XXXXWAF平安解決方案XXXX公司目錄1工程背景11.1網絡現狀分析11.2Web平安現狀分析12平安風險及需求分析22.1平安風險分析23網站防護方案設計43.1實現目標43.2設計原那么43.3參考標準43.4總體設計方案54產品部署方案54.1產品選型54.2產品部署示意圖54.3詳細部署介紹64.4部署后可到達的效果65XXXXWAF網站保護系統主要功能75.1漏洞防護75.2攻擊防護75.3網頁代碼檢查85.4訪問加速85.5訪問分析85.6掛馬檢測85.7XXXXWAF技術優勢86XXXX售后效勞體系96.1效勞團隊96.2效勞能力96.3效勞工程10技術咨詢效勞10遠程協助效勞10產品重部署支持11產品升級效勞11產品保修效勞11產品維修效勞11培訓效勞11工程背景我國互聯網用戶規模也快速增長，網絡根底設施的迅速開展為互聯網取得成功提供了堅實的根底，電子商務和電子政務等網絡技術的應用和普及不僅給人們的生活帶來便利，而且正在創造著巨大的財富。截至2023年底，中國網站數量已經增長至287萬個，網頁數增長至160.9億個，提供WEB效勞的主機成為黑客攻擊的新對象。在利益的驅使下，網站掛馬成為黑客產業鏈上的重要環節，黑客對WEB效勞器進行病毒植入、惡意刪除文件、數據篡改和竊取等惡意侵入，給企業和政府核心業務造成嚴重的破壞。利用網站傳播木馬和病毒涉及的受害群體范圍廣，并且有可能在用戶不知情的情況下成為黑客的傀儡主機，被黑客利用進行更深一步的犯罪行為。網絡現狀分析組織機構名稱通過經過多年的建設，XXXX已經形成了比擬完善的局域內網、DMZ區外網業務網絡。內網是內部辦公網，使用防火墻、IPS等平安設備對互聯網進行隔離保護。DMZ區外網業務網絡是對外部提供Web效勞的網絡區域，使用防火墻進行DMZ區隔離保護，同時部署了IPS進行平安防護。組織機構名稱網絡的拓撲結構如下列圖所示。圖SEQ圖\*ARABIC1XXXX網絡現狀圖Web平安現狀分析近年來組織機構名稱網絡業務承載日益多元化，XXXX對外網站系統是其對外門戶網站，向外部提供組織機構名稱信息的重要平臺。伴隨著我國信息化產業的開展，大批針對于網站的黑客攻擊，惡意掛馬，網站篡改等不法行為也越來越猖獗，根據IDC統計，2005年以來很多政府單位、事業單位以及大型國企網站被惡意攻擊，嚴重影響了正常業務，帶來了不良的社會影響。據統計，在2023年第一季度里，每周都有1千萬以上的網頁被植入木馬，網站平安正面臨著前所未有的挑戰。一般掛馬網站集中在政府門戶、大型國企門戶等重要的單位網站，此類網站一旦被掛馬，會造成惡劣影響，影響組織機構的公眾形象。圖2中國大陸地區被篡改網頁數量統計報告〔數據來源：CNCERT/CC〕針對Web應用的傳統防御方法，例如IPS/防火墻/UTM等傳統的平安設備，已經不能對Web效勞器提供有效保護，黑客攻擊技術的快速更新需要更加多元化的防御方法。對于網站平安而言，建立起結構化，立體式的Web縱深防御體系迫在眉睫。以XXXXWAF為主要部件的XXXX網站保護系統在動態防御技術上相對領先，部署后能顯著提高Web效勞器的平安防御級別，能夠有效提高網站性能，同時減少效勞器負載，直接降低了用戶管理本錢和平安運維本錢，更加突顯產品的實用價值。平安風險及需求分析組織機構名稱系統網絡結構復雜，應用多種多樣，內部終端和效勞器眾多，在對組織機構名稱系統進行初步分析后，系統網絡中目前面臨以下平安風險：平安風險分析隨著互聯網應用的開展，基于網絡的信息效勞方式也在不斷的發生改變，基于互聯網的新型效勞方式在為應用提供方便的同時，也將自身效勞器暴露在了病毒和黑客面前。如果這些效勞器一旦癱瘓或者因被人植入后門程序而造成被遠程控制數據被竊取，后果不堪設想。為了保證業務數據的正常流通和平安，需對這些重要的Web效勞器進行全方位的平安防護。