永恒信业WEB安全防护和新一代防火墙解决方案.doc

永恒信业WEB安全防护及新一代防火墙解决方案 政府门户网站是政府部门对外的窗口和实施电子政务的重要平台，目前部委、省地市各级政府机关基本都建立了自己的门户网站，用来宣传和介绍政府的基本状况。然而针对WEB业务的攻击亦在迅猛增长，类似网页被篡改或者网站被入侵等安全事件频繁发生，不但严重影响了政府的对外形象，有时甚至会造成巨大的经济损失，或者严重的社会问题，严重危及国家安全和人民利益。 国家对政府网站的安全性也非常重视。2011年4月，国务院办公厅发布国办函〔2011〕40号文件--《国务院办公厅关于进一步加强政府网站管理工作的通知》，通知要求进一步加强政府网站管理工作，各地各部门对本地区、本部门政府网站进行全面检查，检查内容包含网站安全防范工作是否到位，是否采取了防攻击、防篡改、防病毒等安全防护措施，并制订了应急处置预案。 目前，政府网站建设主要存在这些不足： 1) DMZ备份服务器与对外服务器部署一台设备上； 2) 网站服务器的防篡改系统没有做加固保护； 3) 没有数据“备份”和“还原”系统； 4) 没有远程监控、管理以及应急情况的处理机制； 5) 备份服务器没有独立保护； 6) 没有针对于外部攻击、篡改的应急预案等等。 为此，针对这些比较普遍的问题，首先将整个网络划分成外部服务区、内部服务区、边界接入区、办公区，以及网管中心。政府门户网站部署在外部服务区，一些内部业务则部署在内部服务区。其中政府门户网站是整个网络中最易遭受外部黑客攻击的目标和对象，也是安全防护的重点。根据网站安全保护方案，首先对承担网站业务的WEB服务器进行内核加固，同时部署数据备份和还原系统，实时备份运行中的业务数据，并将备份服务区单独隔离，确保备份服务区的数据的安全。在WEB服务器的前面部署WEB应用防火墙（简称WAF），提供实时WEB精细防护。并在WAF之前串式部署应急智能电源，为远程短信和电话接入控制提供保 障。通过网站安全整体保护方案，实现WEB攻击可防、网站数据有备、网页篡改能控，极端情况下有应急处置能力，真正提供一站式的整体安全解决方案，解除政府网站管理之忧。 其网络拓扑部署图如下： 方案原理 网站安全解决方案由六个子系统组成： 1) 网站服务器OS加固系统：对网站的WEB服务器操作系统实施全面加固，同时设置文件系统强制访问规则，仅允许指定进程和用户修改网站数据，杜绝其他任何文件修改操作； 2) 数据备份和恢复系统：对网站运行数据进行实时备份，并对数据备份服务器进行网络隔离，防止备份数据遭受外部入侵。同时，在必要情况下，可以快速地将备份数据进行恢复，保障网站连续运行； 3) 网站数据监控系统：该子系统作为极端情况下的备用保护模块，当网站数据遭受破坏或篡改时，可以实时检测（检测响应时间可以达到秒级，且不受网站数据规模影响），并通过远程应急控制系统，向网站管理员告警； 4) 远程应急控制系统：该子系统集成IP语音电话、手机短信等通信平台，不仅支持远程告警功能，而且提供远程电话或短信控制网站的对外服务状态，并支持自动数据恢复，解除网站异地管理或紧急情况下的后顾之忧； 5) WEB应用安全防护系统：提供专业、精细化的WEB应用安全保护，支持WEB攻击实时防护、敏感信息泄露、网站漏洞扫描等功能，将WEB攻击阻断在WEB服务器外部； 6) 边界安全防护系统：提供边界高性能防火墙、入侵防护（IPS）、防病毒等基础网络安全保护，同时针对网站业务的具体使用环境，具备海量异常流量检测和清洗，保障内部网络的访问流量的纯净。 以上6个子系统的相互协同、互补融合关系参见下图： 系统架构 根据WEB服务的运行特点和基础网络架构规划，网站安全已经无法通过单一的安全产品、一个或两个安全防护措施就能保障。相反，只有通过整体解决方案，设计多层次、立体式的安全防护体系才可能较好地解决。永恒信业网站安全解决方案充分考虑到网站建设、日常运营和安全防护的实际需要，其对网站安全保护由网络安全、业务安全、主机安全、数据安全以及远程应急控制等一系列方法和措施来保障，整体方案采用如下系统架构： 首先，根据功能域划分、核心数据重要性、安全防护等级和网站日常维护等不同需求，将整体网络划分成边界防护区、对外服务区、内部服务区、数据备份区、网站发布区，以及内部办公区等多个不同的安全域，各个不同安全域承担各自不同的业务和功能，采取不同等级的安全防护措施。 网站对外服务区是网站业务的核心区，也是网站最可能遭受攻击的目标。对外服务区的安全保护是整个网站安全防护的重点，而承载网站业务的WEB服务器是核心。据此，首先对外部服务区中的WEB服务器进行主机安全加固，保障该主机的文件系统访问、系统注册表、系统进程和服务、应用数据等安全。在此基础上，部署数据监控系统，确保在极端情况下