典型案例：

　　经过在多个实际项目中的实施，天融信高校网站防护方案已被验证是可行、可靠并且高效的解决方案。其中，在一所全国重点大学的网站系统建设中，该方案起到了关键性作用。

　　◆ 案例背景

　　xx学院是一所由教育部管理的全国重点高等院校。拥有学院门户、成人招生培训网、毕业生就业信息网等30个以上对外或对内提供服务的网站。这些网站承担着教学、宣传、党建等多方面任务。庞大的用户群体也给这些网站带来了的安全隐患。做好这些网站的安全防护工作，成为学院信息系统安全建设的重要任务。

　　◆ 用户环境

　　xx学院的互联网出口带宽为500M，在互联网接入口处配置有网络防火墙。网站系统整体部署在学院内部网络，共有WEB服务器33台，分别安置在两个物理机房，通过核心交换机做网络上的隔离。

　　◆ 用户需求

　　根据xx学院网站系统的网络环境现状、应用特点，结合高校行业的信息系统安全合规性要求，总结其对网站防护系统的主要需求如下：

　　● 实现对网站系统安全状况的全局掌控;

　　● 防止黑客利用WEB应用漏洞对网站进行SQL注入、跨站脚本等攻击，避免网页被篡改、网站被植入挂马、重要信息被窃取等;

　　● 防止黑客对网站进行DDOS攻击，保证网站正常提供服务;

　　● 实现网页被篡改后的自动、快速恢复，防止被篡改网页公布于众;

　　● 实时监控网站的安全状况，发生安全事件第一时间告警管理员。详细记录安全事件信息，做到安全事后可追溯;

　　● 主动检查网页中存在的敏感信息，防止网站论坛被上传非法反动言论;

　　● 详细记录网站的访问行为，并根据访问数据对网站业务进行分析，形成分析报表;

　　◆ 解决方案

　　参考xx学院网站系统的网络结构、资源并依照用户对安全系统建设的整体需求，天融信设计如下解决方案：

图 2：xx学院网站防护系统拓扑图

　　1、在xx学院两个物理机房的WEB服务器集群前端分别部署两台天融信TopWAF(TI-3628-WAF型号)设备。采用透明模式接入网络，无需对网络结构作任何调整。

　　2、在TopWAF上设置主动扫描策略，定期检测网站漏洞及网页中的违法信息。

　　3、在TopWAF上开启基本攻击防护策略，过滤经过WEB服务器的双向流量，实时阻止SQL注入、跨站脚本、文件包含等攻击。

　　4、在TopWAF 上开启流量自学习功能，分析网站的正常流量，自动生成DDOS击防护策略，有效缓解DDOS攻击。

　　5、在TopWAF上开启邮件告警设置，当有安全事件发生时，第一时间邮件告警管理员。

　　6、分别在33台WEB服务器上部署天融信网页防篡改系统监控代理端。通过内核文件底层驱动内嵌到操作系统中，基于事件触发方式进行自动监测，对WEB服务器制定目录下的所有文件内容进行实时监测，若发现变更，实时阻断篡改行为。

　　7、分别在33台WEB服务器上设定防篡改备份目录，事先备份受保护目录下的正常网页。当发生网页被意外篡改时，防篡改系统通过其内部的内容恢复机制，从备份目录进行实时恢复，确保文件的真实可靠性。

　　8、在学院内网一台服务器上部署防篡改管理中心程序， 对33个防篡改监控代理端进行集中管理。统一下发安全策略并收集日志。

　　◆ 客户收益

　　1、通过TopWAF的WEB漏洞扫描功能，管理员可以定期对网站系统进行安全检查，实时了解网站系统存在的安全隐患，并及时进行修补。

　　2、即使WEB服务器所存在的安全漏洞没有被及时修补，管理员也不必担心黑客会利用漏洞完成攻击。TopWAF会广泛阻止对于WEB服务器的恶意行为。保证网站系统对外服务的正常。

　　3、如果出现极端的网页被篡改情况，网页防篡改系统会在5ms内完成网页的自动恢复。避免被篡改网页公布于众，维护检察院形象。

　　4、通过TopWAF的违法信息检测功能，管理员可以及时发现含有违法信息的网站页面，避免这些页面被访问。

　　5、通过TopWAF的邮件告警功能，管理员可以在安全事件发生的第一时间得到通知，以及时进行策略调整。

　　6、学院领导或网站管理员可通过TopWAF内置的数据智能分析功能所产生的统计报表，追溯安全事件细节，了解网站业务数据及管理行为，真正做到对网站的“了如指掌”。

　　目前天融信公司的高校网站防护方案已经服务于国内多所知名院校，并得到客户的认可。结合安全产品，天融信公司也推出了安全评估、安全加固、在线监测及应急响应等多种网站安全服务。希望以最专业的产品和服务让高校网站达到较高的安全等级。