XXX政府应用防火墙解决方案

XXX政府梭子鱼应用防火墙解决方案ConfidentialPage13/18/2020BarracudaCorporationXXX政府梭子鱼应用防火墙解决方案XXX政府梭子鱼应用防火墙解决方案ConfidentialPage23/18/2020BarracudaCorporation目录概要..................................................................3一.什么是web应用漏洞，这些漏洞对政府网站会造成怎样严重的后果......3二.Web应用安全现状.................................................5三.我国大陆地区政府网站被篡改情况..................................5客户需求与分析........................................................7一．客户背景.......................................................7二．XXX政府的相关需求................................................7XXX政府梭子鱼应用防火墙解决方案......................................8一．梭子鱼Web应用防火墙..............................................8二．网络架构和部署.................................................8三．梭子鱼应用防火墙特性..........................................10XXX政府梭子鱼应用防火墙解决方案ConfidentialPage33/18/2020BarracudaCorporation概要非常感谢XXX政府能够提供这次在机会，使梭子鱼应用防火墙能够在其信息中心进行全面的测试。梭子鱼应用防火墙是一款架设在web应用服务前端的安全网关，通过简单的，快速的部署，能够满足对大型企业等客户来说至关重要的安全要求。梭子鱼应用防火墙不仅能在ISO七层阻断已知和未知的攻击，同时还提供了安全的事务日志，告诉SSL加密/解密以及安全应用访问。简单通俗地说，梭子鱼为web应用提供了传统防火墙和VPN的安全机制。这样，可以使您网络在最小改动的情况下，增强对web站点和应用的可靠性。梭子鱼使web应用安全变得易如反掌。所以，我们相信通过使用梭子鱼应用防火墙，能够成功地帮助XXX政府实现对web安全应用的关键需求。一.什么是web应用漏洞，这些漏洞对政府网站会造成怎样严重的后果Web应用由于其开发的特点－经常更改，不彻底的开发编写，没有经过严格的测试，导致web应用出现了很多的漏洞，这些漏洞甚至将整个企业暴露给了外界。相关组织不得不定期的检查是否存在web应用漏洞，简单地测试来总结一些对策，保护web应用不受攻击。下面列举一些最为典型的攻击类型，这些攻击将会导致非常严重的安全事件：‧缓存溢出—差劲的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致一个攻击，借此，恶意代码将溢出到另外一个缓存中来执行恶意代码。‧跨站点脚本攻击—攻击类型的代码数据被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击服务拒绝攻击—这种攻击会导致服务没有能力为正常业务提供服务‧‧异常错误处理—错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。XXX政府梭子鱼应用防火墙解决方案ConfidentialPage43/18/2020BarracudaCorporation‧有问题的或者不存在的sessionID—当sessionID没有被正常使用时，攻击者可以破坏Web会话，并且实施多个攻击（通过冒用其他的可信任的凭证），借此来绕开认证机制。‧命令注入—-如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容（SQL语句），应该保持简单，并且不应该还有可被执行的代码内容。‧脆弱的认证—利用脆弱的认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。‧未受保护的参数传递—利用统一资源标识符（URL）和隐藏的HTML标记可以传递参数给浏览器，浏览器在将HTML传回给服务器之前，是不会修改这些参数的。‧不安全的存储－对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。‧非法输入--在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。XXX政府梭子鱼应用防火墙解决方案ConfidentialPage53/18/2020BarracudaCorporation二.Web应用安全现状目前中国互联网发展态势良好。来自中国互联网络信息中心的数据表明，截至2007年年底，国内网民数已达到2.1亿；中国域名总数是1193万个，年增长率达到190.4%；中国网站数量已有150万；中国网页总数已经有84.7亿个，年增长率达到89.4%。2008年年初，投行MorganStanley预测，未来几个月中国网民数将超过美国，成为全球第一。欣喜之余，我们发现：Web应用越来越为丰富的同时，Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。