SANGFOR_AF_网页篡改防护解决方案V1.0

深信服网页篡改防护解决方案深信服科技有限公司2013年8月29日深信服网页防篡改解决方案深信服科技版权所有目录深信服网页篡改防护解决方案................................................................................-1-1应用背景.............................................................................................................-3-2需求分析.............................................................................................................-3-3深信服网页篡改防护解决方案.........................................................................-4-3.1方案概述..................................................................................................-4-3.2解决方案..................................................................................................-5-3.2.1网关型的网页防篡改，对服务器零消耗、零影响....................-5-3.2.2深度内容检测技术，可解析网站交互流量中隐藏的威胁........-5-3.2.3典型的Web攻击防护，防止Owasp十大web安全威胁........-6-3.2.4基于应用的漏洞防御，有效防止服务器漏洞利用攻击............-6-3.2.5多种匹配方式，灵活适合动静态网页篡改防护........................-6-3.2.6网站防护深度自定义，适应各行业网站特点............................-7-3.2.7丰富的篡改类型识别，可防护黑客的任意篡改形式................-7-3.2.8独立的网站更新通道，实现安全管理与业务更新两权分立....-8-3.2.9网站更新通道短信认证，提升网站更新通道的安全性............-8-3.2.10多种方式的篡改快照，可清晰界定网页内容合法性...............-8-3.2.11多种篡改应急处理机制，确保用户访问网站连续性...............-8-3.2.12快速及时的报警方式，便于应急响应并及时修复...................-9-4关于深信服.........................................................................................................-9-深信服网页防篡改解决方案深信服科技版权所有应用背景近年来，网站安全事件数量不断攀升，网站成为了主要目标，国家互联网应急中心（CNCERT/CC）《2012年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2011年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%，较2011年大幅上升，排名由第三位上升至第二位。而网站安全问题进一步引发网站用户信息和数据的安全问题。2012年底，CSDN、天涯等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益和互联网安全。”2需求分析网站是网络中被访问最多的一种服务，也是最容易遭受攻击的。网站直接代表着政府、企业的形象，一旦页面被篡改，将导致企业、政府形象和无形资产的巨大损失。这种攻击方式和攻击后果屡见不鲜。根据Gartner的调查，信息安全攻击有75%都是发生在Web应用层，2/3的Web站点都相当脆弱，易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。即使部署了层层的应用安全防护设备，网页还是被篡改了！这是因为安全防护并不能百分之百的确保所有攻击都被拦截，因为也不能确保网页不被篡改。聪明的黑客甚至会利用最新的“0”day漏洞获取服务器权限，篡改网页。基于此类现象和问题，按照各行业对网站及发布业务安全性的要求，对于网站的安全防护主要需要解决的问题和具备的防篡改措施如下：1、具备防护篡改网站各类攻击的完整安全防御体系。包括针对web应用程序的web攻击；针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞深信服网页防篡改解决方案深信服科技版权所有利用攻击等；针对网站服务器群的系统漏洞利用攻击等攻击手段。防止网页篡改需要具备从网络到系统再到应用层面的各类安全威胁的防护能力；2、具备事后验证网页内容发布合法性的检查。