實際情況是這些效勞器的平安防護情況并不理想，主要存在以下幾個方面的問題：Web效勞軟件開發復雜，工作量大，想要在海量的動態Web頁面代碼中，找到平安漏洞，并修補它們，是非常困難和高本錢的持續性工作。Web效勞器軟件自身的漏洞問題頻出，這些漏洞很容易被黑客和病毒利用，成為被攻擊和注入/掛馬的犧牲品。考慮到兼容性問題，Web效勞器通常不會及時更新補丁，這更造成效勞器容易被病毒或黑客入侵，從而使組織機構面臨很大的網絡平安風險。網絡應用較多，而維護人員相對較少。這些人員一方面要維護重要效勞器的運行，網絡效勞的正常開展，另一方面又要監控網絡運行和平安狀況，工作壓力很大，無法顧及到所有效勞器的實時平安情況，導致當網絡中出現平安隱患后不被及時發現，或者發現后未能及時處理，最終這些微小的隱患可能造成更加嚴重的后果目前該網絡采取的對Web效勞器的防護方式主要是使用防火墻作為平安防護的根底設施，同時輔以IPS設備作為應用層平安檢測設備，同時在效勞器端安裝殺毒軟件作為最后一道防線。這樣的解決方案存在如下弱點：防火墻設備對于開放端口的Web效勞沒有防護能力。一般的網絡中都會部署防火墻作為平安防護設備，但防火墻僅能控制非授權IP對內不得訪問，對外應用效勞器，是被防火墻允許的訪問。由于實現原理的限制，防火墻對于病毒或黑客在應用層面的入侵攻擊“視而不見〞。入侵檢測防御系統〔IPS〕對于病毒的攻擊行為反響緩慢。IPS主要負責監測網絡中的異常流量，對受保護網絡提供主動、實時的防護，特別是那些利用系統漏洞進行攻擊和傳播的黑客工具以及蠕蟲病毒。由于IPS對WEB的檢測粒度很粗，隨著網絡技術和Web應用的開展復雜化，IPS在更需要專業平安防護特性的WEB防護領域已經開始力不從心。Web效勞器端是Web平安防護的重要環節，雖然Web效勞器做了相關的平安防護。但效勞器端的平安設置較為專業、復雜，一旦設置不合理，就使得Web效勞器端很容易成為惡意攻擊入侵的對象。網站防護方案設計實現目標通過XXXX的信息平安技術和豐富的平安防護設計經驗，為XXXXWeb系統提供一個技術領先、穩定可靠的網站保護防御體系，有效抵御各種惡意威脅的攻擊，提高網站系統的平安級別和防御水平。設計原那么根據XXXX網絡系統的現狀和系統平安和管理的需要，我們考慮保護系統應遵循以下幾條原那么：技術和產品的成熟性和穩定性。充分考慮網站保護產品本身和技術上的成熟性。網站保護系統必須是成熟而且經受大量用戶實例考驗的產品。可管理性。對于這樣平安防護產品，要管理平安防護規那么的升級、配置和支持是非常難的事，這就要求提供一個方便管理的平臺。系統必須提供簡化管理的工具，包括對攻擊特征文件和防護引擎的分發升級、報警管理和日志分析整理等。易用性。網絡中設備及軟件較多，各類網絡產品種類繁多，對于網絡管理員來說產品友好易用性將起到事半功倍的效果。參考標準ISO15408/GB/T18336《信息技術平安技術信息技術平安性評估準那么，第一局部簡介和一般模型》；ISO15408/GB/T18336《信息技術平安技術信息技術平安性評估準那么，第二局部平安功能要求》；ISO15408/GB/T18336《信息技術平安技術信息技術平安性評估準那么，第三局部平安保證要求》；國務院令第147號《中華人民共和國計算機信息系統平安保護條例》公通字[2007]43號《信息平安等級保護管理方法》GA-243-2000《計算機病毒防治產品評級準那么》公安部令第51號《計算機病毒防治管理方法》GB/T22239-2023《信息平安技術信息系統平安等級保護根本要求》；GB/Z20985-2007《信息技術平安技術信息平安事件管理指南》GB20986-2007-Z《信息平安技術信息平安事件分類分級指南》總體設計方案在組織機構名稱網絡系統中串行部署XXXXWAF網站保護系統，將所有Web訪問流量進行深度檢測和過濾，阻擋惡意Web請求流量，以實現對組織機構名稱網站系統的全方位平安保護。