内和向外)进行全面的检查,并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时,应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权,检查所有的HTTP 内容,解释和建立规则。
安全:一旦某个会话被梭子鱼WEB应用防火墙终止并被控制,将会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。
加速:除了WEB应用的安全性,数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池,缓存,GZIP压缩)和可用性功能(负载均衡,内容交换,健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构,以此来降低成本。
法律合规性
由于当今Web攻击日益严重,加上与它们相关的攻击与日俱增,因此研发一种测试产品安全性的标准来全面保护应用显得至关重要。
两个站在定义应用安全前线的组织机构是:
· 开放Web应用安全项目 (OWASP),这是一个致力于寻找和攻克危险软件的组织。OWASP所规定的前十项要求提供了最低标准的应用安全。梭子鱼WEB应用防火墙能够轻松解决前十项最普遍的WEB安全漏洞问题。请浏览OWASP官方网站:www.owasp.org.
Web应用安全联盟 (WASC)是一个包含专家、行业人员、和生产开源应用安全标准的组织代表的国际组织。联盟新的 “Web应用防火墙评测标准” (WAFEC)是一个为提供独立的、与厂家无关的WEB应用防火墙产品的评测标准。符合了这些标准意味着能够确保进入的数据都是安全的。自从标准出台以来,梭子鱼WEB应用防火墙就着手开始满足WASC-WAFEC评测标准的工作。下表表明了梭子鱼WEB应用防火墙如何满足这些标准,包括终止,安全,加速和会话控制等功能。