一切发布于互联网或者内网用户的网页内容需要经过篡改与否的合规性检验，防止绕过防御体系潜入网站篡改网页的风险和管理员账号被窃取后正常发布的非法内容发布；3、具备网站更新人员的强认证通道，也便于网站更新业务的正常运转。由于网站更新人员和安全设备管理人员通常不会是同一个部门，为了方便网站更新业务的正常运转，需要给网站内容维护人员一个专门的通道用于界定更新网站内容、界定网站内容是否为篡改行为。同时为了增强该通道的安全性，需要增加强认证机制，比如短信认证、2次认证等手段以保证网站更新人员的合法性。4、具备篡改后应急处理机制。网页被篡改后，需要有良好的善后保障措施和业务承接能力。以便于网站用户访问网站的连续性。因此网页篡改防护需要能够提供动态防护L2-L7层的攻击，被攻击了也有篡改判定机制做到事后补偿的保护手段，确保网页不被篡改；同时需要具备篡改后应急响应的机制，即使网页内容被篡改了也不会发布与众。3深信服网页篡改防护解决方案3.1方案概述深信服网页防篡改解决方案是网站的守护者，针对网站提供双重的防御体系。深信服网页防篡改解决方案提供针对L2-L7层网站攻击的完整安全防御能力。其攻击防护部分功能解决方案解决了传统防火墙不能防护应用层安全威胁的问题，弥补了IPS入侵防护系统无法防护web攻击的弱点，弥补了基于web应用的WAF无法防止底层漏洞攻击的缺陷，为用户提供完整的网站应用层安全防护方案；此外深信服网页防篡改解决方案提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题，保护网站深信服网页防篡改解决方案深信服科技版权所有的完整性。3.2解决方案3.2.1网关型的网页防篡改，对服务器零消耗、零影响深信服网页防篡改解决方案无需在服务器上装任何插件，对服务器性能无任何损耗，对服务器本身的生产环境无需做任何修改，是通过集成在设备中的防篡改技术的完整解决方案。可适用于各种复杂的网站建设场景，可通过路由、网桥部署于网络中，不改变网络及网站服务器的原有环境，对于网站已经建设完成需要增强安全防御能力以及防篡改能力的网站尤为适合，针对安装于服务器上的防篡改软件或需要在服务器上安全插件的防篡改系统，具有很明显的优势。深信服防篡改解决方案只需要管理员预先在控制台设置好需要防护的网站，设置后，系统会向该网站请求页面并且缓存到设备。当用户访问网站的时候，数据经过防篡改系统，防篡改系统会根据预先缓存的页面与用户访问的页面进行比对，如有变动，则判断为篡改，跳转到指定页面并且通知管理员。深信服防篡改系统的样本采样模块会将首次获取到的防护页面作为基准页面，通过一定时间反复或者通过手动更新轮询方式更新采集网站的样本，再次之后获取的页面为轮询页面。采样得到的基准页面与轮询页面将通过模块中的检测算法进行轮询的检测与匹配。若经过算法计算的基准页面与轮询页面出现不一致时，则判定网页存在篡改的风险，通过提交管理员审核的方式判定更新内容是合法更新还是非法篡改。3.2.2深度内容检测技术，可解析网站交互流量中隐藏的威胁深信服防篡改解决方案具备深度的内容检测技术，通过该技术可以解析用户端到服务端完整的http请求，可解析在网站交互流量中隐藏的威胁并予以防御。相对于纯软件的防篡改系统具有防攻击特性的优势，防止黑客入侵服务器获取服务器权限后，可随意将防篡改软件关闭，或者修改的风险。深度内容检测技术实现对HTTP/HTTPS协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术，只能实现在网络层深信服网页防篡改解决方案深信服科技版权所有数据包层面进行重组还原及特征匹配，无法解析基于HTTP协议的内容分析，很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS，仅仅是基于简单的特征检测技术，存在大量的漏报误报的信息。作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。3.2.3典型的Web攻击防护，防止Owasp十大web安全威胁该方案有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。3.2.4基于应用的漏洞防御，有效防止服务器漏洞利用攻击该方案漏洞防御功能可有效防止利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。3.2.5多种匹配方式，灵活适合动静态网页篡改防护深信服网页篡改防护解决方案可能实现动态、静态网页的篡改检测，通过两种匹配方式对网页篡改进行检测与匹配。一般情况下纯静态网页，则选择[精确深信服网页防篡改解决方案深信服科技版权所有匹配]，全动态页面的网站选择[模糊匹配-灵敏度低]，静/动态网页都有的网站可选择[模糊匹配-灵敏度高]或者[模糊匹配-灵敏度中]。方式一：精确匹配精确匹配模式适用于首页或者前几级更新内容较少、用户访问次数最多需要进行严格保障的页面。通过精确匹配的识别方式，网站框架、文字、图片等网站任何一个元素的变化均被判定为被非法篡改。方式二：模糊匹配模糊匹配适用于内容更新频发的动态更新的页面，网页中的文字会随着动态发布进行更新，而网站的整体框架不允许被篡改，否则被认定为是一种篡改事件。3.2.6网站防护深度自定义，适应各行业网站特点网站防护的深度可灵活自定义，充分保护关键页面同时提高网页防篡改检测的效率，保证用户访问的高效性。防护深度默认值为5。当设定起始URL后，设备会请求该URL并且缓存该URL页面，如果该URL里有一个URL链接B，那么设备