背景介绍:
随着信息化的发展,大家都积极深入发展门户网站的安全建设,推行信息公开,提高工作的透明度,充分发挥网络对使用者的各方面的帮助。厦门移动门户网站的厦门无线城市是该移动通信网络建设的重要组成部分,作为面向社会群众的窗口,发布城市信息,提供“移动公交查询”、“网上营业厅”、“积分商城”等业务,为城市居民提供生活方便。
网络时代的安全挑战:
近年来,随着该类门户网站所运行业务的重要性逐渐增加以及其公众性质使其越来越成为攻击和威胁的主要目标,网站所面临的Web应用安全问题越来越复杂,混合威胁的风险也在飞速增长,如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着XX移动和公众用户,带来的负面影响更是不可小视。
因此一个优秀的移动门户网站安全建设是是否能取得成效、充分发挥职能的基础,而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。
梭子鱼基于多年在信息安全领域持续深入的研究、积累的丰富技术成果以及对门户网站安全建设实践,设计了该方案,从检测与发现、防护与阻击、安全监控与安全恢复几个方面为开放式网站提供全方位的安全保障。
在提供解决方案之前,我们帮助用户理清了一些应用层防火墙的基本概念:
1.什么是WAF;
2.梭子鱼的WAF与传统入侵防御IPS产品的区别;
3.梭子鱼WEB应用防火墙有哪些技术优势;
其次在该网站遭遇多重攻击,网站陷入困境的时候梭子鱼所提供的解决方案:
1.能应对当前攻击,且具备持续防护能力,对业务影响尽可能小;
2.针对多台核心WEB服务器提供防护;
3.隐蔽内部结构,易于发布应用;
4.自动调整用户习惯
5.主动模式来过滤所有的WEB请求;
6.提供简明维护的平台;
解决方案:
基于对梭子鱼公司的信任,2010年在售前过程中,我们有幸对厦门移动信息部门负责人进行了一次详细的技术沟通。我们首先解释了几项用户关心的问题:
1.什么是WAF
梭子鱼应用层防火墙(全称,梭子鱼WEB应用防火墙,即WAF )通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。
2.应用层防火墙WAF与传统的入侵防御设备IPS之间具有本质上的区别
我们都知道入侵防御系统IPS是由入侵检测系统发展而来,应用层防火墙WAF和传统的入侵防御设备IPS两种产品之间有个非常形象的比喻,就是保镖和保安的区别。WAF就像是一位重要人物的贴身保镖,而传统的入侵防御系统好比这位重要人物所在大楼的门卫,区别显而易见。
3.梭子鱼WEB应用防火墙有哪些技术上的优势:
梭子鱼WEB应用防火墙提供强大的双向扫描机制。对于HTTP请求,梭子鱼WEB应用防火墙提供URL、表单参数、报头及cookie等各种安全扫描,此外,还提供强大的应用层DDoS防护以及强制浏览和跨站请求伪造攻击防护。对于HTTP响应,梭子鱼WEB应用防火墙通过对响应报头、HTML内容进行过滤,确保敏感信息不被泄露。
梭子鱼WEB应用防火墙 提供XML防火墙功能,利用WSDL和XML schema的合规性检查,提供各种XML的安全防护机制,包括对XML DoS的攻击防护。
在部署过程中,针对该网站的特性,梭子鱼WAF提供了以下解决方案:
1.WAF透明部署在防火墙和WEB服务器群及应用服务器之间(如下图所示),在网络中即插即用,不改变网络拓扑和网站业务流程,管理简单;
图: WAF部署示意图
2.WAF提供了针对核心WEB服务器群的防护;根据网站部署的特点,一般使用者登陆的站点都具有多个主站点,同一台服务器会同时具有几个站点的情况,梭子鱼的设备可以区分各站点之间的不同属性进行分类管理,适用不同的防护策略。例如:普通访客登陆的站点都是HTTP协议,例如查询城市公交信息。而员工登陆的管理平台和办公系统都是HTTPS协议,因此我们会设计一套HTTP协议的基本防御模版,而HTTPS协议我们会在基本保护的策略框架下,再启用SSL加速的功能,来帮助提升用户的访问速度。
3.隐蔽内部结构,易于发布应用;应用防火墙通过Web地址转换将内部的目录转换为外部的访问地址,而不需要暴露或重新配置内部的域名。内部的地址被转换为无关联的外部名称后,恶意的访问者将难以知道自己访问路径和攻击目标。这样您能更快的发布应用。
4.WAF自动学习用户习惯;WAF会自动调整外网用户登陆网站后的使用习惯,例如在某个站点的通告位置上的发贴字数长度,会随着用户输入习惯逐渐增多。
5.WAF调整主动模式来过滤所有的WEB请求;根据网站防御的特点,一般网站都具有前端普通访客登陆信息平台查看信息,后端管理人员发布最新动态、更新信息等工作流。所以在网站前端我们过滤的总体策略都是过滤常规攻击方式,并且对进入网站之后所有提交的数据和语句做限定,在网站后端管理平台,一方面我们将限定指定的管理人员登陆,另一方面我们适当调整管理者登陆系统之后的限定权限,以免发生网站后端被攻击的事件。基于学习的主动模式目的是为了建立一个安全防护模型,一旦行为有差异则可以发现,比如隐藏的表单、输入的参数类型不合法等,这样在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。
6.梭子鱼提供简明维护的平台;经过长期的了解和沟通,XX移动的网络管理者非常青睐于梭子鱼简明的维护平台和日志系统。一般经过简单的培训,他们便可以轻松的查看网站的安全隐患和轻松的进行安全加固。
效果及用户评价:
网站安全问题成为开展电子信息服务日益关注的焦点。对于客户而言,需要的肯定不仅是网络安全设备,更需要具备快速应急响应、丰富实战经验和强大技术实力的合作伙伴,为其提供专业完善的网站应用安全解决方案。梭子鱼团队以专业的产品和服务,赢得了客户的肯定。
更多梭子鱼WEB应用防火墙产品和案例资讯,可登录梭子鱼官方网站:www.barracudanetworks.com.cn
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]