系统安全设计文件.docVIP

WORD格式-可编辑 一系统安全设计 1.1 常用安全设备 1.1.1 防火墙 主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等， 其主要功能实现是限制对 IP:port 的访问。基本上的实现都是默认情况下关闭所 有的通过型访问，只开放允许访问的策略。 1.1.2 抗 DDOS设备 防火墙的补充，专用抗 DDOS设备，具备很强的抗攻击能力。 1.1.3 IPS 以在线模式为主， 系统提供多个端口， 以透明模式工作。 在一些传统防火墙 的新产品中也提供了类似功能， 其特点是可以分析到数据包的内容， 解决传统防 火墙只能工作在 4 层以下的问题。和 IDS一样，IPS 也要像防病毒系统定义 N种 已知的攻击模式，并主要通过模式匹配去阻断非法访问。 1.1.4 SSL VPN 它处在应用层， SSL 用公钥加密通过 SSL 连接传输的数据来工作。 SSL 协议指定了在 应用程序协议和 TCP/IP 之间进行数据交换的安全机制，为 TCP/IP 连接提供数据加密、服 务器认证以及可选择的客户机认证。 1.1.5 WAF（WEB应用防火墙） Web 应用防护系统（ Web Application Firewall, 简称： WAF ）代表了一类新兴的信息 安全技术，用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火 墙不同， WAF 工作在应用层，因此对 Web 应用防护具有先天的技术优势。基于对 Web 应 用业务和逻辑的深刻理解， WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验 证，确保其安全性与合法性， 对非法的请求予以实时阻断， 从而对各类网站站点进行有效防 专业知识 --整理分享 WORD格式-可编辑 护。 产品特点 异常检测协议 Web应用防火墙会对 HTTP的请求进行异常检测， 拒绝不符合 HTTP标准的请 求。并且，它也可以只允许 HTTP协议的部分选项通过，从而减少攻击的影响范 围。甚至，一些 Web应用防火墙还可以严格限定 HTTP协议中那些过于松散或未 被完全制定的选项。 增强的输入验证 增强输入验证， 可以有效防止网页篡改、 信息泄露、 木马植入等恶意网络入 侵行为。从而减小 Web服务器被攻击的可能性。 及时补丁 修补 Web安全漏洞， 是 Web应用开发者最头痛的问题， 没人会知道下一秒有 什么样的漏洞出现，会为 Web应用带来什么样的危害。 WAF可以为我们做这项工 作了——只要有全面的漏洞信息 WAF能在不到一个小时的时间内屏蔽掉这个漏 洞。当然，这种屏蔽掉漏洞的方式不是非常完美的， 并且没有安装对应的补丁本 身就是一种安全威胁， 但我们在没有选择的情况下， 任何保护措施都比没有保护 措施更好。 （附注：及时补丁的原理可以更好的适用于基于 XML的应用中， 因为这些应 用的通信协议都具规范性。 ） 基于规则的保护和基于异常的保护 基于规则的保护可以提供各种 Web应用的安全规则， WAF生产商会维护这个 规则库， 并时时为其更新。 用户可以按照这些规则对应用进行全方面检测。 还有 的产品可以基于合法应用数据建立模型， 并以此为依据判断应用数据的异常。 但 这需要对用户企业的应用具有十分透彻的了解才可能做到， 可现实中这是十分困 难的一件事情。 状态管理 WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并 且记录事件。 通过检测用户的整个操作行为我们可以更容易识别攻击。 状态管理 模式还能检测出异常事件（比如登陆失败） ，并且在达到极限值时进行处理。这 专业知识 --整理分享 WORD格式-可编辑 对暴力攻击的识别和响应是十分有利的。 其他防护技术 WAF还有一些安全增强的功能， 可以用来解决 WEB程序员过分信任输入数据 带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保 护。 1.2 网络安全设计 1.2.1 访问控制设计 防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访 问控制。 并且防火墙可以实现单向或双向控制， 对一些高层协议实现较细粒的访问控制。 其 中防火墙产品从网络层到应用层都实现了自由控制。 屏蔽主机网关易于实现， 安全性好， 应用广泛。 它又分为单宿堡垒主机和双宿堡垒主机 两种类型。 先来看单宿堡垒主机类型。 一个包过滤路由器连接外部网络， 同时一个堡垒主机 安装在内部网络上。 堡垒主机只有一个网卡， 与内部网络连接。 通常在路由器上设立过滤规 则，并使这个单宿堡垒主机成为从 Internet 惟一可以访问的主机，确保了内部网络不受未被 授权的外部用户的攻击。而 Intranet 内部的客户机，可以受控制地通过屏蔽主机和路由器访 问 Internet 。 1.2.2 拒