25使用梭子鱼web应用防火墙的价值.doc

某移动公司 WEB应用系统安全梭子鱼解决方案 2009年9月1日 行业背景 4 一 电信行业用户网站安全应用现状 6 1.1电信行业网站应用现状 6 1.2电信行业网站应用安全总体分析 8 1.2.1 防火墙的局限： 8 1.2.2 入侵防御系统的不足 9 1.2.3 网页防篡改的不足。 10 1.2.4 代码安全管理的不足 10 1.2.5 补丁管理的不足 10 二 某移动网站安全梭子鱼解决方案 12 2.1 需求分析 12 2.2 总体架构 12 2.3 某移动梭子鱼应用防火墙部署 14 2.3.1 梭子鱼的各种安装模式比较分析 14 2.3.2 某移动最佳部署模式 17 2.3.3 设备选型说明 18 2.3.4 某移动测试部署方案 19 2.4 某移动梭子鱼应用防火墙安全策略配置 22 2.4.1 梭子鱼应用防火墙安全扫描原理 22 2.4.2 梭子鱼Web应用防火墙的默认策略 23 通用(General)策略清单及说明 23 全局URL ACL（Global URL ACL）清单及说明 29 敏感信息保护 29 动作策略 30 2.4.3针对某移动的安全策略 30 网络层DDoS攻击防护 30 SSL加密 35 负载均衡 37 缓存、压缩、TCP复用 38 虚拟化部署 39 2.4.4审计与报表系统 40 日志系统 40 梭子鱼的报表系统 43 2.5使用梭子鱼web应用防火墙的价值 43 三 梭子鱼应用防火墙产品介绍 46 3.1产品介绍 46 3.2梭子鱼Web应用防火墙的功能 46 3.3梭子鱼Web应用防火墙的原理 49 3.3.1梭子鱼Web应用防火墙工作原理 50 3.3.2 梭子鱼Web应用防火墙三部曲工作原理 50 3.3.3终止 51 3.3.4 安全 53 3.3.5加速 56 3.4梭子鱼公司简介 58 3.5 某移动及梭子鱼人员联系表 59 行业背景 随着社会信息化程度加深，互联网已经成为重要的信息交流和民意表达平台，在国民经济和社会发展过程中发挥着重要作用。通过互联网造成的信息泄密、重要信息系统被攻击等事件层出不穷，互联网安全已经引起相关部门的高度重视。随着Web2.0等新技术快速发展和推广，网络攻击向技术隐蔽化、专业化、工具化、组织化、趋利化发展，互联网安全形势更加严峻，迫切需要全面加强对互联网安全的管理。 基于Web的应用已经成为互联网最主要的业务。通过Web应用对计算机发起攻击相对容易进行且较难被察觉，因此被黑客广为采用，并且有愈演愈烈之势，不仅侵害了用户利益，也给国家安全和社会稳定带来威胁。目前基于Web的网络攻击主要包括，针对特定网站漏洞进行网页挂马、利用浏览器插件漏洞的攻击、基于Web2.0的攻击、网络钓鱼等方式。针对Web网络攻击的安全防御已经刻不容缓。 根据国家互联网应急中心（CNCERT）的统计，2008年中国大陆被篡改的网站数量比往年处于明显的上升趋势，仅上半年总数就高达35113个，特别是3月份，被篡改的网站数单月超过9000个，如下图： 业的网站更是让黑客们趋之若鹜，因为一旦攻击成功，黑客能获得更大的成就感和满足感。对电信行业网站攻击也往往能产生轰动效应，例如2006年9月11日中国移动动感地首页显示的不是“移动信息专家”，而是一行涂鸦：“恳请移动的话费能便宜点不……” 虽然这只是一次“恶作剧”式的袭击，但是也引起了全社会的担忧。电信的网站是不是真的安全、用户的信息会不会泄露，国家的信息安全能否得到保证？电信网站的安全问题，不仅仅是一个网站或企业信息安全的问题，更关系到社会安定及国家安全，因此对于电信行业的网站安全问题，必须举轻若重、防患于未然。 一 电信行业用户网站安全应用现状 1.1电信行业网站应用现状 典型的电信网络拓扑如下： 电信行业用户一般设数据中心，数据中心设有许多应用，每个应用对应一组服务器。例如邮件服务器、流媒体服务器、Web网站服务器等。由于web的简单易用性，电信行业提供的许多服务都Web化，其Web网站成为企业的门户，所谓门户也就是互联网用户访问各种数据资源的入口。 电信行业网站架构一般也采用三层结构、即web服务器面向用户，应用服务器和数据库服务器构成，为了保护web系统不受攻击，最外部架设防火墙；架设IPS或IDS防止网络攻击。 以中国移动为例，总部网站的域名是，由于中国移动以省级单位运营，因此每个省都有二级域名，例如某移动，各省移动公司对省移动网站进行维护。网站结构则统一为中国移动的界面风格： 1.2电信行业网站应用安全总体分析 电信行业本着“面向业务，全面安全”的指导思想建设网站，并坚持四项基本原则： 安全第一：尽量减少安全风险，提高安全程度。可发展性：能适应安全环境变化满足升级要求。 管理性：保证安全策略和特征库