|
Web應(yīng)用平臺的應(yīng)用范圍有哪些�?
隨著計算及業(yè)務(wù)逐漸向數(shù)據(jù)中心高度集中發(fā)展,Web業(yè)務(wù)平臺已經(jīng)在各類政府����、企業(yè)機構(gòu)的核心業(yè)務(wù)區(qū)域,如電子政務(wù)�����、電子商務(wù)�����、運營商的增值業(yè)務(wù)等中得到廣泛應(yīng)用���,很多企業(yè)都將應(yīng)用架設(shè)在Web平臺上���,Web成為一種普適平臺。
Web應(yīng)用帶來的威脅有什么�?
Web業(yè)務(wù)的迅速發(fā)展也引起了黑客們的強烈關(guān)注,他們將注意力從以往對傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對 Web 業(yè)務(wù)的攻擊上�。黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限,輕則篡改網(wǎng)頁內(nèi)容�,重則竊取重要內(nèi)部數(shù)據(jù),更為嚴重的則是在網(wǎng)頁中植入惡意代碼���,使得網(wǎng)站訪問者受到侵害�����。
當前網(wǎng)絡(luò)上75%的攻擊是針對Web應(yīng)用的����。這些攻擊可能導(dǎo)致網(wǎng)站遭受聲譽損失�����、經(jīng)濟損失甚至政治影響��。各類網(wǎng)站客戶已逐漸意識到Web安全問題的重要性,但傳統(tǒng)安全設(shè)備(防火墻/IPS)解決Web應(yīng)用安全問題存在局限性�����,而整改網(wǎng)站代碼需要付出較高代價從而變得較難實現(xiàn)�。同時,很多關(guān)系國計民生的重要網(wǎng)站����,面臨監(jiān)管機構(gòu)安全合規(guī)的要求。
如何解決Web應(yīng)用安全問題��?
面對來勢洶洶的Web安全威脅����,政府、企業(yè)為了保護好自身的Web服務(wù)器絞盡腦汁���。Web服務(wù)器在交互性增強的同時���,也帶來了更高的網(wǎng)絡(luò)危險性��、混亂性和復(fù)雜性�。
l 如何防止Web服務(wù)器����、數(shù)據(jù)庫服務(wù)器被竊取信息���?
l 如何驗證用戶提交數(shù)據(jù)的安全性�����?
l 如何防止黑客上傳木馬�����、控制服務(wù)器�?
Web應(yīng)用防火墻的出現(xiàn)�,給當前的安全市場打了一針興奮劑,Web應(yīng)用安全的問題迎刃而解�。各政府、企業(yè)紛紛要求安裝Web應(yīng)用防火墻�����。
根據(jù) Gartner 的調(diào)查��,信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層而非網(wǎng)絡(luò)層面上���,2/3的 Web 站點都相當脆弱���,易受攻擊��。另外�,在今年4月國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心最新發(fā)布的報告中指出��,“2007年度����,網(wǎng)絡(luò)仿冒、網(wǎng)頁惡意代碼���、網(wǎng)站篡改等增長速度接近200%�����。”而隨著Web2.0應(yīng)用的推廣�����,相關(guān)安全問題逐漸凸顯���,針對該類網(wǎng)站的攻擊事件也在不斷增多,常見來自Web的安全威脅有幾下幾種:
1. SQL注入
2.木馬上傳
3.遠程溢出
4.XSS
5.本地�、遠程包含漏洞利用
6.重要信息竊取
7.驗證、認證繞過
8.Cookie���、Session劫持
9.網(wǎng)站掛馬
10.應(yīng)用層DOS攻擊
“銥迅Web應(yīng)用防火墻”支持多種靈活的部署方式�,如透明網(wǎng)橋模式��、單機模式��、旁路反向代理模式�����。其中�����,“銥迅 Web應(yīng)用防火墻”的透明網(wǎng)橋模式尤為出色����,管理員在不需要修改原網(wǎng)絡(luò)拓撲結(jié)構(gòu)的情況下,“銥迅 Web應(yīng)用防火墻”相當于一根網(wǎng)線串入網(wǎng)絡(luò)中�,對Web攻擊進行防御。
“銥迅Web應(yīng)用防火墻”的透明網(wǎng)橋模式�����,與其他同類產(chǎn)品相比,有著先天的優(yōu)勢:
|
|
透明網(wǎng)橋
|
反向代理
|
|
支持超過65535個并發(fā)連接
|
支持超過百萬以上
|
一般不高于3萬
|
|
數(shù)據(jù)處理延時
|
幾乎無延時
|
有一定延時