来自网络世界（NetworkWorld）的报导，2008年5月13日，在中国大陆、香港及台湾地区有数万个网站遭遇新一轮SQL注入攻击，并引发大规模挂马。在过去的4个月中，之前已有3次大规模攻击，受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国际机构网站在内的多家互联网网站，感染页面数最多超过10，000页面/天。2007年，国家计算机网络应急技术处理协调中心（简称CNCERT/CC）监测到中国大陆被篡改网站总数累积达61228个，比去年增加了1.5倍。其中，中国大陆政府网站被篡改各月累计达4234个。Google最新数据①表明，过去10个月中，Google通过对互联网上几十亿URL进行抓取分析，发现有300多万个恶意URL。其中，中国的恶意站点占到了总数的67%。三.我国大陆地区政府网站被篡改情况政府网站成为黑客的众矢之的2008年1月至10月，大陆.gov.cn网站被篡改数量各月累计达3220个，其中不重复的有2626个。月度情况统计如下图所示：2008年1月-10月半年内各月度被篡改历史统计如下图所示：XXX政府梭子鱼应用防火墙解决方案ConfidentialPage63/18/2020BarracudaCorporation本月大陆被篡改的.gov.cn网站在被篡改网站总量中所占的比例较上月略有下降，仍高于我国.cn域名下的政府网站所占2.3%比例[注：该数据来自CNNIC2008年7月中国互联网络发展状况统计报告]。这个数字实在令人堪忧。而且，近年来，网站被篡改的数目仍以每年2-3倍的速度在不断递增。在政府信息化工程围绕党的“十五”期间目标“两网一站十二金”建设这宏伟的工程中，政府信息网站做为其中一个至关重要的组成部分，保障其安全稳定的运行和建设，已经是迫在眉急的重大任务。而现阶段各级政府网站系统的安全措施还多数仅限于购置防火墙防毒墙等对病毒和常规入侵的防护，但是网页非法篡改行为是利用操作系统和应用程序的漏洞和管理的缺陷进行攻击，而政府机构原有的安全措施(如安装防火墙、入侵检测)则主要集中在网络层上，无法对网页篡改事件形成有效的监控和防护。WEB应用防火墙的出现解决了这方面的难题，应用防火墙通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。XXX政府梭子鱼应用防火墙解决方案ConfidentialPage73/18/2020BarracudaCorporation客户需求与分析一．客户背景政府需要将Web应用安全作为一部分，包括在他们的安全管理部署之中。据统计，90％的外部访问应用，如今，还是直接面向web服务器，其中的三分之二具有可以被攻击的漏洞，能够是黑客轻易的控制和破坏服务器和服务。因为Web应用是可以使用浏览器进行外部访问的服务，攻击者可以轻而易举的绕开边界安全设备，通常这些设备对80和443的端口都没有做任何限制。因此我们推荐XXX政府使用梭子鱼应用防火墙来实现对Web应用漏洞的检测和防护。该政府网站简介。二．XXX政府的相关需求1．对包括网页篡改、SQL注入，命令注入，缓存溢出，跨站点脚本攻击等数十种已知的web应用攻击进行有效的防护，不影响正常的web应用流量以及其他的应用流量2．对未知的web应用攻击能够有效地防护，并伴随智能学习能力3．实现双向过滤能力4．实现站点的虚拟化，实现后台真实服务器和真实域名对外界的非可见性5．SSLoffloading功能，加速SSL流量6．连接复用功能，实现TCP连接池7．应用防火墙热备功能，避免单点故障，实现statefulfailover8．多种认证机制的支持，包括LDAP,AAA,RADIUS,ADetc9．多种部署方式，简单管理，提供图形化界面10．符合PCI-DSS，OWASP，WASC协议标准XXX政府梭子鱼应用防火墙解决方案ConfidentialPage83/18/2020BarracudaCorporation11．无需改动现有的web应用代码XXX政府梭子鱼应用防火墙解决方案一．梭子鱼Web应用防火墙梭子鱼应用防火墙产品是一款集成化的产品，它能够在完全的获取和管理Web应用过程中进与出的每一个事务。同时它也是一款高性能，双向HTTP代理设备，允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则。梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统，应用防火墙通过终止，安全，加速web应用会话流量，提供给数据中心一个非常有价值的解决方案，来控制至关重要的web应用。梭子鱼产品的拓扑和管理是非常简单的。最重要的是，梭子鱼应用防火墙是完全遵循WASC和OWASP组织的协议来开发的。根据东XXX公司目前网络拓扑状况，因为已经包含了F5的负载均衡设备对后台的web服务器进行流量负载，梭子鱼推荐使用NC－2000AF配合原先的F5负载均衡设备，实现安全，负载，加速。使整个站点从性能和安全上提升一个新的台阶。（根据用户情况而定）二．网络架构和部署双臂代理模式（视项目而定）双臂代理模式是web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式，能够提供最佳的安全性能。XXX政府梭子鱼应用防火墙解决方案ConfidentialPage93/18/2020BarracudaCorporation在此模式中，所有的数据端口都将被开启；端口eth1是对外的，直接面向因特网的端口；端口eth2将会和内部的设备（交换机等）进行连接，是面向内部的。管理端口可以被分配到另一个网段，我们推荐将管理数据和实际的流量分离，避免因为实际流量和管理数据的冲突。以下为示例拓扑图：网络实现：1．前端端口和后端端口位于不同的网段，所有外部客户将会和应用虚拟IP地址进行连接，此虚拟ip将会和