《金融网站Web安全产品部署方案》.docVIP

网站Web安全产品部署方案 产品概况 iGuard网页防篡改系统 iGuard网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。 iGuard网页防篡改系统（以下简称iGuard）采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。 iGuard的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。 iGuard以国家863项目技术为基础，全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。 iGuard支持所有主流的操作系统，包括：Windows、Linux、FreeBSD、Unix（Solaris、HP-UX、AIX）；支持常用的Web服务器软件，包括：IIS、Apache、SunONE、Weblogic、WebSphere、Tomcat等；保护所有常用的数据库系统，包括：SQL Server、Oracle、MySQL、Access等。 iWall应用防火墙 iWall应用防火墙（Web应用防护系统）是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。 iWall应用防火墙实现了对Web站点特别是Web应用的保护。它内置于Web服务器软件中，通过分析应用层的用户请求数据（如URL、参数、链接、Cookie等），区分正常用户访问Web和攻击者的恶意行为，对攻击行为进行实时阻断和报警。 这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命令攻击等，黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全的目的。 iWall应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。 iWall应用防火墙为软件实现，适用于所有的操作系统和Web服务器软件，并且完全对Web应用系统透明。 应用防火墙是现代网络安全架构的一个重要组成部分，它着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面和有效的安全防护体系。 “”网站部署方案 系统现状 拓扑图 “”网站目前的网络拓扑图如图示1所示。 图示 1 系统现状拓扑图 要点 主站点的Web服务器数量为2台，为动静结合内容。 主站点的发布方式为：网站编辑通过Web方式访问CMS系统，CMS系统合成好网页文件，然后本地生成在各自的Web服务器上。 交易站点的Web服务器数量为3台，为动态内容应用。 交易站点的发布方式为：交易站点管理员（应用程序员）在本地做好网页和脚本后，通过FTP传输到Web服务器上。 安全隐患 目前这个系统在Web应用安全方面存在如下安全隐患： Web服务器的网页篡改：没有网页防篡改机制，静态网页和应用脚本一旦被黑客篡改，没有检查、报警和自动恢复机制。 Web服务器的应用防护：没有应用防护机制，无论是Web系统还是应用系统的漏洞，都很容易给黑客以包括注入式攻击、跨站攻击等各种Web层面攻击的机会。 部署Web应用安全产品 拓扑图 “”网站部署天存Web应用安全产品的网络拓扑图如图示2所示。 图示 2 天存应用安全产品部署拓扑图 要点 增加（硬件）：新增一台PC服务器，其上部署iGuard发布服务器软件。 增加（软件）：在主站点和交易站点Web服务器（共计5台）上部署iGuard网页防篡改系统标准版的Web端软件，即同步服务器、防篡改模块。 增加（软件）：在主站点和交易站点的Web服务器上（共计5台）上部署iWall应用防火墙标准版的Web端软件，即应用防护模块。 变更：将2个主站点上的2个CMS内容管理系统迁移到新增的PC服务器上，它们的目标发布地址由各Web服务器改为iGuard的发布服务器。 删除：关闭Web服务器上FTP等不安全的端口。 主站点网页发布流程 网站内容编辑使用CMS系统以Web方式进行内容编辑。 CMS合成好静态网页后发布到两台iG