產品部署方案產品選型根據組織機構名稱網站帶寬和業務流量及應用的實際情況，我們推薦使用XXXXWAF產品——型號名稱高性能網站保護系統。該系統處理性能參數如下表：參數值備注網絡接口數量Web吞吐量CPS處理能力ConnectionsPersecond并發連接數產品部署示意圖針對網絡結構及所面臨的風險不同，XXXXWAF網站保護系統在網中可以采用多種方式靈活部署。圖5網站保護系統在web外網效勞區中的部署此部署方式適用于DMZ區Web效勞器區環境，在交換機上串行接入XXXXWAF系統，所有Web請求和惡意訪問攻擊均由XXXXWAF系統來承當處理，清洗、過濾后XXXXWAF系統向真實的效勞器提交請求并將響應進行整形、壓縮等處理后送交給請求客戶端。這樣可以很好的防范來自互聯網的威脅，保護網站的平安、穩定、高性能運行。詳細部署介紹組織機構名稱網絡中在網關處已經部署了防火墻產品和IPS平安產品，建議網站保護系統的部署采用純透明串行接入模式。純透明串行接入方式可以在不改變原有網絡結構的情況下接入，一般放置在路由器或防火墻設備后面的交換機上。這樣接入的優點是：對現有網絡結構的完全不影響。安裝、部署方便簡單。部署后可到達的效果通過部署網站保護系統，可以使網絡中Web效勞器的平安性得到大幅提升。簡單的接入方式部署快速簡單，無需更改現有網絡拓撲結構。XXXXWAF保護系統以純透明串行接入，對現有網絡的不產生影響；無需改動網絡拓撲模式，接入簡單、方便。Web訪問數據清洗、過濾。對于客戶端的每個請求進行深度的檢測、清洗、過濾，有效阻擊惡意請求，SQL注入，SQL盲注、密碼猜想，網站掃描，XSS攻擊，表單字段篡改、參數篡改、網頁include腳本注入攻擊、惡意代碼、跨站請求偽造(CSRF)、跨站腳本(XSS)、會話劫持GoogleHacking等的深度防御。保護網站效勞器免受漏洞攻擊。對代碼執行、目錄遍歷、腳根源代碼泄露、CRLF注入、COOKIE篡改、URL重定向等多種漏洞攻擊進行有效防護。強大的Web攻擊防護。XXXXWAF網站保護系統對客戶度請求提供多重檢查機制和智能分析，確保對高平安風險級別攻擊事件的準確識別率，針對Flood攻擊、SQL注入、跨站腳本、目錄遍歷等主要攻擊手段，提供了有效識別、阻斷并告警。降低效勞器壓力，節省帶寬。通過XXXXWAF網站保護系統的訪問加速功能，將用戶經常訪問的頁面和最近訪問的頁面緩存到系統本地內存直接發送，降低效勞器壓力。還可以開啟壓縮功能，節省帶寬資源，降低出口網絡擁堵的風險。詳細掌握網站訪問狀況。通過訪問分析，全面掌握時段流量、PV，關鍵詞搜索，搜索引擎收錄，等訪問分析數據，全面掌握網站的運營情況；為管理員改良網站功能和合理分配效勞器資源提供可靠的依據。通過日志報表能夠及時發現網站的平安隱患。XXXXWAF網站保護系統具備完善的日志功能，不但擁有多種類型的日志,可以隨時通過網站保護系統實時顯示，而且在網站故障時,可以通過電子郵件和短信方式通知管理員。減輕維護人員的工作壓力。部署網站保護系統后，攻擊和入侵已經被攔截，根本不會威脅網站系統，減輕了維護人員的工作壓力。另外通過XXXXWAF保護系統內顯示的相關信息，維護人員可以輕松的掌握網站的運營和平安情況。XXXXWAF網站保護系統主要功能漏洞防護XXXXWAF系統能夠對SQL注入、跨站腳本、代碼執行、目錄遍歷、腳根源代碼泄露、CRLF注入、COOKIE篡改、URL重定向等多種漏洞攻擊進行有效防護。攻擊防護XXXXWAF系統能夠對用戶請求提供多重檢查機制和智能分析，確保對高平安風險級別攻擊事件的準確識別率。