|
|
最大訪問速率
|
最大1000Mbps
|
一般在500Mbps
|
|
修改網(wǎng)絡(luò)數(shù)據(jù)報文
|
不修改
|
需要修改
|
|
對交換機負載
|
負載低
|
負載高
|
|
獲取訪問者真實IP
|
能獲取到真實IP
|
無法獲取真實IP
|
1.透明網(wǎng)橋模式
透明網(wǎng)橋模式指在兩臺運行的設(shè)備中間插入“銥迅 Web應(yīng)用防火墻”�,但是對流量并不產(chǎn)生任何影響。在透明網(wǎng)橋模式下�����,“銥迅Web應(yīng)用防火墻”阻斷Web應(yīng)用層攻擊�����,而讓其他的流量通過��。透明網(wǎng)橋模式是部署最為簡便的方式���。透明網(wǎng)橋模式是透明的�,所以不會干預(yù)任何網(wǎng)絡(luò)中的設(shè)備�。
2.單機模式
單機模式下,“銥迅Web應(yīng)用防火墻”只要串入Web服務(wù)器的前端即可進行防護��,同時并不影響Web服務(wù)器的其他應(yīng)用�。
3.旁路反向代理模式
旁路反向代理模式,可以將“銥迅Web應(yīng)用防火墻”與Web服務(wù)器置于內(nèi)網(wǎng)的交換機下,訪問Web服務(wù)器的所有請求都通過“銥迅Web應(yīng)用防火墻”流入流出��。然而���,這種模式下,Web服務(wù)器無法獲取訪問者的真實IP���,需要借助HTTP報文中設(shè)置相應(yīng)的字段來表示訪問者IP�,這樣需要修改原有的HTTP報文�。
“銥迅Web應(yīng)用防火墻”在特殊情況下����,如斷電、硬件故障等�,仍然能夠保持網(wǎng)絡(luò)的暢通。具有硬件�����、軟件雙Bypass方式�。
1.硬件Bypass
l 外部突然斷電時,自動直連
l 來電后自動啟動時�,自動直連
l 硬件啟動、重啟時,自動直連
2.軟件Bypass
l 固件故障自動恢復(fù)
故障時自動直連���,故障清除后取消直連
l 固件升級����、規(guī)則升級
升級固件��、規(guī)則時自動直連����,升級成功后取消直連
“銥迅Web應(yīng)用防火墻”可以給您的Web服務(wù)器提供應(yīng)用層的全方位的保護,功能包括:
1.黑客攻擊防護
l SQL注入攻擊(包括URL�����、POST����、Cookie等方式的注入)
l XSS攻擊
l Web常規(guī)攻擊(包括遠程包含、數(shù)據(jù)截斷���、遠程數(shù)據(jù)寫入等)
l 命令執(zhí)行(執(zhí)行Windows��、Linux����、Unix關(guān)鍵系統(tǒng)命令)
l 緩沖區(qū)溢出攻擊
l 惡意代碼
2.違反策略防護
l 非法HTTP協(xié)議
l URL-ACL匹配
l 盜鏈行為
3.BOT防護
l 爬蟲(蜘蛛)行為
l Web漏洞掃描器行為
4.應(yīng)用層洪水攻擊
l SYN Flood
l ACK Flood
1.自定義規(guī)則
提供用戶編寫自己的規(guī)則;
支持字符串快速查找與PCRE正則查找�����。
2.白名單
設(shè)定某些網(wǎng)站�、URL等對于Web應(yīng)用防火墻直接放行。
3.關(guān)鍵詞過濾
雙向����、單向(可選)替換關(guān)鍵詞為****
4.自動通知
在內(nèi)置存儲空間快接近最大容量時發(fā)送電子郵件提醒用戶��。
用戶可以手工導(dǎo)出日志或者清空過去的部分日志����。
(注:若用戶不予清理,防火墻將執(zhí)行自動清理過去的部分日志)
5.防火墻攔截方式設(shè)置
阻斷------攔截嘗試入侵的數(shù)據(jù)報文�����,并將入侵者的IP封掉一段時間�����。
包過濾----攔截嘗試入侵的數(shù)據(jù)報文,不阻斷入侵者的IP��。
全部放行--停用本防火墻��,對所有數(shù)據(jù)報文一律放行����。
6.防火墻過濾端口設(shè)置
用戶可以自己填寫需要過濾的HTTP端口。
如需要過濾80端口以外�����,還可以選擇過濾8080端口���。
7.防火墻檢測方向設(shè)置
用戶可以選擇檢測雙向的數(shù)據(jù)或者流入的數(shù)據(jù)��。
8.阻斷時間設(shè)置
用戶可以設(shè)置檢測到攻擊后��,對某個IP的阻斷時間�。
2.網(wǎng)絡(luò)流量統(tǒng)計
1.告警日志
對每次攻擊記錄包括攻擊時間�、攻擊者的IP、物理地址等���。
2.審計日志
對Web應(yīng)用防火墻硬件的每次操作進行記錄�。
3.系統(tǒng)日志
1.入侵日志導(dǎo)出
2.審計日志導(dǎo)出
3.系統(tǒng)日志導(dǎo)出
|