針對Flood攻擊、SQL注入、跨站腳本、目錄遍歷等主要攻擊手段，XXXXWAF系統提供了有效識別、阻斷并告警。網頁代碼檢查XXXXWAF系統能夠對用ASP、ASPX、JSP、PHP、CGI等語言編寫的頁面，對用SQLServer、Mysql、Oracle等數據構建的網站進行檢查，能夠在客戶網站被掛馬之前發現網站的脆弱點，從而使客戶可以未雨綢繆，防止掛馬事件的發生。訪問加速XXXXWAF系統通過在現有的互聯網中增加一層新的網絡架構，將網站效勞器內容緩存到系統內存中，使用戶可以就近取得所需內容，降低效勞器的壓力，解決互聯網擁擠的狀況，提高用戶訪問效勞器的響應速度。從而解決由于網絡帶寬小、用戶訪問量大、網點分布不均等原因所造成的用戶訪問網站響應速度慢的問題。訪問分析XXXXWAF系統提供強大的用戶訪問分析功能，對用戶訪問的IP地址、瀏覽深度、訪問來源、客戶端信息、網站流量等進行詳細的統計。通過對用戶訪問網站的行為分析報告，為管理員改良網站功能和合理分配效勞器資源提供可靠的依據。掛馬檢測多數攻擊者在成功入侵并不采取直接的網站篡改，為了獲取更多的經濟利益往往采取比擬隱蔽的方式，其最終目的是為了盜取用戶的敏感信息，如各類賬號密碼，甚至使用戶電腦淪為攻擊者的“肉雞〞。一旦網站效勞器成為傳播病毒木馬的“傀儡幫兇〞，將會嚴重影響到網站的公眾信譽度。XXXXWAF技術優勢強大的Web防護能力2000多條Web平安檢測規那么，超過20個分類。支持虛擬主機，多域名、多個網站的保護。Web平安檢測規那么及時更新升級，提供可靠的升級保障。系統平安性保障自主研發高可靠性操作系統，系統本身平安性得到了有效的保障。集成Intel最新多核硬件平臺，產品處理性能得到了質的飛躍。友好操作界面可管理性簡易方便的管理頁面，適合國內用戶使用習慣提供圖形化的WEBUI界面管理系統，用戶可靈活制定策略多級管理員分級控制，方便多層次管理。豐富的日志查詢和報表提供詳細的攻擊、入侵日志信息，詳細了解平安事件情況提供平安事件統計功能，對源地址、URL，攻擊方式等進行統計報表功能，日報、周報和月報看按周期了解網站平安狀況。XXXX售后效勞體系XXXX公司作為最早從事信息平安研究和應用的單位，經過多年的技術積累和培養形成了一支技術過硬，經驗豐富的效勞隊伍，具備專業的效勞能力。效勞團隊為加強對重點用戶效勞，XXXX特成立針對重點用戶的多個網站平安事件響應小組，每個小組各司其職，并能在重大Web平安事件爆發時或根據用戶需要在現場提供全方位的平安效勞。現場救援小組主要效勞重點是用戶現場緊急事件救援響應；產品救援組負責用戶現場產品緊急事件響應。為了更快速的處置新出現的病毒事件，XXXX還抽調各職能部門的核心人員建立了跨部門的工程組，出現緊急事件可以協同整個單位的資源聯合效勞。XXXX網絡平安硬件效勞工程師均具有多年重點用戶的產品實施及效勞經驗，通過多年的實踐積累，能熟練規劃各種網絡環境下的產品部署，優化配置產品功能，使產品發揮強大的效能。效勞能力分級的應急預案效勞。針對不同的平安事件、效勞事件建立了不同級別的應急預案，在出現重平安事件或針對用戶網絡出現的不同的平安事件進行有步驟，有方案的處置。快速的應急響應效勞。通過多年為大中型用戶、重點用戶效勞的經驗積累，能依據用戶具體網絡環境，業務環境提供適當的效勞工程，效勞響應級別。多種效勞工程及響應機制相結合，形成保障用戶網絡穩定運行的效勞體系。高效的應急事件效勞通道。應急響應效勞不僅僅是救援人員現場事態分析、控制、處理，還需要結合公司級的各方平安技術資源，提供深入、全面的協助支持及平安信息，利用全面的技術分析才能提供可靠的處置方案。應急事件效勞通道涉及平安應急效勞所必須的所有部門，如病毒分析，網絡平安響應，深入測試，平安產品研發，產品升級等，所有相關部門將第一時間按照要求提